Информация |
---|
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6), далее по тексту - Astra Linux, в информационных системах. |
Оглавление |
---|
Информация |
---|
Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно. |
Информация |
---|
Перед выполнением действий настоящей методики безопасности необходимо установить оперативное обновление 10 (бюллетень № 20211126SE16). |
Подсказка |
---|
Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, включены в состав оперативного обновления 11 (бюллетень № 20220829SE16). Если нет возможности установить оперативное обновление 11, можно воспользоваться обновлением безопасности БЮЛЛЕТЕНЬ № 2022-0318SE16MD. |
Методика безопасности, нейтрализующая
угрозыугрозу эксплуатации уязвимости пакета polkit's pkexec
(CVE-2021-4034)Примечание |
---|
Информация о уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения на портале технической поддержки. |
Предупреждение | ||
---|---|---|
| ||
Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. |
Информация |
---|
Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимости путём обновления пакетов. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. |
В последующем, эти пакеты войдут в состав следующего оперативного обновления. Для установки обновления используется инструмент командной строки |
Примечание |
---|
Если обновить пакеты не представляется возможным, то необходимо снять SUID-бит |
файла /usr/bin/pkexec, выполнив команду:
|
Порядок применения методики безопасности
- Скачать tar-архив с помощью WEB-браузера по следующей ссылке ;
- Перейти в каталог с полученным tar-архивом;
Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:
Command gostsum 2022-0128se17md20220201SE16MD.tar.gz
Контрольная сумма:
Блок кода 46289e8cb3643afe0233b719eae852319b43961a6fe21f6190e8f580b8243d6a 3e253dd91d836b6d79e9cd2e283bbdfd3c63f7951e8e5b1a5b7ff2b1a65e1a55
Распаковать архив, выполнив команду:
После распаковки архива для установки будут доступен файлCommand tar xzvf 2022-0128se17md.tar.gz
20220201SE16MD.tar.gz
Информация Полученный в результате распаковки tar-архива каталог 20220201SE16MD можно подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Если предполагается устанавливать обновление на компьютеры не используя сетевой репозиторий, то распаковать tar-архив можно сразу на съемный носитель, и далее обновление выполнять с этого носителя.
ОС (см. руководствоПримечание После распаковки tar-архива для установки будут доступны файлы обновлений и файл gostsums.txt для проверки контрольных сумм файлов, входящих в
1, раздел 9.1);Astra Linux (см. раздел 9.1 документа РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть
1»).
- Перейти в распакованный каталог 20220201SE16MD
Установить обновление После распаковки архива обновление можно выполнить командой:
Command sudo dpkg -i sudo_1.8.19p1-2.1+deb9u3_amd64.deb
Предупреждение title Внимание При включенной функции подсистемы безопасности «Мандатный контроль целостности» обновление пакетов необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности.
Пример сценария установки обновления при наличии доступа в Интернет
Приведённый ниже сценарий выполняет следующие действия:
Загрузка архива с web-сайта Astra Linux;
Информация |
---|
При отсутствии на обновляемом компьютере доступа к этому web-сайту загрузку из сети Интернет можно заменить копированием архива с подключенного носителя. При этом предполагается, что архив копируется в каталог /mnt. |
- Удаление созданной записи о репозитории;
- Удаление архива и распакованных файлов.
astra-debs-update-installed
Предупреждение "Download is performed unsandboxed"/"Загрузка без ограничения песочницы" при установке обновления
При установке пакетов из файлов с помощью команды apt (используемой инструментом командной строки astra-scripts
) пакеты и их зависимости устанавливаются автоматически, но при успешном завершении установки выдается предупреждение:
Блок кода |
---|
N: Download is performed unsandboxed as root as file ... couldn't be accessed by user '_apt'. - pkgAcquire::Run (13: Отказано в доступе) |
или
Блок кода |
---|
N: Загрузка выполняется от лица суперпользователя без ограничений песочницы, так как файл «...» недоступен для пользователя «_apt». - pkgAcquire::Run (13: Отказано в доступе) |
Это предупреждение о том, что программа установщик, не имея нужных прав доступа к текущему каталогу, вынуждена была получить привилегии root
для выполнения установки. Установка при этом завершается успешно, и предупреждение можно игнорировать, однако с точки зрения безопасности, правильнее по возможности исключить работу с привилегиями root
. Для того, чтобы исключить это предупреждение, нужно на время выполнения установки предоставить служебному пользователю _apt
права на доступ к текущему каталогу. Примерный сценарий (предполагается, что tar-архив был распакован в каталог /mnt
):
Command |
---|
sudo setfacl -dm u:_apt:rwx /mnt/20220201SE16MD/ |
Сценарий:
Блок кода |
---|
#!/bin/bash cd /mnt/ sudo wget https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.7/2022-0128se17md/2022-0128se17md.tar.gz sudo tar xzf 2022-0128se17md.tar.gz echo "deb file:///mnt/smolensk-1.7-2022-0128se17MD 1.7_x86-64 contrib main non-free" | sudo tee /etc/apt/sources.list.d/2022-0128se17md.list sudo apt update sudo apt dist-upgrade #sudo rm /etc/apt/sources.list.d/2022-0128se17md.list #sudo rm -rf /mnt/2022-0128se17md.tar.gz /mnt/smolensk-1.7-2022-0128se17MD |