Synology NAS 網站維運(1080705)

Synology NAS Server 系統更新:

版本: 6.2.2-24922-2


(2019-07-04)

注意事項

  1. 此更新預計在數天內發佈至所有地區,但各地區的實際發佈時間可能略有不同。
  2. 此更新將會重新啟動您的 Synology NAS。
  3. 因應新的 Gmail API,若要繼續以 Gmail 寄送事件通知,DSM 需更新至此版本。若您希望略過此次更新,或您的 Synology 產品機種不支援更新至 DSM 6.2,請參閱下列文章來進行手動設定:如何使用 Gmail SMTP 伺服器發送 DSM 電子郵件

問題修正

  1. 優化 RAID 6 的修復機制。
  2. 加強 Btrfs 檔案系統的穩定性。
  3. 加強自動清理資源回收桶的排程任務效能。
  4. 調整用 Gmail 寄送事件通知的認證機制以符合新的 Gmail API。
  5. 修正公開分享連結功能可能無法正常運作的問題。
  6. 修正數項有關故障的 NVMe SSD 可能會造成的問題,例如系統無法開機等。
  7. 修正 Google Chrome 可能會自動填入帳號、密碼於錯誤欄位中的問題。
  8. 修正在特定情況下,加密共用資料夾可能會無法存取的問題。
  9. 修正系統開機後,加密共用資料夾可能無法正常掛載的問題。
  10. 修正在 Synology NAS 重新開機或設定 Synology High Availability 之後,以 Directory Server for Windows Domain 所架設的網域服務可能無法正常運作的問題。

版本: 6.2.2-24922-1


(2019-06-11)

問題修正

  1. 修正控制台與通知可能無法顯示有 DSM 版本更新的問題。
  2. 修正網域使用者可能無法在登入 DSM 時修改密碼的問題。
  3. 修正將 DSM 加入 LDAP 伺服器可能失敗的問題。
  4. 修正啟用轉換 Mac 特殊字元的功能後,存取含有特殊字元的路徑可能會導致權限錯誤的問題。
  5. 修正因套件中心重設檔案權限而導致部份套件功能失效的問題。
  6. 加強 Btrfs 檔案系統在特定高 I/O 負載環境下的穩定性。
  7. 修正重新啟動後,不斷電系統功能有極小的機會可能被停用的問題。
  8. 修正在網路不穩時,File Station 透過 CIFS 重新連線可能失敗的問題。
  9. 修改系統日期與時間格式設定的預設選項分別為 YYYY-MM-dd 與 HH:mm。
  10. 修正有關 Samba 的安全性弱點 (Synology-SA-19:23)。
  11. 修正有關 libxslt 的安全性弱點 (CVE-2019-11068)。

【漏洞預警】Firefox瀏覽器存在安全漏洞(CVE-2019-11707),允許攻擊者遠端執行任意程式碼

教育機構ANA通報平台

發佈編號 TACERT-ANA-2019062101063636 發佈時間 2019-06-21 13:31:38
事故類型 ANA-漏洞預警 發現時間 2019-06-19 00:00:00
影響等級
[主旨說明:]

【漏洞預警】Firefox瀏覽器存在安全漏洞(CVE-2019-11707),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新

[內容說明:]

轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201906-0140

Google Project Zero研究人員發現Firefox瀏覽器使用Array.pop函數處理JavaScript物件時,可能引發類型混淆(Type confusion)的安全漏洞(CVE-2019-11707),攻擊者可透過誘騙受害者點擊惡意連結,進而造成遠端執行任意程式碼。

[影響平台:]

Firefox 67.0.3以前版本

Firefox ESR 60.7.1以前版本

[建議措施:]

1.請確認瀏覽器版本,點擊瀏覽器選單按鈕,點選「說明」–>「關於Firefox」,可查看當前使用的Mozilla Firefox瀏覽器是否為受影響之版本。

2.更新方式如下:

(1)開啟瀏覽器,點擊選單按鈕,點選「說明」–>「關於Firefox」,瀏覽器將執行版本檢查與更新。

(2)點擊「重新啟動以更新Firefox」完成更新。

3.保持良好使用習慣,請勿點擊來路不明的網址連結。

[參考資料:]

1. https://www.mozilla.org/en-US/security/advisories/mfsa2019-18/

2. https://thehackernews.com/2019/06/mozilla-firefox-patch-update.html

3. https://www.tenable.com/blog/cve-2019-11707-critical-type-confusion-zero-day-in-mozilla-firefox-exploited-in-the-wild

4. https://www.jpcert.or.jp/at/2019/at190027.html

【漏洞預警】Oracle WebLogic伺服器存在安全漏洞(CVE-2019-2725與CVE-2019-2729),允許攻擊者遠端執行任意程式碼

教育機構ANA通報平台

發佈編號 TACERT-ANA-2019062101061313 發佈時間 2019-06-21 13:20:14
事故類型 ANA-漏洞預警 發現時間 2019-06-20 00:00:00
影響等級
[主旨說明:]

【漏洞預警】Oracle WebLogic伺服器存在安全漏洞(CVE-2019-2725與CVE-2019-2729),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新

[內容說明:]

轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201906-0177

Oracle WebLogic伺服器是由Oracle公司開發的Java EE應用程式伺服器。

研究人員發現Oracle WebLogic伺服器存在兩個反序列化安全漏洞(CVE-2019-2725與CVE-2019-2729),導致未經授權的遠端攻擊者可透過發送惡意請求,利用漏洞進而執行任意程式碼。

[影響平台:]

CVE-2019-2725: Oracle WebLogic伺服器10.3.6.0.0與12.1.3.0.0版本

CVE-2019-2729: Oracle WebLogic伺服器10.3.6.0.0、12.1.3.0.0及12.2.1.3.0版本

[建議措施:]

目前Oracle官方已針對弱點釋出修復版本,請各機關聯絡設備維護廠商進行版本確認與更新,官方公告連結如下:

  1. https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html
  2. https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html
[參考資料:]

  1. https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html&
  2. https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html
  3. https://blogs.oracle.com/security/security-alert-cve-2019-2729-released
  4. https://threatpost.com/oracle-warns-of-new-actively-exploited-weblogic-flaw/145829/
  5. https://www.cisecurity.org/advisory/a-vulnerability-in->oracle-weblogic-could-allow-for-remote-code-execution_2019-068/
  6. https://medium.com/@knownsec404team/knownsec-404-team-alert-again-cve-2019-2725-patch-bypassed-32a6a7b7ca15?>postPublishedType=repub

教研中心研習:新北市政府教育局虛擬機房使用及管理(1080625)

日期:108年6月25日(二)

地點:教研中心

主題:新北市政府教育局虛擬機房使用及管理

公文:

教學講義與資源:

虛擬機房:

校園無障礙網站(黑快馬):

網管資源:

【漏洞預警】微軟Windows遠端桌面服務存在安全漏洞(CVE-2019-0708),允許攻擊者遠端執行任意程式碼

教育機構ANA通報平台

發佈編號 TACERT-ANA-2019051502053333 發佈時間 2019-05-15 14:30:35
事故類型 ANA-漏洞預警 發現時間 2019-05-15 00:00:00
影響等級
[主旨說明:]

【漏洞預警】微軟Windows遠端桌面服務存在安全漏洞(CVE-2019-0708),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新。

[內容說明:]

轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201905-0199 微軟Windows遠端桌面服務(Remote Desktop Services),在Windows Server 2008前之作業系統中稱為終端服務(Terminal Services),該服務允許使用者透過網路連線進行遠端操作電腦。研究人員發現遠端桌面服務存在安全漏洞(CVE-2019-0708),遠端攻擊者可對目標系統之遠端桌面服務發送特製請求,利用此漏洞進而遠端執行任意程式碼。 此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發

[影響平台:]

Windows XP

Windows 7

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

[建議措施:]

目前微軟官方已針對此弱點釋出更新程式,請儘速進行更新:

  1. Windows XP與Windows Server 2003作業系統雖已停止支援安全性更新,但微軟仍針對此漏洞釋出更新程式,請至下列連結進行更新:https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708
  2. 作業系統如為Windows 7、Windows Server 2008及Windows Server 2008 R2,請至下列連結進行更新:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
[參考資料:]

  1. https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
  2. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708