| Информация |
|---|
| Методические указания по нейтрализации угроз эксплуатации уязвимостей операционных систем специального назначения «Astra Linux Special Edition» РУСБ.10015-01 и РУСБ.10015-10 (очередное обновление 1.7), далее по тексту - Astra Linux, в информационных системах. |
| Информация |
|---|
Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно. |
| Информация |
|---|
Настоящая методика безопасности предназначена для нейтрализации угрозы эксплуатации уязвимости в Astra Linux с установленным оперативным обновлением Перед выполнением действий настоящей методики безопасности необходимо установить оперативное обновление 1.7.1 (БЮЛЛЕТЕНЬ № 2021-1126SE17). |
| Подсказка |
|---|
Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, включены в состав оперативного обновления 1.7.2. Если нет возможности установить оперативное обновление 1.7.2, можно воспользоваться обновлением безопасности БЮЛЛЕТЕНЬ № 2022-0318SE17MD. |
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости ядра linux
| Примечание |
|---|
Информация об уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения на портале технической поддержки. |
| Предупреждение | ||
|---|---|---|
| ||
При включенной функции подсистемы безопасности «Мандатный контроль целостности» методические указания необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. |
Для нейтрализации угрозы эксплуатации уязвимости ядра linux необходимо запретить непривилегированным пользователям создавать новые пространства имен пользователей, установив значение параметра ядра kernel.unprivileged_userns_clone равным "0". Чтобы проверить текущее значение параметра ядра, необходимо выполнить команду:
| Command |
|---|
sudo sysctl kernel.unprivileged_userns_clone |
Параметр ядра kernel.unprivileged_userns_clone может принимать следующие значения:
- 0 — в случае, когда непривилегированным пользователям запрещено создавать новые пространства имен пользователей;
- 1 — в случае, когда непривилегированным пользователям разрешено создавать новые пространства имен пользователей.
Для того чтобы временно (до перезагрузки системы) запретить непривилегированным пользователям создавать новые пространства имен пользователей, необходимо выполнить команду:
| Command |
|---|
sudo sysctl -w kernel.unprivileged_userns_clone=0 |
Для того чтобы установленное значение параметра ядра сохранилось после перезагрузки, необходимо:
Добавить в файл
/etc/sysctl.d/999-astra.confследующую строку:Блок кода kernel.unprivileged_userns_clone = 0
Это можно сделать следующей командой:
Command echo "kernel.unprivileged_userns_clone = 0" | sudo tee -a /etc/sysctl.d/999-astra.conf Перезагрузить параметры ядра, выполнив команду:
Command sudo sysctl --system
| Примечание |
|---|
При применении настоящей методики сервис Rootless docker, а также любые сервисы и решения в конфигурациях, требующих создания пространства имен пользователей непривилегированным пользователем, не будут функционировать в этом режиме. В состав оперативного обновления 1.7.2 вошли обновлённые пакеты, в которых устранена угроза эксплуатации уязвимости. При этом нет необходимости устанавливать запрет на создание пространства имен пользователей непривилегированным пользователем. |
...