Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6), далее по тексту - Astra Linux, в информационных системах.
Оглавление |
---|
Информация |
---|
Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно. |
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости CVE-2022-0185
Примечание |
---|
Уязвимость присутствует в Astra Linux с установленным оперативным обновлением 1.6.10 и актуальна для ядра linux-5.4 версии 5.4.0-54astra7+ci26 |
Предупреждение | ||
---|---|---|
| ||
Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности. |
Информация |
---|
Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимости путём обновления пакетов. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. В последующем, эти пакеты войдут в состав следующего оперативного обновления. Для установки обновления используется инструмент командной строки |
Для нейтрализации угрозы эксплуатации уязвимости CVE-2022-0185 необходимо запретить непривилегированным пользователям создавать новые пространства имен пользователей, для этого выполнить команду:
Command |
---|
sudo chmod 0755 /usr/bin/pkexec |
Порядок применения методики безопасности
Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:
Command |
---|
gostsum 20220201SE16MD.tar.gz |
Контрольная сумма:
Блок кода |
---|
3e253dd91d836b6d79e9cd2e283bbdfd3c63f7951e8e5b1a5b7ff2b1a65e1a55 |
Распаковать архив, выполнив команду:
Command |
---|
tar xzvf 20220201SE16MD.tar.gz |
Информация |
---|
Полученный в результате распаковки tar-архива каталог 20220201SE16MD можно подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Если предполагается устанавливать обновление на компьютеры не используя сетевой репозиторий, то распаковать tar-архив можно сразу на съемный носитель, и далее обновление выполнять с этого носителя. |
Примечание |
---|
После распаковки tar-архива для установки будут доступны файлы обновлений и файл gostsums.txt для проверки контрольных сумм файлов, входящих в Astra Linux (см. раздел 9.1 документа РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1»). |
sysctl -w kernel.unprivileged_userns_clone=0 |
Примечание |
---|
При применении настоящей методики сервис Rootless docker, а также любые сервисы и решения в конфигурациях, требующих создания пространства имен пользователей непривилегированным пользователем, не будут функционировать в этом режиме. В состав следующего оперативного обновления войдут обновлённые пакеты, в которых будет устранена угроза эксплуатации уязвимости без запрета создания пространства имен пользователей непривилегированным пользователем. |
Установить обновление командой:
Command |
---|
sudo astra-debs-update-installed |
Предупреждение "Download is performed unsandboxed"/"Загрузка без ограничения песочницы" при установке обновления
При установке пакетов из файлов с помощью команды apt (используемой инструментом командной строки astra-scripts
) пакеты и их зависимости устанавливаются автоматически, но при успешном завершении установки выдается предупреждение:
Блок кода |
---|
N: Download is performed unsandboxed as root as file ... couldn't be accessed by user '_apt'. - pkgAcquire::Run (13: Отказано в доступе) |
или
Блок кода |
---|
N: Загрузка выполняется от лица суперпользователя без ограничений песочницы, так как файл «...» недоступен для пользователя «_apt». - pkgAcquire::Run (13: Отказано в доступе) |
Это предупреждение о том, что программа установщик, не имея нужных прав доступа к текущему каталогу, вынуждена была получить привилегии root
для выполнения установки. Установка при этом завершается успешно, и предупреждение можно игнорировать, однако с точки зрения безопасности, правильнее по возможности исключить работу с привилегиями root
. Для того, чтобы исключить это предупреждение, нужно на время выполнения установки предоставить служебному пользователю _apt
права на доступ к текущему каталогу. Примерный сценарий (предполагается, что tar-архив был распакован в каталог /mnt
):
Command |
---|
sudo setfacl -dm u:_apt:rwx /mnt/20220201SE16MD/ |