Справочный центр

Дерево страниц

Сравнение версий

Старая версия 1

changes.mady.by.user Алексей Федоров

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Алексей Федоров

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.


Информация

Методика безопасности для

Методические указания по нейтрализации угроз эксплуатации уязвимостей

операционной системы

специального

общего назначения Astra Linux

Special

Common Edition

РУСБ.10015-01 (очередное обновление 1.7)

2.12, далее по тексту - Astra Linux, предназначенная для нейтрализации уязвимостей в информационных системах.

toc


Примечание

Перечень уязвимостей, закрываемых настоящей методикой безопасности, предоставляется после соответствующего обращения на портале технической поддержки.



Информация
Методические указания не являются кумулятивными

Настоящая методика безопасности не является кумулятивной. При выполнении

методических

указаний данной методики безопасности другие виды обновлений автоматически не применяются и должны быть установлены отдельно.


Примечание

Перед применением настоящей методикой безопасности рекомендуется обновить Astra Linux до версии 2.12.43


Методика безопасности, нейтрализующая

угрозы

угрозу эксплуатации уязвимости пакета polkit's pkexec

(CVE-2021-4034)

Для минимизации угроз безопасности в Astra Linux, функционирующей на уровне защищенности «Усиленный» или «Максимальный», рекомендуется включить (если были ранее выключены) следующие функции подсистемы безопасности:
Информация
  • Мандатный контроль целостности (МКЦ), включая режим МКЦ на файловой системе (см. руководство по КСЗ. Часть 1, раздел 4.8);
  • Замкнутая программная среда (ЗПС) — см. руководство по КСЗ. Часть 1, раздел 16.1.

Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимости путём обновления пакетов. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами.

Обновление пакетов может выполняться непосредственно из распакованных файлов, централизованно из общего репозитория, или индивидуально из локальных репозиториев. Для использования репозиториев их настройку следует выполнить в соответствии с указаниями Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов а также Создание локальных и сетевых репозиториев

В последующем, эти пакеты войдут в состав следующего оперативного обновления.

Для установки обновления используется инструмент командной строки astra-scripts (необходимо установить, если был ранее удалён).


Примечание

Если обновить пакеты не представляется возможным, то необходимо снять SUID-бит

для файлового объекта

файла /usr/bin/pkexec, выполнив команду:

Command

sudo chmod 0755 /usr/bin/pkexec


Порядок применения методики безопасности

  1. Скачать tar-архив с помощью WEB-браузера по следующей ссылке;
  2. Перейти в каталог с полученным tar-архивом;

  3. Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:

    Command

    gostsum 2022-0128se17md0128ce212md.tar.gz

    Контрольная сумма:

    Блок кода
    46289e8cb3643afe0233b719eae852319b43961a6fe21f6190e8f580b8243d6a 1ae8f96727dde51b75d101ab07fee9bb33b78ad591865078c1ee9603a4370f64


  4. Распаковать архив, выполнив команду: например, в каталог /mnt/2022-0128CE212MD, выполнив команды:

    Command

    sudo mkdir  /mnt/2022-0128CE212MD

    sudo

    Command

    tar xzvf 2022-0128se17md0128ce212md.tar.gz

    После распаковки архива для установки будут доступен файл обновлений и файл gostsums.txt для проверки контрольных сумм файлов, входящих в ОС (см. руководство по КСЗ. Часть 1, раздел 9.1);

    -C  /mnt/2022-0128CE212MD


  5. Перейти в каталог  /mnt/2022-0128CE212MD:

    Command

    cd /mnt/2022-0128CE212MD 


  6. Установить обновление После распаковки архива обновление можно выполнить командой: 

    Command

    sudo dpkg -i sudo_1.8.19p1-2.1+deb9u3_amd64.deb

    Предупреждение
    titleВнимание

    При включенной функции подсистемы безопасности «Мандатный контроль целостности» обновление пакетов необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.

    На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности.

Пример сценария установки обновления при наличии доступа в Интернет

Приведённый ниже сценарий выполняет следующие действия:

Загрузка архива с web-сайта Astra Linux; 

Информация

При отсутствии на обновляемом компьютере доступа к этому web-сайту загрузку из сети Интернет можно заменить копированием архива с подключенного носителя. При этом предполагается, что архив копируется в каталог /mnt.

  • Распаковка архива;
  • Создание записи о репозитории для менеджера пакетов;
  • Обновление списоков репозиториев менеджера пакетов;
  • Установка обновления;
  • Опционально:
    1. Удаление созданной записи о репозитории;
    2. Удаление архива и распакованных файлов.

    1. astra-debs-update-installed


    Предупреждение "Download is performed unsandboxed"/"Загрузка без ограничения песочницы" при установке обновления

    При установке пакетов из файлов с помощью команды apt (используемой инструментом командной строки astra-scripts) пакеты и их зависимости устанавливаются автоматически, но при успешном завершении установки выдается предупреждение:

    Блок кода
    N: Download is performed unsandboxed as root as file ... couldn't be accessed by user '_apt'. - pkgAcquire::Run (13: Отказано в доступе)

    или

    Блок кода
    N: Загрузка выполняется от лица суперпользователя без ограничений песочницы, так как файл «...» недоступен для пользователя «_apt». - pkgAcquire::Run (13: Отказано в доступе)

    Это предупреждение о том, что программа установщик, не имея нужных прав доступа к текущему каталогу, вынуждена была получить привилегии root для выполнения установки.  Установка при этом завершается успешно, и предупреждение можно игнорировать, однако с точки зрения безопасности, правильнее по возможности исключить работу с привилегиями root. Для того, чтобы исключить это предупреждение, нужно на время выполнения установки предоставить служебному пользователю _apt права на доступ к текущему каталогу. Примерный сценарий (предполагается, что tar-архив был распакован в каталог /mnt/2022-0128CE212MD):

    Command

    sudo setfacl -m u:_apt:rwx /mnt/2022-0128CE212MD
    cd /mnt/2022-0128CE212MD 
    sudo astra-debs-update-installed
    sudo setfacl -x u:_apt /mnt/2022-0128CE212MD

    Сценарий: 

    Блок кода
    #!/bin/bash cd /mnt/ sudo wget https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.7/2022-0128se17md/2022-0128se17md.tar.gz sudo tar xzf 2022-0128se17md.tar.gz echo "deb file:///mnt/smolensk-1.7-2022-0128se17MD 1.7_x86-64 contrib main non-free" | sudo tee /etc/apt/sources.list.d/2022-0128se17md.list sudo apt update sudo apt dist-upgrade #sudo rm /etc/apt/sources.list.d/2022-0128se17md.list #sudo rm -rf /mnt/2022-0128se17md.tar.gz /mnt/smolensk-1.7-2022-0128se17MD