公告 | Asia University OICT, Taiwan 亞洲大學資訊發展處

2023-09-23 最新消息

【資訊處-轉知】(ANA事件單通知:TACERT-ANA-2023092004095151)(【漏洞預警】Fortinet 發布多個產品的安全公告，建議請管理者儘速評估更新！)

Fortinet 近日發布更新，以解決多個產品的安全性弱點。

2023-09-16 最新消息

【資訊處-轉知】(ANA事件單通知:TACERT-ANA-2023091404090909)(【漏洞預警】WinRAR存在安全漏洞(CVE-2023-38831)，允許攻擊者遠端執行任意程式碼，該漏洞目前已遭駭客利用，請儘速確認並進行更新或評估採取緩解措施)

研究人員發現WinRAR存在安全漏洞(CVE-2023-38831)，由於ZIP文件處理過程不當，攻擊者可製作惡意ZIP或RAR壓縮檔，內容包含正常檔案與存有惡意執行檔之同名資料夾，當受駭者遭誘騙開啟正常檔案時，同名資料夾內之惡意執行檔將會觸發執行，進而遠端執行任意程式碼，相關研究表示該漏洞在本年4月已遭駭客利用。

2023-08-25 最新消息

【資訊處-轉知】 (ANA事件單通知:TACERT-ANA-2023082411080707)(【漏洞預警】RARLAB 已發布安全更新，以解決 WinRAR 的弱點，建議請使用者儘速評估更新！)

安全網站近期發出公告，在WinRAR中發現高危險弱點，此弱點允許遠端攻擊者在受影響的WinRAR上執行任意程式碼。攻擊者可能利用部份弱點來控制受影響的系統。

2023-08-18 最新消息

【資訊處-轉知】(ANA事件單通知:TACERT-ANA-2023081811085959)(【漏洞預警】Google Chrome、Microsoft Edge、Brave及Opera等瀏覽器存在多個安全漏洞(CVE-2023-4068至CVE-2023-4078及其他6個已修正但未公布之漏洞)，允許攻擊者遠端執行任意讀寫或是利用堆疊毀損進行攻擊，請儘速確認並進行更新)

研究人員發現Google Chrome、Microsoft Edge、Brave及Opera等以Chromium為基礎之瀏覽器，存在多個安全漏洞。

2023-08-17 最新消息

【資訊處-轉知】 (ANA事件單通知:TACERT-ANA-2023081501082222)(【漏洞預警】Fortinet 近日發布 FortiOS 的安全性更新，建議請管理者儘速評估更新！)

FortiOS 中基於堆疊的緩衝區溢位漏洞，可能允許特權攻擊者透過精心製作的 CLI 命令執行任意程式碼，前提是該攻擊者能夠規避 FortiOS 的堆疊保護機制。

2023-08-09 最新消息

【資訊處-轉知】(ANA事件單通知:TACERT-ANA-2023080901083939)(【漏洞預警】OpenSSH存在高風險安全漏洞(CVE-2023-38408)，允許攻擊者遠端執行任意程式碼，請儘速確認並進行更新或評估採取緩解措施！)

研究人員發現OpenSSH之金鑰暫存元件ssh-agent存在不帶引號搜尋路徑(Unquoted Search Path)漏洞(CVE-2023-38408)，允許攻擊者透過SSH金鑰轉發機制，利用此漏洞達到遠端執行任意程式碼。

2023-07-24 最新消息

【資訊處-轉知】(ANA事件單通知:TACERT-ANA-2023071910070303)(【漏洞預警】Juniper 產品 Junos OS 系列中的J-Web存在安全性弱點，建議請管理者儘速評估更新！)

Juniper 近日發布更新，以解決 Junos OS J-Web 所附帶的PHP軟體安全性弱點。

2023-07-11 最新消息

【資訊處-轉知】(ANA事件單通知:TACERT-ANA-2023071110071010)(【資安訊息】請加強檢視各學校相關假冒FB帳號)

轉教育部通知，本部發現近期有疑似偽冒學校名稱開立FB帳號，為大陸宣傳不利台灣之訊息，有明顯的政治操作意圖，請各單位加強自行檢查是否存在類似情況，避免遭受利用損及學校名譽等相關情事發生。

2023-06-30 最新消息

【資訊處-轉知】 (ANA事件單通知:TACERT-ANA-2023063008064747)(【漏洞預警】Barracuda電子郵件安全閘道器(Email Security Gateway，ESG)存在高風險安全漏洞(CVE-2023-2868)，允許攻擊者於未經身分鑑別之情況下，遠端執行任意程式碼，該漏洞目前已遭駭客利用，請儘速確認並進行更新或評估採取緩解措施。)

研究人員發現Barracuda ESG存在遠端命令注入(Remote Command Injection)漏洞(CVE-2023-2868)，源自於對使用者提供的.tar檔案未有適當之輸入驗證(Improper input validation)，該漏洞在去(2022)年10月已遭駭客利用，攻擊者可於未經身分鑑別之情況下，藉由寄送偽造附件之電子郵件觸發此漏洞，進而遠端執行任意程式碼。

2023-06-28 最新消息

【資訊處-轉知】(ANA事件單通知:TACERT-ANA-2023062703062828)(【資安訊息】數聯資安分享近期MDR發現相關IOC情資)

數聯資安分享2023/06/26 MDR發現IOC情資