宝塔面板道歉:《抱歉,我们的锅》

2020年9月1日16:11:10 评论 1 1849字阅读6分9秒

宝塔面板道歉:《抱歉,我们的锅》

尊敬的用户:

抱歉,这次pma安全风险给您添麻烦了,是我们的锅。宝塔成立近4年,在成立之初我们就知道这个行业里安全是生命线,在2019年已经设立独立的安全部门,而且不断加大在安全方面的投入,同时这个季度也在做代码规范审查,却在这个时候爆出这种显得很低级错误的安全风险,一定是我们流程有纰漏,我们也在不断反思如何长效的解决这个问题,而不是捅一次篓子补一次漏。像这样的极端事件,无论对于用户还是我们,都是不能允许它再发生的。

从我们确认安全风险时,经过3个小时紧急修复,发布了对应修复的3个安全版本,同时确认这个安全风险已经暴露,属于特别紧急的情况,所以启用了所有能通知用户的渠道:官网置顶、论坛置顶、全员群发短信两次、QQ群多次群发、微信公众号群发、电话通知。以及还有阿里云腾讯云华为云等各大IDC厂商及各大安全公司也第一时间根据我们的公告发布安全预警及修复提醒,同时阿里云、腾讯云也在他们的安全产品中加入了一键检测漏洞风险。对于已经产生影响的用户,我们紧急成立应急运维小组,提供7x24小时QQ、电话、论坛运维协助用户处理问题。安全风险暴露当晚已经向东莞市公安机关报备,根据警方的指导意见由我们协助被黑客入侵的受害用户去报案。

这次pma安全风险出现的起因是我们想给用户解决通过pma爆破带来的安全问题,然后在Linux面板7.4.2/Windows面板6.8.0 版本中加入了phpmyadmin安全访问模块,原理是通过面板进行访问phpmyadmin,而不是nginx/apache,但因在目录存放时存在一个致命逻辑漏洞,导致nginx/apache也可以访问到专门给面板使用的phpmyadmin目录,我们在做安全审计时将重心放在面板程序中,忽略了除面板外被访问的可能,从而导致了此事件的发生。初心是为了帮用户解决安全还有提升使用体验,最终却给用户带来了极大的困扰,是我们的锅。我们暂停两周新功能开发工作,再一次全面对的所有面板代码和接口做安全审计。

我们内部也把这次安全风险爆发的日期“823”作为一个代号,做成警示牌贴在我们公司显眼的地方,以8月23日作为公司的安全日,同时每年在8月23日都要召集核心人员安全会议,让宝塔公司所有人员牢记这次事件带来的影响,时刻警惕,在服务器软件行业里安全就是生命线。对于内部人员处置,本次安全风险事件涉及人员包括我在内共4位,取消这4位人员的年终奖,同时还有一位运维人员用词不当,导致用户误解,也给予年终奖减半处理。因为我们工作疏忽给大家带来困扰,非常抱歉。

这次安全风险的应急处理需要特别感谢相关单位在第一时间对我们公司进行应急解决方案指导,感谢各大云厂商及安全公司及时发布安全预警提醒。也特别感恩那些在宝塔发生这种极端安全风险事件后还保持理解的用户,我们有愧于你们对我们的信任,你们还在我们艰难的时刻扶了我们一把,谢谢。

此次的逻辑漏洞导致的安全风险是我们团队的锅,也是属于极端事件,我相信我们的团队有决心也有实力不允许这样的极端事情再次发生,我们接受一切批评的声音,同时为了防范类似事件,我们做了以下整改。

整改方案:

1、联合补天(国内知名漏洞响应平台)发布【宝塔面板百万悬赏漏洞】专题,利用这个平台集合社会上的白帽子资源对宝塔面板软件进行有偿的挖洞测试,一个洞最高奖励10万元(税后)。首期100万专项资金已经筹备完毕,会与补天平台共同来执行,这笔专项资金能持续保障白帽子的积极性,后期随着公司壮大依然会不断加大投入漏洞悬赏的金额。

2、内部核心人员停止两周新功能开发,对现有代码和接口再做一次全面的代码审计。

3、联系第三方的安全团队,每发布一个大型版本,让第三方团队也做一次渗透测试。

4、强化测试版的作用,拉宽测试版和正式版的间隔周期,尽可能的让任何风险在测试版都暴露出来,保障正式版在生产环境的安全。

5、持续加大安全部门的投入,以面对自身安全需求以及更好的帮助用户防范使用其他软件带来的安全问题。

6、宝塔官方会整理出一系列的初级至中级免费的运维教程,帮助用户提升运维技术。

7、在面板内置安全审查功能,对于一些常见的未备份、权限、异常记录、端口暴露等风险进行警示及提供修复方案。

                                                                                                                                                                               2020年9月1日

宝塔面板全体职员敬上

消息来源:https://www.bt.cn/sorry.html

 

继续阅读
  • 本文由 发表于 2020年9月1日16:11:10
  • 除非特殊声明,本站文章均为原创,转载请务必保留本文链接