有关于宝塔这次的严重漏洞，你是否还会信赖类似的面板

有关于宝塔这次的严重漏洞，你是否还会信赖类似的面板

https://www.bt.cn/bbs/thread-54644-1-1.html

不需要任何权限直接访问数据库，不需要登录！！

###如果服务器上的宝塔面板版本 7.4.2 ,请及时更新。

我自己是会逐渐转移到 oneinstack，lnmp 吧

宝塔这次真的是一生黑！！

lusi1990

2020-08-23 19:36:57 +08:00

用过一次，不喜欢这种不在我掌控范围的软件

yiyezhihan

2020-08-23 19:39:51 +08:00

@lusi1990 对他已经一生黑了

murmur

2020-08-23 19:42:48 +08:00

怎么说呢，这种控制台通过公网暴露出去本身问题就很大，这种东西要么只能对公司 IP 访问，要么得走堡垒机、vpn 这些专门访问

yiyezhihan

2020-08-23 19:45:11 +08:00

@murmur 这应该算是最低级的严重漏洞，不知道他们的测试人员干啥的，宝塔都发短信了。

rrfeng

2020-08-23 19:46:16 +08:00

502
------

所以自己也被搞了吗

yiyezhihan

2020-08-23 19:47:39 +08:00

@rrfeng 漏洞爆出来就升级了，这种漏洞让我远离宝塔。。

murmur

2020-08-23 19:50:06 +08:00

@yiyezhihan 看网上说是 phpmyadmin 没有密码可以任意访问？

CallMeReznov

2020-08-23 19:50:35 +08:00

之前国内一款 w 什么开头的面板,也是因为 mysqladmin 三天两头被爆.
我在搬瓦工的那个 VPS 一年里就没清闲过.
就算升级了隔几天还是会被爆.

bagheer

2020-08-23 19:50:38 +08:00

没装 phpmyadmin 没开 888 端口的，基本没事。

yiyezhihan

2020-08-23 19:50:52 +08:00

@murmur 对的，我已经测试了，是真的。:888/pma

wbrobot

2020-08-23 19:57:34 +08:00

宝塔升级脚本
https://v2ex.com/t/700756

xiri

2020-08-23 19:59:10 +08:00

从来不用宝塔，一直都是自己敲命令管理，也没有多复杂啊。

SunnyLyx

2020-08-23 19:59:53 +08:00

转用可信赖的 lnmp 脚本了，毕竟年度才更新一次，应该是比较稳的

alexkkaa

2020-08-23 20:02:06 +08:00

这届程序员连环境都懒得配了吗再不济你跑个自动脚本不行吗

yiyezhihan

2020-08-23 20:04:22 +08:00

@SunnyLyx 是的
@xiri 对

@alexkkaa 对很多小企业来说，他们没有这种能力只能使用类似宝塔的面板。

pcbl

2020-08-23 20:09:57 +08:00

漏洞归漏洞该用还得用。。。

Foxkeh

2020-08-23 20:17:23 +08:00

我们公司政策都不允许用种 Web 控制台...

love

2020-08-23 20:25:19 +08:00

有更方便的命令行不用，纯粹是 win 带来的恶习

Felldeadbird

2020-08-23 20:27:02 +08:00

基础软件暴露严重漏洞，楼主是不是也不用？

是软件就有漏洞，使用时就要承担这个风险呀。

类似宝塔这种管理平台，对于普通用户，直接推荐他们用就好了，省事。

而对于有开发团队的企业，肯定不能选择这种平台。公司安全，运维不是白请的。

zachlhb

2020-08-23 20:40:21 +08:00

为啥我没试出这个漏洞，我访问是 404

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/700753

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.