Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости ядра linux

Общие сведения

Выявлена угроза эксплуатации уязвимости в программном модуле ravb (драйвер сетевых устройств Renesas), который загружается в ядро linux. По умолчанию в Astra Linux загрузка данного модуля выключена. 

Чтобы проверить загружен ли модуль ravb в ядро linux, необходимо выполнить одну из команд:

• 
  

  Command
  lsmod | grep ravb

  
  

• 
  

  Command
  kmod list | grep ravb

  
  

Если модуль не загружен, то в результате выполнения команд будет пустой вывод.

Если модуль загружен, то для нейтрализации угрозы эксплуатации уязвимости необходимо запретить загрузку модуля ravb в ядро linux.

Если необходимо обеспечить загрузку драйвера сетевых устройств Renesas AVB в ядро linux, то для нейтрализации угрозы эксплуатации уязвимости необходимо выполнить организационные мероприятия.

Запрет загрузки модуля ravb в ядро linux

Для того чтобы запретить загрузку модуля ravb в ядро linux необходимо выполнить действия, описанные ниже.

1. Выгрузить модуль ravb из ядра linux. Для этого выполнить одну из команд:

   • 
     

     Command
     sudo rmmod ravb

     
     

   • 
     

     Command
     sudo modprobe -r ravb

     
     

2. Добавить модуль ravb в черный список командой:
   

   Command
   sudo echo "blacklist ravb" >> /etc/modprobe.d/blacklist.conf

   
   

3. Обновить текущий образ initramfs командой:

   Command
   sudo update-initramfs -u

   
   

4. Перезагрузить компьютер.
5. Дополнительно выполнить организационные мероприятия.

Якорь
org-mery org-mery

Дополнительные организационные мероприятия

Если необходимо обеспечить загрузку драйвера сетевых устройств Renesas AVB в ядро linux, то для нейтрализации угрозы эксплуатации уязвимости необходимо выполнить действия, описанные ниже.

1. Включить (если ранее не были включены) для непривилегированных пользователей следующие функции безопасности системы:
   • блокировка консоли для пользователей;
   • блокировка интерпретаторов;
   • блокировка макросов.
   Порядок включения функций безопасности системы представлен в документе РУСБ.10152-02 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».
2. Осуществить принудительную смену паролей пользователей.
3. Отключить или удалить неиспользуемые учетные записи пользователей, а также учетные записи недоверенных пользователей.

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости браузера Chromium

Для нейтрализации угрозы эксплуатации уязвимости браузера Chromium необходимо придерживаться следующих рекомендаций:

• Запускать веб-браузер Chromium в изолированных контейнерах docker в непривилегированном (rootless) режиме. Работа с Docker в непривилегированном режиме описана в документе РУСБ.10152-02 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».
• Использовать веб-браузер Firefox, входящий в состав Astra Linux.
• Запретить сайтам использование JavaScript и/или задать "белый" список сайтов, которым использование JavaScript будет разрешено. Для этого:
  • запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium;
  • в адресную строку ввести "chrome://settings/content/javascript" и нажать клавишу <Enter>;
  • на открывшейся странице JavaScript установить флаг Запретить сайтам использовать JavaScript;
  • на странице JavaScript в секции Разрешить сайтам использовать JavaScript нажать на кнопку [Добавить];
  • в открывшемся окне Добавление сайта ввести адрес доверенного сайта (например, "[*.]astralinux.ru" ) и нажать на кнопку [Добавить]. Аналогичным образом добавить адреса необходимых сайтов.