| Информация |
|---|
| Обновление безопасности операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6), далее по тексту - Astra Linux, предназначено для нейтрализации угрозы эксплуатации уязвимостей в информационных системах. |
| Оглавление |
|---|
| Информация |
|---|
Настоящее обновление безопасности предназначено для нейтрализации угрозы эксплуатации уязвимости в Astra Linux с установленным оперативным обновлением 12 (БЮЛЛЕТЕНЬ № 20221220SE16). |
| Информация |
|---|
Настоящее обновление безопасности не является кумулятивным. При применении данного обновления другие виды обновлений автоматически не применяются и должны быть установлены отдельно. |
| Примечание |
Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения на портале технической поддержки. |
Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей
ядра linuxСУБД Redis
| Информация |
|---|
Нейтрализация угрозы эксплуатации уязвимостей осуществляется путём обновления отдельных пакетов. Пакеты с устраненными уязвимостями войдут в состав последующего кумулятивного оперативного обновления. |
| Примечание |
|---|
| Настоящее обновление безопасности необходимо устанавливать только если в Astra Linux установлены пакеты диска |
| Предупреждение |
| Если в системе используется программное обеспечение, разработанное с использованием средств разработки, необходимо выполнить обновление пакетов, размещённых на диске со средствами разработки. |
Подготовка к установке обновления
| Предупреждение |
|---|
Перед установкой обновлений:
|
| Предупреждение |
|---|
| Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке необходимо выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки). |
| Предупреждение | ||
|---|---|---|
| ||
| обновление Обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности ;на время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. Это может быть сделано с помощью инструментовfly-astra-update/astra-update или командой:
|
Загрузка и проверка tar-архива с обновлением пакетов диска со средствами разработки
Скачать tar-архив с обновлением пакетов диска со средствами разработки с помощью
WEBвеб-браузера по следующей ссылке:
- stable/smolensk/security-updates
- 20220407SE16MD/20220407SE16MD.tar.gz,
iso/repository-update-dev.iso
либо выполнив команду:Command stable/smolensk/security-updates/1.6/20220407SE16MD/20220407SE16MD.tar.gz- Перейти в каталог с tar-архивом
20220407SE16MD.tar.gz; - Загруженный tar-архив поместить в каталог /mnt на обновляемой системе и выполнить проверку. Возможные варианты проверки:
проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и
представленной ниже. Для получения контрольной суммы выполнить команду:
Command gostsum
-d /mnt/repository-update-dev.iso Контрольная сумма:
Информация
0e9c533a438adcd2093c20ddb09e2fb8a7eab2fc8450eb71c14275e194485238Распаковать архив, например, в каталог
/mnt/, выполнив команду:Command sudo tar xzvf 20220407SE16MD.tar.gz -C /mnt/
Полученный в результате распаковки tar-архива каталог
20220407SE16MDподключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог/mnt/20220407SE16MD/, необходимо:с помощью текстового редактора в файле
/etc/apt/sources.listдобавить строку вида:Блок кода deb file:/mnt/20220407SE16MD/ smolensk main contrib non-freeлибо выполнить команду:
Command echo "deb file:/mnt/20220407SE16MD/ smolensk main contrib non-free" | sudo tee -a /etc/apt/sources.list
затем выполнить повторную синхронизацию файлов описаний пакетов с их источником:
Command sudo apt update
| Подсказка |
|---|
Настоящее обновление безопасности подписано усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра": https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20220407SE16MD/20220407SE16MD.tar.gz.sig. Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов. |
После подключения репозитория, обновление пакетов может быть установлено одной из следующих команд:
| Command |
|---|
sudo astra-update -a -r |
| Command |
|---|
sudo apt dist-upgrade |
Установка обновления пакетов диска со средствами разработки
icon false ba23f902716517f707e5882223195da552d5fcb4c6d1a73b8f02301cb59bd9df
- проверка отсоединенной электронной подписи образ диска посредством ПО КриптоПро CSP.
Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
Порядок проверки:скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью веб
-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/
iso/repository-update-dev.iso.sig
либо выполнив команду:Command
Подсказка Настоящее обновление пакетов диска со средствами разработки подписано усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра": https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/devel/20220407SE16MD/20220407SE16MD-devel.tar.gz.sig.
Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.- загруженную электронную подпись поместить в каталог /mnt на обновляемой системе,
перейти в каталог /mnt и выполнить проверку, указав в качестве хранилища сертификатов непосредственно саму подпись (ключ -f <имя_файла_подписи>):
Command /opt/cprocsp/bin/amd64/cryptcp -verify -detached repository-update-dev.iso repository-update-dev.iso.sig -f repository-update-bin.dev.sig
В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.
Сообщение вида:
Блок кода Подпись проверена. [ErrorCode: 0x00000000]говорит о том, что проверка подписи завершена успешно.
Установка обновления пакетов диска со средствами разработки
Перейти в каталог tar-архивом
20220407SE16MD-devel.tar.gz;Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:
Command gostsum 20220407SE16MD-devel.tar.gz
Контрольная сумма:
Блок кода ec6908eeb9c19acf4c883e0dcc59b97f3b35b0db13c534c87889b82184543f8a
Распаковать архив, например, в каталог
/mnt/, выполнив команду:Command sudo tar xzvf 20220407SE16MD-devel.tar.gz -C /mnt/
Полученный в результате распаковки tar-архива каталог 20220407SE16MD-devel подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог
/mnt/20220407SE16MD-devel/, необходимо:с помощью текстового редактора в файле
/etc/apt/sources.listдобавить строку вида:Блок кода deb file:/mnt/20220407SE16MD-devel/ smolensk main contrib non-free
либо выполнить команду:
Command echo "deb file:/mnt/20220407SE16MD-devel/ smolensk main contrib non-free" | sudo tee -a /etc/apt/sources.list
затем выполнить повторную синхронизацию файлов описаний пакетов с их источником:
Command sudo apt update
После подключения репозитория, обновление пакетов может быть установлено одной из следующих команд:
Command sudo astra-update -a -r
Command sudo apt dist-upgrade
Завершение установки обновления
| Предупреждение | ||
|---|---|---|
После выполнения обновления необходимо перезагрузить систему. | ||
| Предупреждение | ||
| ||
После успешной установки обновления проверка целостности программных пакетов установочного диска осуществляется утилитой fly-admin-int-check с применением файла gostsums.txt, расположенного в распакованном каталоге 20220407SE16MD. |