|
行政院國家資通安全會報技術服務中心
漏洞/資安訊息警訊
發布編號 |
NCCST-ANA-2020-0050 |
發布時間 |
Fri May 22 10:32:23 CST 2020 |
事件類型 |
漏洞預警 |
發現時間 |
Thu May 21 00:00:00 CST 2020 |
警訊名稱 |
QNAP NAS設備存在安全漏洞(CVE-2019-7192、CVE-2019-7193、CVE-2019-7194及CVE-2019-7195),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新 |
內容說明 |
研究人員發現QNAP NAS設備使用之Photo Station應用程式,存在任意檔案讀取與程式碼注入等安全漏洞(CVE-2019-7192、CVE-2019-7193、CVE-2019-7194及CVE-2019-7195)。遠端攻擊者可對目標設備發送特製請求,利用此漏洞進而執行任意程式碼。 |
影響平台 |
啟用Photo Station應用程式之QNAP設備皆受此漏洞影響 |
影響等級 |
高 |
建議措施 |
目前QNAP官方已針對此漏洞釋出更新程式,請各機關聯絡設備維護廠商進行版本確認並將設備更新至以下版本:
QTS:
QTS 4.4.1:build 20190918(含)以後版本
QTS 4.3.6:build 20190919(含)以後版本
Photo Station:
QTS 4.4.1:Photo Station 6.0.3(含)以後版本
QTS 4.3.4 ~ QTS 4.4.0:Photo Station 5.7.10(含)以後版本
QTS 4.3.0 ~ QTS 4.3.3:Photo Station 5.4.9(含)以後版本
QTS 4.2.6:Photo Station 5.2.11(含)以後版本
官方公告連結如下:https://www.qnap.com/zh-tw/security-advisory/nas-201911-25 |
參考資料 |
1. https://www.qnap.com/zh-tw/security-advisory/nas-201911-25
2. https://www.ithome.com.tw/news/137748 |
|
此類通告發送對象為通報應變網站登記之資安人員。若貴 單位之資安人員有變更,可逕自登入通報應變網站(https://www.ncert.nat.gov.tw)進行修改。若您仍為貴單位之資安人員但非本事件之處理人員,請協助將此通告告知相關處理人員。
如果您對此通告的內容有疑問或有關於此事件的建議,請勿直接回覆此信件,請以下述聯絡資訊與我們連絡。
地 址: 台北市富陽街116號
聯絡電話: 02-27339922
傳真電話: 02-27331655
電子郵件信箱: service@nccst.nat.gov.tw |
日期:109年5月20日(三)
時間:下午 1:30-4:30
地點:碧華國小電腦教室
主題:數位學習工作坊(一):科技輔助自主學習-數位學習資源及平台
講師:國立台北教育大學劉遠楨教授
活動照片:
公文:
課程講義:
課程補充教材:
【上個月三重區資訊組長會議】
日期:109年5月19日(二)
地點:三重國小
公文:
工作報告:
新北市整合控制器
APPLE MDM 管理手冊資料:
Synology NAS Server 系統更新:
-
-
-
DSM 安裝版本:DSM 6.2.3-25426
-
DSM 版本日期:2020/05/13
-
-
版本: 6.2.3-25426
(2020-05-13)
注意事項
- 此更新預計在數週內發佈至所有地區,但各地區的實際發佈時間可能略有不同。若您欲提前更新至最新版,請前往下載中心並手動更新 DSM。
- 此更新修正下列在 6.2.3-25423 中發現的問題。
- 修正自動掛載加密共用資料夾可能會導致索引規則遺失並造成搜尋功能失效的問題。
- 修正裝有 NVMe 裝置的 Synology NAS 可能因更新 NVMe 裝置的健康狀態快取而從休眠中喚醒的問題。
- 此更新將會重新啟動您的 Synology NAS。
- 從 DSM 6.2.3 起,停止支援 Google 雲端列印功能。
- 為避免 iSCSI 服務中斷,若存在任何運作中的 iSCSI 工作階段,DSM 自動更新及關機電源排程可能無法如期執行。
- 因應 2020 年 7 月 1 日起,TWNIC (財團法人台灣網路資訊中心) 將停止接受 DSM 用戶新的註冊,DSM 6.2.3 的 DDNS 服務供應商清單已移除前述單位。既有的 TWNIC DDNS 服務仍可繼續使用及編輯,但若刪除將無法再加回 DSM。
- 因應 Adobe 將於 2020 年底終止支援 Flash Player,此為最後一個在特定機種上支援將影像轉檔為 .flv 及 MPEG-4 Part 2 格式的 DSM 主要版本 (6.2)。
- 特定機種:RS814、RS214、DS414、DS414slim、DS414j、DS216se、DS215j、DS214+、DS214、DS214se、DS213j、DS120j、DS119j、DS115、DS115j、DS114。
DSM 6.2.3 的新功能
- Thin Provisioning LUN 在儲存空間容量用罄時將受保護,用戶端將無法在 LUN 上寫入資料,但可讀取既有資料。
- 新增支援網域使用者透過檔案協定 (包含:SMB、AFP、FTP、WebDAV) 登入 DSM 時,可輸入使用者主體名稱 (UPN)。
- 新增支援在匯入本機使用者時可使用強制變更密碼的選項。
- 加強匯入使用者清單的相容性,並於匯入檔案含有語法錯誤時,提供更明確的錯誤訊息。
- 新增支援讓使用者自行選擇需要記錄的 SMB 傳輸事件,提供更符合需求的傳輸日誌。
- 新增支援用戶端使用者可透過 SMB 通訊協定來監控共用資料夾下子目錄的異動。
- 新增桌面通知的詳情查閱功能,幫助使用者即時處理事件。
- 新增支援 UDF 檔案系統的外接裝置。
- 新增支援可在 High Availability 叢集中使用 Open vSwitch 選項。
- 新增支援 IP 衝突偵測,在發生 IP 衝突時可記錄於日誌並發送事件通知。
- 新增支援 Synology DDNS 的 Let’s Encrypt 萬用字元憑證。
- 新增支援透過 HTTPS 連線時,若用戶端的 IP 位址發生變更,也不需再重新登入 DSM。
- ext4 儲存空間上的 Thick Provisioning LUN 新增支援硬體輔助鎖定。
- 新增支援可在 DSM 的登入頁面自訂頁尾資訊。
問題修正
- 修正部分城市可能沒有對應到正確時區的問題。
- 修正 LDAP 使用者無法收到密碼即將過期通知的問題。
- 修正上傳相同檔名的 LDAP 憑證時不會覆蓋原有憑證的問題。
- 修正當 Windows AD 網域的 Domain Users 群組名稱不是「Domain Users」時,可能無法將應用程式權限設定正常套用至該群組的問題。
- 修正資源監控的歷史紀錄時間不準確的問題。
- 降低 Btrfs 檔案系統在特定環境下的延遲以改善系統反應情況。
- 修正 SNMP 未正確提供 Disk 及 RAID 的索引欄位。
- 修正加密共用資料夾的資源回收筒可能無法正常清空的問題。
- 提升多人同時登入 DSM 時的登入效能。
- 調整個人通知機制以符合最新的 Gmail API。
- 修正當停止 LUN 備份任務時,iSCSI 服務可能會中斷的問題。
- 移除擴充 Block LUN 容量的功能。
已知問題及限制
- 從較舊的 DSM 版本更新後,可能無法在搭載 macOS 10.15 的用戶端裝置上以 Google Chrome 瀏覽器透過 HTTPS 存取 DSM。
- 更新至 DSM 6.2.3-25426 後,如欲於 Surveillance Station 運行集中化管理系統 (CMS),須安裝 Surveillance Station 8.2.7 或以上版本。
【碧華國小智慧學習網】
日期:109年5月15日(五)
時間:上午9:00
中心學校:米倉國小
智慧學習領航學校(北區):共12所
-
典範組:碧華國小、明志國小
-
示範組:米倉國小、長坑國小、五華國小、同榮國小、義學國小、天生國小、新市國小、鷺江國小、成功國小、忠義國小
公文及附件:
一、北區學校共 12 所,分別為
(一)典範組:碧華國小、明志國小
(二)示範組:
八里區:米倉國小、長坑國小
三重區:五華國小
蘆洲區:鷺江國小、成功國小、忠義國小
泰山區:同榮國小、義學國小
淡水區:天生國小、新市國小
二、分區月例會結合集中主題培訓辦理,相關講師鐘點費及餐費由中心學校運作金費支應。
109年度北區至會學習領航學校月例會行事曆
日期 |
會議名稱 |
會議時間 |
地點 |
備註 |
109年5月 15 日 |
北區智慧學習領航學校
第一次月例會 |
9:00-13:00 |
米倉國小 |
八里區
視訊會議 |
109年6月 12 日 |
北區智慧學習領航學校
第二次月例會 |
9:00-13:00 |
明志國小 |
典範組 |
109年7月7日 |
智慧學習領航學校期中報告 |
|
北新國小 |
|
109年7月10日 |
北區智慧學習領航學校
第三次月例會 |
9:00-13:00 |
新市國小 |
淡水區
MDM管理、課堂APP使用 |
109年9月11日 |
北區智慧學習領航學校
第四次月例會 |
9:00-13:00 |
鷺江國小 |
三蘆區 |
109年10月16日 |
北區智慧學習領航學校
第五次月例會 |
9:00-13:00 |
義學國小 |
泰山區 |
109年11月20-21日 |
智慧學習領航學校成果展 |
|
|
|
109年12月11 日 |
北區智慧學習領航學校
第六次月例會 |
9:00-13:00 |
碧華國小 |
典範組 |
APPLE MDM 管理參考資料:
|
|