Методика безопасности, нейтрализующая угрозы эксплуатации уязвимости пакета polkit's pkexec (CVE-2021-4034)
Для минимизации угроз безопасности в Astra Linux, функционирующей на уровне защищенности «Усиленный» или «Максимальный», рекомендуется включить (если были ранее выключены) следующие функции подсистемы безопасности:
- Мандатный контроль целостности (МКЦ), включая режим МКЦ на файловой системе (см. руководство по КСЗ. Часть 1, раздел 4.8);
- Замкнутая программная среда (ЗПС) — см. руководство по КСЗ. Часть 1, раздел 16.1.
Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимости путём обновления пакетов. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. Обновление пакетов может выполняться непосредственно из распакованных файлов, централизованно из общего репозитория, или индивидуально из локальных репозиториев. Для использования репозиториев их настройку следует выполнить в соответствии с указаниями Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов а также Создание локальных и сетевых репозиториев.
Если обновить пакеты не представляется возможным, то необходимо снять SUID-бит для файлового объекта pkexec, выполнив команду:
Порядок применения методики безопасности
- Скачать tar-архив с помощью WEB-браузера по следующей ссылке;
- Перейти в каталог с полученным tar-архивом;
Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:
gostsum 2022-0128se17md.tar.gzКонтрольная сумма:46289e8cb3643afe0233b719eae852319b43961a6fe21f6190e8f580b8243d6a
Распаковать архив, выполнив команду:
tar xzvf 2022-0128se17md.tar.gzПосле распаковки архива для установки будут доступен файл обновлений и файл gostsums.txt для проверки контрольных сумм файлов, входящих в ОС (см. руководство по КСЗ. Часть 1, раздел 9.1);
После распаковки архива обновление можно выполнить командой:
sudo dpkg -i sudo_1.8.19p1-2.1+deb9u3_amd64.deb
Внимание
При включенной функции подсистемы безопасности «Мандатный контроль целостности» обновление пакетов необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности.