| Информация |
|---|
Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимости путём обновления пакетов. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. |
...
Для установки обновления используется инструмент командной строки |
| Примечание | ||
|---|---|---|
Если обновить пакеты не представляется возможным, то необходимо снять SUID-бит для файлового объекта pkexec, выполнив команду:
|
Порядок применения методики безопасности
- Скачать tar-архив с помощью WEB-браузера по следующей ссылке;
- Перейти в каталог с полученным tar-архивом;
Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:
Command gostsum 2022-0128ce212md0128CE2.12MD.tar.gz
Контрольная сумма:
Блок кода 46289e8cb3643afe0233b719eae852319b43961a6fe21f6190e8f580b8243d6a 64e322a442bd1c4b2339927dec2dac0ba11b31d6a37161f88673816b74671efb
Распаковать архив, выполнив команду:
Command tar xzvf 2022-0128ce212md0128CE2.12MD.tar.gz
- Перейти в распакованный каталог 2022-0128CE2.12MD
Установить обновление После распаковки архива обновление можно выполнить командой:
Command sudo dpkg -i sudo_1.8.19p1-2.1+deb9u3_amd64.deb
Пример сценария установки обновления при наличии доступа в Интернет
Приведённый ниже сценарий выполняет следующие действия:
Загрузка архива с web-сайта Astra Linux;
| Информация |
|---|
При отсутствии на обновляемом компьютере доступа к этому web-сайту загрузку из сети Интернет можно заменить копированием архива с подключенного носителя. При этом предполагается, что архив копируется в каталог /mnt. |
...
- Удаление созданной записи о репозитории;
- Удаление архива и распакованных файлов.
astra-debs-update-installed
Предупреждение "Download is performed unsandboxed"/"Загрузка без ограничения песочницы" при установке обновления
При установке пакетов из файлов с помощью команды apt (используемой инструментом командной строки astra-scripts) пакеты и их зависимости устанавливаются автоматически, но при успешном завершении установки выдается предупреждение:
| Блок кода |
|---|
N: Download is performed unsandboxed as root as file ... couldn't be accessed by user '_apt'. - pkgAcquire::Run (13: Отказано в доступе) |
или
| Блок кода |
|---|
N: Загрузка выполняется от лица суперпользователя без ограничений песочницы, так как файл «...» недоступен для пользователя «_apt». - pkgAcquire::Run (13: Отказано в доступе) |
Это предупреждение о том, что программа установщик, не имея нужных прав доступа к текущему каталогу, вынуждена была получить привилегии root для выполнения установки. Установка при этом завершается успешно, и предупреждение можно игнорировать, однако с точки зрения безопасности, правильнее по возможности исключить работу с привилегиями root. Для того, чтобы исключить это предупреждение, нужно на время выполнения установки предоставить служебному пользователю _apt права на доступ к текущему каталогу. Примерный сценарий:
| Command |
|---|
sudo setfacl -dm u:_apt:rwx /mnt/2022-0128CE2.12MD/ |
Сценарий:
| Блок кода |
|---|
| #!/bin/bash cd /mnt/ sudo wget https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.7/2022-0128ce212md/2022-0128ce212md.tar.gz sudo tar xzf 2022-0128ce212md.tar.gz echo "deb file:///mnt/smolensk-1.7-2022-0128ce212MD orel contrib main non-free" | sudo tee /etc/apt/sources.list.d/2022-0128ce212md.list sudo apt update sudo apt dist-upgrade #sudo rm /etc/apt/sources.list.d/2022-0128ce212md.list #sudo rm -rf /mnt/2022-0128ce212md.tar.gz /mnt/smolensk-1.7-2022-0128ce212MD |