漏洞描述
LuManager 是一款流行的基于 FreeBSD、Debian、Centos、Ubuntu 等 Linux/Unix 系统的网站服务器管理软件。
LuManager 存在 SQL 注入漏洞,该漏洞影响 LuManager 2.1.1 以下的所有版本。攻击者可直接以最高权限登录后台,上传 Webshell,控制系统数据库并操作虚拟主机。
修复方案
在线升级 LuManager。使用 LuManager2.0.45 以上版本的用户,可以登录 LuManager 在线升级。
- 登录 LuManager。
- 在 LuManager 首页,点击 检查更新。
- 如果您没有启动保护密码,请输入后重试。
手动升级 LuManager。操作步骤如下:
下载
LuManager_last.tar.gz
安装包:wget http://down.zijidelu.org/LuManager_last.tar.gz
备份之前的 LuManager:
mv /usr/local/LuManager /usr/local/LuManager.bak
解压
LuManager_last.tar.gz
:tar -zxvf LuManager_last.tar.gz
安装新的 LuManager:
mv LuManager /usr/local/
执行
lu-repair
命令,完成升级。