| Информация |
|---|
Методические указания Методика безопасности для операционной системы общего назначения Astra Linux Common Edition 2.12, далее по тексту - Astra Linux, предназначенные для нейтрализации уязвимостей в информационных системах. |
| Примечание |
|---|
Перечень уязвимостей, закрываемых после выполнения настоящих методических указанийнастоящей методикой безопасности, предоставляется после соответствующего обращения на портале технической поддержки. |
| Информация |
|---|
Методические указания не являются кумулятивнымиНастоящая методика безопасности не является кумулятивной. При выполнении методических указаний данной методики безопасности другие виды обновлений автоматически не применяются и должны быть установлены отдельно. |
| Примечание |
|---|
Перед применением настоящих методических указаний настоящей методикой безопасности рекомендуется обновить Astra Linux до версии 2.12.43 |
| Подсказка |
|---|
В настоящих методических указаниях данной методике безопасности представлены методические рекомендации по устранению уязвимости. Обновлённые пакеты ядра Linux, в которых устранена уязвимость, предоставлены в методике безопасности №2022-0318CE212MD. |
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости ядра linux
Для нейтрализации угрозы эксплуатации уязвимости ядра linux необходимо запретить непривилегированным пользователям создавать новые пространства имен пользователей, установив значение параметра ядра kernel.unprivileged_userns_clone равным "0". Чтобы проверить текущее значение параметра ядра необходимо выполнить команду:
| Command |
|---|
sudo sysctl kernel.unprivileged_userns_clone |
Параметр ядра kernel.unprivileged_userns_clone может принимать следующие значения:
- 0 — в случае, когда непривилегированным пользователям запрещено создавать новые пространства имен пользователей;
- 1 — в случае, когда непривилегированным пользователям разрешено создавать новые пространства имен пользователей.
Для того чтобы временно (до перезагрузки системы) запретить непривилегированным пользователям создавать новые пространства имен пользователей, необходимо выполнить команду:
| Command |
|---|
sudo sysctl -w kernel.unprivileged_userns_clone=0 |
Для того чтобы установленное значение параметра ядра сохранилось после перезагрузки, необходимо:
Добавить в файл
/etc/sysctl.d/999-astra.confследующую строку:Блок кода kernel.unprivileged_userns_clone = 0
Это можно сделать следующей командой:
Command echo "kernel.unprivileged_userns_clone = 0" | sudo tee -a /etc/sysctl.d/999-astra.conf Перезагрузить параметры ядра, выполнив команду:
Command sudo sysctl --system
| Примечание |
|---|
При применении настоящей методики сервис Rootless docker, а также любые сервисы и решения в конфигурациях, требующих создания пространства имен пользователей непривилегированным пользователем, не будут функционировать в этом режиме. В состав следующего оперативного обновления войдут обновлённые пакеты, в которых будет устранена угроза эксплуатации уязвимости без необходимости запрета создания пространства имен пользователей непривилегированным пользователем. |