Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Информация
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7), далее по тексту - Astra Linux, в информационных системах.

Оглавление


Информация

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.


Информация

Перед выполнением действий настоящей методики безопасности необходимо установить оперативное обновление Настоящая методика безопасности предназначена для нейтрализации угрозы эксплуатации уязвимости в Astra Linux с установленным оперативным обновлением 4.7.1 (БЮЛЛЕТЕНЬ № 2022-0114SE47).


Подсказка

Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, включены в состав оперативного обновления 4.7.2.

Информация

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости пакета polkit's pkexec

Примечание

Информация о уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения на портале технической поддержки.


Информация

Для минимизации угроз безопасности в Astra Linux, функционирующей на уровне защищенности «Усиленный» или «Максимальный», рекомендуется включить (если были ранее выключены) следующие функции подсистемы безопасности:

  • Мандатный контроль целостности (МКЦ), включая режим МКЦ на файловой системе (см. раздел 4.8 документа РУСБ.10152-02 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1»);
  • Замкнутая программная среда (ЗПС) — см. раздел 16.1 документа РУСБ.10152-02 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».


Информация

Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимости путём обновления пакетов. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. В последующем, эти пакеты войдут в состав следующего оперативного обновления.

Для установки обновления используется инструмент командной строки astra-scripts (необходимо установить, если был ранее удалён).


Примечание

Если обновить пакеты не представляется возможным, то необходимо снять SUID-бит файла /usr/bin/pkexec, выполнив команду:

Command

sudo chmod 0755 /usr/bin/pkexec


Порядок применения методики безопасности

  1. Скачать tar-архив с помощью WEB-браузера по следующей ссылке ;
  2. Перейти в каталог с полученным tar-архивом;
  3. Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:

    Command

    gostsum 2022-0201SE47MD.tar.gz

    Контрольная сумма:

    Блок кода
    001e9de3b2bb1950101514804be0035debb98ece9c2ad5800310543ffea05626


  4. Распаковать архив, выполнив команду: 

    Command

    tar xzvf 2022-0201SE47MD.tar.gz


    Информация

    Полученный в результате распаковки tar-архива каталог 2022-0201SE47MD можно подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Если предполагается устанавливать обновление на компьютеры не используя сетевой репозиторий, то распаковать tar-архив можно сразу на съемный носитель, и далее обновление выполнять с этого носителя.


    Примечание

    После распаковки tar- архива для установки будут доступны файлы обновлений и файл gostsums.txt для проверки контрольных сумм файлов, входящих в ОС ( см. раздел 9.1 документа РУСБ.10152-02 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1» ).


  5. Перейти в распакованный каталог 2022-021SE47MD
  6. Установить обновление командой: 

    Command

    sudo astra-debs-update-installed


    Предупреждение
    titleВнимание

    При включенной функции подсистемы безопасности «Мандатный контроль целостности» обновление пакетов необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.

    На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности.


Предупреждение "Download is performed unsandboxed"/"Загрузка без ограничения песочницы" при установке обновления

При установке пакетов из файлов с помощью команды apt (используемой инструментом командной строки astra-scripts) пакеты и их зависимости устанавливаются автоматически, но при успешном завершении установки выдается предупреждение:

Блок кода
N: Download is performed unsandboxed as root as file ... couldn't be accessed by user '_apt'. - pkgAcquire::Run (13: Отказано в доступе)

или

Блок кода
N: Загрузка выполняется от лица суперпользователя без ограничений песочницы, так как файл «...» недоступен для пользователя «_apt». - pkgAcquire::Run (13: Отказано в доступе)

Это предупреждение о том, что программа установщик, не имея нужных прав доступа к текущему каталогу, вынуждена была получить привилегии root для выполнения установки.  Установка при этом завершается успешно, и предупреждение можно игнорировать, однако с точки зрения безопасности, правильнее по возможности исключить работу с привилегиями root. Для того, чтобы исключить это предупреждение, нужно на время выполнения установки предоставить служебному пользователю _apt права на доступ к текущему каталогу. Примерный сценарий (предполагается, что tar-архив был распакован в каталог /mnt):

Command

sudo setfacl -dm u:_apt:rwx /mnt/2022-0201SE47MD/
cd /mnt/2022-0201SE47MD/
sudo astra-debs-update-installed
sudo setfacl -dx u:_apt /mnt/2022-0201SE47MD/


...