Справочный центр

Дерево страниц

Сравнение версий

Старая версия 1

changes.mady.by.user Алексей Федоров

Сохранено

по сравнению с

Новая версия 2

changes.mady.by.user Алексей Федоров

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.


Информация
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6), далее по тексту - Astra Linux, в информационных системах.


Информация

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.



Информация

Настоящее методические указания предназначены для нейтрализации угрозы эксплуатации уязвимости в Astra Linux с установленным оперативным обновлением 12 (бюллетень № 20221220SE16).


Подсказка

Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, будут включены в состав следующего оперативного обновления.


Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости

ядра linux

службы сервера FreeIPA

Примечание

Информация о об уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения на портале технической поддержки.

Подсказка

В данной методике безопасности представлены методические рекомендации по устранению уязвимости. Обновлённые пакеты ядра Linux, в которых устранена уязвимость, предоставлены в бюллетене №20220318SE16MDв техническую поддержку.


Предупреждение
titleВНИМАНИЕ!

Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.

Для нейтрализации угрозы эксплуатации уязвимости ядра linux необходимо запретить непривилегированным пользователям создавать новые пространства имен пользователей, установив значение параметра ядра kernel.unprivileged_userns_clone равным "0". Чтобы проверить текущее значение параметра ядра необходимо выполнить команду:

Command

sudo sysctl kernel.unprivileged_userns_clone

Параметр ядра kernel.unprivileged_userns_clone может принимать следующие значения:

  • 0 — в случае, когда непривилегированным пользователям запрещено создавать новые пространства имен пользователей;
  • 1 — в случае, когда непривилегированным пользователям разрешено создавать новые пространства имен пользователей.

Для того чтобы временно (до перезагрузки системы) запретить непривилегированным пользователям создавать новые пространства имен пользователей, необходимо выполнить команду:

Command

sudo sysctl -w kernel.unprivileged_userns_clone=0

Для того чтобы установленное значение параметра ядра сохранилось после перезагрузки, необходимо:

службы сервера FreeIPA необходимо выполнить действия, описанные ниже.

  1. Запустить инструмент командной строки ldapmodify, выполнив следующую команду:

    Command

    ldapmodify -D "cn=Directory Manager" -W


  2. Ввести пароль администратора домена и, после успешной авторизации, ввести следующие строки:

    Command

    dn: dc=astradomin,dc=ad
    changetype: modify
    delete: aci
    aci: (targetattr = "userPassword")(version 3.0; acl "Users can read attr userPassword"; allow (read, compare,search) groupdn = "ldap:///anyone";)
    -
    add: aci
    aci: (targetattr = "userPassword")(version 3.0; acl "Users can read attr userPassword"; allow (read, compare,search) groupdn = "ldap:///all";)
    -

    нажать клавишу <ENTER>. О начале процесса внесения изменений настроек свидетельствует следующее сообщение:

    Блок кода
    modifying entry "dc=astradomin,dc=ad"

    3. Добавить в файл /etc/sysctl.d/999-astra.conf следующую строку: 

    Блок кода
    kernel.unprivileged_userns_clone = 0

    Это можно сделать следующей командой: 

    Command
    echo "kernel.unprivileged_userns_clone = 0" | sudo tee -a /etc/sysctl.d/999-astra.conf

    Перезагрузить параметры ядра, выполнив команду: 

    Commandsudo sysctl --system


 Примечание
При применении настоящей методики не будут функционировать любые сервисы в конфигурациях, требующих создание пространства имен пользователей непривилегированным пользователем. Такие сервисы чаще всего входят в состав средств управления контейнерами.
В состав следующего оперативного обновления войдут обновлённые пакеты, в которых будет устранена угроза эксплуатации уязвимости без необходимости запрета создания пространства имен пользователей непривилегированным пользователем.

...