Методика безопасности, нейтрализующая

угрозу эксплуатации уязвимости пакета polkit's pkexec

Примечание
Информация о уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения на портале технической поддержки.

Информация

Для минимизации угроз безопасности в Astra Linux, функционирующей на уровне защищенности «Усиленный» или «Максимальный», рекомендуется включить (если были ранее выключены) следующие функции подсистемы безопасности: Мандатный контроль целостности (МКЦ), включая режим МКЦ на файловой системе (см. руководство . раздел 4.8 документа РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1, раздел 4.81»); Замкнутая программная среда (ЗПС) — см. руководство . раздел 16.1 документа РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1, раздел 16.1.1».

Информация
Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимости путём обновления пакетов. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами.

Обновление пакетов может выполняться непосредственно из распакованных файлов, централизованно из общего репозитория, или индивидуально из локальных репозиториев. Для использования репозиториев их настройку следует выполнить в соответствии с указаниями Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов а также Создание локальных и сетевых репозиториев. 

В последующем, эти пакеты войдут в состав следующего оперативного обновления. Для установки обновления используется инструмент командной строки astra-scripts (необходимо установить, если был ранее удалён).

Примечание
Если обновить пакеты не представляется возможным, то необходимо снять SUID-бит

для файлового объекта

файла /usr/bin/pkexec, выполнив команду: Command sudo chmod 0755 /usr/bin/pkexec

Порядок применения методики безопасности

1. Скачать tar-архив с помощью WEB-браузера по следующей ссылке;
2. Перейти в каталог с полученным tar-архивом;

3. Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:

   Command
   gostsum 2022-0128se17md0201SE17MD.tar.gz

   Контрольная сумма:

   Блок кода
   46289e8cb3643afe0233b719eae852319b43961a6fe21f6190e8f580b8243d6a a048a226dd75a96e472df47bf10347af2af2b1b3a2928fb762dc9678263611f8

   
   

4. Распаковать архив, выполнив команду: 

   Command
   tar xzvf 2022-0128se17md0201SE17MD.tar.gz

   
   

   Информация

   Полученный в результате распаковки tar-архива каталог 2022-0201SE17MD можно подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Если предполагается устанавливать обновление на компьютеры не используя сетевой репозиторий, то распаковать tar-архив можно сразу на съемный носитель, и далее обновление выполнять с этого носителя.

   
   

   Примечание
   После распаковки tar-архива для установки будут

   доступен файл

   доступны файлы обновлений и файл gostsums.txt для проверки контрольных сумм файлов, входящих в

   ОС (см. руководство

   Astra Linux ( см. раздел 9.1 документа РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть

   1, раздел 9.1);

   1»).

   
   

5. Перейти в распакованный каталог 2022-0201SE17MD

6. Установить обновление После распаковки архива обновление можно выполнить командой: 

   Command
   sudo dpkg -i sudo_1.8.19p1-2.1+deb9u3_amd64.debastra-debs-update-installed

   
   

   Предупреждение
   title Внимание
   При включенной функции подсистемы безопасности «Мандатный контроль целостности» обновление пакетов необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности.

Пример сценария установки обновления при наличии доступа в Интернет

Приведённый ниже сценарий выполняет следующие действия:

Загрузка архива с web-сайта Astra Linux; 

Предупреждение "Download is performed unsandboxed"/"Загрузка без ограничения песочницы" при установке обновления

При установке пакетов из файлов с помощью команды apt (используемой инструментом командной строки astra-scripts) пакеты и их зависимости устанавливаются автоматически, но при успешном завершении установки выдается предупреждение:

N: Download is performed unsandboxed as root as file ... couldn't be accessed by user '_apt'. - pkgAcquire::Run (13: Отказано в доступе)

или

N: Загрузка выполняется от лица суперпользователя без ограничений песочницы, так как файл «...» недоступен для пользователя «_apt». - pkgAcquire::Run (13: Отказано в доступе)

Это предупреждение о том, что программа установщик, не имея нужных прав доступа к текущему каталогу, вынуждена была получить привилегии root для выполнения установки.  Установка при этом завершается успешно, и предупреждение можно игнорировать, однако с точки зрения безопасности, правильнее по возможности исключить работу с привилегиями root. Для того, чтобы исключить это предупреждение, нужно на время выполнения установки предоставить служебному пользователю _apt права на доступ к текущему каталогу. Примерный сценарий (предполагается, что tar-архив был распакован в каталог /mnt):

Сценарий: