Справочный центр

Дерево страниц

Сравнение версий

Старая версия 4

changes.mady.by.user Алексей Федоров

Сохранено

по сравнению с

Новая версия 5

changes.mady.by.user Алексей Федоров

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.


Информация
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6), далее по тексту - Astra Linux, в информационных системах.


Информация

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.



Информация

Настоящее методические указания предназначены для нейтрализации угрозы эксплуатации уязвимости в Astra Linux с установленным оперативным обновлением 12 (бюллетень № 20221220SE16).


Подсказка

Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, будут включены в состав следующего оперативного обновления.


Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости службы сервера FreeIPA

Примечание

Информация об уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения в техническую поддержку.


Предупреждение
titleВНИМАНИЕ!

Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.

Для нейтрализации угрозы эксплуатации уязвимости службы сервера FreeIPA необходимо выполнить действия, описанные ниже.

  1. Запустить инструмент командной строки ldapmodify, выполнив следующую команду:

    Command

    ldapmodify -D "cn=Directory Manager" -W


  2. Ввести пароль администратора домена и, после успешной авторизации, ввести следующие строки:

    Блок кода
    dn: dc=brest<наименование_основоного_домена>,dc=local<наименование_доменной_зоны>
changetype: modify
delete: aci
aci: (targetattr = "userPassword")(version 3.0; acl "Users can read attr userPassword"; allow (read, compare,search) groupdn = "ldap:///anyone";)
-
add: aci
aci: (targetattr = "userPassword")(version 3.0; acl "Users can read attr userPassword"; allow (read, compare,search) groupdn = "ldap:///all";)
-

    нажать клавишу <ENTER> (дважды). О начале процесса внесения изменений настроек в настройки свидетельствует следующее сообщение:

    Блок кода
    modifying entry "dc=astradomin<наименование_основоного_домена>,dc=ad"<наименование_доменной_зоны>"

    после появления приглашения для ввода (и при отсутствии сообщений об ошибках) завершить работу инструмента командной строки ldapmodify, например, нажав комбинацию клавиш <Cntrl+C>.


Примечание

После применения настоящей методики необходимо провести смену паролей пользователей.

По умолчанию в домене FreeIPA используются следующие настройки сложности пароля:

  • минимальная длина пароля — 8 символов;
  • количество классов символов, используемых в пароле, — 2 класса символов. 

    Применяется следующий перечень классов символов:

    • буквы верхнего регистра;
    • буквы нижнего регистра;
    • цифры;
    • специальные символы;
    • пробелы и непечатаемые символы

При применении настоящей методики не будут функционировать любые сервисы в конфигурациях, требующих создание пространства имен пользователей непривилегированным пользователем. Такие сервисы чаще всего входят в состав средств управления контейнерами.

В состав следующего оперативного обновления войдут обновлённые пакеты, в которых будет устранена угроза эксплуатации уязвимости без необходимости запрета создания пространства имен пользователей непривилегированным пользователем
    • .