【漏洞預警】校園數位學習平台 WMP 智慧大師含有 Command Injection 漏洞

教育機構ANA通報平台

發佈編號 TACERT-ANA-2019060309060808 發佈時間 2019-06-03 09:59:09
事故類型 ANA-漏洞預警 發現時間 2019-05-30 00:00:00
影響等級
[主旨說明:]

【漏洞預警】校園數位學習平台 WMP 智慧大師含有 Command Injection 漏洞

[內容說明:]

轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201905-0007

本次通報的漏洞屬於Command Injection的高風險漏洞,如果管理者未在網站的輸入表單中過濾敏感字元,攻擊者則有可能透過這些進入點將指令傳送至伺服器端執行。以本次通報的漏洞而言,該漏洞可以上傳webshell,並取得主機管理者帳密、資料庫帳秘等機敏資訊,也可以執行未經授權的任意系統指令。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發

[影響平台:]

WMP 智慧大師

[建議措施:]

1. 確認貴單位是否使用此軟體,連絡廠商協助進行更新修補作業2. 修補該程式漏洞,對輸入欄位進行惡意字元過濾作業

[參考資料:]

蘆洲國中自造教育研習:空氣清淨機研討(1080604)

日期:108年6月4日(二)

時間:下午 1:00 – 4:00

地點:蘆洲區蘆洲國中仁愛樓2F科技中心教室

主題:空氣清淨機研討

類別:機電整合

講師:吳飛宏

公文:

課程內容:

現場實況錄影:

相關學習資源:

活動照片:

本校107學年度資通安全管理審查會議(1080603)

日期:108年6月3日(一)

時間:10:30 – 12:00

地點:會議室

主持人:賴森華校長

記錄:邱昭士 資訊組長

出列席人員:行政人員、各學年主任

討論事項:

  1. 檢視資安維護計畫實施情形及檢討資通安全政策。
  2. 有關資通安全維護計畫請於時限內完成並核章後繳交至上級機關備查。

活動照片:

工作報告:

教育部國民中小學資訊安全管理系統

  • 108年學校填報期限:108/04/08 ~ 108/07/26

檢視、討論與議決:

  • 本校「資通安全維護計畫」
  • 本校「資通安全維護計畫相關附件」
    1. 資通安全管理代表及推動小組成員分工表
    2. 資通安全保密同意書
    3. 資通安全需求申請單
    4. 資訊及資通系統資產清冊
    5. 風險評估表
    6. 風險類型暨風險對策參考表
    7. 資訊資產價值評定標準
    8. 風險事件發生可能性評定標準
    9. 管制區域人員進出登記表
    10. 委外廠商執行人員保密切結書、保密同意書
    11. 委外廠商查核項目表
    12. 資通安全認知宣導及教育訓練簽到表
    13. 資通安全維護計畫實施情形
    14. 審查結果及改善報告
    15. 改善績效追蹤報告

會議決議:

備註:本次會議結合本校六月份擴大行政會議合併召開。

 

 

 

 

資訊工作日誌(108年6月份)

資訊工作日誌】【上個月工作日誌】【行動學習學校工作日誌

6月28日(五):

  • 回收 L480 電腦 12 套、N4040G 電腦 1 套,系統重灌,庫存。
  • 一年7班導師張雁雲老師,借用 Zenbo 機器人 1 台,進行教學。
  • 下午,於演講廳舉行本校期末校務會議。

6月27日(四):

  • 至新北市教研中心支援新北市國中小校務行政系統維護服務。
  • 撰寫本校參與STEM+A課程導向數位自造教育扎根計畫,108學年度上學期課程計畫表及微課程計畫表,上網申請全班制式教具。
  • 梁家銘老師歸還一本 Linux 書、一本 Scratch 書和人因電視棒 1 台。
  • 歸還特教班 Sphero BOLT LED 光矩陣程式機器人 1 台。
  • 一年7班導師張雁雲老師,借用 Zenbo 機器人 1 台,進行教學。
  • 下午,指導五年級資優班學生程式教育。

6月26日(三):

6月25日(二):

6月24日(一):

  • 五年9班導師李宜靜老師繳回教師電腦 L480 1 套,系統重灌,更新至最新版,重做 1 支新 Clonezilla 映像檔。
  • 梁家銘歸還 L480 電腦 1 台。
  • 以最新 L480 Clonezilla 映像檔,重灌 2 台 L480 電腦。
  • 五年 2 班導師鄭佑津老師借用平板電腦及行動便利箱,教學用。
  • 詹莉萍老師歸還 A3-A30 平板電腦 1 台和外接式 DVD 1 台。
  • 下午,指導三年級資優班學生程式教育。

6月21日(五):

6月20日(四):

  • 至新北市教研中心支援新北市國中小校務行政系統維護服務。
  • 撰寫108學年度上學期中、高年級資優教育-程式設計課程計畫。
  • 下午,指導五年級資優班學生程式教育。

6月19日(三):

  • 送出本校108年度行動學習學校(經常門)採購單
    • mBot 2.4G教育套件組、Sphero BOLT LED 光矩陣程式機器人
  • 上新北市校務行政系統評本學期任教班級的資訊課成績及評語。
  • 撰寫108學年度上學期三、五年級資訊教育課程計畫。

6月18日(二):

6月17日(一):

  • 送出本校108年度行動學習學校資本門採購單
  • 送出本校108年度3-6月份行動學習學校(經常門)採購單
    • 出席費、講師費、助教費、雜支費
  • 下午,指導三年級資優班學生程式教育。

6月14日(五):

6月13日(四):

  • 本校第 45 屆畢業典禮。
  • 倪淑娟老師申請科辦教師用電腦 1 套。
  • 精彩工程師送回故障送廠維修的 cdtower 伺服器。(機器年代已久,已無料件可供維修。)
  • 資訊中心電腦 N4640G 系統更新,製作最新 Clonezilla 映像檔。
  • 下午,指導五年級資優班學生程式教育。

6月12日(三):

6月11日(二):

6月10日(一):

  • 107學年度畢業典禮儀式投影片、回憶影片做最後修正。
  • 【漏洞預警】京晨科技(NUUO Inc.)網路監控錄影系統存在安全漏洞
  • 上午10:30,於會議室召開畢業典禮工作人員會議。
  • 四年6班教師離職,教師電腦 L480 繳回,系統重灌,分配給新任老師。
  • 輔導處專輔老師電腦 L480 系統故障,系統重灌並更新。
  • 資訊中心電腦 N4640G 系統更新、優化。
  • 精彩工程師送來本校採購的 2 顆 NAS 硬碟,1 顆替換掉 NAS 上故障的硬碟,設為 Spare Drive,另外 1 顆備援用。
    • cdtower 伺服器故障送廠維修。
  • 下午,指導三年級資優班學生程式教育。

6月6日(四):

  • 至新北市教研中心支援新北市國中小校務行政系統維護服務。
  • 重新啟動並檢視電腦機房內昨夜關機的伺服器。
    • cdtower.bhes.ntpc.edu.tw 伺服器故障,初步檢視:Power 故障、主機板上的電容有5顆爆漿。
    • 已連繫廠商,下週一至校處理。
  • 下午,畢業典禮預演。
  • 下午,指導五年級資優班學生程式教育。

6月5日(三):

6月4日(二):

6月3 日(一):

  • 上午 10:30,於會議室召開本月份擴大行政會議暨本校資通安全管理審查會議
  • 合志工程師至校,拿來本校採購的外接式行動碟,但仍缺 Type C 轉 USB 3.0 轉接線。
  • 四年6班教室音源線被老鼠咬壞,更換 1 條。
  • Conventive NAS 7500 – SATA硬碟採購,向廠商下單。
  • 電腦機房內部溫度過高,伺服器風扇聲相當大,因內部僅開 1 部冷氣機,日間陽光強,溫度降不下來,已向總務處主任反應,盼日間陽光強時,可同時開 2 部冷氣機。(目前電腦機房內 2 部分離式冷氣機,24 小時輪替使用。)
  • 下午,指導三年級資優班學生程式教育。