Справочный центр

Дерево страниц

Сравнение версий

Старая версия 1

changes.mady.by.user Алексей Федоров

Сохранено

по сравнению с

Новая версия 2

changes.mady.by.user Алексей Федоров

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.


Информация
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционных систем специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10, РУСБ.10015-37 (очередное обновление 7.7), далее по тексту - Astra Linux, в информационных системах.



Информация

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.


Подсказка

Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, будут включены в состав следующего оперативного обновления.


Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости

веб-браузера Chromium 

программного обеспечения Docker

Примечание

Информация об уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения в техническую поддержку.

Для нейтрализации угрозы эксплуатации уязвимости веб-браузера Chromium необходимо придерживаться следующих рекомендаций:

Общие методические рекомендации

  1. Работа с Docker должна быть осуществлена в ОС Astra Linux 1.7 с использованием механизмов СЗИ:
    - Запуск гипервизора контейнеров Docker на пониженном уровне целостности
    - Установка, включение и применение Docker для работы
Запускать веб-браузер Chromium в изолированных контейнерах docker
  1. в непривилегированном (rootless) режиме
. Работа с Docker в непривилегированном режиме описана в документе «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».
  • Использовать веб-браузер Firefox, входящий в состав Astra Linux.

    1. Подробнее https://wiki.astralinux.ru/pages/viewpage.action?pageId=158601444
    2. Так же необходимо ограничить доступ к хосту недоверенным пользователям и ограничить доступ к хост-томам доверенными контейнерами
    3. Необходимо убедиться, что запускаются только доверенные контейнеры
    4. Необходимо отказаться от использования дополнительной настройки Dockerfile путем «USER $USERNAME». Выполнить перезапуск всех контейнеров - дополнительные группы будут настроены корректно

    Список уязвимостей, которые закрываются общими методическими рекомендациями:
    1. CVE-2021-41091
    2. CVE-2021-41089
    3. CVE-2021-21285
    4. CVE-2021-21284

    CVE-2023-28842

    1. В многоузловых кластерах необходимо развернуть глобальный контейнер "pause" для каждоый зашифрованной воерлейной сети на каждом узле. Для этого нужно использовать образ registry.k8s.io/pause и глобальную службу --mode
    2. Необходимо заблокировать UDP-порт 4789 от входящего трафика путем выполнения команды: iptables -A INPUT -m udp —-dport 4789 -m policy --dir in --pol none -j DROP

    CVE-2023-28840 и CVE-2023-28841

    1. Для предотвращения внедрения всех пакетов VXLAN необходимо закрыть порт VXLAN (по умолчанию UDP-порт 4789) для входящего трафика путем выполнения команды:
      iptables -I INPUT -m udp —-dport 4789 -m policy --dir in --pol none -j DROP
    2. Необходимо убедиться, что модуль ядра xt_u32 доступен для всех узлов кластера Swarm. Для этого необходимо включить данный модуль путем выполнения команды: $ sudo modprobe xt_u32. Убедиться, что модуль активен $ lsmod | grep xt_u32 и обновить текущий образ initramfs командой: $ sudo update-initramfs -u

    CVE-2022-36109

    1. Отказаться от использования дополнительной настройки Dockerfile путем «USER $USERNAME» и дополнительные группы будут настроены корректно

    CVE-2021-41092

    1. Убедиться, что настройки credsStore или credHelpers в файле конфигурации ссылаются на установленный помощник по учетным данным, который является исполняемым и находится в PATH
    Запретить сайтам использование JavaScript и/или задать "белый" список сайтов, которым использование JavaScript будет разрешено. Для этого:
  • запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium;
  • в адресную строку ввести "chrome://settings/content/javascript" и нажать клавишу <Enter>;
  • на открывшейся странице JavaScript установить флаг Запретить сайтам использовать JavaScript;
  • на странице JavaScript в секции Разрешить сайтам использовать JavaScript нажать на кнопку [Добавить];
    • в открывшемся окне Добавление сайта ввести адрес доверенного сайта (например, "[*.]astralinux.ru" ) и нажать на кнопку [Добавить]. Аналогичным образом добавить адреса необходимых сайтов.