Справочный центр

Дерево страниц

Сравнение версий

Старая версия 4

changes.mady.by.user Алексей Федоров

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Алексей Федоров

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.


Информация

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6), далее по тексту - Astra Linux, в информационных системах.

toc


Информация

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.



Информация

Перед выполнением действий настоящей методики безопасности необходимо установить оперативное обновление 10 (бюллетень № 20211126SE16).


Подсказка

Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, включены в состав оперативного обновления 11 (бюллетень № 20220829SE16).

Если нет возможности установить оперативное обновление 11, можно воспользоваться обновлением безопасности БЮЛЛЕТЕНЬ № 2022-0318SE16MD.


Методика безопасности, нейтрализующая угрозу эксплуатации

уязвимости CVE-2022-0185

уязвимости ядра linux

Примечание

Информация о уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения на портале технической поддержки.


Подсказка

В данной методике безопасности представлены методические рекомендации по устранению уязвимости. Обновлённые пакеты ядра Linux, в которых устранена уязвимость, предоставлены в бюллетене №20220318SE16MD.


Настоящая методика предназначена для
Предупреждение
titleВНИМАНИЕ!

Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности.

Информация

Для нейтрализации угрозы эксплуатации уязвимости

путём обновления пакетов. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. В последующем, эти пакеты войдут в состав следующего оперативного обновления.

Для установки обновления используется инструмент командной строки astra-scripts (необходимо установить, если был ранее удалён).

ПримечаниеЕсли обновить пакеты не представляется возможным, то необходимо снять SUID-бит файла /usr/bin/pkexec, выполнив

ядра linux необходимо запретить непривилегированным пользователям создавать новые пространства имен пользователей, установив значение параметра ядра kernel.unprivileged_userns_clone равным "0". Чтобы проверить текущее значение параметра ядра необходимо выполнить команду:

Command

sudo

chmod 0755 /usr/bin/pkexec

Порядок применения методики безопасности

  • Скачать tar-архив с помощью WEB-браузера по следующей ссылке ;
  • Перейти в каталог с полученным tar-архивом;

    • sysctl kernel.unprivileged_userns_clone

    Параметр ядра kernel.unprivileged_userns_clone может принимать следующие значения:

    • 0 — в случае, когда непривилегированным пользователям запрещено создавать новые пространства имен пользователей;
    • 1 — в случае, когда непривилегированным пользователям разрешено создавать новые пространства имен пользователей.

    Для того чтобы временно (до перезагрузки системы) запретить непривилегированным пользователям создавать новые пространства имен пользователей, необходимо

    Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы

    выполнить команду:

    Command

    gostsum 20220201SE16MD.tar.gz

    Контрольная сумма:

    Блок кода
    3e253dd91d836b6d79e9cd2e283bbdfd3c63f7951e8e5b1a5b7ff2b1a65e1a55

    Распаковать архив, выполнив команду: 

    Command

    tar xzvf 20220201SE16MD.tar.gz

    Информация

    Полученный в результате распаковки tar-архива каталог 20220201SE16MD можно подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Если предполагается устанавливать обновление на компьютеры не используя сетевой репозиторий, то распаковать tar-архив можно сразу на съемный носитель, и далее обновление выполнять с этого носителя.

    Примечание

    После распаковки tar-архива для установки будут доступны файлы обновлений и файл gostsums.txt для проверки контрольных сумм файлов, входящих в Astra Linux (см. раздел 9.1 документа РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1»).

    sudo sysctl -w kernel.unprivileged_userns_clone=0


    Для того чтобы установленное значение параметра ядра сохранилось после перезагрузки, необходимо:

    1. Добавить в файл /etc/sysctl.d/999-astra.conf следующую строку: 

      Блок кода
      kernel.unprivileged_userns_clone = 0

      Это можно сделать следующей командой: 

      Command
      echo "kernel.unprivileged_userns_clone = 0" | sudo tee -a /etc/sysctl.d/999-astra.conf


    2. Перезагрузить параметры ядра, выполнив команду: 

      Command

      sudo sysctl --system


    Примечание

    При применении настоящей методики не будут функционировать любые сервисы в конфигурациях, требующих создание пространства имен пользователей непривилегированным пользователем. Такие сервисы чаще всего входят в состав средств управления контейнерами.

    В состав следующего оперативного обновления войдут обновлённые пакеты, в которых будет устранена угроза эксплуатации уязвимости без необходимости запрета создания пространства имен пользователей непривилегированным пользователем.

  • Перейти в распакованный каталог 20220201SE16MD

    • Установить обновление командой: 

    Command

    sudo astra-debs-update-installed

    Предупреждение "Download is performed unsandboxed"/"Загрузка без ограничения песочницы" при установке обновления

    При установке пакетов из файлов с помощью команды apt (используемой инструментом командной строки astra-scripts) пакеты и их зависимости устанавливаются автоматически, но при успешном завершении установки выдается предупреждение:

    Блок кода
    N: Download is performed unsandboxed as root as file ... couldn't be accessed by user '_apt'. - pkgAcquire::Run (13: Отказано в доступе)

    или

    Блок кода
    N: Загрузка выполняется от лица суперпользователя без ограничений песочницы, так как файл «...» недоступен для пользователя «_apt». - pkgAcquire::Run (13: Отказано в доступе)

    Это предупреждение о том, что программа установщик, не имея нужных прав доступа к текущему каталогу, вынуждена была получить привилегии root для выполнения установки.  Установка при этом завершается успешно, и предупреждение можно игнорировать, однако с точки зрения безопасности, правильнее по возможности исключить работу с привилегиями root. Для того, чтобы исключить это предупреждение, нужно на время выполнения установки предоставить служебному пользователю _apt права на доступ к текущему каталогу. Примерный сценарий (предполагается, что tar-архив был распакован в каталог /mnt):

    Command

    sudo setfacl -dm u:_apt:rwx /mnt/20220201SE16MD/
    cd /mnt/20220201SE16MD/
    sudo astra-debs-update-installed
    sudo setfacl -dx u:_apt /mnt/20220201SE16MD/