Информация |
---|
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения |
Astra Linux Special Edition |
РУСБ.10015-01 (очередное обновление 1.6) в информационных системах. |
Оглавление |
---|
Информация |
---|
Методические указания не являются кумулятивными |
. При выполнении методических указаний |
другие виды обновлений |
автоматически не |
применяются и |
должны быть установлены отдельно. |
Информация |
---|
Перед выполнением действий настоящей методики безопасности необходимо установить оперативное обновление 6 (БЮЛЛЕТЕНЬ № 20200722SE16). |
Подсказка |
---|
Обновленные пакеты, в которых устранена угроза эксплуатации уязвимостей, включены в состав оперативного обновления 8 (БЮЛЛЕТЕНЬ № 20210730SE16). |
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей модуля ядра scsi_transport_iscsi
Предупреждение | ||
---|---|---|
| ||
Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности. |
Для полной нейтрализации угрозы эксплуатации уязвимостей CVE-2021-27365, CVE-2021-27363 и CVE-2021-27364 модуля ядра scsi_transport_iscsi:
Если модуль scsi_transport_iscsi
не используется, то запретить загрузку данного модуля, для чего:
Предупреждение Данный вариант неприменим для хостов, использующих СХД, подключенные по iscsi, том числе неприменим для хостов виртуализации ПК СВ Брест с СХД, подключенными по iscsi.
- Используя полномочиями администратора системы с высоким уровнем целостности с помощью текстового редактора открыть файл /etc/modprobe.d/blacklist.conf (если такого файла нет - создать его);
Добавить в файл строку, содержащую ключевое слово install, название блокируемого модуля и название модуля-заменителя:
Блок кода install scsi_transport_iscsi /bin/true
Обновить параметры загрузки командой:
Command sudo update-initramfs -uk all Если модуль загружен - перезагрузить систему командой:
Command lsmod | grep scsi_transport_iscsi && sudo reboot
- Используя полномочиями администратора системы с высоким уровнем целостности с помощью текстового редактора открыть файл /etc/modprobe.d/blacklist.conf (если такого файла нет - создать его);
- Если модуль используется и запрет его загрузки неприменим (например, на хостах виртуализации), следует запретить возможность входа пользователей, не имеющих привилегий администратора.
Информация |
---|
Эксплуатация данных уязвимостей уязвимостей CVE-2021-27365, CVE-2021-27363, CVE-2021-27364 возможна только после входа в локальную пользовательскую сессию. |
...