Методика безопасности, нейтрализующая угрозы эксплуатации уязвимостей sudo
Предупреждение | ||
---|---|---|
| ||
Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. |
Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимостей, перечисленных в Списке уязвимостей, закрываемых обновлением №20210317SE15MD путём обновления пакетов, подверженных уязвимостям. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. Обновление пакетов может выполняться непосредственно из распакованных файлов, централизованно из общего репозитория, или индивидуально из локальных репозиториев. Для использования репозиториев их настройку следует выполнить в соответствии с указаниями Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов а также Создание локального репозиториялокальных и сетевых репозиториев.
Порядок применения методики безопасности:
1. Загрузить архив по ссылке: Cсылка. При наличии подключения к Интернет это можно сделать с помощью web-браузера или командой:
Command |
---|
wget https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.5/20210317se15md/20210317se15md.tar.gz |
2. Проверить соответствие контрольной суммы полученного архива, выполнив команду:
Command |
---|
gostsum 20210317se15md.tar.gz |
Контрольная сумма:
Информация | ||
---|---|---|
| ||
|
Подсказка |
---|
Архив подписан усиленной квалифицированной электронной подписью АО подписью ООО "НПО РусБИТех" с использованием ключевого комплекта, выданного удостоверяющим центром Министерства Обороны Российской Федерации -Астра" (Скачать). |
Предупреждение | ||
---|---|---|
В архиве содержатся файлы для обновления двух несовместимых пакетов: пакета sudo и пакета sudo-ldap. Обновлять следует только тот пакет, который уже установлен в системе. Обычно в ОС Astra Linux установен пакет sudo. Проверить какой именно пакет установлен можно командой:
|
3. Распаковать архив, выполнив команду:
Command |
---|
tar xzf 20210317se15md.tar.gz |
После распаковки архива для установки в текущем каталоге будет создан подкаталог 20210317se15md, в котором будут доступны два файла обновлений для двух пакетов и файл gostsums.txt для проверки контрольных сумм файлов, входящих в ОС (см. руководство по КСЗ. Часть 1, раздел 114.12):
- Файлы для обновления пакетов:
- sudo_1.8.10p3-1+deb8u8_amd64.deb для обновления пакета sudo;
- sudo-ldap_1.8.10p3-1+deb8u8_amd64.deb для обновления пакета sudo-ldap;.
4. После распаковки архива обновление можно выполнить одной из команд:
Обновление пакета sudo | Обновление пакета sudo-ldap |
---|---|
sudo dpkg -i 20210317se15md/sudo_1.8. |
10p3- |
1+ |
deb8u8_amd64.deb |
20210317se15md/sudo-ldap_1.8. |
10p3- |
1+ |
deb8u8_amd64.deb |
Или обновить только установленный пакет командами:
Command |
---|
dpkg -s sudo && sudo dpkg -i 20210317se15md/sudo_1.8.19p110p3-2.1+deb9u3deb8u8_amd64.deb |
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей модуля ядра scsi_transport_iscsi
Предупреждение |
---|
Внимание Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. |
Для полной нейтрализации угрозы эксплуатации уязвимостей CVE-2021-27365, CVE-2021-27363 и CVE-2021-27364 модуля ядра scsi_transport_iscsi:
Если модуль scsi_transport_iscsi не используетсяследует, то запретить загрузку данного модуля, для чего:
Предупреждение Данный вариант неприменим для хостов, использующих СХД, подключенные по iscsi, том числе неприменим для хостов виртуализации ПК СВ Брест с СХД, подключенными по iscsi.
- Используя полномочиями администратора системы с высоким уровнем целостности с помощью текстового редактора открыть файл /etc/modprobe.d/blacklist.conf (если такого файла нет - создать его);
Добавить в файл строку, содержащую ключевое слово install, название блокируемого модуля и название модуля-заменителя:
Блок кода install scsi_transport_iscsi /bin/true
Обновить параметры загрузки командой:
Command sudo update-initramfs -uk all Если модуль загружен - перезагрузить систему командой:
Command lsmod | grep scsi_transport_iscsi && sudo reboot
- Используя полномочиями администратора системы с высоким уровнем целостности с помощью текстового редактора открыть файл /etc/modprobe.d/blacklist.conf (если такого файла нет - создать его);
- Если модуль используется и запрет его загрузки неприменим (например, на хостах виртуализации ПК СВ Брест), следует запретить возможность входа пользователей, не имеющих привилегий администратора.
Информация |
---|
Эксплуатация уязвимостей CVE-2021-27365, CVE-2021-27363, CVE-2021-27364 возможна только после входа в локальную пользовательскую сессию. После входа в локальную пользовательскую сессию эксплуатация уязвимостей возможна пользователем, не имеющим привилегий администратора. Позволяющий осуществить эксплуатацию уязвимостей модуль ядра scsi_transport_iscsi по умолчанию не загружается. |
...