WWWBoard远程管理口令泄露漏洞

BugCVE: CVE-1999-0954
BUGTRAQ: 649

wwwboard.pl是Matt Wright写的一个PERL脚本，用来处理Web留言板。默认安装的WWWBoard存在漏洞，远程攻击者可以窃取WWWBoard管理用户的加密口令。默认WWWBoard的管理用户名是
WebAdmin
，口令是
WebBoard
。

WWWBoard的口令文件
passwd.txt
默认存放在Web根目录下，即使WWWBoard的管理员修改了口令，远程攻击者也可以在下载离线后暴力破解口令文件。

2.0 Alpha 2
临时解决方法：

如果您不能立刻安装补丁或者升级，建议您采取以下措施以降低威胁：

• 修改perl变量
  $passwd_file
  ，指定口令文件在web目录以外。

• 如果你的服务器支持，你可以禁止用户下载
  passwd.txt
  文件。

Apache用户按照如下配置：

<Files passwd.txt>
deny from all
</Files>

厂商补丁：

Matt Wright

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

<a href=“http://worldwidemart.com/” target=“_blank”>http://worldwidemart.com/</a>