資訊中心

一、依行政院秘書長109年12月18日院臺護長字第1090201804A號函，重申各公務機關使用資通訊產品（含軟體、硬體及服務）相關原則如下： (一)公務用之資通訊產品不得使用大陸廠牌，且不得安裝非公務用軟體。 (二)個人資通訊設備不得處理公務事務，亦不得與公務環境(校園網路)介接。 (三)各機關應就已使用或採購之大陸廠牌資通訊產品列冊管理，且不得與公務環境(校園網路)介接。 二、高教深耕計畫第二期「資安專章」明訂禁止公務使用大陸廠牌資通訊產品、出租場域不得使用大陸廠牌資通訊產品，請參照附圖。 三、依據本校111年度資安委員會決議辦理。 四、公務用之資通訊設備(含自購)不得與公務環境(本校校內及對外出租場域)介接。 五、全校辦理外包維護及設備採購時，須於合約及規格中新增禁止使用大陸資通訊設備條文，條文內容參考如下： 資訊安全及保密條款(202408版本) 一、乙方已充分了解營業秘密法、個人資料保護法、公平交易法、資通安全管理法及著作權法等相關法規之內容，並承諾願意遵守該等法規，以確實維護甲方權益。 二、乙方已了解甲方的資訊安全目標：      (一)確保甲方資訊服務之永續提供及完整資訊的合法存取。      (二)確保甲方所提供資訊服務之完整性與可用性，提供全校師生便利和穩定的資訊服務。      (三)確保甲方所提供軟硬體資源之可用性，合法及正確地使用。 三、乙方應配合甲方資訊安全管理制度，並瞭解甲方「資訊安全管理政策」且遵守甲方之「資訊安全管理系統（ISMS）」等相關資訊安全管理規定，甲方得不定期查核乙方是否確實執行，乙方應配合辦理。 四、因本承攬書所產生之任何營業秘密，均歸屬於甲方所有。乙方就其因而知悉、取得或使用之不論是否為甲方所提供之資料、文件，均有守密之義務；且非經甲方之書面同意，乙方不得將前開營業秘密以任何之方式洩漏或交付予第三人。 五、乙方因本案而自甲方取得之一切文件、資料，均應於本承攬終止、解除或期間屆滿時無條件歸還甲方或依甲方指示銷毀，且不得加以重製。 六、乙方因本案而知悉甲方之任何資料，應負保密之責任，不得竊用或洩漏予第三人。乙方並應責成其人員，同負保密之責任，嗣後離職者，亦同。 七、乙方應於簽署本承攬書之同時簽立「公司保密切結書」（公司保密切結書_202408），並提供本案執行人員（包括但不限於工程師）清冊（乙方應負責於送甲方前，個別依個人資料保護法等相關法令告知其人員並取得其人員之書面同意），如人員（包括但不限於工程師）有所異動，亦應提前書面通知甲方。乙方之人員於執行本案前，亦應簽立「個人保密切結書」（個人保密切結書_202408），並由乙方交付甲方。 八、乙方及其人員執行本案而蒐集、處理、利用之個人資料，應遵守個人資料保護法等相關法令，尤不得任意揭露、授權或轉讓予其他團體或個人。 九、乙方不得對外指摘或傳述任何有害或有損甲方校譽及台塑企業商譽或不利於甲方及台塑企業之相關言論、訊息。如有違反，乙方應給付甲方本案總額之5%為懲罰性違約金，甲方並得逕自乙方未領之款項中扣抵之，且乙方應就甲方及台塑企業所受損失負賠償責任，並依法究辦，甲方亦得逕行書面終止承攬。 十、本案涉及資訊軟體、硬體或服務等相關事務，乙方執行本案之團隊成員不得為大陸地區人民，並不得提供及使用大陸廠牌資通訊產品。 十一、乙方新購置之公務使用資通訊產品（包含軟體、硬體、服務或具連網能力、資料處理或控制功能之產品），例如個人電腦、網路攝影機、印表機等，均不得使用大陸廠牌之資通訊產品。已購置之公務使用大陸廠牌之資通訊產品，為避免資訊外洩，造成甲方資通安全危害風險，該資通訊產品不得與甲方設備及網路進行連接。 十二、乙方應配合甲方定期辦理資安盤點作業，並落實甲方使用資通訊產品相關（含軟體、硬體及服務）原則。 十三、乙方同意大陸廠牌認定方式由甲方「從嚴認定」，所有屬大陸廠牌者，無論其原產地於臺灣、大陸地區或第三地區等，均須納入填報範圍。 十四、乙方同意以契約或其它方式約束其受僱人、受聘人、代理人或履行輔助人於提供勞務期間及勞務關係終止後均同受本承攬書之拘束，尤不得對第三人洩露甲方之機密，亦不得為履行本承攬書目的外之使用、重製或修改甲方資訊。如乙方受僱人、受聘人、代理人或履行輔助人違反本承攬書，即令非來自乙方之指示，或乙方不知情，仍應由乙方與該行為人負連帶損害賠償責任，且乙方須對此立即採取糾正措施以為補救，並應即通知甲方。 十五、本條不因本承攬書終止、解除、期間屆滿或因任何原因無效而失效。 常見大陸廠牌 常見大陸資通訊廠牌列舉如下(海康威視(Hikvision)、華為(Huawei)、大疆(DJI) 、歐家控股(OPPO)、普聯（TP-Link）、小米(MI)、大華(Dahua)、中興通訊、海信(Hisense) 、vivo、魅族(MEIZU) 、努比亞(Nubia)、真我(REALME)、 TOTOLINK、騰達(Tenda)、 Foscam、Sugar等)。)行政院未提供相關設備清單，上述廠牌僅供參考。 「陸資廠商」是否禁止使用？ 依據行政院秘書長110年8月11日院臺護長字第1100181360A號函說明， 第三地區含陸資成分廠商及在臺陸資廠商，原則不列入盤點及汰換範圍 惟請各機關於辦理採購案時，如屬經濟部投資審議委員會公告之「具敏感性或國安(含資安)疑慮之業務範疇」，應確實於招標文件中載明不允許經濟部投資審議委員會公告之陸資資訊服務業者參與。 例如：聯想集團（Lenovo） 「在臺陸資廠商」詳情請參閱：陸資投資資訊產業事業清冊

為提升校內印表機、網路分享器及相關設備的資訊安全，請各單位協助檢視並調整設備設定，以降低資安風險。請務必落實以下措施： 一、印表機、網路分享器管理介面安全設置 1.停用預設帳號與密碼。 2.停用匿名登入功能。 3.使用高強度密碼，避免使用簡單或預設密碼。 4.如非必要，請將設備IP更換為虛擬IP以阻斷外部偵測，或設定可存取印表機等相關設備的來源IP。 二、FTP 功能安全設置，煩請確認設備是否啟用 FTP 功能，如非必要請關閉，如需開啟請務必採取以下措施： 1.設定高強度密碼，以確保 FTP 登入安全。 2.如非必要，請將設備IP更換為虛擬IP以阻斷外部偵測，或設定可存取印表機等相關設備的來源IP。 請各單位務必配合執行，以維護校園資訊安全。

教育機構ANA通報平台 發佈編號 TACERT-ANA-2025042809044343 發佈時間 2025-04-28 09:25:44 事故類型 ANA-漏洞預警 發現時間 2025-04-25 17:07:44 影響等級 低 [主旨說明:]【漏洞預警】CISA新增4個已知遭駭客利用之漏洞至KEV目錄(2025/04/14-2025/04/20) [內容說明:] 轉發 台灣電腦網路危機處理暨協調中心 TWCERTCC-200-202504-00000008 1.【CVE-2021-20035】SonicWall SMA100 Appliances OS Command Injection Vulnerability (CVSS v3.1: 6.5)  【是否遭勒索軟體利用:未知】 SonicWall SMA100裝置的管理介面存在作業系統指令注入漏洞，該漏洞允許遠端已驗證的攻擊者以「nobody」使用者身份注入任意指令，導致任意程式碼執行。  【影響平台】請參考官方所列的影響版本 https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0022  2.【CVE-2025-24054】Microsoft Windows NTLM Hash Disclosure Spoofing Vulnerability (CVSS v3.1: 5.4)  【是否遭勒索軟體利用:未知】 Microsoft Windows NTLM存在檔案名稱或路徑的外部控制漏洞，該漏洞允許未經授權的攻擊者透過網路進行偽冒。  【影響平台】請參考官方所列的影響版本 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24054  3.【CVE-2025-31201】Apple Multiple Products Arbitrary Read and Write Vulnerability (CVSS v3.1: 6.8)  【是否遭勒索軟體利用:未知】 Apple iOS、iPadOS、macOS及其他產品中存在任意讀寫漏洞，該漏洞允許攻擊者繞過指標驗證。  【影響平台】  ● iOS 18.4.1  ● iPadOS 18.4.1  ● macOS Sequoia 15.4.1  ● tvOS 18.4.1  ● visionOS 2.4.1  4.【CVE-2025-31200】Apple Multiple Products Memory Corruption Vulnerability (CVSS v3.1: 7.5)  【是否遭勒索軟體利用:未知】 Apple iOS、iPadOS、macOS及其他產品中存在記憶體損毀漏洞，當處理惡意製作的媒體檔案中的音訊串流時，允許執行任意程式碼。  【影響平台】  ● iOS 18.4.1  ● iPadOS 18.4.1  ● macOS Sequoia 15.4.1  ● tvOS 18.4.1  ● visionOS 2.4.1 情資分享等級: WHITE(情資內容為可公開揭露之資訊) 此訊息僅發送到「區縣市網路中心」，煩請貴單位協助公告或轉發 [影響平台:] 詳細內容於內容說明欄之影響平台 [建議措施:] 1.【CVE-2021-20035】 官方已針對漏洞釋出修復更新，請更新至相關版本  https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0022  2.【CVE-2025-24054】 官方已針對漏洞釋出修復更新，請更新至相關版本  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24054  3.【CVE-2025-31201】 官方已針對漏洞釋出修復更新，請更新至相關版本  https://support.apple.com/en-us/122282  https://support.apple.com/en-us/122400  https://support.apple.com/en-us/122401  https://support.apple.com/en-us/122402  4.【CVE-2025-31200】 官方已針對漏洞釋出修復更新，請更新至相關版本  https://support.apple.com/en-us/122282  https://support.apple.com/en-us/122400  https://support.apple.com/en-us/122401  https://support.apple.com/en-us/122402 [參考資料:] (此通報僅在於告知相關資訊，並非為資安事件)，如果您對此通報的內容有疑問或有關於此事件的建議，歡迎與我們連絡。 教育機構資安通報應變小組 網址：https://info.cert.tanet.edu.tw/ 專線電話：07-5250211 網路電話：98400000 E-Mail：service@cert.tanet.edu.tw  --- 電話服務：週一至週五 08：00-17：00 03-4227151# 57555, 57566  網路電話(VoIP)：97820055、97820066 週一至週五 17：00-22：00   03-4227151# 57511 Email 服務： tanet_ncu@ncu.edu.tw 桃園區網網址： http://www.tyrc.edu.tw

教育機構ANA通報平台 發佈編號 TACERT-ANA-2025041801041919 發佈時間 2025-04-18 13:25:19 事故類型 ANA-漏洞預警 發現時間 2025-04-18 13:25:19 影響等級 低 [主旨說明:]【漏洞預警】CISA新增5個已知遭駭客利用之漏洞至KEV目錄(2025/04/07-2025/04/13) [內容說明:] 轉發 台灣電腦網路危機處理暨協調中心 TWCERTCC-200-202504-00000007 1.【CVE-2025-31161】CrushFTP Authentication Bypass Vulnerability (CVSS v3.1: 9.8) 【是否遭勒索軟體利用:已知】 CrushFTP在HTTP授權標頭中存在身份驗證繞過漏洞，允許遠端未經身份驗證的攻擊者以任何已知或可猜測的使用者帳戶(例如：crushadmin)進行身份驗證。 【影響平台】請參考官方所列的影響版本 https://crushftp.com/crush11wiki/Wiki.jsp?page=Update#section-Update-VulnerabilityInfo 2.【CVE-2025-29824】Microsoft Windows Common Log File System (CLFS) Driver Use-After-Free Vulnerability (CVSS v3.1: 7.8) 【是否遭勒索軟體利用:已知】 Microsoft Windows的通用日誌檔案系統(CLFS)驅動程式中存在記憶體釋放後使用漏洞，允許授權的攻擊者在本機提升權限。 【影響平台】請參考官方所列的影響版本 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29824 3.【CVE-2025-30406】Gladinet CentreStack Use of Hard-coded Cryptographic Key Vulnerability (CVSS v3.1: 9.8) 【是否遭勒索軟體利用:未知】 Gladinet CentreStack存在使用硬體編碼加密金鑰漏洞，此漏洞與應用程式管理用於 ViewState完整性驗證的金鑰方式有關。若被成功利用，攻擊者可偽造用於伺服器端反序列化的ViewState有效負載，從而實現遠端程式碼執行。 【影響平台】請參考官方所列的影響版本 https://gladinetsupport.s3.us-east-1.amazonaws.com/gladinet/securityadvisory-cve-2005.pdf 4.【CVE-2024-53150】Linux Kernel Out-of-Bounds Read Vulnerability (CVSS v3.1: 7.1) 【是否遭勒索軟體利用:未知】 Linux Kernel在USB-audio驅動程式中存在越界讀取漏洞，該漏洞允許本機具備權限的攻擊者取得潛在的敏感資訊。 【影響平台】 ● Linux 5.5 至5.10.231(不含)的版本 ● Linux 5.11 至5.15.174(不含)的版本 ● Linux 5.16 至6.1.120(不含)的版本 ● Linux 6.2 至6.6.64(不含)的版本 ● Linux 6.7 至6.11.11(不含)的版本 ● Linux 6.12 至6.12.2(不含)的版本 5.【CVE-2024-53197】Linux Kernel Out-of-Bounds Access Vulnerability (CVSS v3.1: 7.8) 【是否遭勒索軟體利用:未知】 Linux Kernel在USB-audio驅動程式中存在越界存取漏洞，該漏洞允許具有實體存取權限的攻擊者透過惡意USB裝置，竄改系統記憶體、提升權限或執行任意程式碼。 【影響平台】 ● Linux 2.6.12 至4.19.325(不含)的版本 ● Linux 4.20 至5.4.287(不含)的版本 ● Linux 5.5 至5.10.231(不含)的版本 ● Linux 5.11 至5.15.174(不含)的版本 ● Linux 5.16 至6.1.120(不含)的版本 ● Linux 6.2 至6.6.64(不含)的版本 ● Linux 6.7 至6.11.11(不含)的版本 ● Linux 6.12 至6.12.2(不含)的版本 情資分享等級: WHITE(情資內容為可公開揭露之資訊) 此訊息僅發送到「區縣市網路中心」，煩請貴單位協助公告或轉發 [影響平台:] 詳細內容於內容說明欄之影響平台 [建議措施:] 1.【CVE-2025-31161】 官方已針對漏洞釋出修復更新，請更新至相關版本 https://crushftp.com/crush11wiki/Wiki.jsp?page=Update#section-Update-VulnerabilityInfo 2.【CVE-2025-29824】 官方已針對漏洞釋出修復更新，請更新至相關版本 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29824 3.【CVE-2025-30406】 官方已針對漏洞釋出修復更新，請更新至相關版本 https://gladinetsupport.s3.us-east-1.amazonaws.com/gladinet/securityadvisory-cve-2005.pdf 4. 【CVE-2024-53150】 官方已針對漏洞釋出修復更新，請更新至相關版本 https://git.kernel.org/stable/c/096bb5b43edf755bc4477e64004fa3a20539ec2f https://git.kernel.org/stable/c/45a92cbc88e4013bfed7fd2ccab3ade45f8e896b https://git.kernel.org/stable/c/74cb86e1006c5437b1d90084d22018da30fddc77 https://git.kernel.org/stable/c/a3dd4d63eeb452cfb064a13862fb376ab108f6a6 https://git.kernel.org/stable/c/a632bdcb359fd8145e86486ff8612da98e239acd https://git.kernel.org/stable/c/ab011f7439d9bbfd34fd3b9cef4b2d6d952c9bb9 https://git.kernel.org/stable/c/da13ade87a12dd58829278bc816a61bea06a56a9 https://git.kernel.org/stable/c/ea0fa76f61cf8e932d1d26e6193513230816e11d 5.【CVE-2024-53197】 官方已針對漏洞釋出修復更新，請更新至相關版本 https://git.kernel.org/stable/c/0b4ea4bfe16566b84645ded1403756a2dc4e0f19 https://git.kernel.org/stable/c/379d3b9799d9da953391e973b934764f01e03960 https://git.kernel.org/stable/c/62dc01c83fa71e10446ee4c31e0e3d5d1291e865 https://git.kernel.org/stable/c/920a369a9f014f10ec282fd298d0666129379f1b https://git.kernel.org/stable/c/9887d859cd60727432a01564e8f91302d361b72b https://git.kernel.org/stable/c/9b8460a2a7ce478e0b625af7c56d444dc24190f7 https://git.kernel.org/stable/c/b521b53ac6eb04e41c03f46f7fe452e4d8e9bcca https://git.kernel.org/stable/c/b8f8b81dabe52b413fe9e062e8a852c48dd0680d https://git.kernel.org/stable/c/b909df18ce2a998afef81d58bbd1a05dc0788c40 [參考資料:] (此通報僅在於告知相關資訊，並非為資安事件)，如果您對此通報的內容有疑問或有關於此事件的建議，歡迎與我們連絡。 教育機構資安通報應變小組 網址：https://info.cert.tanet.edu.tw/ 專線電話：07-5250211 網路電話：98400000 E-Mail：service@cert.tanet.edu.tw --- 電話服務：週一至週五 08：00-17：00 03-4227151# 57555, 57566 網路電話(VoIP)：97820055、97820066 週一至週五 17：00-22：00 03-4227151# 57511 Email 服務： tanet_ncu@ncu.edu.tw 桃園區網網址： http://www.tyrc.edu.tw

教育機構ANA通報平台 發佈編號 TACERT-ANA-2025040902045656 發佈時間 2025-04-09 14:28:56 事故類型 ANA-漏洞預警 發現時間 2025-04-09 14:21:56 影響等級 低 [主旨說明:]【漏洞預警】Fortinet 針對旗下FortiSwitch修補重大資安漏洞(CVE-2024-48887) [內容說明:] 轉發 台灣電腦網路危機處理暨協調中心 TWCERTCC-200-202504-00000005 FortiSwitch 是一款由Fortinet 推出的乙太網路交換器，可與FortiGate防火牆整合，實現集中式簡化管理和智慧可擴展性。日前，Fortinet發布FortiSwitch GUI存在重大資安漏洞(CVE-2024-48887，CVSS：9.8)並提出解決方案，此漏洞允許未經身分驗證的遠端攻擊者，透過精心設計的請求修改管理員密碼。 情資分享等級: WHITE(情資內容為可公開揭露之資訊) 此訊息僅發送到「區縣市網路中心」，煩請貴單位協助公告或轉發 [影響平台:] ● FortiSwitch 6.4.0 至 6.4.14 ● FortiSwitch 7.0.0 至 7.0.10 ● FortiSwitch 7.2.0 至 7.2.8 ● FortiSwitch 7.4.0 至 7.4.4 ● FortiSwitch 7.6.0 [建議措施:] 更新至以下版本： ● FortiSwitch 6.4.15 ● FortiSwitch 7.0.11 ● FortiSwitch 7.2.9 ● FortiSwitch 7.4.5 ● FortiSwitch 7.6.1 [參考資料:] 1. https://www.twcert.org.tw/tw/cp-169-10063-9de28-1.html 2. https://fortiguard.fortinet.com/psirt/FG-IR-24-435 3. https://nvd.nist.gov/vuln/detail/CVE-2024-48887 (此通報僅在於告知相關資訊，並非為資安事件)，如果您對此通報的內容有疑問或有關於此事件的建議，歡迎與我們連絡。 教育機構資安通報應變小組 網址：https://info.cert.tanet.edu.tw/ 專線電話：07-5250211 網路電話：98400000 E-Mail：service@cert.tanet.edu.tw --- 電話服務：週一至週五 08：00-17：00 03-4227151# 57555, 57566 網路電話(VoIP)：97820055、97820066 週一至週五 17：00-22：00 03-4227151# 57511 Email 服務： tanet_ncu@ncu.edu.tw 桃園區網網址： http://www.tyrc.edu.tw