linux漏洞在哪发布,宝塔Linux正式版7.4.2紧急发布安全漏洞更新提醒 漏洞危害情况堪忧...

最新推荐文章于 2024-05-04 08:33:42 发布
最新推荐文章于 2024-05-04 08:33:42 发布
阅读量157 收藏
点赞数
文章标签: linux漏洞在哪发布

2020年8月23日下午,

宝塔Linux正式版7.4.3更新日期:2020/08/23

紧急修正一处安全风险,建议7.4.2版本的用户立即更新

漏洞演示

公告截图

98481df027d9d3283483ab3f6c3dd1a7.gif

短信截图

首先宝塔通过及时通知用户更新,这种负责任的态度是值得肯定的。

其次,这次漏洞的危害程度确实非常高。

漏洞情况

经过整理了解到,本次漏洞可以通过批量扫888端口(宝塔默认端口),然后通过PMA的默认URL,Post  SQL命令即可完成执行。

即: 无鉴权通过特定地址直接进PMA管理数据库。

98481df027d9d3283483ab3f6c3dd1a7.gif

漏洞利用情况

该漏洞可轻易复现,并且值得注意的是,这个超高危漏洞,也就是7.4.2版本更新时间已经将近一个月。

所以,可以肯定的是,目前只是爆发出来,截至爆发时间前的一个月,很多网站可能已经被入侵并通过SQL完成了提权。

最重要的是,现在往回排查,工作量大,而且很容易遗漏。

排除方法:/www/wwwlog下面的access.log,查看nginx的888端口访问记录即可初步判断。

此时此刻,通过观察,很大程度上是打不开宝塔官方官网的,这很可能是一些不法人员正通过攻击宝塔官网及更新节点让网络堵塞,让用户无法完成更新,利用这个间隙,大批量扫描并入侵提权网站服务器。

更新方式

curl https://download.bt.cn/install/update_panel.sh|bash

1

curlhttps://download.bt.cn/install/update_panel.sh|bash

离线更新

2、将升级包上传到服务器中的/root目录

3、解压文件:unzip LinuxPanel-7.4.3.zip

4、切换到升级包目录: cd panel

5、执行升级脚本:bash update.sh

6、删除升级包:cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel

林发谦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【权限提升】Linux Kernel 权限提升漏洞 (CVE-2023-32233)
做自己喜欢的事,并将其发挥到极致!
05-23 1924
Linux Netfilter是一个在 Linux 内核中的网络数据包处理框架,它可以通过各种规则和过滤器,基于数据包的来源、目标地址、协议类型、端口号等信息,控制网络流量和数据包的转发和处理,是 Linux 系统网络安全性和可靠性的重要组成部分。Linux内核的Netfilter子系统在处理批量请求更新nf_tables 配置信息时,由于处理匿名集的逻辑存在缺陷,存在释放重利用(UAF) 漏洞。利用该漏洞可对内核内存的任意读写,具有CAP_NET_ADMIN权限的本地用户可利用该漏洞提升至ROOT权限
【权限提升】Linux Sudo权限提升漏洞(CVE-2023-22809)
做自己喜欢的事,并将其发挥到极致!
04-05 8123
sudo 允许系统管理员将权限委托给某些用户(或用户组),能够以ROOT用户或其他用户身份运行部分(或全部)命令。由于Sudo中的sudoedit对处理用户提供的环境变量(如SUDO_EDITOR、VISUAL和EDITOR)中传递的额外参数存在缺陷。当用户指定的编辑器包含绕过sudoers策略的 " –" 参数时,拥有sudoedit访问权限的本地攻击者可通过将任意条目附加到要处理的文件列表中,最终在目标系统上实现权限提升。
2024年最新kali-linux 网络漏洞扫描工具安装-gvm(openvas)_kali安装gvm,两年Linux运维开发经验
最新发布
code8889的博客
05-04 1239
本书第﹖以最新的Ubuntu 12.04为本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。它的功能包括非认证测试、认证测试、各种高水平和低水平的互联网和工业协议、大规模扫描的性能调整和一个强大的内部编程语言来实现任何类型的漏洞测试。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。,让你面试不慌心不跳,高薪offer怀里抱!
Linux漏洞公告 | Linux内核漏洞CVE-2020-14386安全更新
shanxun1012的专栏
05-05 343
升级-Centos Yum Security Update只更新安全补丁//只安装最安全安全更新,忽略所有可能包含不安全新功能的包。
CVE-2021-3560 Linux Polkit 权限提升漏洞
做自己喜欢的事,并将其发挥到极致!
11-10 1554
Polkit是默认安装在很多Linux发行上的系统服务,它由systemd使用,因此任何使用systemd的Linux发行也使用Polkit。CVE-2021-3560漏洞存在于系统服务Polkit中,同时因为Polkit被Systemd所调用,因此所有默认安装了systemd的Linux发行都会使用Polkit。该漏洞的成因是执行dbus-send命令后在认证完成前强制终止引发错误。而Polkit未正确处理错误而导致允许无特权的用户添加一个sudo用户进行权限提升。
【已复现】Linux Kernel 本地权限提升漏洞(CVE-2022-2602)安全风险通告
smellycat000的专栏
12-23 1929
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。安全通告近日,奇安信CERT监测到 Linux Kernel 本地权限提升漏洞Linux Kernel的io_uring 子系统中存在释放后重用漏洞,拥有低权限的本地攻击者可以利用该漏洞将权限提升到ROOT权限。目前该漏洞PoC已公开在互联网上,鉴于该漏洞影响范围极大,建议客户尽快做好自查及防护。漏洞名称Linux Kern...
elasticsearch-7.4.2-linux-x86_64.tar.gz
06-30
这个"elasticsearch-7.4.2-linux-x86_64.tar.gz"是针对Linux平台的64位系统设计的Elasticsearch 7.4.2本的压缩包。它特别指出适用于JDK 1.8,这意味着在运行前,你需要确保你的系统已经安装了Java Development Kit...
npp.7.4.2.Installer.zip
11-15
npp.7.4.2.Installer.zip
window本 elaticsearch7.4.2+kibana+ik分词本.zip
04-08
window本 elaticsearch7.4.2、kibana7.4.2、elasticsearch-analysis-ik-7.4.2,es全文检索整套资源
logstash-7.4.2.zip
11-21
"elk7.4.2 日志收集工具" 表明这是一个完整的ELK堆栈,专门用于日志管理,而"官网最新"确认了这是官方发布且最新的本,意味着它包含了最新的功能和安全更新。"小伙伴来啊!!!!!!!" 可能是一种鼓励用户尝试...
Veritas Access 本说明__Linux 7.4.2-77.pdf
08-10
Veritas Access 本说明 Linux 7.4.2-77.pdf Veritas Access 是一个数据管理和保护解决方案,旨在帮助用户保护和管理其数字资产。该解决方案提供了多种功能,包括数据备份、恢复、存档和保护等。 本说明 ...
宝塔linux提权,宝塔windows面板提权获取系统管理员权限方法!(非漏洞BUG) | 甄选网...
weixin_42318708的博客
05-16 572
前不久铁网维提到过宝塔linux面板获取root权限的方法,这次我们来谈谈宝塔windows面板如何提权拿管理员权限。2017/05/24更新宝塔linux面板获取root权限参考链接:http://www.tieww.com/2017/03/26/474.html使用过宝塔管理面板的朋友都知道,宝塔面板的文件管理是可以访问各个硬盘目录有,并能修改删除上传,这对整个服务器安全来说是相当危险的。该方...
宝塔漏洞 XSS窃取宝塔面板管理员漏洞 高危
weixin_34161083的博客
11-12 3269
宝塔是近几年刚崛起的一款服务器面板,深受各大站长的喜欢,windows2003 windows2008windosws 2012系统,linux centos deepin debian fedora系统都可以使用宝塔的面板来管理服务器,宝塔可以一键部署网站的环境,IIS环境搭建,Nginx环境,PHP环境搭建,apache jsp环境,mysql数据库...
centOS7.4中Wget高危漏洞 CVE-2017-13090 高危、CVE-2017-13089 高危
ky1in93的博客
04-27 3334
简介:GNU Wget是GNU计划开发的一套用于在网络上进行下载的自由软件,它支持通过HTTP、HTTPS以及FTP这三个最常见的TCP/IP协议下载。 GNU Wget 1.19.2之前的本中存在缓冲区溢出漏洞。远程攻击者可利用该漏洞在受影响的应用程序上下文中执行任意代码或造成拒绝服务。 解决方案:请直接在漏洞处理页面,选择对应服务器和漏洞,生成修复命令后,登录到服务器上运行即可。使用命令:...
漏洞复现】Linux sudo权限提升漏洞 (CVE-2021-3156)
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-22 764
2021年1月26日,Linux安全工具sudo被发现严重的基于堆缓冲区溢出漏洞。利用这一漏洞,攻击者无需知道用户密码,一样可以获得root权限,并且是在默认配置下。此漏洞已分配为CVE-2021-3156,危险等级评分为7分。当sudo通过-s或-i命令行选项在shell模式下运行命令时,它将在命令参数中使用反斜杠转义特殊字符。但使用-s或-i标志运行sudoedit时,实际上并未进行转义,从而可能导致缓冲区溢出。
linux漏洞,「漏洞通告」Linux Kernel 信息泄漏&权限提升漏洞(CVE-2020-8835)
weixin_42337065的博客
05-17 568
阅读:1,374一、漏洞概述3月31日,选手Manfred Paul在Pwn2Own比赛上用于演示Linux内核权限提升的漏洞被CVE收录,漏洞编号为CVE-2020-8835。此漏洞由于bpf验证系统在Linux内核中没有正确计算某些操作的寄存器限制,导致本地攻击者可以利用此缺陷越界读取机密信息(内核内存)或将用户提升为管理权限。请相关用户采取措施进行防护。参考链接:二、影响范围LinuxKe...
Linux漏洞攻击实验
weixin_40754097的博客
05-21 5037
漏洞攻击实验 第一步 配置环境 攻击系统:VMware、Kali-linux Kali 是一个基于 Debian 的 Linux 发行,面向专业的渗透测试和安全审计,言下之意就是它自带漏洞攻击的工具,可以用来做入侵测试。 靶机:Virtual box、Metasploitable-linux Metasploitable是故意设计用于测试安全工具的并展示常见易受攻击的漏洞linux系统。言下之...
CVE-2022-0847Linux内核提权漏洞
qq_49091880的博客
04-12 4494
步骤有点简略,各位师傅见谅
Samba远程代码执行漏洞复现-CVE-2017-7494
weixin_48128812的博客
12-02 2847
一、概述 Samba是在Linux和UNIX系统上实现SMB协议的一个软件。2017年5月24日Samba发布了4.6.4本,中间修复了一个严重的远程代码执行漏洞漏洞编号CVE-2017-7494,漏洞影响了Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有本。 二、漏洞影响本 Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有本。 三、漏洞利用条件 1、服务器打开了文件/打印机共享端口445 2、共享文件拥有访问以及写入权限 3、攻击者知道
cordova could not resolve com.android.tools.build:gradle:7.4.2.
01-06
在使用Cordova构建Android项目时,Gradle插件的本必须与Cordova支持的本相匹配。要解决此问题,你可以尝试以下几种方法: 1. 确保你的Cordova本与最新的Android Gradle插件本兼容。你可以通过查阅Cordova...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值