BugCVE: CVE-1999-0954
BUGTRAQ: 649
wwwboard.pl是Matt Wright写的一个PERL脚本,用来处理Web留言板。默认安装的WWWBoard存在漏洞,远程攻击者可以窃取WWWBoard管理用户的加密口令。默认WWWBoard的管理用户名是
WebAdmin
,口令是
WebBoard
。
WWWBoard的口令文件
passwd.txt
默认存放在Web根目录下,即使WWWBoard的管理员修改了口令,远程攻击者也可以在下载离线后暴力破解口令文件。
2.0 Alpha 2
临时解决方法:
如果您不能立刻安装补丁或者升级,建议您采取以下措施以降低威胁:
修改perl变量
$passwd_file
,指定口令文件在web目录以外。
如果你的服务器支持,你可以禁止用户下载
passwd.txt
文件。
Apache用户按照如下配置:
<Files passwd.txt>
deny from all
</Files>
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
<a href=“http://worldwidemart.com/” target=“_blank”>http://worldwidemart.com/</a>