Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости ядра linux

Общие сведения

Выявлена угроза эксплуатации уязвимости в программном модуле ravb (драйвер сетевых устройств Renesas), который загружается в ядро linux. По умолчанию в Astra Linux загрузка данного модуля выключена. 

Чтобы проверить загружен ли модуль ravb в ядро linux, необходимо выполнить одну из команд:

• 
  

  Command
  lsmod | grep ravb

  
  

• 
  

  Command
  kmod list | grep ravb

  
  

Если модуль не загружен, то в результате выполнения команд будет пустой вывод.

Если модуль загружен, то для нейтрализации угрозы эксплуатации уязвимости необходимо запретить загрузку модуля ravb в ядро linux.

Если необходимо обеспечить загрузку драйвера сетевых устройств Renesas AVB в ядро linux, то для нейтрализации угрозы эксплуатации уязвимости необходимо выполнить организационные мероприятия.

Запрет загрузки модуля ravb в ядро linux

Для того чтобы запретить загрузку модуля ravb в ядро linux необходимо выполнить действия, описанные ниже.

1. Выгрузить модуль ravb из ядра linux. Для этого выполнить одну из команд:

   • 
     

     Command
     sudo rmmod ravb

     
     

   • 
     

     Command
     sudo modprobe -r ravb

     
     

2. Добавить модуль ravb в черный список командой:
   

   Command
   sudo echo "blacklist ravb" >> /etc/modprobe.d/blacklist.conf

   
   

3. Обновить текущий образ initramfs командой:

   Command
   sudo update-initramfs -u

   
   

4. Перезагрузить компьютер.
5. Дополнительно выполнить организационные мероприятия.

Якорь
org-mery org-mery

Дополнительные организационные мероприятия

Если необходимо обеспечить загрузку драйвера сетевых устройств Renesas AVB в ядро linux, то для нейтрализации угрозы эксплуатации уязвимости Для нейтрализации угрозы эксплуатации уязвимости ядра linux необходимо выполнить действия, описанные ниже.

1. Включить (если ранее не были включены) для непривилегированных пользователей следующие функции безопасности системы:
   • блокировка консоли для пользователей;
   • блокировка интерпретаторов;
   • блокировка макросов.
   Порядок включения функций безопасности системы представлен в документе РУСБ.1001510152-01 02 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».
2. Осуществить принудительную смену паролей пользователей.
3. Отключить или удалить неиспользуемые учетные записи пользователей, а также учетные записи недоверенных пользователей.

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости браузера Chromium

Для нейтрализации угрозы эксплуатации уязвимости браузера Chromium необходимо придерживаться одной из следующих рекомендаций:

• Запускать веб-браузер Chromium в изолированных контейнерах docker на пониженном или выделенном уровне МКЦ, а так же от имени пользователя, обладающего минимально возможными привилегиями в непривилегированном (rootless) режиме. Работа с Docker в непривилегированном режиме описана в документе РУСБ.1001510152-01 02 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».
• Использовать веб-браузер Firefox, входящий в состав Astra Linux.
• Запретить сайтам использование JavaScript и/или  или задать "белый" список сайтов, для которых которым использование JS JavaScript будет разрешено. Для этого:
  • запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium;
  • в адресную строку ввести "chrome://settings/content/javascript" и нажать клавишу <Enter>;
  • на открывшейся странице JavaScript установить флаг Запретить сайтам использовать JavaScript;
  • на странице JavaScript в секции Разрешить сайтам использовать JavaScript нажать на кнопку [Добавить];
  • в открывшемся окне Добавление сайта ввести адрес доверенного сайта (например, "[*.]astralinux.ru" ) и нажать на кнопку [Добавить]. Аналогичным образом добавить адреса необходимых сайтов.