БЮЛЛЕТЕНЬ № 20190529SE15
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (версия 1.5) в информационных системах.
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета busybox.
Для предотвращения эксплуатации указанной уязвимости необходимо ограничить доступ к утилите busybox всем, кроме пользователей, входящих в группу astra-admin,
для чего нужно выполнить от имени учетной записи администратора ОС СН с высоким уровнем целостности следующие команды:
Command |
---|
chown root:astra-admin /bin/busybox |
БЮЛЛЕТЕНЬ № 20190329SE15
Кумулятивное обновление (содержит в себе обновления №31082018SE15,
№29032017SE15,
№16092016SE15,№27102017SE15,№02032018SE15 и №27082018SE15
) для нейтрализации угроз эксплуатации и уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5). Необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже.
Информация |
---|
Обновление диска со средствами разработкиСоответствующее бюллетеню № 20190329SE15 обновление диска со средствами разработки доступно по сслыке |
1. Загрузить образ диска с обновлениями по ссылке
2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:
Command |
---|
gostsum -d /mnt/20190329SE15.iso |
Контрольная сумма:
Информация |
---|
f0a193280a5314bab8243d13463fed4ffd40f7981f5b86c1ca34a9e05354c57f - |
Обновление безопасности подписано усиленной квалифицированной электронной подписью АО "НПО РусБИТех", выданной удостоверяющим центром Министерства Обороны Российской Федерации (Скачать). Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, размещенные на сайте: https://structure.mil.ru/structure/UC/certificate.htm
Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск
операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5)
3. выполнить команды:
Command |
---|
sudo mount /mnt/20190329SE15.iso /media/cdrom sudo apt-cdrom -m add |
на вопрос об имени диска ввести "20190329SE15"
Примечание | ||
---|---|---|
| ||
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. |
Command |
---|
sudo apt-get update sudo apt-get dist-upgrade |
после выполнения указанных команд будет выполнено обновление операционной системы.
Примечание | ||
---|---|---|
| ||
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями. |
Подсказка | |||||
---|---|---|---|---|---|
| |||||
|
БЮЛЛЕТЕНЬ № 31082018SE15
Кумулятивное обновление (содержит в себе обновление №29032017SE15,
№16092016SE15,№27102017SE15,№02032018SE15 и №27082018SE15
) для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5). Необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже.
Информация |
---|
Обновление диска со средствами разработкиСоответствующее бюллетеню № 31082018SE15 обновление диска со средствами разработки доступно по сслыке |
1. Загрузить образ диска с обновлениями по ссылке
2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:
Command |
---|
gostsum -d /mnt/31082018se15.iso |
Контрольная сумма:
Информация | ||
---|---|---|
| ||
c46e22dd4ec1ff0254d3ca9d258fce6c0cbbfc771e623e7dc1260f0c2ef56185 - |
Подсказка |
---|
Обновление безопасности подписано усиленной квалифицированной электронной подписью АО "НПО РусБИТех", выданной удостоверяющим центром Министерства Обороны Российской Федерации (Скачать). Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, размещенные на сайте: https://structure.mil.ru/structure/UC/certificate.htm |
Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск
операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5)
3. выполнить команды:
Command |
---|
|
на вопрос об имени диска ввести "31082018se15"
Предупреждение | ||
---|---|---|
| ||
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. |
Command |
---|
|
после выполнения указанных команд будет выполнено обновление операционной системы.
Предупреждение | ||
---|---|---|
| ||
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями. |
Подсказка | |||||
---|---|---|---|---|---|
| |||||
|
БЮЛЛЕТЕНЬ № 27082018SE15
Для предотвращения возможности подключения отчуждаемых носителей в нарушение установленных политик безопасности дискреционного разграничения доступа необходимо в папку /etc/polkit-1/localauthority/10-vendor.d/ поместить файл ru.rusbitech.noudisksmount.pkla со следующим содержимым:
Блок кода | ||||||
---|---|---|---|---|---|---|
| ||||||
[Disable mount for limited users] Identity=unix-user:* Action=org.freedesktop.udisks.filesystem-mount ResultActive=auth_admin |
БЮЛЛЕТЕНЬ № 02032018SE15
Кумулятивное обновление (содержит в себе обновления №27102017SE15,№29032017SE15, №16092016SE15) для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5). Для минимизации рисков эксплуатации уязвимостей микропроцессоров Meltdown (CVE-2017-5754) и Spectre v2 (CVE-2017-5715) в состав данного обновления включено ядро linux 4.2.0-24.
Информация |
---|
Обновление диска со средствами разработкиСоответствующее бюллетеню № 02032018SE15 обновление диска со средствами разработки доступно по сслыке |
В связи с серьезными изменениями в части своего интерфейса это ядро устанавливается дополнительно к linux 4.2.0-23 и не загружается по умолчанию. Стороннее программное обеспечение, содержащее в своем составе модули ядра, скомпилированные для ядра 4.2.0-23, может работать некорректно и потребовать перекомпиляции.
Столбец | ||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||
|
Также для повышения безопасности при эксплуатации операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01, рекомендуется выполнить дополнительные настройки, размещенные в разделе Astra Linux SE (ОС СН) Смоленск 1.5 Red-Book.
Необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже.
1. Загрузить образ диска с обновлениями по ссылке
2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:
Command |
---|
gostsum -d /mnt/02032018se15.iso |
Контрольная сумма:
Информация |
---|
|
Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск
операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5)
3. выполнить команды:
Command |
---|
|
на вопрос об имени диска ввести "02032018SE15"
Предупреждение | ||
---|---|---|
| ||
На время установки обновления необходимо снять запрет на установку SUID бита в политиках безопасности. |
Command |
---|
|
после выполнения указанных команд будет выполнено обновление операционной системы.
Примечание | ||
---|---|---|
| ||
В случае, если на компьютере установлена СУБД PostgreSQL из состава операционной системы, после обновления необходимо выполнить: sudo chmod +x /usr/share/postgresql-common/pg_ctlcluster |
Примечание | ||
---|---|---|
| ||
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями. |
Подсказка | |||||
---|---|---|---|---|---|
| |||||
|
БЮЛЛЕТЕНЬ № 27102017SE15
Кумулятивное обновление (содержит в себе обновление №29032017SE15
и №16092016SE15
) для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5). Необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже.
1. Загрузить образ диска с обновлениями по ссылке
2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:
Command |
---|
gostsum -d /mnt/27102017se15.iso |
Контрольная сумма:
Информация | ||
---|---|---|
| ||
|
Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск
операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5)
3. выполнить команды:
Command |
---|
|
на вопрос об имени диска ввести "27102017SE15"
Предупреждение | ||
---|---|---|
| ||
На время установки обновления необходимо снять запрет на установку SUID бита в политиках безопасности. |
Command |
---|
|
после выполнения указанных команд будет выполнено обновление операционной системы.
Предупреждение | ||
---|---|---|
| ||
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями. |
Подсказка | |||||
---|---|---|---|---|---|
| |||||
|
БЮЛЛЕТЕНЬ № 01062017SE15
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (версия 1.5) в информационных системах.
Методика безопасности, нейтрализующая уязвимость CVE-2017-7494
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета samba. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН добавить строку:
Блок кода | ||||||
---|---|---|---|---|---|---|
| ||||||
nt pipe support = no |
в секцию [global] конфигурационного файла /etc/samba/smb.conf
БЮЛЛЕТЕНЬ № 29032017SE15
Кумулятивное обновление (содержит в себе обновление № 16092016SE15) для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5). Необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже.
1. Загрузить образ диска с обновлениями по ссылке
Скачать
2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:
Command | ||||
---|---|---|---|---|
| ||||
gostsum -d /mnt/29032017se15.iso |
Контрольная сумма:
Подсказка |
---|
|
Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск
операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5)
Контрольная сумма iso-образа обновления безопасности № 2
, рассчитанная с использованием Программы фиксации и контроля исходного состояния программного комплекса «ФИКС-UNIX 1.0» 643.53132931.501492-01 (далее по тексту — программа «ФИКС-UNIX 1.0») по алгоритму «Уровень-3», должна соответствовать значению:9032017se15
Подсказка |
---|
C74BE35C |
Подсчет контрольной суммы iso-образа обновления безопасности № 2
с использованием программы «ФИКС-UNIX 1.0» по алгоритму «Уровень-3» должен осуществляться пользователем с правами администратора на рабочей станции, под управлением ОС СН «Astra Linux Special Edition» РУСБ.10015-01, в следующей9032017se15
последовательности:
Поместить загруженный iso-образ в каталог /mnt на обновляемой системе;
Выполнить в командной строке:
Command | ||||
---|---|---|---|---|
| ||||
sudo mount /mnt/2 |
Перейти в директорию, содержащую исполняемый модуль программы «ФИКС-UNIX 1.0» (ufix
), и выполнить следующие команды:
Command | ||||
---|---|---|---|---|
| ||||
|
Выполнить в командной строке:
панель | ||||
---|---|---|---|---|
| ||||
firefox /tmp/29032017se15_Report.html |
Сравнить значение контрольной суммы в строке «ВСЕГО», выданное на экран, со значением, указанным выше
3. выполнить команды:
Command | ||||
---|---|---|---|---|
| ||||
|
Информация |
---|
на вопрос об имени диска ввести "29032017se15" |
Command | ||||
---|---|---|---|---|
| ||||
|
после выполнения указанных команд будет выполнено обновление операционной системы.
Предупреждение | ||
---|---|---|
| ||
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями. |
Примечание | ||
---|---|---|
| ||
После установки обновления, если запущен контроллер домена, необходимо выполнить команду: |
Подсказка | |||||
---|---|---|---|---|---|
| |||||
|
БЮЛЛЕТЕНЬ № 16092016SE15
Для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5) в информационных системах необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже.
1. Загрузить образ диска с обновлениями по ссылке
Скачать
2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:
Command | ||||
---|---|---|---|---|
| ||||
|
Контрольная сумма:
Подсказка |
---|
0fd8405aad2a729f5daac2c980109cdad3f78a4365eb2876416e0af70663c3d7 |
Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5)
3. выполнить команды:
Command | ||||
---|---|---|---|---|
| ||||
|
на вопрос об имени диска ввести "Astra Linux Security Updates"
Command | ||||
---|---|---|---|---|
| ||||
|
после выполнения указанных команд будет выполнено обновление операционной системы.
Предупреждение | ||
---|---|---|
| ||
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-incheck необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями. |
В случае, если по каким-то причинам провести обновление программных пакетов указанным выше способом невозможно, выполните методические указания приведенные ниже:
Раскрыть | ||
---|---|---|
| ||
Идентификаторы уязвимостей соответствуют указанным в банке данных угроз безопасности информации ФСТЭК России 1. Методика безопасности, нейтрализующая уязвимость BDU:2016-01146 Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета imagemagick, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в конфигурационный файл /etc/ImageMagick/policy.xml в раздел <policymap> добавить строки: Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета libgraphicsmagick3, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в конфигурационном файле /usr/lib/GraphicsMagick-1.3.16/config/delegates.mgk удалить строку: 3. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01583 Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения у пользователей на запуск программы сбора сетевой статистики lnstat. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск данной программы, выполнив в терминале команду: Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения у пользователей на запуск программы сбора сетевой статистики lnstat. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск данной программы, выполнив в терминале команду: Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета gpsd-clients, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы gpxlogger, выполнив в терминале команду: Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета speech-tools, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы wfst_run, выполнив в терминале команду: Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета texlive-binaries, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы mendex, выполнив в терминале команду: Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета firebird2.5-classic-common, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы gdef, выполнив в терминале команду: Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/wireless/libertas/libertas_cs.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду: Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/usb/kalmia.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду: Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/usb/smsc75xx.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду: Информируем всех потребителей, что в командном интерпретаторе bash обнаружены уязвимости, с использованием которых потенциально возможно нарушение установленных правил разграничения доступа. |