Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6), далее по тексту - Astra Linux, в информационных системах.
Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости CVE-2022-0185
Угроза эксплуатации уязвимости CVE-2022-0185 не актуальна для ядра linux-4.15.
ВНИМАНИЕ!
Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
Для нейтрализации угрозы эксплуатации уязвимости CVE-2022-0185 необходимо запретить непривилегированным пользователям создавать новые пространства имен пользователей, изменив значение параметра ядра kernel.unprivileged_userns_clone
. Чтобы проверить текущее значение параметра ядра необходимо выполнить команду:
kernel.unprivileged_userns_clone
может принимать следующие значения:- 0 — в случае, когда непривилегированным пользователям запрещено создавать новые пространства имен пользователей;
- 1 — в случае, когда непривилегированным пользователям разрешено создавать новые пространства имен пользователей.
Для того чтобы временно (до перезагрузки системы) запретить непривилегированным пользователям создавать новые пространства имен пользователей, необходимо выполнить команду:
Для того чтобы установленное значение параметра ядра сохранилось после перезагрузки, необходимо:
Добавить в файл
/etc/sysctl.d/999-astra.conf
следующую строку:kernel.unprivileged_userns_clone = 0
Это можно сделать следующей командой:
echo "kernel.unprivileged_userns_clone = 0" | sudo tee -a /etc/sysctl.d/999-astra.confПерезагрузить параметры ядра, выполнив команду:
sudo sysctl --system
При применении настоящей методики не будут функционировать любые сервисы в конфигурациях, требующих создание пространства имен пользователей непривилегированным пользователем. Такие сервисы чаще всего входят в состав средств управления контейнерами.
В состав следующего оперативного обновления войдут обновлённые пакеты, в которых будет устранена угроза эксплуатации уязвимости без запрета создания пространства имен пользователей непривилегированным пользователем.