宝塔7.4.2出现数据库漏洞请朋友们赶紧修复

　　周末大家都休息或出去玩了，这时却容易出事情，比如数据库被攻击，这不8.23晚，很多宝塔用户反映数据库出问题了，官方团队也紧急发布安全更新。据了解，此次更新是为了修复phpmyadmin未鉴权可通过特定地址直接登录数据库的严重bug，这个主要是宝塔7.4.2版本，请朋友们赶紧修复

　　以下是不幸的网友贴出的phpmyadmin数据库截图，告诫大家经常做好备份，特别是在周末前一定要备份

 

 　　升级方法：可以直接在宝塔面板右上角点击更新，或者可以用下面的SSH命令行

?

1	curl https://download.bt.cn/install/update_panel.sh|bash

　　如果不行，试试下面的代码

?

1	wget -O update.sh http://download.bt.cn/install/update.sh && sh update.sh

　　以下是宝塔官方的解释

宝塔面板PMA安全风险事件经过

起因：

为解决用户服务器被通过phpmyadmin提权导致的安全问题，
我们在Linux面板7.4.2/Windows面板6.8.0 版本中加入了phpmyadmin安全访问模块，
原理是通过面板进行访问phpmyadmin，而不是nginx/apache，
但因在目录存放时存在一个致命逻辑漏洞，导致nginx/apache也可以访问到专门给面板使用的phpmyadmin目录，
我们在做安全审计时将重心放在面板程序中，忽略了除面板外被访问的可能，从而导致了此事件的发生.

受影响的机器：
需同时满足以下所有条件
1、软件版本为Linux面板7.4.2 或者Windows面板6.8.0
2、开放888且未配置http认证，
3、安装了phpmyadmin，mysql数据库
4、至少通过面板管理链接进入过phpmyadmin一次

不受影响的机器：
只需满足一条则不受影响
1、未开放888端口，
2、针对888端口做了严格的安全认证，
3、未安装phpmyadmin，
4、未安装mysql数据库
5、面板版本不为Linux面板7.4.2/Windows面板6.8.0

安全更新时间及内容：
时间：2020-8-23 16:50左右
1、移除phpmyadmin安全模块
2、删除phpmyadmin遗留文件
3、移除fastcgi客户端模块中的目录解释功能

当前最新的安全版本为：
Linux面板7.4.3 / Windows面板6.9.0