【漏洞預警】Apache HTTP伺服器存在安全漏洞(CVE-2021-44224與44790),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新

Saturday December 25th, 2021

[主旨說明:]Apache HTTP伺服器存在安全漏洞(CVE-2021-44224與44790),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新 [內容說明:]轉發 國家資安資訊分享與分析中心 NISAC-ANA-202112-1095 研究人員發現Apache HTTP伺服器存在安全漏洞(CVE-2021-44224與44790),攻擊者可藉由發送特製請求,觸發緩衝區溢位漏洞,進而遠端執行任意程式碼。 [影響平台:]CVE-2021-44224: Apache HTTP Server 2.4.7至2.4.51(含)版本  CVE-2021-44790:Apache HTTP Server 2.4.51(含)以前版本 [建議措施:]目前Apache HTTP Server官方已針對此漏洞釋出更新程式(更新版為2.4.52),請各機關儘速聯絡設備維護廠商或參考以下網址進行更新: https://httpd.apache.org/security/vulnerabilities_24.html [參考資料:]1. https://httpd.apache.org/security/vulnerabilities_24.html2. https://nvd.nist.gov/vuln/detail/CVE-2021-442243. https://nvd.nist.gov/vuln/detail/CVE-2021-447904. https://www.cybersecurity-help.cz/vdb/SB2021122005

【漏洞預警】Apache Log4j存在更新修補程式後仍存在漏洞情況(新漏洞編號為CVE-2021-45046),允許攻擊者遠端執行任意程式碼或洩露資訊,請儘速確認並進行更新

Monday December 20th, 2021

[主旨說明:]Apache Log4j存在更新修補程式後仍存在漏洞情況(新漏洞編號為CVE-2021-45046),允許攻擊者遠端執行任意程式碼或洩露資訊,請儘速確認並進行更新 [內容說明:]轉發 國家資安資訊分享與分析中心 NISAC-ANA-202112-0801 Apache Log4j是一個Java日誌記錄工具,因官方證實前次漏洞(CVE-2021-44228)之修補程式(2.15.0版)未完整修補漏洞(此漏洞警訊為技服中心於12/13發布之NCCST-ANA-2021-0000612警訊),導致更新後之Log4j仍存在安全漏洞(新漏洞編號為CVE-2021-45046),攻擊者可藉由發送特製JNDI lookup訊息,利用漏洞進而遠端執行任意程式碼或洩露資訊 [影響平台:]Apache Log4j 2.0-beta9至215.0(含)版本,但不含2.12.2版本 [建議措施:]目前Apache Log4j官方網頁已針對此漏洞釋出更新程式,請各機關聯絡設備維護廠商進行版本確認並更新(Java 7使用者更新至Log4j 2.12.2版本,Java 8使用者更新至Log4j 2.16.0版本):https://logging.apache.org/log4j/2.x/security.html [參考資料:]1. https://logging.apache.org/log4j/2.x/security.html2. https://nvd.nist.gov/vuln/detail/CVE-2021-45046

【漏洞預警】Apache Log4j 2出現重大遠程代碼執行漏洞

Monday December 20th, 2021

[主旨說明:]【漏洞預警】Apache Log4j 2出現重大遠程代碼執行漏洞 [內容說明:]轉發  數聯資安(ISSDU)情資編號:ISSDU-ANA-202112-0002 由於許多知名的大型應用系統如推特、iCloud、Minecraft等都使用了Log4j,且這項漏洞極為容易被利用,已經出現攻擊行動的情況,被資安專家稱為近10年來最嚴重的漏洞。 Apache Log4j 2是基於Java的日誌框架,近日他們發布了新版本2.15.0,當中修補了一項遠端程式碼執行漏洞,用戶盡速升級最新版本。根據阿里雲安全團隊的說明,Apache Log4j2的某些功能存在遞迴解析功能,而攻擊者可直接構造惡意請求,觸發遠端程式碼執行漏洞,並指出Apache Struts2、Apache Solr、Apache Druid、Apache Flink都受影響。目前CVE漏洞編號CVE-2021-44228 [影響平台:]Apache Log4j 2.15.0 版本之前的任何版本 [建議措施:]此問題已在 Log4J v2.15.0 中修復。Apache 日誌服務團隊提供以下緩解建議:在以前的版本中,可以通過將系統屬性log4j2.formatMsgNoLookups設置為TRUE或從類路徑中刪除 JndiLookup 類來緩解這種行為如果無法升級,請確保在客戶端和服務器端組件上都將參數Dlog4j2.formatMsgNoLookups設置為TRUE。 目前已有資安設備廠商已釋出相關攻擊特徵,分別有以下列表,建議擁有這些資安設備,將該特徵設定為阻擋,以避免遭外部攻擊者成功入侵Checkpoint:Apache Log4j Remote Code Execution (CVE-2021-44228) Deep Security:Apache Log4j Remote [繼續閱讀]

110學年度 12月智財權線上有獎徵答抽獎活動

Thursday December 9th, 2021

為因應疫情影響,抽獎當日中獎者若無法到現場領獎,資訊中心將於12/23 (四) 下午5點前將以E-MAIL通知。 請中獎者於12/24(五) 早上9:00-12:00和14:00-17:00前至資訊中心櫃台來領取,未領取者將視同放棄。若想現場觀摩抽獎的同學仍歡迎共同參與。 注意事項 陽明校區:請至圖資大樓509進行領取。 台北校區:請至圖資中心4樓,找潘志瑋先生領取。 竹北校區:請至HK214室,找林主宏先生領取。 台南校區:請至奇美樓三樓台南分部管理處,找江明恩先生領取。承辦人:張鈺欣 聯絡電話:#52886 Email:yuhsin1021@nycu.edu.tw

110學年度校園網路智慧財產權有獎徵答

Wednesday December 1st, 2021

110 學年度校園網路智慧財產權有獎徵答 活動辦法▪ 活動目的:為宣導保護智慧財產權之觀念,資訊技術服務中心將舉辦「校園智慧財產權線上有獎徵答」活動。期透過實用的生活化題目與獎品獎勵,使全校學生都能具備保護智慧財產權之相關知識,並可落實於日常生活中。▪ 主辦單位:資訊技術服務中心▪ 活動對象:全校學生▪ 活動網址: https://iprcampaign.nycu.edu.tw/  ▪ 活動時間: 中華民國110 年12 月6 日AM 9:00 開始至110 年12 月15 日AM 09:00 止(為期10 天)。▪ 活動方式:▪ 從資訊中心建立之智慧財產權題庫中,由系統每次隨機抽選是非題40 題,提供全校學生於線上進行填答。全部答對者,即可參加抽獎活動。未全部答對者,亦可再次挑戰直到滿分以取得抽獎資格,每人只有一次抽獎機會。▪ 教職員同仁方可一同參與線上作答,以檢視對智慧財產權瞭解情況。▪ 抽獎方式:預計於中華民國 110 年 12 月 23 日(四)中午十二點於浩然國際會議廳舉辦公開抽獎,抽獎名單待作答時間結束後會另行公告通知。※注意事項:所有獎項需本人在場領獎,如唱名三次不在現場視同放棄資格,並重新抽取號碼球 ※注意事項: 陽明校區學生活動當天可至圖資大樓401 教室並視同在場參與。 台北校區學生活動當天可至圖資中心並視同在場參與。 竹北校區學生活動當天可至215 教室並視同在場參與。 台南校區學生活動當天可至奇美樓R211 教室並視同在場參與。 ▪ 活動獎品:1. 首獎1 名:GoPro HERO9 Black2. 二獎1 名:SONY WH–1000XM4 無線藍牙降噪耳機3. 三獎2 名:ECOVACS DEEBOT N8 掃地/除濕/拖地機器人4. 四獎5 名:HomePod mini5. 五獎26 名:7–ELEVEN 500 元商品卡6. 六獎25 名:ASUS ZenPower 行動電源7. 七獎30 名:7–ELEVEN 200 元商品卡▪ 注意事項:▪ 獎品以實物為準,中心保留更換獎項內容,取消或更該本活動辦法之權利。▪ 依中華民國稅法規定,當所得獎品市值為NT$20,000(含)以上時,得獎人須於繳交10%之機會中獎稅金,並提供憑證於主辦單位後,始得領取活動獎品。承辦人:張鈺欣 聯絡電話:#52886 Email:yuhsin1021@nycu.edu.tw