111年01月電子報

中華民國111年1月
 最新消息與公告 
資訊系統(網站)資安補充規定 新一代校務整合資訊系統進度

依資安法與教育部相關資安規範擬訂「資訊系統(網站)資安補充規定」。請校內各單位自111年1月起辦理採購資訊系統(網站)或維護時,將資安補充規定納入合約內,並於核銷時填寫「資訊系統(網站)安全稽核表」送本中心備查。

為避免未來系統上線後面臨新舊混淆,本中心提案經主管會報決策同意,系統名稱已正式修改為「iNTUE」校務整合資訊系統。系統網站網頁皆已同步更名以「iNTUE」呈現。
全校資訊技能教育訓練-Acrobat PDF進階課程 110學年度保護智慧財產權工作項目

110年12月20日辦理全校資訊技能教育訓練Acrobat PDF進階課程,協助同仁提升業務資訊能力,授課圓滿成功。

110年12月27日召開110學年度第1次保護智慧財產權宣導及執行小組會議,規劃辦理本校110學年度保護智慧財產權工作項目。

本校對外網路流量分析
本校個人電腦維修統計
 電腦專欄 
科技新聞
微軟即將於Windows 11上公開預覽Android程式
文/陳曉莉| 2022-01-27發表 資料來源:iThome
Windows 11發布3個月來,支援Android App的功能仍只存在Insiders版中,並僅限於Amazon Appstore特定程式,近期Windows 11將迎來首次重大更新,2月發布公開預覽版會將Android app引入Microsoft Store


圖片來源:微軟

微軟本周宣布, 將在下個月開放Windows 11用戶公開預覽Android程式,同時改善Windows 11上的各種功能,外界則猜測,這很可能是Windows 11自去年10月發表以來首次的重大更新。 微軟早在Windows 11尚未正式出爐前就對外公告它將支援Android程式,只是迄今它一直僅於Insiders測試人員計畫中進行測試,而且只能存取源自Amazon Appstore的特定程式。 此外,屆時Windows 11還會推出重新設計的記事本(Notepad)及媒體播放器(Media Player),以及改善工作列(Taskbar)上的功能,包括通話靜音或取消靜音、新增天氣選項,以及強化分享能力等。 Windows 11是微軟6年來最大的一次Windows改版,採用極簡的設計,根據微軟的統計,使用者升級到Windows 11的速度是當初升級到Windows 10的兩倍,同時Windows 11也是Windows史上,使用者對其品質及滿意度最高的版本。 與Windows 10相較,使用者於Windows 11上花的時間多了40%,另有接近一半的Windows 11用戶使用全新的Snap Layouts佈局功能,以展開多工並提升生產力。

資訊安全
Linux 12年漏洞可讓駭客以根權限執行程式碼,影響所有發行版
文 /林妍溱| 2022-01-27發表 資料來源:iThome
近日資安業者Qualys揭露一個Linux漏洞,是系統管理元件Polkit中的pkexec因未正確處理呼叫參數,這將導致沒有特殊權限的攻擊者,可以取得目標機器的root權限,目前Red Hat、SUSE、Ubuntu、Oracle均已修補


圖片來源:Qualys,Ins


安全廠商Qualys本周揭露一項存在Linux系統管理元件長達12年的漏洞,可讓本地攻擊者以根權限在幾乎所有發行版平臺上執行程式碼。研究人員警告該漏洞開採容易,是攻擊者的美夢成真。 這個編號CVE-2021-4034的漏洞,存在於Linux的Polkit(前稱PolicyKit),因而漏洞又被稱為PwnKit。Polkit是管理Unix、Linux等OS全系統准許權限的元件,讓一般權限的行程(process)可和高權限行程互動。而Polkit中一項setuid程式pkexec,則可讓用戶以root權限執行指令。 根據Red Hat的說明,現有版本pkexec未正確處理呼叫參數,使其試圖依指令執行環境變項。這讓攻擊者可操弄變項讓pkexec執行任意程式碼,其結果是讓原本沒有特殊權限的本機用戶得以取得在目標機器上的root權限。CVE-2021-4034 CVSS風險值被列為7.8。 例如研究人員在環境參數中注入GCONV_PATH,即可以root權限執行共享函式庫。 Qualys強調此弱點是攻擊者的「美夢成真」。一來Qualys驗證後證實這項漏洞影響Ubuntu、Debian、Fedora和CentOS,也可能存在其他Linux發行版或Unix環境,包括Solaris及BSD,除了OpenBSD之外。而且這項漏洞最早可追溯到2009年5月釋出的第一版pkexec,因此所有版本pkexec都受影響。其次,開採該漏洞相當容易,任何無特殊權限的本機用戶都能開採而取得完整root權限。研究人員補充,雖然這項漏洞技術上只是記憶體毁損漏洞,但能產生立即而穩定效果。另外,polkit 精靈程式(daemon)未執行下依然能開採該漏洞。 Qualys去年11月通報Linux廠商及社群,後續Red Hat、SUSE、Ubuntu、Oracle等皆已發布更新版本。 研究人員並且警告,由於CVE-2021-4034漏洞開採非常容易,且別的研究人員可能會在修補程式釋出後發布攻擊程式。如果用戶的Linux發行版尚未獲得修補,可以移除pkexec中的SUID-bit(例如# chmod 0755 /usr/bin/pkexec)暫時緩解攻擊風險。

 計中資訊
電腦教室 校園無線網路
 計網中心電腦教室課表  無線網路使用說明
電子郵件 網頁空間
 電子郵件信箱使用說明  教職員個人網頁空間使用說明
資訊相關規範
 教育部校園網路使用規範  國立臺北教育大學校園網路使用規定
 國立臺北教育大學宿舍網路管理要點  國立臺北教育大學電腦使用及管理辦法
  資訊安全小組組織結構圖  
計算機與網路中心電子報
電 話:02-6639-6688 分機83404
地 址:臺北市和平東路2段134號
計算機與網路中心 版權所有