有关于宝塔这次的严重漏洞,你是否还会信赖类似的面板

2020-08-23 19:35:04 +08:00
 yiyezhihan
有关于宝塔这次的严重漏洞,你是否还会信赖类似的面板



https://www.bt.cn/bbs/thread-54644-1-1.html

不需要任何权限直接访问数据库,不需要登录!!

###如果服务器上的宝塔面板版本 7.4.2 ,请及时更新。


我自己是会逐渐转移到 oneinstack,lnmp 吧

宝塔这次真的是一生黑!!
17195 次点击
所在节点    问与答
116 条回复
lusi1990
2020-08-23 19:36:57 +08:00
用过一次,不喜欢这种不在我掌控范围的软件
yiyezhihan
2020-08-23 19:39:51 +08:00
@lusi1990 对他已经一生黑了
murmur
2020-08-23 19:42:48 +08:00
怎么说呢,这种控制台通过公网暴露出去本身问题就很大,这种东西要么只能对公司 IP 访问,要么得走堡垒机、vpn 这些专门访问
yiyezhihan
2020-08-23 19:45:11 +08:00
@murmur 这应该算是最低级的严重漏洞,不知道他们的测试人员干啥的,宝塔都发短信了。
rrfeng
2020-08-23 19:46:16 +08:00
502
------

所以自己也被搞了吗
yiyezhihan
2020-08-23 19:47:39 +08:00
@rrfeng 漏洞爆出来就升级了,这种漏洞让我远离宝塔。。
murmur
2020-08-23 19:50:06 +08:00
@yiyezhihan 看网上说是 phpmyadmin 没有密码可以任意访问?
CallMeReznov
2020-08-23 19:50:35 +08:00
之前国内一款 w 什么开头的面板,也是因为 mysqladmin 三天两头被爆.
我在搬瓦工的那个 VPS 一年里就没清闲过.
就算升级了隔几天还是会被爆.
bagheer
2020-08-23 19:50:38 +08:00
没装 phpmyadmin 没开 888 端口的,基本没事。
yiyezhihan
2020-08-23 19:50:52 +08:00
@murmur 对的,我已经测试了,是真的。:888/pma
wbrobot
2020-08-23 19:57:34 +08:00
宝塔升级脚本
https://v2ex.com/t/700756
xiri
2020-08-23 19:59:10 +08:00
从来不用宝塔,一直都是自己敲命令管理,也没有多复杂啊。
SunnyLyx
2020-08-23 19:59:53 +08:00
转用可信赖的 lnmp 脚本了,毕竟年度才更新一次,应该是比较稳的
alexkkaa
2020-08-23 20:02:06 +08:00
这届程序员连环境都懒得配了吗 再不济你跑个自动脚本不行吗
yiyezhihan
2020-08-23 20:04:22 +08:00
@SunnyLyx 是的
@xiri

@alexkkaa 对很多小企业来说,他们没有这种能力只能使用类似宝塔的面板。
pcbl
2020-08-23 20:09:57 +08:00
漏洞归漏洞 该用还得用。。。
Foxkeh
2020-08-23 20:17:23 +08:00
我们公司政策都不允许用种 Web 控制台...
love
2020-08-23 20:25:19 +08:00
有更方便的命令行不用,纯粹是 win 带来的恶习
Felldeadbird
2020-08-23 20:27:02 +08:00
基础软件暴露严重漏洞,楼主是不是也不用?

是软件就有漏洞,使用时就要承担这个风险呀。

类似宝塔这种管理平台,对于普通用户,直接推荐他们用就好了,省事。

而对于有开发团队的企业,肯定不能选择这种平台。公司安全,运维不是白请的。
zachlhb
2020-08-23 20:40:21 +08:00
为啥我没试出这个漏洞,我访问是 404

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/700753

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX