Информация |
---|
...
Методика безопасности для операционной системы общего назначения Astra Linux Common Edition 2.12, далее по тексту - Astra Linux, предназначенные для нейтрализации уязвимостей в информационных системах. |
Примечание |
---|
Перечень уязвимостей, закрываемых настоящей методикой безопасности, предоставляется после соответствующего обращения на портале технической поддержки. |
Информация |
---|
Настоящая методика безопасности не является кумулятивной. При выполнении указаний данной методики безопасности другие виды обновлений автоматически не применяются и должны быть установлены отдельно. |
Примечание |
---|
Перед применением настоящей методикой безопасности рекомендуется обновить Astra Linux до версии 2.12.43 |
Подсказка |
---|
В данной методике безопасности представлены методические рекомендации по устранению уязвимости. Обновлённые пакеты ядра Linux, в которых устранена уязвимость, предоставлены в методике безопасности №2022-0318CE212MD. |
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости ядра linux
Для нейтрализации угрозы эксплуатации уязвимости
...
ядра linux необходимо запретить непривилегированным пользователям создавать новые пространства имен пользователей,
...
установив значение параметра ядра kernel.unprivileged_userns_clone
равным "0". Чтобы проверить текущее значение параметра ядра необходимо выполнить команду:
Command |
---|
sudo sysctl kernel.unprivileged_userns_clone |
Параметр ядра kernel.unprivileged_userns_clone
может принимать следующие значения:
- 0 — в случае, когда непривилегированным пользователям запрещено создавать новые пространства имен пользователей;
- 1 — в случае, когда непривилегированным пользователям разрешено создавать новые пространства имен пользователей.
Для того чтобы временно (до перезагрузки системы) запретить непривилегированным пользователям создавать новые пространства имен пользователей, необходимо выполнить команду:
Command |
---|
sudo sysctl -w kernel.unprivileged_userns_clone=0 |
Для того чтобы установленное значение параметра ядра сохранилось после перезагрузки, необходимо:
Добавить в файл
/etc/sysctl.d/999-astra.conf
следующую строку:Блок кода kernel.unprivileged_userns_clone = 0
Это можно сделать следующей командой:
Command echo "kernel.unprivileged_userns_clone = 0" | sudo tee -a /etc/sysctl.d/999-astra.conf Перезагрузить параметры ядра, выполнив команду:
Command sudo sysctl --system
Примечание |
---|
При применении настоящей методики сервис Rootless docker, а также любые сервисы и решения в конфигурациях, требующих создания пространства имен пользователей непривилегированным пользователем, не будут функционировать в этом режиме. В состав следующего оперативного обновления войдут обновлённые пакеты, в которых будет устранена угроза эксплуатации уязвимости без необходимости запрета создания пространства имен пользователей непривилегированным пользователем. |