Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.


Информация
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6), далее по тексту - Astra Linux, в информационных системах.


Информация

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.



Информация

Настоящее методические указания предназначены для нейтрализации угрозы эксплуатации уязвимости в Astra Linux с установленным оперативным обновлением 12 (бюллетень БЮЛЛЕТЕНЬ № 20221220SE16).


Подсказка

Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, будут включены в состав следующего оперативного обновления.


Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости службы сервера FreeIPA

Примечание

Информация об уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения в техническую поддержку.


Предупреждение
titleВНИМАНИЕ!

Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.

Для нейтрализации угрозы эксплуатации уязвимости службы сервера FreeIPA на каждом сервере (реплике) необходимо выполнить действия, описанные ниже.

  1. Уточнить наименование домена командой:

    Command

    astra-freeipa-server -i

    Пример вывода после выполнения команды:

    Блок кода
    Обнаружен настроенный домен my.domain.local
    WEB: https://dc.my.domain.local


  2. Изменить ACL (список прав доступа) атрибута userPassword с anyone (все пользователи) на all (только аутентифицированные пользователи), для чего использовать команду ldapmodify. Например, в интерактивном режиме:
    1. Запустить инструмент командной строки ldapmodify:

      Command

      ldapmodify -D "cn=Directory Manager" -W


    2. Ввести пароль администратора домена;

      Информация
      После успешной аутентификации никакие сообщения, включая приглашение для ввода, не выводятся.

       

    3. Ввести следующие строки:

      Блок кода
      dn:  <компоненты_наименования_домена> 
      changetype: modify
      delete: aci
      aci: (targetattr = "userPassword")(version 3.0; acl "Users can read attr userPassword"; allow (read, compare,search) groupdn = "ldap:///anyone";)
      -
      add: aci
      aci: (targetattr = "userPassword")(version 3.0; acl "Users can read attr userPassword"; allow (read, compare,search) groupdn = "ldap:///all";)
      -

      где <компоненты_наименования_домена> - запись вида:

      Блок кода
      dc=<N-й_компонент_наименования_домена>,...,dc=<2-й_компонент_наименования_домена>,dc=<1-й_компонент_наименования_домена>

      для примера, приведенного выше (имя домена my.domain.local), строка будет иметь вид:

      Блок кода
      dn: dc=my,dc=domain,dc=local


    4. Нажать клавишу <ENTER> (дважды) . О внесении изменений в настройки свидетельствует следующее сообщение:

      Блок кода
      modifying entry "<компоненты_наименования_домена>"


    5. Завершить работу инструмента командной строки ldapmodify , например, нажав комбинацию клавиш <Ctrl+D>.


Примечание

Независимо от применения настоящей методики рекомендуется установить настройки сложности пароля не ниже, чем:

  • минимальная длина пароля — 8 символов;
  • количество классов символов, используемых в пароле, — не менее чем два класса символов. Применяются следующие классы символов:
      • буквы верхнего регистра;
      • буквы нижнего регистра;
      • цифры;
      • специальные символы;
      • пробелы и непечатаемые символы.

После применения настоящей методики рекомендуется сменить пароли пользователей.


...