Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Информация
Оперативное обновление безопасности операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10152-02 (очередное обновление 4.7), далее по тексту - Astra Linux, предназначено для нейтрализации угрозы эксплуатации уязвимостей в информационных системах и совершенствования функциональных возможностей.


Подсказка

Настоящее обновление безопасности содержит пакеты, в которых устранены угрозы эксплуатации уязвимостей веб-браузера Chromium.


Примечание

Перечень уязвимостей, закрываемых обновлением, предоставляется в личном кабинете пользователя.


Предупреждение
Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).



Информация

Настоящее обновление безопасности не является кумулятивным. При применении данного обновления другие виды обновлений автоматически не применяются и должны быть установлены отдельно.


Информация

Перед установкой настоящего обновления безопасности необходимо установить срочное оперативное обновление 4.7.4.UU.1 (БЮЛЛЕТЕНЬ № 2023-0907SE47).


Примечание

В случае применения (установки) оперативного обновления безопасности необходимо указать номер применяемого бюллетеня в разделе формуляра экземпляра Astra Linux (например, в разделе «Сведения о бюллетенях») или же в паспорте средства вычислительной техники, функционирующего под управлением Astra Linux. 

После успешной установки обновления (в том числе, после установки обновления базового репозитория) проверка целостности программных пакетов установочного диска (основного репозитория - main) осуществляется утилитой fly-admin-int-check с применением файла gostsums.txt, расположенного в распакованном каталоге 2023-1227SE47MD.


Оглавление

Оглавление
excludeОглавление



Предупреждение
В системах с включенным механизмом мандатного контроля целостности обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.


Подготовка к установке обновления

Предупреждение

Перед установкой обновлений:

Установка обновления пакетов основного репозитория (main)

Загрузка и проверка tar-архива с обновлением основного репозитория (main)

  1. Скачать tar-архив с обновлением с помощью веб-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/2023-1227SE47MD.tgz
    либо выполнив команду: 

    Command

    wget https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/2023-1227SE47MD.tgz


  2. Перейти в каталог с загруженным tar-архивом и выполнить проверку. Возможные варианты проверки:
    • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

      Command
      gostsum 2023-1227SE47MD.tgz

      Контрольная сумма:

      Информация
      iconfalse

      84d1380359f3d090570a9bc120ca9990ca3196501dee1295470e62130f7426f9


    • проверка отсоединенной электронной подписи tar-архива посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
      Порядок проверки:
      1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью веб-браузера по следующей ссылке:
        https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/2023-1227SE47MD.tgz.sig
        либо выполнив команду: 

        Command

        wget https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/2023-1227SE47MD.tgz.sig


      2. загруженную электронную подпись поместить в каталог с загруженным tar-архивом;
      3. перейти в каталог с загруженным tar-архивом и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        Command

        /opt/cprocsp/bin/aarch64/cryptcp -verify -detached 2023-1227SE47MD.tgz 2023-1227SE47MD.tgz.sig -f 2023-1227SE47MD.tgz.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

        Блок кода
         Подпись проверена.
        [ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.

Установка обновления

  1. Перейти в каталог с загруженным tar-архивом;
  2. Распаковать архив, например, в каталог /mnt/, выполнив команду: 

    Command

    sudo tar xzvf 2023-1227SE47MD.tgz -C /mnt/


  3. Полученный в результате распаковки tar-архива каталог 2023-1227SE47MD подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог /mnt/2023-1227SE47MD/, необходимо в файле /etc/apt/sources.list добавить строку вида:

    Блок кода
    deb file:/mnt/2023-1227SE47MD/ 4.7_arm <название_аппаратно_зависимого_компонента> main contrib non-free

    Пример для аппаратно-зависимого компонента baikal1:

    Блок кода
    deb file:/mnt/2023-1227SE47MD/ 4.7_arm baikal1 main contrib non-free

    и выполнить команду 

    Command

    sudo apt update


  4. После подключения репозитория, обновление пакетов может быть установлено одной из следующих команд:


    • Command

      sudo astra-update -a -r -T

      (предварительно должен быть установлен инструмент командной строки astra-update);


    • Command

      sudo apt dist-upgrade


Установка обновления пакетов базового репозитория (base)

Загрузка и проверка tar-архива с обновлением базового репозитория (base)

  1. Скачать tar-архив с обновлением с помощью веб-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/base-2023-1227SE47MD.tgz
    либо выполнив команду: 

    Command

    wget https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/base-2023-1227SE47MD.tgz


  2. Перейти в каталог с загруженным tar-архивом и выполнить проверку. Возможные варианты проверки:
    • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

      Command
      gostsum base-2023-1227SE47MD.tgz

      Контрольная сумма:

      Информация
      iconfalse

      dc2aea61d1bf9da3c8c1cafccfced01d5bd4878df1adb21febad301a10850450


    • проверка отсоединенной электронной подписи tar-архива посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
      Порядок проверки:
      1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью веб-браузера по следующей ссылке:
        https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/base-2023-1227SE47MD.tgz.sig
        либо выполнив команду: 

        Command

        wget https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/base-2023-1227SE47MD.tgz.sig


      2. загруженную электронную подпись поместить в каталог с загруженным tar-архивом;
      3. перейти в каталог с загруженным tar-архивом и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        Command

        /opt/cprocsp/bin/aarch64/cryptcp -verify -detached base-2023-1227SE47MD.tgz base-2023-1227SE47MD.tgz.sig -f base-2023-1227SE47MD.tgz.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

        Блок кода
         Подпись проверена.
        [ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.

Установка обновления

  1. Перейти в каталог с загруженным tar-архивом;
  2. Распаковать архив, например, в каталог /mnt/, выполнив команду: 

    Command

    sudo tar xzvf base-2023-1227SE47MD.tgz -C /mnt/


  3. Полученный в результате распаковки tar-архива каталог base-2023-1227SE47MD подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог /mnt/base-2023-1227SE47MD/, необходимо в файле /etc/apt/sources.list добавить строку вида:

    Блок кода
    deb file:/mnt/base-2023-1227SE47MD/ 4.7_arm <название_аппаратно_зависимого_компонента> main contrib non-free

    Пример для аппаратно-зависимого компонента baikal1:

    Блок кода
    deb file:/mnt/base-2023-1227SE47MD/ 4.7_arm baikal1 main contrib non-free

    и выполнить команду 

    Command

    sudo apt update


  4. После подключения репозитория, обновление пакетов может быть установлено одной из следующих команд:


    • Command

      sudo astra-update -a -r -T

      (предварительно должен быть установлен инструмент командной строки astra-update);


    • Command

      sudo apt dist-upgrade


Завершение установки обновления

Предупреждение

После выполнения обновления перезагрузить систему.