1漏洞描述

8月23日，宝塔面板官方发布紧急安全更新，请Linux版本7.4.2版本和windows版6.8版本的用户务必更新到最新版。

腾讯安全团队验证分析，宝塔面板Linux正式版7.4.2，Linux测试版7.5.14，Windows正式版6.8，存在未授权访问漏洞。攻击者访问特定路径可直接获取mysql数据造成数据泄露，并可能导致服务器系统权限被获取。

宝塔面板是一款提升运维效率的服务器管理软件，支持一键LAMP/LNMP/集群/监控/网站/FTP/数据库/JAVA等100多项服务器管理功能。

2漏洞等级

高危

3受影响的版本

Linux版本：7.4.2版本和测试版本7.5.14
Windows版本：6.8版本

4安全版本

宝塔linux 测试版本7.5.15
宝塔linux 正式版 7.4.3
Windows 正式版6.9.0

5漏洞修复方案

更新方法：

登录面板后台，右上角点击更新，弹窗后，点击立即更新。





或者使用升级脚本:
注意：优先在面板首页直接点更新，失败的情况下，才使用此命令，且不能在面板自带的SSH终端执行）：


curl https://download.bt.cn/install/update_panel.sh|bash
离线升级步骤：

• 
  下载离线升级包：http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip2；
  
  
• 
  将升级包上传到服务器中的/root目录；
  
  
• 
  解压文件：unzip LinuxPanel-7.4.3.zip4；
  
  
• 
  切换到升级包目录：cd panel5
  
  
• 
  执行升级脚本：bash update.sh6
  
  
• 
  删除升级包：
  
  cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel
  
  

6腾讯安全解决方案

1.腾讯T-Sec主机安全（云镜）漏洞库日期2020-08-23之后的版本，已支持检测云主机系统是否受宝塔面板未授权漏洞的影响。



腾讯T-Sec主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于腾讯T-Sec主机安全的更多信息，可长按识别以下二维码查阅。



2.腾讯T-Sec 漏洞扫描服务（Vulnerability Scan Service，VSS）已支持检测全网资产是否存在宝塔面板数据库管理未授权访问漏洞，并提醒相关用户修复。关于腾讯T-Sec漏洞扫描服务的更多信息，可长按识别以下二维码查阅。



3.腾讯T-Sec高级威胁检测系统（御界）规则库日期2020-08-23之后的版本，已支持对宝塔面板数据库管理未授权访问漏洞的攻击检测。



关于腾讯T-Sec高级威胁检测系统的更多信息，可参考：https://s.tencent.com/product/yujie/index.html

参考链接

https://mp.weixin.qq.com/s/XSDbyU-5TNzFCrp0sb0qKw