跳到主要內容

發表文章

目前顯示的是 2016的文章

資安新聞及事件週報 2016/12/26 ~ 2016/12/30

1.重大弱點漏洞
  Xen 安全漏洞 CVE-2016-10024
http://xenbits.xen.org/xsa/advisory-202.html


  2016年Exploit Kits漏洞TOP 10分析
http://www.freebuf.com/vuls/123328.html


  cURL 繞過保安限制漏洞CVE-2016-9594
http://securitytracker.com/id/1037528


  Unrestricted File Upload Testing
https://www.aptive.co.uk/blog/unrestricted-file-upload-testing/

資安新聞及事件週報 2016/12/19 ~ 2016/12/23

**1.重大弱點漏洞**
  Ubuntu崩潰報告工具存在遠程代碼執行漏洞
http://bobao.360.cn/learning/detail/3305.html
  Fedora 和Ubuntu 曝出0day 漏洞
https://kknews.cc/tech/l8e5erz.html
  Apache HTTPD 多個漏洞 CVE-2016-0736 CVE-2016-2161 CVE-2016-8743
http://securitytracker.com/id/1037508
  OpenSSH曝最新遠程命令執行漏洞CVE-2016-10009
http://www.kangddos.com/6806.html
  思科產品多個漏洞 CVE-2016-6474 CVE-2016-6467
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCuv89417
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCva84552

資安新聞及事件週報 2016/12/12 ~ 2016/12/16

**1.重大弱點漏洞**
  Eioneus系統公司發現印度UAN網站嚴重的安全漏洞
https://95cnweb.com/233.html
  安全研究人員發現攻擊套件最喜Flash Player安全漏洞
http://www.qingpingshan.com/pc/aq/175778.html
  MySQL現高危漏洞,可致服務器root權限被竊取
http://www.geeker.hk/?post=647
  Adobe修補17個Flash漏洞,包含已被攻擊的零時差漏洞
http://www.ithome.com.tw/news/110321
  密碼管理軟件Teampass 存在未授權SQL 注入漏洞
http://study.rnuomi.com/open0day/2016121340614.html
McAfee 修復企業版Linux 殺毒軟件遠程代碼執行漏洞,可獲得Root 權限
http://hackernews.cc/archives/3591

資安新聞及事件週報 2016/12/5 ~ 2016/12/9

**1.重大弱點漏洞**
  坊間攻擊套件鎖定的10大安全漏洞,Flash就佔了6個
  http://www.ithome.com.tw/news/110073

  IBM FileNet Workplace XT 漏洞 CVE-2016-8921
  http://www-01.ibm.com/support/docview.wss?uid=swg21994018

  IBM QRadar SIEM 漏洞 CVE-2016-2876
  http://nvd.nist.gov/nvd.cfm?cvename=CVE-2016-2876

  Network Time Protocol Daemon 存在阻斷服務等多個安全性弱點
  http://www.gsn-cert.nat.gov.tw/05-02-01-detail.php?cat=vul&chtip=HiNet-2016-0123

資安新聞及事件週報 2016/11/28 ~ 2016/12/02

**1.重大弱點漏洞:**
  微軟Azure漏洞讓RedHat映象檔安全拉警報
  http://www.ithome.com.tw/news/109861

  Mozilla與Tor修補瀏覽器上同一個零時差漏洞
  http://www.ithome.com.tw/news/109967

  虛擬化漏洞呈增長趨勢VMware發布一批漏洞公告
  http://www.twoeggz.com/news/2601316.html

  Netis 路由器後門漏洞最新發展
  http://blog.trendmicro.com.tw/?p=37089

  Paloaltonetworks Pan OS  CVE-2016-9150
  http://nvd.nist.gov/nvd.cfm?cvename=CVE-2016-9150

  Network Time Protocol Daemon 存在阻斷服務等多個安全性弱點
  http://nwtime.org/ntp428p9_release/
  http://www.kb.cert.org/vuls/id/633847

  NTP漏洞可致Windows系統觸發DoS
  http://www.weidu8.net/wx/1009148014236920

資安新聞及事件週報 2016/11/21 ~ 2016/11/25

**1.重大弱點漏洞:**
  Wireshark DTN解析器拒絕服務漏洞(CVE-2016-9375)
  https://www.wireshark.org/security/wnpa-sec-2016-62.html

  Cisco AsyncOS遠程安全限制繞過漏洞(CVE-2016-6458)
  https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161102-esa

  Norton 及 Symantec 企業版產品遠端執行程式碼漏洞 CVE-2016-5311
  https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20161117_00

  VMware 產品遠端執行程式碼漏洞 CVE-2016-7461
  https://www.us-cert.gov/ncas/current-activity/2016/11/14/VMWare-Releases-Security-Updates

  思科產品多個漏洞
  https://www.auscert.org.au/render.html?it=41102
  https://www.auscert.org.au/render.html?it=41118

TDOH-PIPE 資安交流活動 | 201611

# 關於 TDOH
TDOH 成立於 2013 年中,是當時一群對資安極具熱情的學生們所創立,期望利用社群的方式來推廣資訊安全、增加技術交流、改善台灣資安學習環境等。目前依舊耕耘著台灣資安人才培育的土壤,並且在全台各地與多所大專院校都有相關合作經驗和人手,是一個初具規模全國性校園資安社群。

TDOH 近年來已有數十場講座舉辦經歷,也協助過多個社群單位與教育單位舉辦講座、課程,並發展多個資安教育平台的專案。平常則舉辦許多小型活動熱絡資安社群間的交流,而從 2016 年開始舉辦如 TDOH - PIPE、Conf 等大型活動,致力於打造更完善的資訊安全學習環境。

## 何謂 黑魔法防禦術?

論資訊安全,台灣處於一個世界上稀有的處境。左邊是全世界最大的網軍集團,右邊是掌握最高技術的Big Brother。 中國以台灣作為跳板,試圖藉由世界對台灣的信任攻下更多領地,而美國的Xkeyscore早已監控全世界,隨時可以知道誰,在什麼地方,做什麼,甚至是的即時錄影錄音。 但是,我們呢?台灣網路被評比為全世界第二骯髒的網路,而我們的企業連自己要保護什麼都還不知道。

戰火早已開始,而我們還沒準備好。
Time to take action


## 關於駭客引路人 - 業師諮詢

為了提供參與學生們更多學習與解惑的機會,每月活動都將邀請 2~5 位 優秀的業界前輩 / 資安圈內優秀的學生 們擔任活動業師參與下午的交流活動上,針對學生在資安學習路上遇到的任何困難提供諮詢喔 !
不知道從何開始嗎?學習路上不知如何抉擇嗎?學習上遇到困難嗎?
那請務必要好好把握下午業師諮詢的時間好好問垮業師喔 !



# 本月內容

TDOH - PIPE 資訊安全讀書會 | 201611

# 關於 TDOH
TDOH 成立於 2013 年中,是當時一群對資安極具熱情的學生們所創立,期望利用社群的方式來推廣資訊安全、增加技術交流、改善台灣資安學習環境等。目前依舊耕耘著台灣資安人才培育的土壤,並且在全台各地與多所大專院校都有相關合作經驗和人手,是一個初具規模全國性校園資安社群。

TDOH 近年來已有數十場講座舉辦經歷,也協助過多個社群單位與教育單位舉辦講座、課程,並發展多個資安教育平台的專案。平常則舉辦許多小型活動熱絡資安社群間的交流,而從 2016 年開始舉辦如 TDOH - PIPE、Conf 等大型活動,致力於打造更完善的資訊安全學習環境。

# TDOH - PIPE 是什麼?

TDOH - PIPE 為 TDOH 所主導之校園資安讀書會 / 社團輔導專案計畫。

PIPE 在 Linux 指令中為兩指令間的管線,有將前一指令的結果導入後一指令的意味,
而 TDOH - PIPE 將成為 TDOH 與 各校園資安讀書會 / 社團 間的管線。

有鑑於目前校園中較缺乏的資安教育的課程與管道,而校外大部分皆為短期的 workshop、講座等,學生較容易缺乏學習夥伴與管道,因此 TDOH 期望在各校輔導原有的讀書會 / 社團,協助推廣資訊安全、增加技術交流、改善台灣資安學習環境等。

## 主要目標有以下四點:
    1. 輔導學生們成立與經營資安讀書會 / 社團
    2. 提供其每月一*次的資安技術教學
    3. 安排導師指導資安讀書會 / 社團
    4. 促進學生學習資安與互相交流技術

## TDOH - PIPE 課程方向

資訊安全的面向很廣,大方向可以分為 攻擊、防禦、鑑識 三大部份,
而這三大部份下的分支又十分地廣。
這學期主要先透過大家生活平常最相關的 WEB ,帶給大家相關的攻擊、防禦議題,
並會在本學期末舉辦小型的 CTF競賽,聽講之外也能有實作的部份。


# 本月內容

資安新聞及事件週報 2016/11/14 ~ 2016/11/18

**1.重大弱點漏洞:**
  Debian Security Update for tar (DSA 3702-1)
  http://www.0daybank.org/?p=3234

  思科 ASA 遠端執行程式碼漏洞
  http://securitytracker.com/id/1037306

  CA發佈Unified Infrastructure Management安全更新,該漏洞會導致目錄遍歷
  https://ics-cert.us-cert.gov/advisories/ICSA-16-315-01

  OpenSSL發佈安全更新,部分漏洞可能導致阻斷服務攻擊
  https://www.us-cert.gov/ncas/current-activity/2016/11/10/OpenSSL-Releases-Security-Update

  CVE-2016-6313Red Hat Update for libgcrypt (RHSA-2016:2674)
  http://www.0daybank.org/?p=3220

  Novell Open Enterprise Server安全漏洞(CVE-2016-5763)
  http://download.novell.com/Download?buildid=dfqmrymc0Rg~

資安新聞及事件週報 2016/11/7 ~ 2016/11/11

**1.重大弱點漏洞:**
  SAP NetWeaver Application Server Remote User Account Disclosure Vulnerability
  http://www.0daybank.org/?p=2965

  Red Hat Update for kernel (RHSA-2016:2124) (Dirty Cow)
  http://www.0daybank.org/?p=2957

  Rowhammer漏洞:PC遭殃後,Android設備也難逃魔掌
  http://www.searchsecurity.com.cn/showcontent_94002.htm

  ISC發佈BIND安全更新,該漏洞會導致阻斷服務攻擊
  https://kb.isc.org/article/AA-01434/0

  Cisco Email Security Appliance CVE-2016-1481
  http://nvd.nist.gov/nvd.cfm?cvename=CVE-2016-1481

  Oracle JDK、Weblogic Server CVE-2016-5556
  http://nvd.nist.gov/nvd.cfm?cvename=CVE-2016-5556

The Dungeons of Hackers Conference 2016 - 個人贊助方案(資安光明燈)

# The Dungeons of Hackers Conference 2016 - 個人贊助方案(資安光明燈)

TDOHacker 是一個以校園資安人才培育為導向的資安社群組織,成立於 2013 年中,當時一群對資安極具熱情的學生們,期望利用社群的方式來推廣資訊安全、增加技術交流、改善台灣資安學習環境。
目前依舊耕耘著台灣資安人才培育的土壤,並且在全台各地與多所大專院校都有相關合作經驗和人手,是一個初具規模且目前為校園間第一大之全國性校園資安社群。

TDOH 期望培育台灣資安人才、促進彼此之間的交流、協助各資安社團/讀書會永續發展、推廣資訊安全於校園之中。
TDOH 近年來已有數十場講座舉辦經歷,也協助過多個社群單位與教育單位舉辦講座或是課程。同時發展多個資安教育平台的專案,並專注於舉辦許多小型活動熱絡資安社群間的交流。
而從 2016 年 開始舉辦如 TDOH-PIPE、TDOH Conf 等大型活動或專案,致力於打造更完善的資訊安全學習環境!

**這些的活動舉辦除了各種的資源協助,更需要資金的支持!
希望能藉由您的一份力量,來促成活動的舉行,使台灣資安培育環境的未來更具無限的可能!**

### 歡迎您採用個人贊助方案, 支持 The Dungeons of Hackers (TDOH) Conference,讓我們將活動辦得更加精采!

The Dungeons of Hackers Conference 2016 - 駭客的地下城

# The Dungeons of Hackers Conference  2016 - 駭客的地下城

< 大駭客時代即將來臨 >
你是技術頂尖佼佼者,想私下傳承技術找徒弟?
或者你有任何有趣想公布世人、傳承後輩的經驗?

擺脫以往年會單方面輸出知識的框架
提供講師與會眾更優良的互動環境
傳承令人驚嘆的駭客技術與精神

### 敬邀有真駭客精神的你一同來分享經驗
### 打破既往單方面輸出知識的議程
### 讓講者與聽眾真正交流思考

去探索 去尋找
你夢想中的師父 | 值得信賴的徒弟

資安新聞及事件週報 2016/10/31 ~ 2016/11/4

**1.重大弱點漏洞:**
  CVE-2015-0665 Cisco AnyConnect Secure Mobility Client Multiple Security Vulnerabilities
  http://www.0daybank.org/?p=2816

  ISC BIND 阻斷服務漏洞
  http://securitytracker.com/id/1037156

  Palo Alto PAN-OS 多個漏洞
  http://securitytracker.com/id/1037152
  http://securitytracker.com/id/1037153

  Oracle WebLogic Commons DiskFileItem Deserialization of Untrusted Data 漏洞
  https://www.seebug.org/vuldb/ssvid-92515

資安新聞及事件週報 2016/10/24 ~ 2016/10/28

**1.重大弱點漏洞:**
  臟牛漏洞Dirty COW CVE-2016-5195 2.6.22 < 3.9 (x86/x64)
  http://www.bkjia.com/Linuxjc/1167392.html

  Adobe搶修已遭攻擊的Flash漏洞
  http://www.ithome.com.tw/news/109272

  Apache Tomcat 多個漏洞
  https://www.auscert.org.au/render.html?it=40038

  Android Rowhammer 攻擊漏洞(Drammer)
  https://www.seebug.org/vuldb/ssvid-92489

  Palo Alto PAN-OS JavaScript 執行和輸入驗證漏洞
  http://securityadvisories.paloaltonetworks.com/Home/Detail/64
  http://securityadvisories.paloaltonetworks.com/Home/Detail/62

資安新聞及事件週報 2016/10/17 ~ 2016/10/21

**1.重大弱點漏洞:**
  phpMyAdmin 跨站腳本漏洞 CVE-2016-6607
  https://www.phpmyadmin.net/security/PMASA-2016-30/

  Juniper Junos Space 安全漏洞 CVE-2016-4927
  https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10760&cat=SIRT_1&actp=LIST

  甲骨文大舉修補253個安全漏洞,含15個重大漏洞
  http://www.ithome.com.tw/news/109162

  VMware Horizon View 存在安全性弱點
  http://www.vmware.com/security/advisories/VMSA-2016-0015.html

TDOH - PIPE 資安交流活動 | 201610

# TDOH - PIPE 是什麼?

TDOH - PIPE 為 TDOH 所主導之校園資安讀書會 / 社團輔導專案計畫。

PIPE 在 Linux 指令中為兩指令間的管線,有將前一指令的結果導入後一指令的意味,
而 TDOH - PIPE 將成為 TDOH 與 各校園資安讀書會 / 社團 間的管線。

有鑑於目前校園中較缺乏的資安教育的課程與管道,而校外大部分皆為短期的 workshop、講座等,學生較容易缺乏學習夥伴與管道,因此 TDOH 期望在各校輔導原有的讀書會 / 社團,協助推廣資訊安全、增加技術交流、改善台灣資安學習環境等。

## 主要目標有以下四點:
    1. 輔導學生們成立與經營資安讀書會 / 社團
    2. 提供其每月一*次的資安技術教學
    3. 安排導師指導資安讀書會 / 社團
    4. 促進學生學習資安與互相交流技術

## TDOH - PIPE 課程方向

資訊安全的面向很廣,大方向可以分為 攻擊、防禦、鑑識 三大部份,
而這三大部份下的分支又十分地廣。
這學期主要先透過大家生活平常最相關的 WEB ,帶給大家相關的攻擊、防禦議題,
並會在本學期末舉辦小型的 CTF競賽,聽講之外也能有實作的部份。


## 何謂 黑魔法防禦術?

論資訊安全,台灣處於一個世界上稀有的處境。左邊是全世界最大的網軍集團,右邊是掌握最高技術的Big Brother。 中國以台灣作為跳板,試圖藉由世界對台灣的信任攻下更多領地,而美國的Xkeyscore早已監控全世界,隨時可以知道誰,在什麼地方,做什麼,甚至是的即時錄影錄音。 但是,我們呢?台灣網路被評比為全世界第二骯髒的網路,而我們的企業連自己要保護什麼都還不知道。

戰火早已開始,而我們還沒準備好。
Time to take action


## 關於駭客引路人 - 業師諮詢

為了提供參與學生們更多學習與解惑的機會,每月活動都將邀請 2~5 位 優秀的業界前輩 / 資安圈內優秀的學生 們擔任活動業師參與下午的交流活動上,針對學生在資安學習路上遇到的任何困難提供諮詢喔 !
不知道從何開始嗎?學習路上不知如何抉擇嗎?學習上遇到困難嗎?
那請務必要好好把握下午業師諮詢的時間好好問垮業師喔 !



# 本月內容

TDOH - PIPE 資訊安全讀書會 | 201610

# TDOH - PIPE 是什麼?

TDOH - PIPE 為 TDOH 所主導之校園資安讀書會 / 社團輔導專案計畫。

PIPE 在 Linux 指令中為兩指令間的管線,有將前一指令的結果導入後一指令的意味,
而 TDOH - PIPE 將成為 TDOH 與 各校園資安讀書會 / 社團 間的管線。

有鑑於目前校園中較缺乏的資安教育的課程與管道,而校外大部分皆為短期的 workshop、講座等,學生較容易缺乏學習夥伴與管道,因此 TDOH 期望在各校輔導原有的讀書會 / 社團,協助推廣資訊安全、增加技術交流、改善台灣資安學習環境等。

## 主要目標有以下四點:
    1. 輔導學生們成立與經營資安讀書會 / 社團
    2. 提供其每月一*次的資安技術教學
    3. 安排導師指導資安讀書會 / 社團
    4. 促進學生學習資安與互相交流技術


## TDOH - PIPE 課程方向

資訊安全的面向很廣,大方向可以分為 攻擊、防禦、鑑識 三大部份,
而這三大部份下的分支又十分地廣。
這學期主要先透過大家生活平常最相關的 WEB ,帶給大家相關的攻擊、防禦議題,
並會在本學期末舉辦小型的 CTF競賽,聽講之外也能有實作的部份。


# 本月內容

資安新聞及事件週報 2016/10/10 ~ 2016/10/14

**1.重大弱點漏洞:**
  Palo Alto PAN-OS 敏感資訊洩露漏洞
  http://securityadvisories.paloaltonetworks.com/

  Apache Tomcat 緩衝區滿溢漏洞
  http://tomcat.apache.org/security-jk.html#Fixed_in_Apache_Tomcat_JK_Connector_1.2.42

  F5 BIG-IP 漏洞 CVE-2016-5700
  https://support.f5.com/kb/en-us/solutions/public/k/35/sol35520031.html

  Winhex Editor DLL劫持漏洞
  https://cxsecurity.com/issue/WLB-2016020001

  VMware Horizon View 漏洞
  http://securitytracker.com/id/1036972

資安新聞及事件週報 2016/10/03 ~ 2016/10/07

**1.重大弱點漏洞:**
  Apache Tomcat 緩衝區滿溢漏洞 CVE-2016-6808
  http://tomcat.apache.org/security-jk.html#Fixed_in_Apache_Tomcat_JK_Connector_1.2.42

  Palo Alto PAN-OS 敏感資訊洩露漏洞
  http://securitytracker.com/id/1036968

  MariaDB 漏洞   CVE-2016-6662
  http://nvd.nist.gov/nvd.cfm?cvename=CVE-2016-6662

  Cisco發佈多項產品安全更新,部分漏洞可能導致認證繞過
  https://www.us-cert.gov/ncas/current-activity/2016/10/05/Cisco-Releases-Security-Updates

資安新聞及事件週報 2016/09/26 ~ 2016/09/30

**1.重大弱點漏洞:**
  Internet Systems Consortium(ISC)發布BIND的安全更新,部分漏洞可能導致阻斷服務攻擊
  http://www.cert.org.tw/twcert/advdetail/3344

  D-Link DWR-932 B遭爆有約20個安全漏洞,研究人員:別用了
  http://www.ithome.com.tw/news/108741

  swagger高危漏洞影響Java、PHP、NodeJS和 Ruby等語言
  https://www.taiwanfansclub.com/article-405880-1.html?mod=view&aid=405880&page=1&

  macOS Server、macOS Sierra、Safari與iCloud for Windows.存在多個弱點
  https://support.apple.com/en-us/HT207171

資安新聞及事件週報 2016/09/19 ~ 2016/09/23

**1.重大弱點漏洞:**
  升級需謹慎,iOS 10又曝出重大漏洞
  http://tech.fanpiece.com/leiphone/%E5%8D%87%E7%B4%9A%E9%9C%80%E8%AC%B9%E6%85%8E-iOS-10%E5%8F%88%E6%9B%9D%E5%87%BA%E9%87%8D%E5%A4%A7%E6%BC%8F%E6%B4%9E-c1245202.html

  Cisco Firepower Management Center漏洞(CVE-2016-6394)
  https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160907-fsmc

  Mozilla 計劃下週二釋出更新修復中間人攻擊漏洞
  http://www.solidot.org/story?sid=49711

  IE又爆漏洞美國軍方網站遭遇雪人攻擊
  http://online.ysbk0i.com/gwpj/21954.html

  黑客可通過寶馬門戶網站漏洞篡改BMW車輛的設置
  http://mini.eastday.com/a/160918163923884.html

TDOH-PIPE 資安交流活動 | 201609

# **TDOH - PIPE 是什麼?**

TDOH - PIPE 為 TDOH 所主導之校園資安讀書會 / 社團輔導專案計畫。

PIPE 在 Linux 指令中為兩指令間的管線,有將前一指令的結果導入後一指令的意味,
而 TDOH - PIPE 將成為 TDOH 與 各校園資安讀書會 / 社團 間的管線。

有鑑於目前校園中較缺乏的資安教育的課程與管道,而校外大部分皆為短期的 workshop、講座等,學生較容易缺乏學習夥伴與管道,因此 TDOH 期望在各校輔導原有的讀書會 / 社團,協助推廣資訊安全、增加技術交流、改善台灣資安學習環境等。

主要目標有以下四點:
- 輔導學生們成立與經營資安讀書會 / 社團
- 提供其每月一次的資安技術教學
- 安排導師指導資安讀書會 / 社團
- 促進學生學習資安與互相交流技術

## **關於 TDOH**

  TDOH 成立於 2013 年中,是當時一群對資安極具熱情的學生們所創立,期望利用社群的方式來推廣資訊安全、增加技術交流、改善台灣資安學習環境等。目前依舊耕耘著台灣資安人才培育的土壤,並且在全台各地與多所大專院校都有相關合作經驗和人手,是一個初具規模全國性校園資安社群。

  TDOH 近年來已有數十場講座舉辦經歷,也協助過多個社群單位與教育單位舉辦講座、課程,並發展多個資安教育平台的專案。平常則舉辦許多小型活動熱絡資安社群間的交流,而從 2016 年開始舉辦如 TDOH - PIPE、Conf 等大型活動,致力於打造更完善的資訊安全學習環境。

## **何謂 黑魔法防禦術?**

論資訊安全,台灣處於一個世界上稀有的處境。左邊是全世界最大的網軍集團,右邊是掌握最高技術的Big Brother。 中國以台灣作為跳板,試圖藉由世界對台灣的信任攻下更多領地,而美國的Xkeyscore早已監控全世界,隨時可以知道誰,在什麼地方,做什麼,甚至是的即時錄影錄音。 但是,我們呢?台灣網路被評比為全世界第二骯髒的網路,而我們的企業連自己要保護什麼都還不知道。

戰火早已開始,而我們還沒準備好。
Time to take action


## **關於駭客引路人 - 業師諮詢**

為了提供參與學生們更多學習與解惑的機會,每月活動都將邀請 2~5 位 優秀的業界前輩 / 資安圈內優秀的學生 們擔任活動業師參與下午的交流活動上,針對學生在資安學習路上遇到的任何困難提供諮詢喔 !
不知…

資安新聞及事件週報 2016/09/12 ~ 2016/09/16

**1.重大弱點漏洞:**
  MySQL驚爆零時差漏洞,殃及MariaDB與Percona DB
  http://www.ithome.com.tw/news/108454

  微軟一口氣修補47個漏洞,包含藏匿至少8年的Detours漏洞
  http://times.hinet.net/news/19285301

  VMware Workstation Pro 及 Player 多個漏洞
  http://securitytracker.com/id/1036805
  http://www.vmware.com/security/advisories/VMSA-2016-0014.html

  MySQL 權限提升漏洞
  http://legalhackers.com/advisories/MySQL-Exploit-Remote-Root-Code-Execution-Privesc-CVE-2016-6662.html
  http://securitytracker.com/id/1036769

The Declaration of Hacker (TDOH) 2016 年 南部大型 WorkShop

The Declaration of Hacker (TDOH) 2016 年 南部大型 WorkShop

睽違很久很久的 TDOH 南區WorkShop,即將在10月 1 號舉辦
很久沒有跟南區的資安先進、朋友一起做交流了

本次聚會改變以往只有一個議程一個講者的模式
採用雙軌WorkShop, 同時間有軟體分析以及伺服器滲透的議程
各為參加者可自由挑選自己有興趣的議程前去學習

機會難得,缺你不可,請一定要來喔!

資安新聞及事件週報 2016/9/5 ~ 2016/9/10

**1.重大弱點漏洞:**
  Adobe ColdFusion < 11 Update 10 - XML​​外部實體注入
  https://www.seebug.org/vuldb/ssvid-92397

  微軟抓漏獎勵擴大至.NET Core與ASP.NET Core
  http://www.ithome.com.tw/news/108214

  谷歌發布新安全更新修復Quadrooter全部漏洞
  http://tech.firefox.163.com/16/0907/06/0MDGP2I1XBL6JHW7.html

  Redhat RESTEasy漏洞(CVE-2016-6346)
  https://bugzilla.redhat.com/show_bug.cgi?id=1372120

資安新聞及事件週報 2016/8/29 ~ 2016/9/2

**1.重大弱點漏洞:**
  蘋果修補已遭鎖定的Safari及OS X漏洞
  http://www.ithome.com.tw/news/108168

  Windows 10周年更新釋出新版本,解決登入凍結問題
  http://www.ithome.com.tw/news/108155

  RED HAT UPDATE FOR KERNEL (RHSA-2016:1640)
  http://www.0daybank.org/?p=406

  Facebook密碼重置漏洞,黑客利用該漏洞重置任意FB賬號
  http://bobao.360.cn/news/detail/3506.html

  Cisco與Fortinet防火牆產品存在多個安全漏洞
  http://www.cpcm.pu.edu.tw/app/news.php?Sn=63

資安新聞及事件週報 2016/8/22 ~ 2016/8/26

**1.重大弱點漏洞:**
  思科修復了NSA黑客洩漏的0day漏洞
  http://fanli7.net/a/ITxinwen/hulianwang/20160820/572552.html

  思科開始修補遭「方程式」鎖定的漏洞
  http://www.ithome.com.tw/news/107916

  蘋果釋出iOS 9.3.5,緊急修補3個竊取資料的零時差漏洞
  http://www.ithome.com.tw/news/107939

  phpMyAdmin 漏洞 CVE-2016-6627
  https://www.phpmyadmin.net/security/PMASA-2016-50/

資安新聞及事件週報 2016/8/15 ~ 2016/8/19

**1.重大弱點漏洞:**
  蘋果iMessage存在漏洞 駭客仍有機會攻入
  https://contentparty.org/r/c3a1d487db6be8633a40c2d0c7c8a441

  思科與Fortinet坦承防火牆漏洞遭「方程式」外流攻擊工具鎖定
  http://www.ithome.com.tw/news/107826

  Fortinet FortiGate/FortiOS 遠端程式碼執行漏洞
  http://fortiguard.com/advisory/FG-IR-16-023
  http://securitytracker.com/id/1036643

  Apache Tomcat伺服器8.5.4(含)前的版本存在漏洞(CVE-2016-5388),允許攻擊者遠端執行中間人攻擊
  http://www.nccst.nat.gov.tw/VulnerabilityDetail?lang=zh&seq=1042

TDOH - PIPE 資訊安全讀書會 & 資安交流活動 | 201608

# TDOH - PIPE 是什麼?

TDOH - PIPE 為 TDOH 所主導之校園資安讀書會 /社團輔導專案計畫。

PIPE 在 Linux 指令中為兩只指令間的管線,有將前一指令的結果導入後一指令的意味,
而 TDOH - PIPE 將成為 TDOH 與 各校園資安讀書會 /社團 間的管線。

有鑑於目前校園中較缺乏的資安教育的課程與管道,而校外大部分皆為短期的 workshop、講座等,學生較容易缺乏學習夥伴與管道,因此 TDOH 期望在各校輔導原有的讀書會 /社團,或是協助推廣資訊安全、增加技術交流、改善台灣資安學習環境等。

資安新聞及事件週報 2016/8/8 ~ 2016/8/12

**1.重大弱點漏洞:**
  Linux爆核心漏洞,讓駭客能攔截未加密流量
  http://www.ithome.com.tw/news/107739

  VMware 多個漏洞 CVE-2016-5330 CVE-2016-5331
  http://www.vmware.com/security/advisories/VMSA-2016-0010.html

  D-Link 路由器遠端程式碼執行漏洞 CVE-2016-5681
  http://www.kb.cert.org/vuls/id/332115
  http://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10063

  Galaxy S7等逾9億支手機爆安全漏洞
  http://tw.on.cc/tw/bkn/cnt/finance/20160808/bkntw-20160808150825253-0808_04311_001.html

資安新聞及事件週報 2016/8/1 ~ 2016/8/5

**1.重大弱點漏洞:**
  駭客在身邊!非藍牙無線鍵盤恐洩漏個資
  https://cnews.com.tw/%E9%A7%AD%E5%AE%A2%E5%9C%A8%E8%BA%AB%E9%82%8A%EF%BC%81%E9%9D%9E%E8%97%8D%E7%89%99%E7%84%A1%E7%B7%9A%E9%8D%B5%E7%9B%A4%E6%81%90%E6%B4%A9%E6%BC%8F%E5%80%8B%E8%B3%87/

  Splunk 跨站脚本漏洞
  http://www.splunk.com/view/SP-CAAAPQM

  Google本周將修補上百個Android漏洞,過半和高通元件有關
  http://www.ithome.com.tw/news/107477

  Apache 2.4.23 (含)前的版本存在弱點(CVE-2016-5387),允許攻擊者遠端執行中間人攻擊
  http://www.nccst.nat.gov.tw/VulnerabilityDetail?lang=zh&seq=1041

  IBM AIX 遠程拒絕服務漏洞 CVE-2016-0281
  http://aix.software.ibm.com/aix/efixes/security/mustendd_advisory.asc

資安新聞及事件週報 2016/7/25 ~ 2016/7/29

## 1.重大弱點漏洞:

  使用無線鍵盤要小心! 8個品牌鍵盤遭點名含有遠端側錄漏洞
  http://www.ithome.com.tw/news/107375

  Oracle Agile PLM存在未明漏洞
  http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html

  蘋果系統被曝存安全漏洞
  http://news.sina.com.tw/article/20160726/18024785.html

  世界各地GSM和LTE移動網絡存在嚴重安全漏洞 CVE-2016-5080
  http://www.chnvc.com/xingyeqiye/2016-07-23/2050.html

TDOH HITCON 2016 Wargame 闖關說明!

# 活動說明:

- 活動舉辦時間: 2016/07/22 11:30 ~ 2016/07/23 14:00

- 闖關方式:
開始前請先到 **計分板** 進行帳號的註冊!(未註冊將無法答題與領取獎品)
請以 nc 的方式連上以下題目連結的五個題目中的任何一個,即可開始有趣的闖關囉!
如果成功解出以下題目的任何一題後,請再次連上計分板並登入您的帳號,之後選擇完成的題目並輸入取得的 key !
計分板將會告訴你是否闖關成功喔!

#  題目鏈結:

- [1] **Base64x16** : nc 139.162.3.235 3333                                         
- [2] **Loser'sFileReader**  : nc 139.162.3.235 2222            
- [3] **findMyKey**  : nc 139.162.3.235 5555                     
- [4] **tdohLoginSystem**   : nc 139.162.3.235 1111

- **計分板** : nc 139.162.3.235  16384

# 活動獎勵:

- 活動兌獎時間:2016/07/22 11:30 ~ 2016/07/23 14:30

- 活動兌獎方式:請來 TDOH 攤位上兌獎喔!

## 活動獎勵內容:

    1. TDOH 第一場 研討會! - TDOH Conf (駭客的地下城) 門票乙張
    僅限前10名全部解開者!
    2. TDOH 小背袋
    解出任意兩題以上即可兌換!
    3. TDOH USB LED 燈
    解出任意一題即可兌換!


主辦方保留以上所有內容的任意調整權力!一切將以現場攤位訊息為主!

資安新聞及事件週報 2016/7/18 ~ 2016/7/22

## 1.重大弱點漏洞:
  Adobe Reader/Acrobat釋放後重利用漏洞 CVE-2016-4255
  https://helpx.adobe.com/security/products/acrobat/apsb16-26.html

  shellshock 滲透測試 – CVE-2014-6271
  http://shazi.info/isda-%E9%9B%B2%E7%AB%AF%E8%B3%87%E5%AE%89%E5%88%86%E4%BA%AB%EF%BC%9Ashellshock-%E6%BB%B2%E9%80%8F%E6%B8%AC%E8%A9%A6-cve-2014-6271/

  Apple爆新漏洞:FaceTime通話或能被竊聽
  http://sina.com.hk/news/article/20160721/5/42/2/Apple%E7%88%86%E6%96%B0%E6%BC%8F%E6%B4%9E-FaceTime%E9%80%9A%E8%A9%B1%E6%88%96%E8%83%BD%E8%A2%AB%E7%AB%8A%E8%81%BD-6074841.html

  蘋果大規模修補旗下OS X與iOS等多個平台安全漏洞
  http://www.ithome.com.tw/news/107240

HITCON 2016 攤位活動

在今年眾所矚目的 HITCON 活動中,大家不要忘了來逛逛 TDOH 攤位唷, TDOH 是一個為了資安新手而存在的社群,為了讓更多對資安有興趣,卻又不知該如何入手的新手族群,更真實的了解什麼是資訊安全,我們也會在攤位活動中提供新手諮詢的服務,如果你已經略懂資安也不要灰心,還是可以到攤位來跟我們聊聊天,在 HITCON 活動同時,我們也會舉辦小型的 Wargame 比賽,成績優異者將會送出 TDOH 將於今年底待舉辦的大型活動 TDOH Conf 票券唷,活動詳情如下:

## 1. 新手諮詢服務
TDOH 攤位本次會提供新手諮詢服務,歡迎對於資安入門學習有困惑的學生前來與我們聊聊,聊天時我們還會免費提供汽水與神祕飲料喔 !

## 2. Wargame
按照往例 TDOH 今年在攤位上一樣有提供小型的 Wargame 比賽喔!
除了提供各式贈品外 ! 今年的前幾名的參賽者將有機會免費獲得 TDOH 於 12/17 於逢甲大學舉辦的第一場 TDOH Conf 的票卷。
關於 Wargame 活動詳細將在 HITCON 第一天 (2016/07/22 10:00 於官網與攤位上公布)

## 3. 其他諮詢
同時 TDOH 今年下半年將在中南部舉行兩場大型活動 TDOH Workshop & TDOH Conf !

- TDOH Workshop:
簡介 : 為了推動中南部的資安人才培育發展,TDOH今年特別把心力集中於中南部上!在南部的朋友請不要錯過這場雲集三位優秀講者且為期一整天的 Workshop 喔 !
日期 : 2016/10/1 09:00~17:00
地點 : 高雄軟體科技園區

- TDOH Conf:
簡介 : 想體驗與目前大部分資安研討會都不太一樣的研討會嗎?那你肯定要來我們攤位了解一下喔 !! 而如果你以為縮寫跟團體名稱一樣是我們取名偷懶,那你就錯惹惹惹~快來攤位這邊了解一下吧
日期 : 2016/12/17
地點 : 逢甲大學人言大樓 B1

- TODH PIPE:
而今年 TDOH 同時有針對學校資安社團或是資安讀書會的輔導培育計畫 - "**TODH-PIPE**",有興趣的學生們,請一定要來攤位上找我們聊聊唷。- [TDOH PIPE](http://tdohacker.org/posts/736440-tdoh-taiwanese-communi…

資安新聞及事件週報 2016/7/11 ~ 2016/7/15

## 1.重大弱點漏洞:

CVE-2016-4971: wget < 1.18 trusts server-provided filename on HTTP to FTP redirects
http://seclists.org/oss-sec/2016/q3/34

ISC BIND拒絕服務漏洞 CVE-2016-6170
https://lists.dns-oarc.net/pipermail/dns-operations/2016-July/015075.html

Acer雲儲存服務爆中間人攻擊漏洞現已修復
http://mt.sohu.com/20160707/n458262412.shtml

D-Links Wi-Fi CAM 漏洞將會影響超過120款不同的產品
http://bobao.360.cn/news/detail/3268.html

PowerDNS 漏洞 CVE-2016-6172
http://www.openwall.com/lists/oss-security/2016/07/06/4

SSRF導致命令執行可反彈Shell漏洞解決辦法
http://www.111cn.net/sys/linux/113895.htm

轉載:社交攻擊再進化 電商客服人員成攻擊目標

## 轉載:社交攻擊再進化 電商客服人員成攻擊目標
資安人 編輯部 -06/28/2016
資料來源:資安人網站

2016年初爆發多起臺灣人在海外詐騙被抓的新聞之後,勢必又勾起許多人心中的痛苦記憶,即數年前一度在臺灣非常盛行電話 詐騙案。當時詐騙集團都是利用電商或電視購物公司在個資管理上的漏洞,先取得消費者購物資訊之後,再透過各種術語誘騙受害人匯款。為解決此一問題,當時在 行政院主導下,各單位都採取相關措施,其中法務部則制訂新版個人資料管理法,並且在2012年10月1日正式實施後,才迫使商業組織開始強化自身管理消費 者資料的能力,解決民眾個資被濫用的問題。

資安新聞及事件週報 2016/7/4 ~ 2016/7/8

## 1.重大弱點漏洞:

TP-Link路由器曝安全漏洞,然公司並不想為之買單
http://www.wxrw123.com/hlw/20160705/1531310.html

Cisco Firepower System Software 漏洞 CVE-2016-1394
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160629-fp/

Lenovo Solution Center 漏洞 CVE-2016-5249
https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2016-012/?fid=8073
https://support.lenovo.com/us/en/product_security/len_7814

Apache Struts 漏洞 CVE-2016-4431
https://struts.apache.org/docs/s2-040.html
https://struts.apache.org/docs/version-notes-2329.html

TDOH Conf 2016 志工招募

**TDOHConf** 為國內資安社群TDOH所舉辦的大型學生資安研討會
旨在促進更多學生駭客間的交流與引導新手更快的踏路資安的領域

有鑑於許多非常棒的研討會都只辦在北部,對於中南部欲參加的學生來說路途相當遙遠
因此, TDOH 為了提升中南部學生的資安學習機會與意願

**TDOHConf** 將於**2016/12/17(六)** 在 **逢甲大學人言大樓**舉辦為期一整天的議程 !

舉辦一個精采的研討會需要集合眾人之力,因此 TDOH 真誠的期望您願意成為與我們共同舉辦精彩研討會的夥伴!

**欲招募之志工類型列表** :
- 【餐飲組】規劃與訂購美味茶點與午餐讓大家享用,主要工作為餐點的運送、發放。
- 【議程組-議程助理】準備議程資料、招待與協助講者。
- 【公關組】贊助洽談與聯繫、媒體聯繫與溝通、活動宣傳規劃
- 【場務組】場地佈置、場地收拾、場地門禁控管、場地人員進出控管,協助報發放便當與到事宜。
- 【形象組】協助公關組設計宣傳海報與相關美術設計 (含 LOGO、海報...等),規劃與製作研討會贈品與紀念品。
- 【紀錄組】拍攝正咩、惡搞照、帥氣的 HrJ ,拍攝活動進行的照片與影片,會後整理與釋出研討會影片。


*報名餐飲組、議程組、場務組、記錄組需12/16、17兩天均能到達活動現場。
*志工招募預計為期一個月,主要使用e-mail聯絡,請注意信箱!
*有到達活動現場協助的志工都將提供其食宿等,同時贈送活動紀念衣物等。

志工報名表單 : [TDOH Conf 志工招募](http://goo.gl/forms/4ow8ey38TXKYXjjf1 "TDOH Conf 志工招募")

我們期待您的加入 !
TDOHConf 工作團隊

TDOH-PIPE 全台資安社群/社團/讀書會聯絡資訊蒐集

# TDOH - PIPE 是什麼?

TDOH - PIPE 為 TDOH 所主導之校園資安讀書會 /社團輔導專案計畫。

PIPE 在 Linux 指令中為兩只指令間的管線,有將前一指令的結果導入後一指令的意味,
而 TDOH - PIPE 將成為 TDOH 與 各校園資安讀書會 /社團 間的管線。

有鑑於目前校園中較缺乏的資安教育的課程與管道,而校外大部分皆為短期的 workshop、講座等,學生較容易缺乏學習夥伴與管道,因此 TDOH 期望在各校輔導原有的讀書會 /社團,或是協助推廣資訊安全、增加技術交流、改善台灣資安學習環境等。

TDOH 2016 不解散的解散大食團

各位還記得去年的時候
有人放話要解散 TDOH 嗎? XD

為了因應哪天真的不小心被解散卻來不及辦歡送大食團
(這社群到底多愛大食團啊...?)

所以我們決定從 2015 年開始
每年都舉辦 "**解散大食團**"
舉辦到我們真的解散為止 !!!

很不幸的我們今年還是沒有要解散...
所以...只好來開大食團囉  \(A_A)/   



大食團時間 : **2016/04/09 19:30 ~ 21:30**

大食團地點:**辛殿麻辣鍋 - 松江南京店 ( 104台北市中山區松江路129-4號)**

大食團費用:**NT.654 (598 + 10%)**

大食團名額:**20** 人  

[KKTIX報名連結](http://tdohackerparty.kktix.cc/events/increasebmi)

SITCON 2016 攤位活動

Dear All,
又到了一年一度的 [SITCON](http://sitcon.org/2016/#target-home) 囉!

今年 TDOH 有在 SITCON 上擺攤喔!!
![](https://dl.dropboxusercontent.com/u/21600579/DSC_1781.JPG)

而 10:30 過後,攤位會開始有一些闖關小活動與問答喔!!
相關詳細內容會在 10:30 時公佈喔!

今天來 TDOH 攤位拍照並打卡,就送 #TDOH小米燈!!
而到 TDOH 粉絲頁點讚後到攤位上出示證明,就贈送 #TDOH便利貼 喔~!

TDOHacker 第二次人才招募(報名已截止)

# **TDOH 第二次人才招募(報名已截止)**

  去年度第一次人才招募的實習生已在去年的 12/31 完成實習,有十幾名新進成員加入 TDOH 幹部群,一起為了推廣台灣資安、培育台灣資安人才、提升台灣資安競爭力來貢獻時間與精力。
  儘管初步已有了些的成果,但是我們還是希望能招募更多的人來加入我們的行列。我們歡迎所有對資安或是對玩社群有興趣的夥伴加入,一起為了改善台灣的資安環境而努力,詳細的招募職位與要求請參考文章下方。

## **我們這段時間已經做了什麼?**

 - 我們已經完成初步的資安技能樹地圖以及 Wargame 學習平台,資安技能樹地圖其主旨為讓對資安有興趣的新手可以快速的了解學習資安的目標與方向。
 - 我們成立的宗旨之一為在全台各地區扶植資安社團與讀書會,提供講師與傳承的幫助。在這段時間內,我們成功的在淡江大學裡組成一個穩定的資訊安全讀書會。
 - 與台灣科技大學合作開設資安技術型課程、培育資安人才,詳細資訊可見過去的文章。

About US

組織宗旨 :
---------------------------------------------------------------------------------------
培育更多資安人才推廣資安,改變大眾對駭客的刻版印象讓駭客們不再孤單,舉辦各種活動、聚會、網路論壇支援與聯合各學校社團,讓資安文化深入學校並且傳承下去TDOHacker 成員 : ---------------------------------------------------------------------------------------
各區召集人 :
北區召集人︰HrJ
中區召集人︰Singo
南區召集人︰Leg_Bone
東區召集人︰這邊有坑喔~ 有沒有人要跳(揮手文書組:
組長︰ZAL
組員︰洋蔥教學組:
組長 : 莫風公關組組長︰
北區︰Teng
中區︰歡迎跳坑
南區︰歡迎跳坑
東區︰歡迎跳坑活動組:
北區:Inndy
中區︰Jyny
南區︰歡迎跳坑
東區︰歡迎跳坑總務組︰
北區:wai
中區:點點網管組:
組長︰科科
組員:花花
美宣:多多 文創組:
組長︰Alan
組員:Tang