宝塔面板漏洞紧急更新 你修复了吗？

宝塔面板正式版linux7.4.2、测试版本7.5.15与Windows 正式版6.9.0，这三个版本存在严重安全漏洞，须要紧急更新，不知道还有多少小伙伴没有收到通知，还没有更新的赶紧修复吧！

关于漏洞：

为解决用户服务器被通过phpmyadmin提权导致的安全问题，
我们在Linux面板7.4.2/Windows面板6.8.0 版本中加入了phpmyadmin安全访问模块。
原理是通过面板进行访问phpmyadmin，而不是nginx/apache。
但因在目录存放时存在一个致命逻辑漏洞，导致nginx/apache也可以访问到专门给面板使用的phpmyadmin目录。
我们在做安全审计时将重心放在面板程序中，忽略了除面板外被访问的可能，从而导致了此事件的发生。

受影响机器：

需同时满足以下所有条件
1、软件版本为Linux面板7.4.2 或者Windows面板6.8.0
2、开放888且未配置http认证
3、安装了phpmyadmin，mysql数据库

不受影响的机器：

只需满足一条则不受影响
1、未开放888端口，
2、针对888端口做了严格的安全认证，
3、未安装phpmyadmin，
4、未安装mysql数据库
5、面板版本不为Linux面板7.4.2/Windows面板6.8.0

更新方法：

登录面板后台，右上角点击更新，弹窗后，点击立即更新

关于宝塔一些安全：

有好多小伙伴装完宝塔面板都喜欢用默认端口信息，面板端口、SSH端口、FTP端口、phpmyadmin端口，这些都应该修改一下，这次事件给我们敲响了一次安全警钟。关于一些端口修改见下图：

还有一点要注意，如果你使用的服务器设置了安全组，在宝塔里修改完一定要把修改后的端口加入你的服务器安全组。