Методика безопасности операционной системы общего назначения Astra Linux Common Edition 2.12, далее по тексту - Astra Linux, предназначено для нейтрализации уязвимостей в информационных системах.
Оглавление |
---|
Информация |
---|
Настоящая методика безопасности содержит отдельные программные пакеты, в которые внесены изменения с целью устранения ряда уязвимостей ядра linux и пакета liblog4j2-java, а также методические указания, нейтрализующие угрозу эксплуатации уязвимостей пакета |
apache2. |
Информация |
---|
Настоящая методика безопасности не является |
кумулятивной. |
При выполнении указаний данной методики безопасности другие виды обновлений автоматически не применяются и должны быть установлены отдельно. |
Примечание |
---|
Перечень уязвимостей, закрываемых |
настоящей методикой безопасности, предоставляется после соответствующего обращения на портале технической поддержки. |
Примечание |
---|
Перед применением настоящей методикой безопасности рекомендуется обновить Astra Linux до версии 2.12.43 |
Обновление безопасности,
нейтрализующиенейтрализующее угрозу эксплуатации уязвимостей ядра linux
Информация |
---|
Нейтрализация угрозы эксплуатации уязвимостей осуществляется путём обновления отдельных пакетов. Пакеты с устраненными уязвимостями войдут в состав последующего кумулятивного оперативного обновленияпоследующей версии Astra Linux. |
Подготовка к установке обновления
Перед установкой обновлений:
Предупреждение |
---|
Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке необходимо выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки). |
Установка обновления
Скачать tar-архив с помощью WEB-браузера по следующей ссылке: https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.43/iso/2022-0318CE212MD.tar.gz
с помощью WEB-браузера по следующей ссылке, либо выполнив команду:
Command wget https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.43/iso/2022-0318CE212MD.tar.gz
nas01Подсказка Настоящее обновление безопасности подписано усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра":https://
/sharing/ExN0bKQ4P
;/astra/frozen/2.12_x86-64/2.12.43/iso/2022-0318CE212MD.tar.gz_2022-03-24_14-25-18.tsp.sig.
Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.- Перейти в каталог с полученным tar-архивом;
Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:
Command gostsum 2022-0318CE212MD.tar.gz
Контрольная сумма:
Блок кода b87de67a85bc7350e58801751aaa006eb0191caf824e0aa7c6d0225da3fa8679
Распаковать архив, например, в каталог
/mnt/
, выполнив команду:Command sudo tar xzvf 2022-0318CE212MD.tar.gz -C /mnt/
Полученный в результате распаковки tar-архива каталог
2022-0318CE212MD
подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог/mnt/2022-0318CE212MD/
, необходимо:с помощью текстового редактора в файле
/etc/apt/sources.list
добавить строку вида:Блок кода deb file:/mnt/2022-0318CE212MD/ orel main contrib non-free
либо выполнить
команду:
Command echo "deb file:/mnt/2022-0318CE212MD/ orel main contrib non-free" | sudo
После подключения репозитория, обновление пакетов может быть установлено одной из следующих командtee -a /etc/apt/sources.list
затем выполнить повторную синхронизацию файлов описаний пакетов с их источником:
Command sudo apt update
Обновить пакеты, выполнив следующую команду:
astra-update -a -rCommand sudo apt dist-upgrade
Завершение установки обновления
Предупреждение |
---|
После выполнения обновления необходимо перезагрузить систему. |
Добавление корневого сертификата удостоверяющего центра Минцифры России
Информация |
---|
Добавление корневого сертификата необходимо выполнить для каждого пользователя после установки обновления пакетов. |
Добавление корневого сертификата в Firefox
- Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox.
- В адресную строку ввести "
about:preferences
" и нажать клавишу <Enter>. - На открывшейся странице в левом поле выбрать пункт Приватность и защита и в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов].
- В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [Импортировать...].
- В открывшемся окне импорта выбрать файл
/usr/share/ca-certificates/mozilla/rootca_MinDDC_rsa2022.crt
и нажать на кнопку [Открыть]. - В открывшемся окне Загрузка сертификата установить флаг Доверять при идентификации веб-сайтов и нажать на кнопку [ОК].
- В окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [ОК].
Чтобы проверить наличие сертификата удостоверяющего центра Минцифры России, необходимо снова в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов]. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и удостовериться в наличии строк:
Блок кода |
---|
The Ministry of Digital Development and Communications Russian Trusted Root CA |
Добавление корневого сертификата в Chromium
- Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium.
- В адресную строку ввести "
chrome://settings/certificates
" и нажать клавишу <Enter>. - На открывшейся странице Настроить сертификаты в правом поле открыть вкладку Центры сертификации и нажать на кнопку [Импорт].
- В открывшемся окне импорта выбрать файл
/usr/share/ca-certificates/mozilla/rootca_MinDDC_rsa2022.crt
и нажать на кнопку [Открыть]. - В открывшемся окне настройки доверия установить флаг Доверять этому сертификату при идентификации сайтов и нажать на кнопку [ОК].
После успешного добавления корневого сертификата на странице Настроить сертификаты во вкладке Центры сертификации появятся следующие строки:
Блок кода |
---|
org-The Ministry of Digital Development and Communications Russian Trusted Root CA |
Методические указания, нейтрализующие угрозу эксплуатации уязвимостей пакета apache2
Методика устранения уязвимости, связанной с переполнением буфера в lua_module при разборе запросов, состоящих из нескольких частей (multipart)
Для устранения этой уязвимости необходимо отключить модуль поддержки языка LUA. Чтобы просмотреть перечень используемых модулей, необходимо выполнить команду:
Command |
---|
sudo apachectl -M |
Если в перечне используемых модулей присутствует модуль с наименованием lua
, то следует выполнить команду:
Command |
---|
sudo a2dismod lua |
После этого необходимо перезапустить веб-сервер Apache, выполнив команду:
Command |
---|
sudo systemctl restart apache2 |
Методика устранения SSRF-уязвимости (Server Side Request Forgery) в mod_proxy
Для устранения этой уязвимости необходимо отключить поддержку прямого proxy в конфигурационном файле (по умолчанию имеет следующие расположение: /etc/apache2/sites-enabled/000-default.conf
).
Параметр ProxyRequests
должен иметь значение "off
". При этом, если это необходимо, реверс-прокси может остаться включенным.
Информация | ||
---|---|---|
В случае, если есть возможность отключить все режимы работы proxy, то необходимо выполнить команду:
|
После внесения изменений необходимо перезапустить веб-сервер Apache, выполнив команду:
Command |
---|
sudo systemctl restart apache2 |
Методика устранения угрозы атаки типа HTTP Request Smuggling
Для устранения этой уязвимости необходимо в конфигурационном файле (по умолчанию имеет следующие расположение: /etc/apache2/sites-enabled/000-default.conf
) отключить поддержку протокола http/2 — из строки параметров Protocols
(перечня используемых протоколов) следует исключить значение "h2
" (протокол HTTP/2).
После внесения изменений необходимо перезапустить веб-сервер Apache, выполнив команду:
Command |
---|
sudo systemctl restart apache2 |
Веб-сервер Apache необходимо настроить на работу по HTTPS.
Устранение риска эксплуатации уязвимости пакета liblog4j2-java
Информация | ||
---|---|---|
Уязвимости подвержен только класс Проверить, установлен ли пакет liblog4j2-java в системе и версию установленного пакета можно командой:
Если пакет не установлен, то компьютер не подвержен уязвимости. |
Устранение риска эксплуатации уязвимости путем замены пакета
- Скачать обновлённый пакет liblog4j2-java_2.7-2+deb9u1_all.deb с помощью WEB-браузера по следующей ссылке;
- Перейти в каталог с полученным пакетом;
Установить обновлённый пакет командой:
Command sudo apt install ./liblog4j2-java_2.7-2+deb9u1_all.deb
Информация |
---|
Предупреждение "Download is performed unsandboxed"/"Загрузка без ограничения песочницы" при установке обновления можно игнорировать, подробнее здесь: Предупреждение "Download is performed unsandboxed"/"Загрузка без ограничения песочницы" при установке пакетов из файлов с помощью apt |
Устранение риска эксплуатации уязвимости путем удаления уязвимого класса JndiLookup
Для оперативного устранения уязвимости без переустановки пакетов, с учетом того, что этой уязвимости подвержен только один класс из файла /usr/share/java/log4j-core.jar, следует удалить этот класс (JndiLookup) из пути к классам, для чего:
Установить пакет zip, если он не был ранее установлен, следующей командой:
Command sudo apt install zip Выполнить команду:
Command sudo zip -d /usr/share/java/log4j-core.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
пример вывода после успешного выполнения команды:
Блок кода deleting: org/apache/logging/log4j/core/lookup/JndiLookup.class
title | В системах с уровнем защищенности «Усиленный» (Воронеж) или «Максимальный» (Смоленск): |
---|
Для минимизации угроз безопасности в результате эксплуатации уязвимости, в том числе если применение вышеперечисленных мер не представляется возможным, рекомендуется активировать режим Мандатного контроля целостности (МКЦ), включая режим МКЦ на файловой системе.
Для защиты системных компонентов Astra Linux от оказания негативного воздействия на них со стороны скомпрометированных процессов в результате эксплуатации уязвимостей необходимо активировать режим запуска сервиса apache2 на выделенном мандатном уровне целостности посредством инструментаastra-ilev1-control
. Описание инструмента приведено в man astra-ilev1-control
.