一、MariaDB 数据库更新
宝塔面板在安全性上做的很不错,尤其是近期Nginx版本漏洞,都能第一时间出版本更新。
但是对于数据库方面,Mysql 版本更新迭代速度很快,MariaDB相对滞后很多。
目前对于建站方面,MariaDB占有率与Mysql持平甚至超过了。
可以参考WordPress的官方统计:
Database versions in use
https://wordpress.org/about/stats/
测试中,MariaDB在Debian 12 是 10.11.10版本(2024-11-01),Debian 13 是 10.11.16(2026-02-04),现在官方最新版本是10.11.18,修复了几个高危漏洞,以下是更新总结:
一、 10.11.10 与 10.11.16 存在的安全隐患
旧版本必然存在已公开的未修复漏洞(CVE)。如果你的数据库直接暴露在公网,或者服务器内存在其他被攻破的风险,这些漏洞可能被利用。
在 10.11.18 中,官方紧急发布了针对 MariaDB Cluster (Galera 集群) 的严重安全更新。如果你的数据库开启了 Galera 集群模式,旧版本将面临极高的被入侵风险。即便你使用的是单机模式(宝塔默认多为单机),旧版本在过去几个小版本迭代中也遗留了一些可能导致提权或拒绝服务(DoS)的常规漏洞。
二、 10.11.18 相比旧版本修补了哪些重大漏洞?
MariaDB 10.11.18(于 2026 年 5 月底发布)主要是一个紧急安全修复版本,它和前置的 10.11.17 版本一起,解决了以下几个重大问题:
1. 致命的 Galera 集群安全漏洞(10.11.18 核心修复)
CVE-2026-49261 (CVSS 评分: 10.0 - 极度危险):这是一个允许任意代码执行的漏洞。拥有相应权限的用户,可以通过动态修改 wsrep_sst_donor 等系统变量,绕过参数清理,最终以 mariadbd(数据库后台进程)的系统级身份执行任意 Shell 操作系统命令。这意味着攻击者可以直接接管服务器。
CVE-2026-48165 (CVSS 评分: 8.0 - 高危):涉及 Joiner 节点在处理 wsrep_sst_receive_address 值时的不安全参数处理。
CVE-2026-48163 (CVSS 评分: 8.0 - 高危):涉及 Donor 节点(rsync)在状态快照传输(SST)过程中的不安全参数处理漏洞。
2. InnoDB 存储引擎的崩溃问题(10.11.17 修复)
Purge 线程崩溃(Race Condition):修复了在处理带有索引的虚拟列时,InnoDB 的 purge 工作线程会因为缓存对象冲突而导致数据库直接崩溃的严重 Bug。
ALTER TABLE 崩溃:修复了在使用 COPY 算法执行 ALTER IGNORE TABLE 时,后台线程与重命名/删除操作发生冲突导致的服务器崩溃问题。
3. 查询优化器与执行器漏洞(10.11.17 修复)
修复了当存储过程查询包含 CONCAT 或 GROUP_CONCAT 函数的视图时,查询优化器发生的崩溃。
修复了大量导致内存泄露或解析异常引发的服务挂起(Hang)问题。
希望官方也重视一下MariaDB 10.11版本的更新,让安全更上一层楼。
如果官方维护精力有限,也可以出个用户手动更新的教程,让用户自己更新。
二、面板集成的AI功能开关
AI功能虽然对运维提升了效率,但是对于注重隐私的人来说,不需要AI分析,很担心数据泄露,比如论坛上也有此类用户担心:
https://www.bt.cn/bbs/forum.php?mod=viewthread&tid=154708
希望面板可以以插件的形式集成AI,或者来一个一键开启AI功能开关(默认可以是开启),让用户自主选择。
总结:
一、MariaDB 数据库更新
希望官方也重视一下MariaDB 10.11版本的更新,让安全更上一层楼。
如果官方维护精力有限,也可以出个用户手动更新的教程,让用户自己更新。
二、面板集成的AI功能开关
希望面板可以以插件的形式集成AI,或者来一个一键开启AI功能开关(默认可以是开启),让用户自主选择。
希望官方考虑,谢谢。
|
|