【漏洞公告】LuManager SQL 注入漏洞

漏洞描述

LuManager 是一款流行的基于 FreeBSD、Debian、Centos、Ubuntu 等 Linux/Unix 系统的网站服务器管理软件。

LuManager 存在 SQL 注入漏洞，该漏洞影响 LuManager 2.1.1 以下的所有版本。攻击者可直接以最高权限登录后台，上传 Webshell，控制系统数据库并操作虚拟主机。

修复方案

• 在线升级 LuManager。使用 LuManager2.0.45 以上版本的用户，可以登录 LuManager 在线升级。

  1. 登录 LuManager。
  2. 在 LuManager 首页，点击 检查更新。
  3. 如果您没有启动保护密码，请输入后重试。

• 手动升级 LuManager。操作步骤如下：

  1. 下载 LuManager_last.tar.gz 安装包：

     wget http://down.zijidelu.org/LuManager_last.tar.gz

  2. 备份之前的 LuManager：

     mv /usr/local/LuManager /usr/local/LuManager.bak

  3. 解压 LuManager_last.tar.gz：

     tar -zxvf LuManager_last.tar.gz

  4. 安装新的 LuManager：

     mv LuManager /usr/local/

  5. 执行 lu-repair 命令，完成升级。