| Информация |
|---|
| Методические указания по нейтрализации угроз эксплуатации уязвимостей операционных систем специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10, РУСБ.10015-37 (очередное обновление 7.7), далее по тексту - Astra Linux, в информационных системах. |
| Информация |
|---|
Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно. |
| Подсказка |
|---|
Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, включены в состав оперативного обновления 1.7.5 (БЮЛЛЕТЕНЬ № 2023-1023SE17). |
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости команды dmidecode
| Примечание |
|---|
Информация об уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения в техническую поддержку. |
Для нейтрализации угрозы эксплуатации уязвимости команды dmidecode необходимо исключить возможность выполнения непривилегированными пользователями команды dmidecode с повышенными привилегиями без запроса пароля. Необходимо провести ревизию файла /etc/sudoers и файлов в каталоге /etc/sudoers.d/ и убедиться, что в файлах отсутствует разрешение на запуск dmidecode с повышенными привилегиями. Для этого выполнить команду:
| Command |
|---|
| sudo grep dmidecode /etc/sudoers /etc/sudoers.d/ -r |
Если разрешение на запуск dmidecode с повышенными привилегиями отсутствует, то в результате выполнения команды будет пустой вывод.
| Блок кода |
|---|
/etc/sudoers:<группа_пользователей> (ALL) NOPASSWD: /usr/sbin/dmidecode |
где <группа_пользователей> – наименование группы, в которую включены непривилегированные пользователи.
Такие строки должны быть удалены или закомментированы;
Для минимизации угроз безопасности в Astra Linux, функционирующей на уровне защищенности «Усиленный» или «Максимальный», рекомендуется включить (если были ранее выключены) следующие функций безопасности системы:
- мандатный контроль целостности (МКЦ), включая режим МКЦ на файловой системе;
- замкнутая программная среда (ЗПС);
- для непривилегированных пользователей активировать блокировку интерпретаторов, в том числе, если возможно — блокировку интерпретатора
bash.
Порядок включения функций безопасности системы представлен в документе «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».
...