Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

При включенном защитном механизме «Мандатный контроль целостности» применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.

На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности.

Сводная таблица устраненных уязвимостей Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)

Изоляция приложений с использованием инструмента Firejail описана в документе РУСБ.10152-02 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».

• По возможности запускать прикладное ПО в отдельной сессии. Для этого в графическом интерфейсе выбрать Пуск — Завершение работы — Новый вход.  После чего выбрать тип сессии: Отдельный или В окне (см. рис. ниже);

Image Removed

• Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями. По возможности активировать режим Киоск-2, подробнее - см. Системный Киоск: пакет parsec-kiosk2 (ограничения пользователя);

Блокировка интерпретатора bash может ограничить функционал некоторых программ и служб, не очевидным образом использующих bash, что приведет к нарушению штатной работы ОС.

После блокировки интерпретатора bash консольный вход пользователей с оболочкой bash будет невозможен.

Блокировку интерпретаторов можно включить используя графическую утилиту fly-admin-smc. Для этого:

• через графический интерфейс запустить утилиту (необходимы права администратора): Пуск — Панель управления — Безопасность — Политика безопасности;
• на боковой панели навигации выбрать пункт Настройки безопасности — Политика консоли и интерпретаторов и на рабочей панели установить следующие флаги:
  • Включить блокировку интерпретатора Bash для пользователей;
    
  • Включить блокировку интерпретаторов кроме Bash для пользователей;

• применить изменения — нажать комбинацию клавиш <Ctrl+S>.

sudo astra-interpreters-lock enable

sudo astra-interpreters-lock status

АКТИВНО

sudo astra-bash-lock enable

sudo astra-bash-lock status

АКТИВНО

После включения МКЦ и ЗПС необходимо перезагрузить ОС.

sudo astra-mic-control enable

После включения МКЦ необходимо перезагрузить ОС.

sudo astra-mic-control status

АКТИВНО

sudo astra-digsig-control enable

После включения ЗПС необходимо перезагрузить ОС.

sudo astra-digsig-control status

АКТИВНО

• Для уровней защищенности «Усиленный» и «Максимальный» — запускать прикладное ПО только в сессиях с низким или промежуточным (отличном от максимального) уровнем целостности (предварительно должен быть включен МКЦ):

  • при графическом входе в систему указать уровень целостности в диалоговом окне, которое появляется после успешного ввода аутентификационных параметров;

  • при консольном входе в систему дополнительных действий не требуется;

sudo astra-ilev1-control enable

sudo astra-ilev1-control status

АКТИВНО

• CVE-2017-6519.

sudo iptables -A INPUT -p udp --dport 5353 -j DROP

После добавления правила необходимо удостоверится в том, что изменения будут сохранены после перезагрузки ОС. Подробнее — см. Сохранение и восстановление правил iptables.

sudo ufw deny 5353/udp

• CVE-2021-23954;
• CVE-2021-23958;
• CVE-2021-23960;
• CVE-2021-23994;
• CVE-2021-23995;
• CVE-2021-23997;
• CVE-2021-29952;
• CVE-2021-29970;

• CVE-2021-30547.

В процессе эксплуатации ОС вместо ПО firefox рекомендуется использовать ПО chromium.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23958

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент WebRTC (если он включен), для этого:

• запустите браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку введите "about:config" и нажмите клавишу <Enter>;
• на открывшейся странице с предупреждением нажмите на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска введите следующее наименование параметра: "media.peerconnection.enabled";
• в появившейся строке с параметром установите значение false, нажав на кнопку [Переключить] (см. рисунок ниже);

Image Removed

• перезапустите веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23954 и CVE-2021-23960

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент JavaScript (если он включен), для этого:

• запустите браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку введите "about:config" и нажмите клавишу <Enter>;
• на открывшейся странице с предупреждением нажмите на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска введите следующее наименование параметра: "javascript.enabled";
• в появившейся строке с параметром установите значение false, нажав на кнопку [Переключить];
• перезапустите веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23994

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент WebGL (если он включен), для этого:

• запустите браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку введите "about:config" и нажмите клавишу <Enter>;
• на открывшейся странице с предупреждением нажмите на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска введите следующее наименование параметра: "webgl.disabled";
• в появившейся строке с параметром установите значение true, нажав на кнопку [Переключить];
• перезапустите веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23995

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить режим адаптивного дизайна (если он активен), для этого:

• запустите браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку введите "about:config" и нажмите клавишу <Enter>;
• на открывшейся странице с предупреждением нажмите на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска введите следующее наименование параметра: "devtools.policy.disabled";
• в появившейся строке с параметром установите значение true, нажав на кнопку [Переключить];
• перезапустите веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23997

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить функцию кэширования страниц, для этого:

1. запустите браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
2. в адресную строку введите "about:config" и нажмите клавишу <Enter>;
3. на открывшейся странице с предупреждением нажмите на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
4. на открывшейся странице Расширенные настройки в поле поиска введите следующее наименование параметра: "browser.cache.offline.enable";
5. в появившейся строке с параметром установите значение false, нажав на кнопку [Переключить];
6. повторите шаги 4 и 5 для следующих параметров:
   • browser.cache.disk.enable;
   • browser.cache.disk_cache_ssl;
   • browser.cache.memory.enable;
7. на странице Расширенные настройки в поле поиска введите следующее наименование параметра: "network.http.use-cache";
8. в появившейся строке с параметром нажмите на кнопку [+], а затем установите значение false, нажав на кнопку [Переключить];
9. перезапустите веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-29952

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент WebRender (если он включен), для этого:

• запустите браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку введите "about:config" и нажмите клавишу <Enter>;
• на открывшейся странице с предупреждением нажмите на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска введите следующее наименование параметра: "gfx.webrender.all";
• в появившейся строке с параметром установите значение false, нажав на кнопку [Переключить];
• перезапустите веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-29970

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить функцию специальные возможности (Accessibility features), для этого:

• запустите браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку введите "about:config" и нажмите клавишу <Enter>;
• на открывшейся странице с предупреждением нажмите на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска введите следующее наименование параметра: "accessibility.force_disabled";
• в появившейся строке с параметром нажмите на кнопку [Изменить] и в текстовом поле введите цифру "1";
• в строке с параметром нажмите на кнопку [Сохранить];
• перезапустите веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-30547

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить модуль ANGLE (если он включен), для этого:

• запустите браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку введите "about:config" и нажмите клавишу <Enter>;
• на открывшейся странице с предупреждением нажмите на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска введите следующее наименование параметра: "webgl.disable-angle";
• в появившейся строке с параметром установите значение true, нажав на кнопку [Переключить];
• перезапустите веб-браузер Firefox.

• CVE-2021-23961.

В процессе эксплуатации ОС вместо ПО firefox рекомендуется использовать ПО chromiun.

sudo iptables -A INPUT -p tcp --dport 6566 -j DROP

sudo iptables -A INPUT -p tcp --dport 10080 -j DROP

sudo iptables -A INPUT -p tcp --dport 69 -j DROP

sudo iptables -A INPUT -p tcp --dport 161 -j DROP

sudo iptables -A INPUT -p tcp --dport 1719 -j DROP

sudo iptables -A INPUT -p tcp --dport 137 -j DROP

После добавления правила необходимо удостоверится в том, что изменения будут сохранены после перезагрузки ОС. Подробнее — см. Сохранение и восстановление правил iptables.

sudo ufw deny 6566/tcp

sudo ufw deny 10080/tcp

sudo ufw deny 69/tcp

sudo ufw deny 161/tcp

sudo ufw deny 1719/tcp

sudo ufw deny 137/tcp

• CVE-2019-25013.

locale -a

ko_KR.euckr

Для удаления локалей используется утилита localepurge. Для её установки необходимо в терминале выполнить команду:

Во время установки утилиты во вкладке Файлы локалей, которые нужно оставить в системе, необходимо снять флаг ko_KR.EUC-KR (см. рисунок ниже).
Image Removed

• CVE-2018-15607.

<policy domain="resource" name="width" value="10KP"/>
<policy domain="resource" name="height" value="10KP"/>

• CVE-2012-2663.
  

• вместо критерия «--syn» использовать критерий «--tcp-flags SYN,ACK,FIN SYN»;

sudo iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j REJECT

После добавления правила необходимо удостоверится в том, что изменения будут сохранены после перезагрузки ОС. Подробнее — см. Сохранение и восстановление правил iptables.

• CVE-2021-3570.

sudo ptp4l -i eno1 -m -S

sudo iptables -A INPUT -p udp --dport 320 -j DROP

После добавления правила необходимо удостоверится в том, что изменения будут сохранены после перезагрузки ОС. Подробнее — см. Сохранение и восстановление правил iptables.

sudo ufw deny 320/udp

• Для уровней защищенности «Усиленный» и «Максимальный» — запускать прикладное ПО только в сессиях с низким или промежуточным (отличном от максимального) уровнем целостности (предварительно должен быть включен МКЦ):
  • при графическом входе в систему указать уровень целостности в диалоговом окне, которое появляется после успешного ввода аутентификационных параметров;
  • при консольном входе в систему дополнительных действий не требуется.

В процессе эксплуатации ОС вместо службы linuxptp рекомендуется использовать службу chronyd. Более подробно: Служба времени chronyd.

• CVE-2018-12327.

sudo ntpdate -q <доменное имя NTP-сервера>

sudo ntpdate -q ntp4.vniiftri.ru

server 89.109.251.24, stratum 1, offset 1.294563, delay 0.03233
5 Aug 13:42:09 ntpdate[1640]: step time server 89.109.251.24 offset 1.294563 sec

Рекомендуется использовать российские NTP-серверы ФГУП «ВНИИФТРИ», перечень которых доступен на официальном web-сайте ФГУП «ВНИИФТРИ» по ссылке: https://www.vniiftri.ru/catalog/services/sinkhronizatsiya-vremeni-cherez-ntp-servera/.

В процессе эксплуатации ОС вместо службы ntp рекомендуется использовать службу chronyd. Более подробно: Служба времени chronyd.

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения php

Для нейтрализации угрозы эксплуатации уязвимостей необходимо при разработке приложений с использованием SOAP-расширения для PHP указывать только доверенные SOAP-серверы. Для того чтобы проверить безопасность SOAP-сервера, можно воспользоваться специальным сервисом проверки, например, на web-сайте https://www.virustotal.com/gui/home/url.

• CVE-2020-8492;
• CVE-2021-3177.

• CVE-2010-2198;
• CVE-2010-2199;
• CVE-2017-7500.

sudo apt install alien

sudo alien <наименование пакета>.rpm


<наименование пакета>.deb generated

• CVE-2019-17041;
• CVE-2019-17042.

module(load="pmcisconames")
module(load="pmaixforwardedfrom")

• CVE-2020-12861.

net autodiscovery

• CVE-2021-26937.

defencoding KOI8-R

• BDU:2021-02727;
• CVE-2021-28652.

• Обязать пользователей использовать только HTTPS-соединения для доступа на ресурсы сети Интернет и для передачи сообщений;

http_access deny manager

• Если нет возможности полностью отключить доступ к Cache Manager, то необходимо усилить контроль доступа к Cache Manager — например, использовать аутентификацию или другие средства управления доступом. Подробнее — см. Кеширующий прокси-сервер squid.

• CVE-2005-2541.

sudo tar zxvf file.tar.gz --no-same-permissions