Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Info
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7), далее по тексту - Astra Linux, в информационных системах.

Table of Contents


Info

Настоящая методика безопасности предназначена для нейтрализации угрозы эксплуатации уязвимости в Astra Linux с установленным оперативным обновлением 4.7.1.


Tip

Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, включены в состав оперативного обновления 4.7.2.


Info

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.




Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости пакета polkit's pkexec

Note

Информация о уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения на портале технической поддержки.


Info

Для минимизации угроз безопасности в Astra Linux, функционирующей на уровне защищенности «Усиленный» или «Максимальный», рекомендуется включить (если были ранее выключены) следующие функции подсистемы безопасности:

  • Мандатный контроль целостности (МКЦ), включая режим МКЦ на файловой системе (см. раздел 4.8 документа РУСБ.10152-02 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1»);
  • Замкнутая программная среда (ЗПС) — см. раздел 16.1 документа РУСБ.10152-02 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».


Info

Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимости путём обновления пакетов. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. В последующем, эти пакеты войдут в состав следующего оперативного обновления.

Для установки обновления используется инструмент командной строки astra-scripts (необходимо установить, если был ранее удалён).


Note

Если обновить пакеты не представляется возможным, то необходимо снять SUID-бит файла /usr/bin/pkexec, выполнив команду:

Command

sudo chmod 0755 /usr/bin/pkexec


Порядок применения методики безопасности

  1. Скачать tar-архив с помощью WEB-браузера по следующей ссылке ;
  2. Перейти в каталог с полученным tar-архивом;
  3. Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:

    Command

    gostsum 2022-0201SE47MD.tar.gz

    Контрольная сумма:

    Code Block
    001e9de3b2bb1950101514804be0035debb98ece9c2ad5800310543ffea05626


  4. Распаковать архив, выполнив команду: 

    Command

    tar xzvf 2022-0201SE47MD.tar.gz


    Info

    Полученный в результате распаковки tar-архива каталог 2022-0201SE47MD можно подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Если предполагается устанавливать обновление на компьютеры не используя сетевой репозиторий, то распаковать tar-архив можно сразу на съемный носитель, и далее обновление выполнять с этого носителя.


    Note

    После распаковки tar- архива для установки будут доступны файлы обновлений и файл gostsums.txt для проверки контрольных сумм файлов, входящих в ОС ( см. раздел 9.1 документа РУСБ.10152-02 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1» ).


  5. Перейти в распакованный каталог 2022-021SE47MD
  6. Установить обновление командой: 

    Command

    sudo astra-debs-update-installed


    Warning
    titleВнимание

    При включенной функции подсистемы безопасности «Мандатный контроль целостности» обновление пакетов необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.

    На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности.


Предупреждение "Download is performed unsandboxed"/"Загрузка без ограничения песочницы" при установке обновления

При установке пакетов из файлов с помощью команды apt (используемой инструментом командной строки astra-scripts) пакеты и их зависимости устанавливаются автоматически, но при успешном завершении установки выдается предупреждение:

Code Block
N: Download is performed unsandboxed as root as file ... couldn't be accessed by user '_apt'. - pkgAcquire::Run (13: Отказано в доступе)

или

Code Block
N: Загрузка выполняется от лица суперпользователя без ограничений песочницы, так как файл «...» недоступен для пользователя «_apt». - pkgAcquire::Run (13: Отказано в доступе)

Это предупреждение о том, что программа установщик, не имея нужных прав доступа к текущему каталогу, вынуждена была получить привилегии root для выполнения установки.  Установка при этом завершается успешно, и предупреждение можно игнорировать, однако с точки зрения безопасности, правильнее по возможности исключить работу с привилегиями root. Для того, чтобы исключить это предупреждение, нужно на время выполнения установки предоставить служебному пользователю _apt права на доступ к текущему каталогу. Примерный сценарий (предполагается, что tar-архив был распакован в каталог /mnt):

Command

sudo setfacl -dm u:_apt:rwx /mnt/2022-0201SE47MD/
cd /mnt/2022-0201SE47MD/
sudo astra-debs-update-installed
sudo setfacl -dx u:_apt /mnt/2022-0201SE47MD/


...