Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Информация
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-1 (очередное обновление 1.6)  в информационных системах.

Оглавление


Информация

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.


Информация

Перед выполнением действий настоящей методики безопасности необходимо установить оперативное обновление 5 (БЮЛЛЕТЕНЬ № 20200327SE16).


Подсказка

Обновленные пакеты, в которых устранена угроза эксплуатации уязвимостей, включены в состав оперативного обновления 6 (БЮЛЛЕТЕНЬ № 20200722SE16).


Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости CVE-2020-12801

УязвимостьCVE-2020-12801 (https://nvd.nist.gov/vuln/detail/CVE-2020-12801) компонента текстового редактора libreoffice: после аварийного завершения работы и восстановления файла, защищенного защитным преобразованием данных, у пользователя имеется возможностью случайного сохранения незащищённой копии файла.

Для предотвращения эксплуатации указанной уязвимости при сохранении восстановленных защищенных файлов сохранять их как копию (команда "Сохранить как...", возможно с тем же самым именем файла), при этом в обязательном порядке проверить при корректность выставленных параметров защиты сохраняемых данных ("Сохранить с паролем" и "Зашифровать ключем GPG"), и, при необходимости, установить необходимые значения этих параметров. 

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости CVE-2020-1938

Уязвимость CVE-2020-1938 (https://bdu.fstec.ru/vul/2020-00937) реализации протокола AJP в пакете tomcat8, позволяющая выполнение произвольного кода.

Для предотвращения эксплуатации указанной уязвимости:

  1. Если AJP не эксплуатируется, то:

    1. Запретить его использование, удалив или закомментировав в конфигурационном файле /var/lib/tomcat8/conf/server.xml строчку с параметрами этого протокола:

      Блок кода
      <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

      Закомментированная строчка должна выглядеть так:

      Блок кода
      <!--
      <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
      -->

      В ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)  эта строчка по умолчанию закомментирована, т.е.  протокол по умолчанию отключён.

    2. Если в конфигурационный файл были внесены изменения то чтобы изменения вступили в силу перезапустить сервис tomcat8:

      Command
      sudo systemctl restart tomcat8


  2. Если протокол AJP эксплуатируется, то следует запретить анонимные подключения, разрешив подключения только доверенным пользователям, для чего в конфигурационном файле /var/lib/tomcat8/conf/server.xml настроить параметры авторизации протокола:

    Блок кода
    <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>
ИнформацияМетодические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.


Предупреждение
titleВнимание
Обновление и изменение конфигурации пакетов необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. При необходимости установки пакетов на время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.