Информация |
---|
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6), далее по тексту - Astra Linux, в информационных системах. |
Информация |
---|
Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно. |
Информация |
---|
Перед выполнением действий настоящей методики безопасности необходимо установить оперативное обновление 10 (бюллетень № 20211126SE16). |
Подсказка |
---|
Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, включены в состав оперативного обновления 11 (бюллетень № 20220829SE16). Если нет возможности установить оперативное обновление 11, можно воспользоваться обновлением безопасности БЮЛЛЕТЕНЬ № 2022-0318SE16MD. |
Методика безопасности, нейтрализующая угрозу эксплуатации
уязвимости CVE-2022-0185уязвимости ядра linux
Примечание |
---|
Информация о уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения на портале технической поддержки. |
Подсказка |
---|
В данной методике безопасности представлены методические рекомендации по устранению уязвимости. Обновлённые пакеты ядра Linux, в которых устранена уязвимость, предоставлены в бюллетене №20220318SE16MD. |
Предупреждение | ||
---|---|---|
| ||
Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности. | ||
Информация |
Для нейтрализации угрозы эксплуатации уязвимости
путём обновления пакетов. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. В последующем, эти пакеты войдут в состав следующего оперативного обновления.Для установки обновления используется инструмент командной строки astra-scripts
(необходимо установить, если был ранее удалён).
ядра linux необходимо запретить непривилегированным пользователям создавать новые пространства имен пользователей, установив значение параметра ядра kernel.unprivileged_userns_clone
равным "0". Чтобы проверить текущее значение параметра ядра необходимо выполнить команду:
Command |
---|
sudo chmod 0755 /usr/bin/pkexec |
Порядок применения методики безопасности
sysctl kernel.unprivileged_userns_clone |
Параметр ядра kernel.unprivileged_userns_clone
может принимать следующие значения:
- 0 — в случае, когда непривилегированным пользователям запрещено создавать новые пространства имен пользователей;
- 1 — в случае, когда непривилегированным пользователям разрешено создавать новые пространства имен пользователей.
Для того чтобы временно (до перезагрузки системы) запретить непривилегированным пользователям создавать новые пространства имен пользователей, необходимо
Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммывыполнить команду:
Command |
---|
gostsum 20220201SE16MD.tar.gz
Контрольная сумма:
Блок кода |
---|
3e253dd91d836b6d79e9cd2e283bbdfd3c63f7951e8e5b1a5b7ff2b1a65e1a55 |
Распаковать архив, выполнив команду:
Command |
---|
tar xzvf 20220201SE16MD.tar.gz |
Информация |
---|
Полученный в результате распаковки tar-архива каталог 20220201SE16MD можно подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Если предполагается устанавливать обновление на компьютеры не используя сетевой репозиторий, то распаковать tar-архив можно сразу на съемный носитель, и далее обновление выполнять с этого носителя. |
Примечание |
---|
После распаковки tar-архива для установки будут доступны файлы обновлений и файл gostsums.txt для проверки контрольных сумм файлов, входящих в Astra Linux (см. раздел 9.1 документа РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1»). |
sudo sysctl -w kernel.unprivileged_userns_clone=0 |
Для того чтобы установленное значение параметра ядра сохранилось после перезагрузки, необходимо:
Добавить в файл
/etc/sysctl.d/999-astra.conf
следующую строку:Блок кода kernel.unprivileged_userns_clone = 0
Это можно сделать следующей командой:
Command echo "kernel.unprivileged_userns_clone = 0" | sudo tee -a /etc/sysctl.d/999-astra.conf Перезагрузить параметры ядра, выполнив команду:
Command sudo sysctl --system
Примечание |
---|
При применении настоящей методики не будут функционировать любые сервисы в конфигурациях, требующих создание пространства имен пользователей непривилегированным пользователем. Такие сервисы чаще всего входят в состав средств управления контейнерами. В состав следующего оперативного обновления войдут обновлённые пакеты, в которых будет устранена угроза эксплуатации уязвимости без необходимости запрета создания пространства имен пользователей непривилегированным пользователем. |
Установить обновление командой:
Command |
---|
sudo astra-debs-update-installed |
Предупреждение "Download is performed unsandboxed"/"Загрузка без ограничения песочницы" при установке обновления
При установке пакетов из файлов с помощью команды apt (используемой инструментом командной строки astra-scripts
) пакеты и их зависимости устанавливаются автоматически, но при успешном завершении установки выдается предупреждение:
Блок кода |
---|
N: Download is performed unsandboxed as root as file ... couldn't be accessed by user '_apt'. - pkgAcquire::Run (13: Отказано в доступе) |
или
Блок кода |
---|
N: Загрузка выполняется от лица суперпользователя без ограничений песочницы, так как файл «...» недоступен для пользователя «_apt». - pkgAcquire::Run (13: Отказано в доступе) |
Это предупреждение о том, что программа установщик, не имея нужных прав доступа к текущему каталогу, вынуждена была получить привилегии root
для выполнения установки. Установка при этом завершается успешно, и предупреждение можно игнорировать, однако с точки зрения безопасности, правильнее по возможности исключить работу с привилегиями root
. Для того, чтобы исключить это предупреждение, нужно на время выполнения установки предоставить служебному пользователю _apt
права на доступ к текущему каталогу. Примерный сценарий (предполагается, что tar-архив был распакован в каталог /mnt
):
Command |
---|
sudo setfacl -dm u:_apt:rwx /mnt/20220201SE16MD/ |