写文章
提问题
写文章
提问题
于8月4日上架的宝塔Linux/Windows服务器运维面板7.4.2发行版版本于8月23日当天集体暴雷,因面板新功能”安全访问数据库——通过面板“的鉴权漏洞问题导致此版本所有用户组的数据库暴露于公网,访客可以通过浏览器键入”http://IP/域名:888/pma“一键访问数据库,并对其数据库中内容进行删改,据悉多地政府网站及企业用户官网均位列受灾用户群体中,遭受不同程度的删改或脱库。该漏洞最早被利用时间可追溯至8月16日,一名年仅14岁的学生身上。对于此类BUG的产生,责任究竟在谁,免责声明在这个时候是否可以作为广州百塔公司对于付费/免费用户拒绝赔偿的凭据?
冯纪忠雄
平时不常用面板,刚看了一下宝塔面板,发现这几年经常被爆出有漏洞。怎么说呢?我觉得这款工具产品就是开发出来方便大家使用,但肯定是开发得很不严谨。一款好的软件产品要考虑的非正常因素是很多的,更何况涉及服务器管理的软件,对这方面的要求则是更高。所以,银行这类金融客户不会轻易使用小公司的产品也是有道理可言的。
我觉得宝塔面板爆出漏洞是一件合乎情理的事情,并没有太多的惊讶。我所惊讶的是另一个社会现象竟然如此之重:据悉多地政府网站及企业用户官网均位列受灾用户群体中。企业用户倒是可以理解,真不明白“政府网站”这类都要通过招标,动辄数百万,少则几十万的这种工程费用级别,还是这样的粗制滥造。其实我是明白的,政府招标做官网这类主要还是看公关能力,其中并非一个公平的竞争,讲白了里面的门道很多;我只是没有想到能粗制滥造到这个地步。无语中国对体制内的这些工程招标……没有希望的……
现实就是如此,to Government的商业模式就是这德性……
jerkzhang
“该漏洞最早被利用时间可追溯至8月16日,一名年仅14岁的学生身上。”
我忽然在深刻怀疑:这个14岁的学生就是Mystery本人;我有点佩服自己的推理能力了……