Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7), далее по тексту - Astra Linux, в информационных системах.



Информация

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.


Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости CVE-2022-0185


Предупреждение
titleВНИМАНИЕ!

При включенной функции подсистемы безопасности «Мандатный контроль целостности» методические указания необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.

Для нейтрализации угрозы эксплуатации уязвимости CVE-2022-0185 необходимо запретить непривилегированным пользователям создавать новые пространства имен пользователей, изменив установив значение параметра ядра kernel.unprivileged_userns_clone равным "0". Чтобы проверить текущее значение параметра ядра необходимо выполнить команду:

Command

sudo sysctl kernel.unprivileged_userns_clone

Параметр ядра kernel.unprivileged_userns_clone может принимать следующие значения:

  • 0 — в случае, когда непривилегированным пользователям запрещено создавать новые пространства имен пользователей;
  • 1 — в случае, когда непривилегированным пользователям разрешено создавать новые пространства имен пользователей.

Для того чтобы временно (до перезагрузки системы) запретить непривилегированным пользователям создавать новые пространства имен пользователей, необходимо выполнить команду:

Command

sudo sysctl -w kernel.unprivileged_userns_clone=0


Для того чтобы установленное значение параметра ядра сохранилось после перезагрузки, необходимо:

  1. Добавить в файл /etc/sysctl.d/999-astra.conf следующую строку: 

    Блок кода
    kernel.unprivileged_userns_clone = 0

    Это можно сделать следующей командой: 

    Command
    echo "kernel.unprivileged_userns_clone = 0" | sudo tee -a /etc/sysctl.d/999-astra.conf


  2. Перезагрузить параметры ядра, выполнив команду: 

    Command

    sudo sysctl --system



Примечание

При применении настоящей методики сервис Rootless docker, а также любые сервисы и решения в конфигурациях, требующих создания пространства имен пользователей непривилегированным пользователем, не будут функционировать в этом режиме.

В состав следующего оперативного обновления войдут обновлённые пакеты, в которых будет устранена угроза эксплуатации уязвимости без запрета создания пространства имен пользователей непривилегированным пользователем.


...