Сравнение версий
Ключ
- Эта строка добавлена.
- Эта строка удалена.
- Изменено форматирование.
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-1 (очередное обновление 1.6) в информационных системах.
Оглавление
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости CVE-2020-12801
УязвимостьCVE-2020-12801 (https://nvd.nist.gov/vuln/detail/CVE-2020-12801) компонента текстового редактора libreoffice: после аварийного завершения работы и восстановления файла, защищенного защитным преобразованием данных, у пользователя имеется возможностью случайного сохранения незащищённой копии файла.
Для предотвращения эксплуатации указанной уязвимости при сохранении восстановленных защищенных файлов сохранять их как копию (команда "Сохранить как...", возможно с тем же самым именем файла), при этом в обязательном порядке проверить при корректность выставленных параметров защиты сохраняемых данных ("Сохранить с паролем" и "Зашифровать ключем GPG"), и, при необходимости, установить необходимые значения этих параметров.
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости CVE-2020-1938
Уязвимость CVE-2020-1938 (https://bdu.fstec.ru/vul/2020-00937) реализации протокола AJP в пакете tomcat8, позволяющая выполнение произвольного кода.
Для предотвращения эксплуатации указанной уязвимости:
Если AJP не эксплуатируется, то:
Запретить его использование, удалив или закомментировав в конфигурационном файле /var/lib/tomcat8/conf/server.xml строчку с параметрами этого протокола:
Блок кода <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
Закомментированная строчка должна выглядеть так:
Блок кода <!-- <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /> -->
В ОС СН Смоленск 1.6 эта Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) эта строчка по умолчанию закомментирована, т.е. протокол по умолчанию отключён.
Если в конфигурационный файл были внесены изменения то чтобы изменения вступили в силу перезапустить сервис tomcat8:
Command sudo systemctl restart tomcat8
Если протокол AJP эксплуатируется, то следует запретить анонимные подключения, разрешив подключения только доверенным пользователям, для чего в конфигурационном файле /var/lib/tomcat8/conf/server.xml настроить параметры авторизации протокола:
Блок кода <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>
| Информация |
|---|
Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно. |
| Предупреждение | ||
|---|---|---|
| ||
| Обновление и изменение конфигурации пакетов необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. При необходимости установки пакетов на время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. |