Сравнение версий
Ключ
- Эта строка добавлена.
- Эта строка удалена.
- Изменено форматирование.
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (версия 1.6) в информационных системах.
Оглавление
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости CVE-2020-12801
УязвимостьCVE-2020-12801 компонента текстового редактора libreoffice: после аварийного завершения работы и восстановления файла, защищенного защитным преобразованием данных, у пользователя имеется возможностью случайного сохранения незащищённой копии файла.
Для предотвращения эксплуатации указанной уязвимости при сохранении копий восстановленных защищенных файлов сохранять их как копию (команда "Сохранить как...") необходимо проверять , возможно с тем же самым именем файла), при этом в обязательном порядке проверить при корректность выставленных параметров защиты сохраняемых данных ("Сохранить с паролем" и "Зашифровать ключем GPG"), и, при необходимости, установить необходимые значения этих параметров.
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости CVE-2020-1938
Уязвимость CVEУязвимость CVE-2020-1938 (https://bdu.fstec.ru/vul/2020-00937) реализации протокола AJP в пакете tomcat8, позволяющая выполнение произвольного кода.
Для предотвращения эксплуатации указанной уязвимости:
Если AJP не эксплуатируется, то:
Запретить его использование, удалив или закомментировав в конфигурационном файле /var/lib/tomcat8/conf/server.xml строчку с параметрами этого протокола:
Блок кода <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
Закомментированная строчка должна выглядеть так:
Блок кода <!-- <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /> -->
В ОС СН Смоленск 1.6 эта строчка по умолчанию закомментирована, т.е. протокол по умолчанию отключён.
Если в конфигурационный файл были внесены изменения то чтобы изменения вступили в силу перезапустить сервис tomcat8:
Command sudo systemctl restart tomcat8
Если протокол AJP эксплуатируется, то следует запретить анонимные подключения, разрешив подключения только доверенным пользователям, для чего в конфигурационном файле /var/lib/tomcat8/conf/server.xml настроить параметры авторизации протокола:
Блок кода <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>
Информация |
---|
Методические указания не являются кумулятивными обновлениями безопасности. При выполнении методических указаний автоматическая установка обновлений безопасности не осуществляется, и обновления безопасности должны быть установлены отдельно. |
Предупреждение | ||
---|---|---|
| ||
Обновление и изменение конфигурации пакетов необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. При необходимости установки пакетов на время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. |