WWWBoard远程管理口令泄露漏洞

2008-10-25T00:00:00
ID SSV:4301
Type seebug
Reporter Root
Modified 2008-10-25T00:00:00

Description

BugCVE: CVE-1999-0954 BUGTRAQ: 649

wwwboard.pl是Matt Wright写的一个PERL脚本,用来处理Web留言板。默认安装的WWWBoard存在漏洞,远程攻击者可以窃取WWWBoard管理用户的加密口令。默认WWWBoard的管理用户名是 WebAdmin ,口令是 WebBoard 。

WWWBoard的口令文件 passwd.txt 默认存放在Web根目录下,即使WWWBoard的管理员修改了口令,远程攻击者也可以在下载离线后暴力破解口令文件。

2.0 Alpha 2 临时解决方法:

如果您不能立刻安装补丁或者升级,建议您采取以下措施以降低威胁:

  • 修改perl变量 $passwd_file ,指定口令文件在web目录以外。

  • 如果你的服务器支持,你可以禁止用户下载 passwd.txt 文件。

Apache用户按照如下配置:

<Files passwd.txt> deny from all </Files>

厂商补丁:

Matt Wright


目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

<a href=http://worldwidemart.com/ target=_blank>http://worldwidemart.com/</a>