Справочный центр

Дерево страниц

Сравнение версий

Старая версия 7

changes.mady.by.user Алексей Федоров

Сохранено

по сравнению с

Новая версия 8

changes.mady.by.user Алексей Федоров

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

 

Оглавление

Информация
titleДанная статья применима к:
 Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) с установленным обновлением


Описание проблемы

После установки оперативного обновления 1.7.6 (БЮЛЛЕТЕНЬ № 2024-0830SE17

(оперативное обновление 1.7.6

)

.

В последующих обновлениях ограничение будет устранено.

Описание проблемы

В Astra Linux реализован механизм для повышения безопасности, включающий в том числе запрет на исполнение кода в стеке.В связи с этим возможно нарушение работы прикладного стороннего программного обеспечения , если такое программное обеспечение использует небезопасные конструкции(ПО). При этом сообщение об ошибке содержит следующую фразу:

Блок кода
cannot enable executable stack as shared object requires: Permission denied

Начиная Данная ошибка возникает при попытке ПО разрешить исполнение кода в области памяти, выделяемой для стека в пользовательском пространстве. Исполнение такого кода может представлять угрозу для безопасности, поэтому по умолчанию запрещено начиная с оперативного обновления 1.7.6 (БЮЛЛЕТЕНЬ № 2024-0830SE17) указанный механизм включен по умолчанию.

Устранение проблемы

В случае возникновения нарушения работы установленного прикладного программного обеспечения, необходимо

. Подробнее — см. Ошибка при выполнении программ "cannot enable executable stack as shared object requires: Permission denied".

Добавить в список возможных проблем 1.7.6 примерно следующую конструкцию: 
- возможный симптом (программа не работает - выдается сообщение об ошибке). 
- причина - ссылка на статью с описанием нового механизма
- рекомендация: Предпочтительно - обратиться к производителю ПО за получением более безопасной версии. При необходимости продолжения эксплуатации текущей версии ПО - отключить новый защитный механизм. При этом будет отключен только вновь реализованный механизм и защита системы будет не ниже того уровня, который был по состоянию на обновление 1.7.5. 

Устранение проблемы

  1. Рекомендуется обратиться к производителю ПО за получением более безопасной версии.
  2. При необходимости продолжения эксплуатации текущей версии ПО — снять запрет исполнения кода в области памяти, выделяемой для стека.
Предупреждение
titleВНИМАНИЕ!

Описанные ниже действия следует выполнять только в случае некорректной работы легитимного прикладного программного обеспечения в информационной системе.

Не рекомендуется применять указанные настройки в качестве типового решения (настроек по умолчанию).
  1. При этом защита операционной системы будет не ниже того уровня, который был по состоянию на обновление 1.7.5 (БЮЛЛЕТЕНЬ № 2023-1023SE17)

  1. Чтобы снять запрет установки флага исполнения на область памяти, выделяемой для стека в пользовательском пространстве, необходимо:

    1. добавить параметр ядра parsec.execstack=1 в строку значений параметра GRUB_CMDLINE_LINUX_DEFAULT конфигурационного файла /etc/default/grub. Пример результирующей строки:
      Блок кода
      languagebash
      GRUB_CMDLINE_LINUX_DEFAULT="parsec.mac=0 quiet net.ifnames=0 parsec.execstack=1"
    2. обновить конфигурацию загрузчика:
      Command
      sudo update-grub
    3. перезагрузить компьютер.