| Информация |
|---|
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) в информационных системах. |
| Оглавление |
|---|
| Информация |
|---|
Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно. |
| Подсказка |
|---|
Обновленные пакеты, в которых устранена угроза эксплуатации уязвимостей, включены в состав оперативного обновления 8 (БЮЛЛЕТЕНЬ № 20210730SE16). |
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей linux и systemd
| Предупреждение | ||
|---|---|---|
| ||
| Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности. |
| Предупреждение |
|---|
При применении даной методики:
|
Для нейтрализации угрозы эксплуатации уязвимостей CVE-2021-33909 (пакет linux) и CVE-2021-33910 (системная служба systemd):
Записать значение 0 Добавить в файл /procetc/sys/kernel/sysctl.d/999-astra.conf строчки:
и записать значение 1 в файл /proc/sys/kernel/Блок кода kernel.unprivileged_userns_clone
= 0 kernel.unprivileged_bpf_disabled = 1
. Это можно сделать делать командами:
Command echo 0 | sudo tee /proc/sys/kernel/"kernel.unprivileged_userns_clone
echo 1 = 0" | sudo tee -a /procetc/sys/kernel/sysctl.d/999-astra.conf
echo "kernel.unprivileged_bpf_disabled- Перезагрузить систему.
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости libvirt
| Предупреждение | ||
|---|---|---|
| ||
| Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности. |
Для нейтрализации угрозы эксплуатации уязвимости CVE-2020-10703 пакета libvirt следует обновить ранее установленные пакеты системы виртуализации QEMU/KVM. Если система виртуализации QEMU/KVM не используется, то никакие действия не требуются. Рекомендованный порядок обновления пакетов:
Создать временный каталог и перейти в него:
| Command |
|---|
| cd `mktemp -d` |
Загрузить в текущий каталог архив по ссылке: Cсылка. При наличии подключения к Интернет это можно сделать с помощью командой:
| Command |
|---|
| wget https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20210723se16md/20210723se16md.tar.gz |
Проверить соответствие контрольной суммы полученного архива, выполнив команду:
| Command |
|---|
| gostsum 20210723se16md.tar.gz |
Контрольная сумма:
| Информация |
|---|
| 46289e8cb3643afe0233b719eae852319b43961a6fe21f6190e8f580b8243d6a |
Распаковать архив, выполнив команду:
| Command |
|---|
| tar xzf 20210723se16md.tar.gz |
Установить пакет astra-scripts, если он не был ранее установлен:
| Command |
|---|
| sudo apt install astra-scripts |
| Информация | ||
|---|---|---|
Для того, чтобы пакет astra-scripts был доступен, должно быть установлено обновление БЮЛЛЕТЕНЬ № 20200327SE16 (оперативное обновление 5) или более позднее оперативное обновление. Если установка пакета astra-scripts нежелательна или невозможна, то обновление пакетов можно выполнить командой:
вручную указав обновляемые пакеты. |
После распаковки архива обновление ранее установленных пакетов можно выполнить командой, входящей в пакет astra-scripts:
| Command |
|---|
| sudo astra-debs-update-installed |
Список нейтрализованных угроз безопасности
- libvirt
= 1" | sudo tee -a /etc/sysctl.d/999-astra.conf Перезагрузить параметры ядра:
Информация sudo sysctl --system
Список нейтрализованных угроз безопасности
- linux
CVE-2021-33909
- systemd
CVE-2021-33910