Справочный центр

Дерево страниц

Сравнение версий

Старая версия 2

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 3

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (версия 1.5)  в информационных системах.

Оглавление


Информация
Методические указания не являются кумулятивными обновлениями безопасности. При выполнении методических указаний автоматическая установка обновлений безопасности не осуществляется, и обновления безопасности должны быть установлены отдельно.


Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей

пакетов sudo и sudo-ldap
Предупреждение
titleВнимание
Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы.
На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности.
Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимостей, перечисленных в Списке нейтрализованных угроз безопасности. Нейтрализация осуществляется путём обновления пакетов, подверженных уязвимостям. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. Обновление пакетов может выполняться непосредственно из распакованных файлов, централизованно из общего репозитория, или индивидуально из локальных репозиториев. Для использования репозиториев их настройку следует выполнить в соответствии с указаниями Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов а также Создание локального репозитория
Порядок применения методики безопасности
Информация
Для минимизации угроз безопасности рекомендуется проверить корректность задания уровней целостности для непривилегированных пользователей (пользователей, не являющихся администраторами системы), вход в систему которым должен быть разрешен только на низком уровне целостности. Любые действия по администрированию системы, не требующие высокого уровня целостности, должны производиться на низком уровне целостности.
В качестве дополнительной меры защиты рекомендуется включить блокировку  консоли для пользователей и блокировку интерпретаторов. (см. руководство по КСЗ. Часть 15, раздел 15.5).

1. Загрузить архив по ссылке: Cсылка. При наличии подключения к Интернет это можно сделать с помощью web-браузера или командой:

Command
wget https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20210128se16md/20210128se16md.tar.gz

2. Проверить соответствие контрольной суммы полученного архива, выполнив команду:

Command

gostsum 20210128se16md.tar.gz

Контрольная сумма:

Информация
iconfalse

46289e8cb3643afe0233b719eae852319b43961a6fe21f6190e8f580b8243d6a  20210128se16md.tar.gz

Предупреждение

В архиве содержатся файлы для обновления двух несовместимых пакетов: пакета sudo и пакета sudo-ldap. Обновлять следует только тот пакет, который уже установлен в системе. Обычно в ОС Astra Linux установен пакет sudo. Проверить какой именно пакет установлен можно командой:

Command
apt-cache policy sudo sudo-ldap

3. Распаковать архив, выполнив команду:

Command
tar xzf 20210128se16md.tar.gz

После распаковки архива для установки будут доступны два файла обновлений для двух пакетов и файл gostsums.txt для проверки контрольных сумм файлов, входящих в ОС (см. руководство по КСЗ. Часть 1, раздел 9.1):

Файлы для обновления пакетов:
  • файл sudo_1.8.19p1-2.1+deb9u3_amd64.deb для обновления пакета sudo;
    • файл sudo-ldap_1.8.19p1-2.1+deb9u3_amd64.deb для обновления пакета sudo-ldap;.

    4. После распаковки архива обновление можно выполнить одной из команд:

    Обновление пакета
    sudoОбновление пакета
    sudo-ldapsudo dpkg -i sudo_1.8.19p1-2.1+deb9u3_amd64.debsudo dpkg -i sudo-ldap_1.8.19p1-2.1+deb9u3_amd64.deb

    Или обновить только установленный пакет командами:

    Command

    dpkg -s sudo && sudo dpkg -i sudo_1.8.19p1-2.1+deb9u3_amd64.deb
    dpkg -s sudo-ldap && sudo dpkg -i sudo-ldap_1.8.19p1-2.1+deb9u3_amd64.deb

    Предупреждение
    titleВнимание
    Обновление пакетов необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы.
    На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.

    Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей модуля ядра scsi_transport_iscsi

    Предупреждение
    titleВнимание
    Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности.

    Для полной нейтрализации угрозы эксплуатации уязвимостей CVE-2021-27365, CVE-2021-27363 и CVE-2021-27364 модуля ядра scsi_transport_iscsi следует :

    1. Если модуль scsi_transport_iscsi не используетсяследует, то запретить загрузку данного модуля, для чего:

      Предупреждение
      Данный вариант неприменим для хостов, использующих СХД, подключенные по iscsi, том числе неприменим для хостов виртуализации ПК СВ Брест с СХД, подключенными по iscsi.


      1. Используя полномочиями администратора системы с высоким уровнем целостности с помощью текстового редактора открыть файл /etc/modprobe.d/blacklist.conf (если такого файла нет - создать его);

      2. Добавить в файл строку, содержащую ключевое слово install, название блокируемого модуля и название модуля-заменителя:

        Блок кода
        install scsi_transport_iscsi /bin/true


      3. Обновить параметры загрузки командой:

        Command
        sudo update-initramfs -uk all


      4. Если модуль загружен - перезагрузить систему командой:

        Command
        lsmod | grep scsi_transport_iscsi && sudo reboot


    2. Если модуль используется и запрет его загрузки неприменим (например, на хостах виртуализации ПК СВ Брест), следует запретить возможность входа пользователей, не имеющих привилегий администратора.
    Информация

    Эксплуатация уязвимостей CVE-2021-27365, CVE-2021-27363, CVE-2021-27364 возможна только после входа в локальную пользовательскую сессию.
    После входа в локальную пользовательскую сессию эксплуатация уязвимостей возможна пользователем, не имеющим привилегий администратора.
    Позволяющий осуществить эксплуатацию уязвимостей модуль ядра scsi_transport_iscsi по умолчанию не загружается.


    Список нейтрализованных угроз безопасности

    • linux-modules

    CVE-2021-27365, CVE-2021-27363, CVE-2021-27364

    • sudo

    CVE-2021-3156

    • sudo-ldap

     CVE-2021-3156



    ...