Информация |
---|
Методика безопасности для |
операционной системы |
общего назначения Astra Linux |
Common Edition |
2.12, далее по тексту - Astra Linux, предназначенная для нейтрализации уязвимостей в информационных системах. |
Примечание |
---|
Перечень уязвимостей, закрываемых настоящей методикой безопасности, предоставляется после соответствующего обращения на портале технической поддержки. |
Информация |
---|
Настоящая методика безопасности не является кумулятивной. При выполнении |
указаний данной методики безопасности другие виды обновлений автоматически не применяются и должны быть установлены отдельно. |
Примечание |
---|
Перед применением настоящей методикой безопасности рекомендуется обновить Astra Linux до версии 2.12.43 |
Методика безопасности, нейтрализующая
угрозыугрозу эксплуатации уязвимости пакета polkit's pkexec
(CVE-2021-4034)Информация |
---|
Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимости путём обновления пакетов. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. |
В последующем, эти пакеты войдут в состав следующего оперативного обновления. Для установки обновления используется инструмент командной строки |
Примечание |
---|
Если обновить пакеты не представляется возможным, то необходимо снять SUID-бит |
файла /usr/bin/pkexec, выполнив команду:
|
Порядок применения методики безопасности
- Скачать tar-архив с помощью WEB-браузера по следующей ссылке;
- Перейти в каталог с полученным tar-архивом;
Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:
Command gostsum 2022-0128se17md0128ce212md.tar.gz
Контрольная сумма:
Блок кода 46289e8cb3643afe0233b719eae852319b43961a6fe21f6190e8f580b8243d6a 1ae8f96727dde51b75d101ab07fee9bb33b78ad591865078c1ee9603a4370f64
Распаковать архив, выполнив команду: например, в каталог /mnt/2022-0128CE212MD, выполнив команды:
Command sudo mkdir /mnt/2022-0128CE212MD
sudo
Command tar xzvf 2022-0128se17md0128ce212md.tar.gz
После распаковки архива для установки будут доступен файл обновлений и файл gostsums.txt для проверки контрольных сумм файлов, входящих в ОС (см. руководство по КСЗ. Часть 1, раздел 9.1);
-C /mnt/2022-0128CE212MD
Перейти в каталог /mnt/2022-0128CE212MD:
Command cd /mnt/2022-0128CE212MD
Установить обновление После распаковки архива обновление можно выполнить командой:
Command sudo dpkg -i sudo_1.8.19p1-2.1+deb9u3_amd64.deb
Предупреждение title Внимание При включенной функции подсистемы безопасности «Мандатный контроль целостности» обновление пакетов необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности.
Пример сценария установки обновления при наличии доступа в Интернет
Приведённый ниже сценарий выполняет следующие действия:
Загрузка архива с web-сайта Astra Linux;
Информация |
---|
При отсутствии на обновляемом компьютере доступа к этому web-сайту загрузку из сети Интернет можно заменить копированием архива с подключенного носителя. При этом предполагается, что архив копируется в каталог /mnt. |
- Удаление созданной записи о репозитории;
- Удаление архива и распакованных файлов.
astra-debs-update-installed
Предупреждение "Download is performed unsandboxed"/"Загрузка без ограничения песочницы" при установке обновления
При установке пакетов из файлов с помощью команды apt (используемой инструментом командной строки astra-scripts
) пакеты и их зависимости устанавливаются автоматически, но при успешном завершении установки выдается предупреждение:
Блок кода |
---|
N: Download is performed unsandboxed as root as file ... couldn't be accessed by user '_apt'. - pkgAcquire::Run (13: Отказано в доступе) |
или
Блок кода |
---|
N: Загрузка выполняется от лица суперпользователя без ограничений песочницы, так как файл «...» недоступен для пользователя «_apt». - pkgAcquire::Run (13: Отказано в доступе) |
Это предупреждение о том, что программа установщик, не имея нужных прав доступа к текущему каталогу, вынуждена была получить привилегии root
для выполнения установки. Установка при этом завершается успешно, и предупреждение можно игнорировать, однако с точки зрения безопасности, правильнее по возможности исключить работу с привилегиями root
. Для того, чтобы исключить это предупреждение, нужно на время выполнения установки предоставить служебному пользователю _apt
права на доступ к текущему каталогу. Примерный сценарий (предполагается, что tar-архив был распакован в каталог /mnt/2022-0128CE212MD):
Command |
---|
sudo setfacl -m u:_apt:rwx /mnt/2022-0128CE212MD |
Сценарий:
Блок кода |
---|
#!/bin/bash cd /mnt/ sudo wget https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.7/2022-0128se17md/2022-0128se17md.tar.gz sudo tar xzf 2022-0128se17md.tar.gz echo "deb file:///mnt/smolensk-1.7-2022-0128se17MD 1.7_x86-64 contrib main non-free" | sudo tee /etc/apt/sources.list.d/2022-0128se17md.list sudo apt update sudo apt dist-upgrade #sudo rm /etc/apt/sources.list.d/2022-0128se17md.list #sudo rm -rf /mnt/2022-0128se17md.tar.gz /mnt/smolensk-1.7-2022-0128se17MD |