Методика безопасности, нейтрализующая

угрозу эксплуатации уязвимости пакета polkit's pkexec

Примечание
Информация о уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения на портале технической поддержки.

Предупреждение
title ВНИМАНИЕ!
Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности.

Информация
Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимости путём обновления пакетов. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами.

Обновление пакетов может выполняться непосредственно из распакованных файлов, централизованно из общего репозитория, или индивидуально из локальных репозиториев. Для использования репозиториев их настройку следует выполнить в соответствии с указаниями Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов а также Создание локальных и сетевых репозиториев. 

В последующем, эти пакеты войдут в состав следующего оперативного обновления. Для установки обновления используется инструмент командной строки astra-scripts (необходимо установить, если был ранее удалён).

Примечание
Если обновить пакеты не представляется возможным, то необходимо снять SUID-бит

для файлового объекта

файла /usr/bin/pkexec, выполнив команду: Command sudo chmod 0755 /usr/bin/pkexec

Порядок применения методики безопасности

1. Скачать tar-архив с помощью WEB-браузера по следующей ссылке ;
2. Перейти в каталог с полученным tar-архивом;

3. Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:

   Command
   gostsum 20220128se16md20220201SE16MD.tar.gz

   Контрольная сумма:

   Блок кода
   46289e8cb3643afe0233b719eae852319b43961a6fe21f6190e8f580b8243d6a 3e253dd91d836b6d79e9cd2e283bbdfd3c63f7951e8e5b1a5b7ff2b1a65e1a55

   
   

4. Распаковать архив, выполнив команду: 

   Command
   tar xzvf 20220128se16md20220201SE16MD.tar.gz

   
   

   Информация

   Полученный в результате распаковки tar-архива каталог 20220201SE16MD можно подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Если предполагается устанавливать обновление на компьютеры не используя сетевой репозиторий, то распаковать tar-архив можно сразу на съемный носитель, и далее обновление выполнять с этого носителя.

   
   

   Примечание
   После распаковки tar-архива для установки будут

   доступен файл

   доступны файлы обновлений и файл gostsums.txt для проверки контрольных сумм файлов, входящих в

   ОС

   Astra Linux (см

   . руководство

   . раздел 9.1 документа РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть

   1, раздел 9.1);

   1»).

   
   

5. Перейти в распакованный каталог 20220201SE16MD

6. Установить обновление После распаковки архива обновление можно выполнить командой: 

   Command
   sudo dpkg -i sudo_1.8.19p1-2.1+deb9u3_amd64.deb

   Предупреждение
   title Внимание
   При включенной функции подсистемы безопасности «Мандатный контроль целостности» обновление пакетов необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности.

Пример сценария установки обновления при наличии доступа в Интернет

Приведённый ниже сценарий выполняет следующие действия:

Загрузка архива с web-сайта Astra Linux; 

1. astra-debs-update-installed

   
   

Предупреждение "Download is performed unsandboxed"/"Загрузка без ограничения песочницы" при установке обновления

При установке пакетов из файлов с помощью команды apt (используемой инструментом командной строки astra-scripts) пакеты и их зависимости устанавливаются автоматически, но при успешном завершении установки выдается предупреждение:

N: Download is performed unsandboxed as root as file ... couldn't be accessed by user '_apt'. - pkgAcquire::Run (13: Отказано в доступе)

или

N: Загрузка выполняется от лица суперпользователя без ограничений песочницы, так как файл «...» недоступен для пользователя «_apt». - pkgAcquire::Run (13: Отказано в доступе)

Это предупреждение о том, что программа установщик, не имея нужных прав доступа к текущему каталогу, вынуждена была получить привилегии root для выполнения установки.  Установка при этом завершается успешно, и предупреждение можно игнорировать, однако с точки зрения безопасности, правильнее по возможности исключить работу с привилегиями root. Для того, чтобы исключить это предупреждение, нужно на время выполнения установки предоставить служебному пользователю _apt права на доступ к текущему каталогу. Примерный сценарий (предполагается, что tar-архив был распакован в каталог /mnt):

Сценарий: