Справочный центр

Дерево страниц

Сравнение версий

Старая версия 20

changes.mady.by.user Алексей Федоров

Сохранено

по сравнению с

Новая версия 21

changes.mady.by.user Алексей Федоров

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Обновление безопасности операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6), далее по тексту - Astra Linux, предназначено для нейтрализации уязвимостей в информационных системах.

Оглавление


Информация

Обновление безопасности содержит отдельные программные пакеты, в которые внесены изменения с целью устранения ряда уязвимостей ядра linux, а также методические указания, нейтрализующие угрозу эксплуатации уязвимостей пакета

apache2. Кроме того, в пакет ca-certificates.deb репозитория Astra Linux добавлен сертификат удостоверяющего центра Минцифры России.


Информация

Настоящее обновление безопасности не является кумулятивным.

При применении данного обновления другие виды обновлений автоматически не применяются и должны быть установлены отдельно.


Примечание

Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения на портале технической поддержки.


Обновление безопасности, нейтрализующие угрозу эксплуатации уязвимостей ядра linux


Информация

Нейтрализация угрозы эксплуатации уязвимостей осуществляется путём обновления отдельных пакетов. Пакеты с устраненными уязвимостями войдут в состав последующего кумулятивного оперативного обновления.


Предупреждение

Если в системе используется программное обеспечение, разработанное с использованием средств разработки, необходимо выполнить обновление пакетов, размещённых на диске со средствами разработки.


Подготовка к установке обновления

Предупреждение

Перед установкой обновлений:


Предупреждение
Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).


Предупреждение
titleВнимание
  • обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности;

  • на время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. Это может быть сделано с помощью инструментов fly-astra-update/astra-update или командой:

    Command
    sudo astra-nochmodx-lock disable


Установка обновления пакетов установочного диска

  1. Скачать tar-архив 20220318SE16MD.tar.gz с помощью WEB-браузера по следующей ссылке: https://nas01.astralinux.ru/sharing/J1jFTMuwC;
  2. Перейти в каталог с полученным tar-архивом;

  3. Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:

    Command

    gostsum 20220318SE16MD.tar.gz

    Контрольная сумма:

    Блок кода
    08fe0cb89b03462ae77891e220d21b874d37dd262b807f40a2a4c011fc45dd0a


  4. Распаковать архив, например, в каталог /mnt/, выполнив команду: 

    Command

    sudo tar xzvf 20220318SE16MD.tar.gz -C /mnt/


  5. Полученный в результате распаковки tar-архива каталог 20220318SE16MD подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог /mnt/20220318SE16MD/, необходимо в файле /etc/apt/sources.list добавить строку вида

    Блок кода
    deb file:/mnt/20220318SE16MD/ smolensk main contrib non-free

    и выполнить команду 

    Command

    sudo apt update


  6. После подключения репозитория, обновление пакетов может быть установлено одной из следующих команд:


    • Command

      sudo astra-update -a -r



    • Command

      sudo apt dist-upgrade


Установка обновления пакетов диска со средствами разработки

  1. Скачать tar-архив devel-20220318SE16MD.tar.gz с помощью WEB-браузера по следующей ссылке: https://nas01.astralinux.ru/sharing/bPNbbMnAb;
  2. Перейти в каталог с полученным tar-архивом;

  3. Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:

    Command

    gostsum devel-20220318SE16MD.tar.gz

    Контрольная сумма:

    Блок кода
    1cdb2a4980bd8996c4fe3d5d8c6c28f1b670fab357dff99da4ab3a2850374081


  4. Распаковать архив, например, в каталог /mnt/, выполнив команду: 

    Command

    tar xzvf devel-20220318SE16MD.tar.gz -C /mnt/


  5. Полученный в результате распаковки tar-архива каталог devel-20220318SE16MD подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог /mnt/devel-20220318SE16MD/, необходимо в файле /etc/apt/sources.list добавить строку вида 

    Блок кода
    deb file:/mnt/devel-20220318SE16MD/ smolensk main contrib non-free

    и выполнить команду 

    Command

    sudo apt update


  6. После подключения репозитория, обновление может быть установлено одной из следующих команд:


    • Command

      sudo astra-update -a -r



    • Command

      sudo apt dist-upgrade


Завершение установки обновления

Предупреждение

После выполнения обновления перезагрузить систему.


Предупреждение
titleВнимание

После успешной установки обновления проверка целостности программных пакетов установочного диска осуществляется утилитой fly-admin-int-check с применением файла gostsums.txt, расположенного в распакованном каталоге 20220318SE16MD.

Методические указания, нейтрализующие угрозу эксплуатации уязвимостей пакета apache2

Методика устранения уязвимости, связанной с переполнением буфера в lua_module при разборе запросов, состоящих из нескольких частей (multipart)

Для устранения этой уязвимости необходимо отключить модуль поддержки языка LUA. Чтобы просмотреть перечень используемых модулей необходимо выполнить команду:

Command

sudo apachectl -M

Если в перечне используемых модулей присутствует модуль с наименованием lua, то следует выполнить команду:

Command

sudo a2dismod lua

После этого необходимо перезапустить веб-сервер Apache, выполнив команду:

Command

sudo systemctl restart apache2


Методика устранения SSRF-уязвимости (Server Side Request Forgery) в mod_proxy

Для устранения этой уязвимости необходимо отключить поддержку прямого proxy в конфигурационном файле (по умолчанию имеет следующие расположение: /etc/apache2/sites-enabled/000-default.conf).

Параметр ProxyRequests  должен иметь значение "off". При этом, если это необходимо, то реверс-прокси может остаться включенным.

Информация

В случае, если есть возможность отключить все режимы работы proxy, то необходимо выполнить команду:

Command

sudo a2dismod proxy





Предупреждение

Вместе с тем, или в случае, если применение вышеперечисленных мер не представляется возможным, для минимизации угроз безопасности в результате эксплуатации уязвимости, необходимо (рекомендуется) активировать (если еще не активирован) режим Мандатного контроля целостности (МКЦ), включая режим МКЦ на файловой системе. Для защиты системных компонентов ОС от оказания негативного воздействия на них со стороны скомпрометированных процессов в результате эксплуатации уязвимостей активировать режим запуска сервиса apache2 на выделенном мандатном уровне целостности посредством утилиты astra-ilev1-control в соответствии с ...(документацией) .


...