Информация |
---|
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6), далее по тексту - Astra Linux, в информационных системах. |
Информация |
---|
Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно. |
Информация |
---|
Настоящее методические указания предназначены для нейтрализации угрозы эксплуатации уязвимости в Astra Linux с установленным оперативным обновлением 12 (бюллетень № 20221220SE16). |
Подсказка |
---|
Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, будут включены в состав следующего оперативного обновления. |
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости службы сервера FreeIPA
Примечание |
---|
Информация об уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения в техническую поддержку. |
Предупреждение | ||
---|---|---|
| ||
Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. |
Для нейтрализации угрозы эксплуатации уязвимости службы сервера FreeIPA необходимо выполнить действия, описанные ниже.
Запустить инструмент командной строки
ldapmodify
, выполнив следующую команду:Command ldapmodify -D "cn=Directory Manager" -W
Ввести пароль администратора домена и, после успешной авторизации, ввести следующие строки:
Блок кода dn: dc=brest<наименование_основоного_домена>,dc=local<наименование_доменной_зоны> changetype: modify delete: aci aci: (targetattr = "userPassword")(version 3.0; acl "Users can read attr userPassword"; allow (read, compare,search) groupdn = "ldap:///anyone";) - add: aci aci: (targetattr = "userPassword")(version 3.0; acl "Users can read attr userPassword"; allow (read, compare,search) groupdn = "ldap:///all";) -
нажать клавишу <ENTER> (дважды). О начале процесса внесения изменений настроек в настройки свидетельствует следующее сообщение:
Блок кода modifying entry "dc=astradomin<наименование_основоного_домена>,dc=ad"<наименование_доменной_зоны>"
после появления приглашения для ввода (и при отсутствии сообщений об ошибках) завершить работу инструмента командной строки
ldapmodify
, например, нажав комбинацию клавиш <Cntrl+C>.
Примечание |
---|
После применения настоящей методики необходимо провести смену паролей пользователей. По умолчанию в домене FreeIPA используются следующие настройки сложности пароля:
При применении настоящей методики не будут функционировать любые сервисы в конфигурациях, требующих создание пространства имен пользователей непривилегированным пользователем. Такие сервисы чаще всего входят в состав средств управления контейнерами. В состав следующего оперативного обновления войдут обновлённые пакеты, в которых будет устранена угроза эксплуатации уязвимости без необходимости запрета создания пространства имен пользователей непривилегированным пользователем
|