Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей linux и systemd
| Предупреждение | ||
|---|---|---|
| ||
| Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности. |
Для нейтрализации угрозы эксплуатации уязвимостей CVE-2021-33909 (пакет linux) и CVE-2021-33910 (системная служба systemd):
Записать значение 0 в файл /proc/sys/kernel/unprivileged_userns_clone и записать значение 1 в файл /proc/sys/kernel/unprivileged_bpf_disabled. Это можно сделать командами:
Command echo 0 | sudo tee /proc/sys/kernel/unprivileged_userns_clone
echo 1 | sudo tee /proc/sys/kernel/unprivileged_bpf_disabled- Перезагрузить систему.
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости libvirt
| Предупреждение | ||
|---|---|---|
| ||
| Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности. |
Для нейтрализации угрозы эксплуатации уязвимости CVE-2020-10703 пакета libvirt следует обновить ранее установленные пакеты системы виртуализации QEMU/KVM. Если система виртуализации QEMU/KVM не используется, то никакие действия не требуются. Рекомендованный порядок обновления пакетов:
Порядок применения методики безопасности:
Загрузить архив по ссылке: https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20210723se16md/20210723se16md.tar.gz
Создать временный каталог и перейти в него:
Command cd `mktemp -d` Загрузить в текущий каталог архив по ссылке: Cсылка. При наличии подключения к Интернет это можно сделать с помощью web-браузера или командой:
Command wget https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20210723se16md/20210723se16md.tar.gz Проверить соответствие контрольной суммы полученного архива, выполнив команду:
Command gostsum 20210723se16md.tar.gz Контрольная сумма:
Информация bf5b86c0b1af8991edf87f27990e4125e7a1fe39d35fd373ef04bccb5565db99 Информация Архив подписан усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра" (Скачать). Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке: https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty46289e8cb3643afe0233b719eae852319b43961a6fe21f6190e8f580b8243d6a Распаковать архив, выполнив команду:
Command tar xzf 20210723se16md.tar.gz Настроить репозиторий в соответствии с принятым в организации порядком применения репозиториев и указаниями:
1. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов;
2. Создание локального репозитория;После настройки репозитория обновление пакетов выполняется командой:
Command sudo apt update
sudo apt dist-upgradeУстановить пакет astra-scripts, если он не был ранее установлен:
Command sudo apt install astra-scripts Информация Для того, чтобы пакет astra-scripts был доступен, должно быть установлено обновление БЮЛЛЕТЕНЬ № 20200327SE16 (оперативное обновление 5) или более позднее оперативное обновление. Если установка пакета astra-scripts нежелательна или невозможна, то обновление пакетов можно выполнить командой:
Command sudo dpkg -i <имя_файла_пакета>.deb вручную указав обновляемые пакеты.
После распаковки архива обновление ранее установленных пакетов можно выполнить командой, входящей в пакет astra-scripts:
Command sudo astra-debs-update-installed - После обновления пакетов перезагрузить систему. При перезагрузке созданный временный каталог и сохраненные в нем файлы будут удалены автоматически.
...