...
Для нейтрализации угрозы эксплуатации уязвимости CVE-2022-0185 необходимо запретить непривилегированным пользователям создавать новые пространства имен пользователей, для этого изменив значение параметра ядра kernel.unprivileged_userns_clone. Чтобы проверить текущее значение параметра ядра необходимо выполнить команду:
| Command |
|---|
sysctl kernel.unprivileged_userns_clone |
Параметр ядра kernel.unprivileged_userns_clone может принимать следующие значения:
- 0 — в случае, когда непривилегированным пользователям запрещено создавать новые пространства имен пользователей;
- 1 — в случае, когда непривилегированным пользователям разрешено создавать новые пространства имен пользователей.
Для того чтобы временно (до перезагрузки системы) запретить непривилегированным пользователям создавать новые пространства имен пользователей, необходимо выполнить команду:
| Command |
|---|
sudo sysctl -w kernel.unprivileged_userns_clone=0 |
Для того чтобы установленное значение параметра ядра сохранилось после перезагрузки, необходимо:
Добавить в файл
/etc/sysctl.d/999-astra.confследующую строку:Блок кода kernel.unprivileged_userns_clone = 0Это можно сделать следующей командой:
Command echo "kernel.unprivileged_userns_clone = 0" | sudo tee -a /etc/sysctl.d/999-astra.conf Перезагрузить параметры ядра, выполнив команду:
Command sudo sysctl --system
| Примечание |
|---|
При применении настоящей методики сервис Rootless docker, а также любые сервисы и решения в конфигурациях, требующих создания пространства имен пользователей непривилегированным пользователем, не будут функционировать в этом режиме. В состав следующего оперативного обновления войдут обновлённые пакеты, в которых будет устранена угроза эксплуатации уязвимости без запрета создания пространства имен пользователей непривилегированным пользователем. |
...