CVE-2023-3009
简介
TeamPass 是一个密码管理器,专门用于通过在团队成员之间共享密码来以协作方式管理密码,提供大量功能,允许根据为每个用户定义的访问权限以有组织的方式管理的密码和相关数据, 是一个开源免费使用的产品,根据 OpenSource GNU GPL-3.0 分发。
影响版本
Teampass<3.0.9
下载地址
https://github.com/nilsteampassnet/TeamPass/archive/refs/tags/3.0.8.zip
安装
PHP版本要求>7.4
下一步
安装环境需要linux,centos7换源,其实windows也可以安装
yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
yum-config-manager --enable remi-php74
yum install php php-cli php-fpm php-mysqlnd php-zip php-devel php-gd php-mcrypt php-mbstring php-curl php-xmlrpc php-xml
php -v
安装phpmyadmin
yum install phpmyadmin
- 配置phpMyAdmin:
vim /etc/httpd/conf.d/phpMyAdmin.conf
- 将以下行添加到文件中:
<Directory /usr/share/phpMyAdmin/>
AddDefaultCharset UTF-8
</Directory>
重启Apache:
systemctl restart httpd.service
根据apache版本修改phpadmin配置
vim /etc/httpd/conf.d/phpMyAdmin.conf
centos7开放防火墙80端口
firewall-cmd --zone=public --add-port=80/tcp --permanent
firewall-cmd --reload
update user set authentication_string=password('1qaz@WSX') where user='root';
安装ssl证书
mkdir -p /etc/ssl/localcerts
openssl req -new -x509 -days 365 -nodes -out /etc/ssl/localcerts/apache.pem -keyout /etc/ssl/localcerts/apache.key
chmod 600 /etc/ssl/localcerts/apache*
sudo ln -s /etc/httpd/conf.modules.d/10-a2enmod.conf /etc/httpd/conf.modules.d/00-base.conf
a2enmod ssl
环境问题,这里装证书时最麻烦的,ssl协议能走没问题。这里其实有相对来说更简单的安装方法
结合Docker
docker pull teampass/teampass //拉取镜像
wget https://github.com/nilsteampassnet/TeamPass/archive/refs/tags/3.0.8.zip //下载项目
unzipc TeamPass-3.0.8 //解压
mv TeamPass-3.0.8 teampass //改名
docker run -p 80:80 teampass/teampass
dcoker ps //查看docker容器id
docker cp ./teampass/ a4fb5937eaa8:/var/www/html/ //将文件复制到docker镜像中
以此方法安装也可以,该环境中时已经安装好了ssl证书的
准备工作做好之后就可以正常走安装流程了。
效果
目前在版本3.0.9中已修复
https://github.com/nilsteampassnet/teampass/commit/6ba8cf1f4b89d62a08d122d533ccf4cb4e26a4ee?diff=unified
可以看到在js中添加了过滤
在releases中无最新版本的源文件。
