Содержание

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (версия 1.5)  в информационных системах.

Table of Contents


Info
Методические указания не являются кумулятивными оперативными обновлениями безопасности. При выполнении методических указаний автоматическая установка оперативных обновлений безопасности не осуществляется, и обновления безопасности оперативные обновления  должны быть установлены отдельно.


Методика безопасности, нейтрализующая угрозы эксплуатации уязвимостей sudo

Warning
titleВнимание
Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы.

Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимостей, перечисленных в Списке уязвимостей, закрываемых обновлением №20210317SE15MD путём обновления пакетов, подверженных уязвимостям. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. Обновление пакетов может выполняться непосредственно из распакованных файлов, централизованно из общего репозитория, или индивидуально из локальных репозиториев. Для использования репозиториев их настройку следует выполнить в соответствии с указаниями Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов а также Создание локального репозитория

Порядок применения методики безопасности:

1. Загрузить архив по ссылке: Cсылка. При наличии подключения к Интернет это можно сделать с помощью web-браузера или командой:

Command
wget https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.5/20210317se15md/20210317se15md.tar.gz

2. Проверить соответствие контрольной суммы полученного архива, выполнив команду:

Command

gostsum 20210317se15md.tar.gz

Контрольная сумма:

Info
iconfalse

05f6a446109abdf144fa671ee7ad590d49d98b8770fb979c616667515dd1d9b3  20210317se15md.tar.gz


Tip

Архив подписан усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра" с использованием ключевого комплекта, выданного удостоверяющим центром Министерства Обороны Российской Федерации (Скачать).
Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке: https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty


Warning

В архиве содержатся файлы для обновления двух несовместимых пакетов: пакета sudo и пакета sudo-ldap. Обновлять следует только тот пакет, который уже установлен в системе. Обычно в ОС Astra Linux установен пакет sudo. Проверить какой именно пакет установлен можно командой:

Command
apt-cache policy sudo sudo-ldap


3. Распаковать архив, выполнив команду:

Command
tar xzf 20210317se15md.tar.gz

После распаковки архива для установки в текущем каталоге будет создан подкаталог 20210317se15md, в котором будут доступны два файла обновлений для двух пакетов и файл gostsums.txt для проверки контрольных сумм файлов, входящих в ОС (см. руководство по КСЗ. Часть 1, раздел 14.2):

  • Файлы для обновления пакетов:
    • sudo_1.8.10p3-1+deb8u8_amd64.deb для обновления пакета sudo;
    • sudo-ldap_1.8.10p3-1+deb8u8_amd64.deb для обновления пакета sudo-ldap;

4. После распаковки архива обновление можно выполнить одной из команд:

Обновление пакета
sudo
Обновление пакета
sudo-ldap
sudo dpkg -i 20210317se15md/sudo_1.8.10p3-1+deb8u8_amd64.deb20210317se15md/sudo-ldap_1.8.10p3-1+deb8u8_amd64.deb

Или обновить только установленный пакет командами:

Command

dpkg -s sudo && sudo dpkg -i 20210317se15md/sudo_1.8.10p3-1+deb8u8_amd64.deb
dpkg -s sudo-ldap && sudo dpkg -i 20210317se15md/sudo-ldap_1.8.10p3-1+deb8u8_amd64.deb


Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей модуля ядра scsi_transport_iscsi


Warning

Внимание
Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы.

Для полной нейтрализации угрозы эксплуатации уязвимостей CVE-2021-27365, CVE-2021-27363 и CVE-2021-27364 модуля ядра scsi_transport_iscsi:

  1. Если модуль scsi_transport_iscsi не используетсяследует, то запретить загрузку данного модуля, для чего:

    Warning
    Данный вариант неприменим для хостов, использующих СХД, подключенные по iscsi, том числе неприменим для хостов виртуализации ПК СВ Брест с СХД, подключенными по iscsi.


    1. Используя полномочиями администратора системы с высоким уровнем целостности с помощью текстового редактора открыть файл /etc/modprobe.d/blacklist.conf (если такого файла нет - создать его);

    2. Добавить в файл строку, содержащую ключевое слово install, название блокируемого модуля и название модуля-заменителя:

      Code Block
      install scsi_transport_iscsi /bin/true


    3. Обновить параметры загрузки командой:

      Command
      sudo update-initramfs -uk all


    4. Если модуль загружен - перезагрузить систему командой:

      Command
      lsmod | grep scsi_transport_iscsi && sudo reboot


  1. Если модуль используется и запрет его загрузки неприменим (например, на хостах виртуализации ПК СВ Брест), следует запретить возможность входа пользователей, не имеющих привилегий администратора.
Info
Эксплуатация уязвимостей CVE-2021-27365, CVE-2021-27363, CVE-2021-27364 возможна только после входа в локальную пользовательскую сессию.
После входа в локальную пользовательскую сессию эксплуатация уязвимостей возможна пользователем, не имеющим привилегий администратора.
Позволяющий осуществить эксплуатацию уязвимостей модуль ядра scsi_transport_iscsi по умолчанию не загружается.


Список нейтрализованных угроз безопасности

  • linux-modules

CVE-2021-27365, CVE-2021-27363, CVE-2021-27364

  • sudo

CVE-2021-3156

  • sudo-ldap

 CVE-2021-3156




...