Методика безопасности, нейтрализующая угрозы эксплуатации уязвимости пакета polkit's pkexec (CVE-2021-4034)
Информация |
---|
Для минимизации угроз безопасности в Astra Linux, функционирующей на уровне защищенности «Усиленный» или «Максимальный», рекомендуется включить (если были ранее выключены) следующие функции подсистемы безопасности:
|
Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимости путём обновления пакетов. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. Обновление пакетов может выполняться непосредственно из распакованных файлов, централизованно из общего репозитория, или индивидуально из локальных репозиториев. Для использования репозиториев их настройку следует выполнить в соответствии с указаниями Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов а также Создание локальных и сетевых репозиториев.
Если обновить пакеты не представляется возможным, то необходимо снять SUID-бит для файлового объекта pkexec, выполнив команду:
Command |
---|
chmod 0755 /usr/bin/pkexec |
Порядок применения методики безопасности
- Скачать tar-архив с помощью WEB-браузера по следующей ссылке;
- Перейти в каталог с полученным tar-архивом;
Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:
Command gostsum 2022-0128se17md.tar.gz
Контрольная сумма:
Блок кода 46289e8cb3643afe0233b719eae852319b43961a6fe21f6190e8f580b8243d6a
Распаковать архив, выполнив команду:
Command tar xzvf 2022-0128se17md.tar.gz
После распаковки архива для установки будут доступен файл обновлений и файл gostsums.txt для проверки контрольных сумм файлов, входящих в ОС (см. руководство по КСЗ. Часть 1, раздел 9.1);
После распаковки архива обновление можно выполнить командой:
Command sudo dpkg -i sudo_1.8.19p1-2.1+deb9u3_amd64.deb
Предупреждение title Внимание При включенной функции подсистемы безопасности «Мандатный контроль целостности» обновление пакетов необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности.
Пример сценария установки обновления при наличии доступа в Интернет
Приведённый ниже сценарий выполняет следующие действия:
Загрузка архива с web-сайта Astra Linux;
Информация При отсутствии на обновляемом компьютере доступа к этому web-сайту загрузку из сети Интернет можно заменить копированием архива с подключенного носителя. При этом предполагается, что архив копируется в каталог /mnt.
- Распаковка архива;
- Создание записи о репозитории для менеджера пакетов;
- Обновление списоков репозиториев менеджера пакетов;
- Установка обновления;
- Опционально:
- Удаление созданной записи о репозитории;
- Удаление архива и распакованных файлов.
Сценарий:
Блок кода |
---|
#!/bin/bash
cd /mnt/
sudo wget https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.7/2022-0128se17md/2022-0128se17md.tar.gz
sudo tar xzf 2022-0128se17md.tar.gz
echo "deb file:///mnt/smolensk-1.7-2022-0128se17MD 1.7_x86-64 contrib main non-free" | sudo tee /etc/apt/sources.list.d/2022-0128se17md.list
sudo apt update
sudo apt dist-upgrade
#sudo rm /etc/apt/sources.list.d/2022-0128se17md.list
#sudo rm -rf /mnt/2022-0128se17md.tar.gz /mnt/smolensk-1.7-2022-0128se17MD |