Информация |
---|
Обновление безопасности операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6), далее по тексту - Astra Linux, предназначено для нейтрализации угрозы эксплуатации уязвимостей в информационных системах. |
Оглавление |
---|
Информация |
---|
Настоящее обновление безопасности не является кумулятивным. При применении данного обновления другие виды обновлений автоматически не применяются и должны быть установлены отдельно. |
Информация |
---|
Перед установкой настоящего обновления безопасности необходимо установить оперативное обновление 12 (БЮЛЛЕТЕНЬ № 20221220SE16). |
Подсказка |
---|
Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, включены в состав обновления безопасности БЮЛЛЕТЕНЬ № 20230525SE16MD |
Примечание |
Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения на портале технической поддержки. |
Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей
ядра linuxСУБД Redis
Информация |
---|
Нейтрализация угрозы эксплуатации уязвимостей осуществляется путём обновления отдельных пакетов. Пакеты с устраненными уязвимостями войдут в состав последующего кумулятивного оперативного обновления. |
Примечание |
---|
Настоящее обновление безопасности подлежит установке только, если в информационной системе используется СУБД Redis |
Предупреждение |
Если в системе используется программное обеспечение, разработанное с использованием средств разработки, необходимо выполнить обновление пакетов, размещённых на диске со средствами разработки. |
Подготовка к установке обновления
Предупреждение |
---|
Перед установкой обновлений:
|
Предупреждение |
---|
Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке необходимо выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки). |
Предупреждение | ||
---|---|---|
| ||
обновление Обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности ;на время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. Это может быть сделано с помощью инструментовfly-astra-update/astra-update или командой:
|
Установка обновления пакетов установочного диска
Загрузка и проверка tar-архива с обновлением программного обеспечения диска со средствами разработки
Скачать tar-архив с помощью
WEBвеб-браузера по следующей ссылке:
- stable/smolensk/security-updates
- 20220407SE16MD
- 20220407SE16MD
- ,
либо выполнив команду:Command wget https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.12/iso/20230412SE16MD.tar.gz
- stable/smolensk/security-updates/1.6/20220407SE16MD/20220407SE16MD.tar.gz
Перейти в каталог с tar-архивом 20220407SE16MD20230412SE16MD.tar.gz ;Проверить соответствие и выполнить проверку. Возможные варианты проверки:Подсказка Настоящее обновление безопасности подписано усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра": https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20220407SE16MD/20220407SE16MD.tar.gz.sig.
Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
Command gostsum
20230412SE16MD.tar.gz Контрольная сумма:
Информация
0e9c533a438adcd2093c20ddb09e2fb8a7eab2fc8450eb71c14275e194485238
Распаковать архив, например, в каталог
/mnt/
, выполнив команду:Command sudo tar xzvf 20220407SE16MD.tar.gz -C /mnt/
Полученный в результате распаковки tar-архива каталог
20220407SE16MD
подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог/mnt/20220407SE16MD/
, необходимо:с помощью текстового редактора в файле
/etc/apt/sources.list
добавить строку вида:Блок кода deb file:/mnt/20220407SE16MD/ smolensk main contrib non-free
либо выполнить команду:
Command echo "deb file:/mnt/20220407SE16MD/ smolensk main contrib non-free" | sudo tee -a /etc/apt/sources.list
затем выполнить повторную синхронизацию файлов описаний пакетов с их источником:
Command sudo apt update
После подключения репозитория, обновление пакетов может быть установлено одной из следующих команд:
Command |
---|
sudo astra-update -a -r |
Command |
---|
sudo apt dist-upgrade |
Установка обновления пакетов диска со средствами разработки
icon false 7a0ffdd536b7421df8c1b389fe802a9b7fe8e8b0dd8f48fe1fc2dfbd4500b0b1
- проверка отсоединенной электронной подписи посредством ПО КриптоПро CSP.
Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
Порядок проверки:скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью веб
-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/
.sig
либо выполнив команду:Command wget https://dl.astralinux.ru/astra/
frozen/1.6_x86-64/1.6.12/
iso/20230412SE16MD.tar.gz.sig
- загруженную электронную подпись поместить в каталог c tar-архивом 20230412SE16MD.tar.gz
Подсказка Настоящее обновление пакетов диска со средствами разработки подписано усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра": https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/devel/20220407SE16MD/20220407SE16MD-devel.tar.gz.sig.
Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.- Перейти в каталог tar-архивом
20220407SE16MD-devel.tar.gz
; - ,
перейти в каталог c tar-архивом 20230412SE16MD.tar.gz и выполнить проверку, указав в качестве хранилища сертификатов непосредственно саму подпись (ключ -f <имя_файла_подписи>):
Command /opt/cprocsp/bin/amd64/cryptcp -verify -detached 20230412SE16MD.tar.gz 20230412SE16MD.tar.gz.sig -f 20230412SE16MD.tar.gz.sig
В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.
Сообщение вида:
Блок кода Подпись проверена. [ErrorCode: 0x00000000]
говорит о том, что проверка подписи завершена успешно.
Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:
Command |
---|
gostsum 20220407SE16MD-devel.tar.gz |
Контрольная сумма:
Установка обновления программного обеспечения диска со средствами разработки
Распаковать архив, например, в каталог
/mnt/
, выполнив команду:Command sudo tar xzvf 20220407SE16MD-devel20230412SE16MD.tar.gz -C /mnt/
Полученный в результате распаковки tar-архива каталог 20220407SE16MD-devel 20230412SE16MD подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог
/mnt/20220407SE16MD-devel20230412SE16MD/
, необходимо:с помощью текстового редактора в файле
/etc/apt/sources.list
добавить строку вида:Блок кода deb file:/mnt/20220407SE16MD-devel20230412SE16MD/ smolensk main contrib non-free
либо выполнить команду:
Command echo "deb file:/mnt/20220407SE16MD-devel20230412SE16MD/ smolensk main contrib non-free" | sudo tee -a /etc/apt/sources.list
затем выполнить повторную синхронизацию файлов описаний пакетов с их источником:
Command sudo apt update
После подключения репозитория, обновление пакетов может быть установлено одной из следующих команд:
Command sudo astra-update -a -r
Command sudo apt dist-upgrade
Завершение установки обновления
Предупреждение | ||
---|---|---|
После выполнения обновления необходимо перезагрузить систему. | ||
Предупреждение | ||
| ||
После успешной установки обновления проверка целостности программных пакетов установочного диска осуществляется утилитой fly-admin-int-check с применением файла gostsums.txt , расположенного в распакованном каталоге 20220407SE16MD. |