Содержание

Skip to end of metadata
Go to start of metadata

Настоящий информационный ресурс является официальным источником получения оперативных обновлений операционной системы специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.5), предназначенной для применения в составе информационных (автоматизированных) систем в защищенном исполнении, находящихся в компетенции ФСТЭК России.

Работы по оценке соответствия оперативных обновлений требованиям безопасности информации организуются в порядке, установленном действующим «Положением о системе сертификации средств защиты информации ФСТЭК России», одновременно с их выпуском. Изготовитель доводит оперативные обновления до потребителей для их применения в составе информационных систем до завершения предусмотренных приказом испытаний по оценке соответствия требованиям безопасности информации.

Применение оперативных обновлений изделия не является основанием для повторной аттестации информационных систем. Все работы по обновлению средств защиты информации проводятся в рамках действующих аттестатов соответствия на информационные системы.

Порядок выпуска и доведения оперативных обновлений до информационных (автоматизированных) систем, находящихся в компетенции Министерства обороны Российской Федерации, установлен в документе «Регламент организации работ по устранению уязвимостей и выпуску обновлений безопасности...», утвержденном начальником 8 Управления Генерального штаба Вооруженных Сил Российской Федерации и согласованным с заказывающими и довольствующими органами военного управления, и подразумевает доведение Оперативных обновлений до эксплуатирующих организаций, включая предприятия оборонно-промышленного комплекса, выполняющих опытно-конструкторские и иные работы в интересах Министерства обороны Российской Федерации, довольствующими (заказывающими) органами военного управления путем автоматизированного получения обновлений из интерактивной системы Министерства обороны Российской Федерации


Всё программное обеспечение, разработанное с использованием оперативных обновлений для дисков со средствами разработки, будет корректно функционировать только в среде ОС Astra Linux с установленными соответствующими оперативными обновлениями.

БЮЛЛЕТЕНЬ № 20210618SE15MD

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (очередное обновление 1.5)  в информационных системах.

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

Методика безопасности, нейтрализующая угрозы эксплуатации уязвимостей qtnotifydaemon

Внимание

Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы.

Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимости BDU-2019-02317 службы qtnotifydaemon.
Для полной нейтрализации урозы эксплуатации уязвимости BDU-2019002317 рекомендуется отказаться от использования уязвимой службы qtnotifydaemon.
Для запрета обращения к уязвимой службе следует удалить следующие файлы:

  • /usr/share/dbus-1/services/org.freedesktop.Notifications.service;
  • usr/bin/qtnotifydaemon;
  • конфигурационные файлы в домашних каталогах пользователей .config/qtnotifydaemon/qtnotifydaemon.conf.

Пример возможной команды:

sudo rm /usr/share/dbus-1/services/org.freedesktop.Notifications.service
sudo rm /usr/bin/qtnotifydaemon
sudo rm /home/*/.config/qtnotifydaemon/qtnotifydaemon.conf

Список нейтрализованных угроз безопасности

  • qtnotifydaemon

BDU-2019-02317




БЮЛЛЕТЕНЬ № 20210317SE15MD

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (очередное обновление 1.5)  в информационных системах.

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

Методика безопасности, нейтрализующая угрозы эксплуатации уязвимостей sudo


Внимание

Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы.

Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимостей, перечисленных в Списке уязвимостей, закрываемых обновлением №20210317SE15MD путём обновления пакетов, подверженных уязвимостям. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. Обновление пакетов может выполняться непосредственно из распакованных файлов, централизованно из общего репозитория, или индивидуально из локальных репозиториев. Для использования репозиториев их настройку следует выполнить в соответствии с указаниями Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов а также Создание локального репозитория

Порядок применения методики безопасности:

1. Загрузить архив по ссылке: Cсылка. При наличии подключения к Интернет это можно сделать с помощью web-браузера или командой:

2. Проверить соответствие контрольной суммы полученного архива, выполнив команду:

gostsum 20210317se15md.tar.gz

Контрольная сумма:

05f6a446109abdf144fa671ee7ad590d49d98b8770fb979c616667515dd1d9b3  20210317se15md.tar.gz

Архив подписан усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра" (Скачать).
Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке: https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty

В архиве содержатся файлы для обновления двух несовместимых пакетов: пакета sudo и пакета sudo-ldap. Обновлять следует только тот пакет, который уже установлен в системе. Обычно в ОС Astra Linux установен пакет sudo. Проверить какой именно пакет установлен можно командой:

apt-cache policy sudo sudo-ldap

3. Распаковать архив, выполнив команду:

tar xzf 20210317se15md.tar.gz

После распаковки архива для установки в текущем каталоге будет создан подкаталог 20210317se15md, в котором будут доступны два файла обновлений для двух пакетов и файл gostsums.txt для проверки контрольных сумм файлов, входящих в ОС (см. руководство по КСЗ. Часть 1, раздел 14.2):

  • Файлы для обновления пакетов:
    • sudo_1.8.10p3-1+deb8u8_amd64.deb для обновления пакета sudo;
    • sudo-ldap_1.8.10p3-1+deb8u8_amd64.deb для обновления пакета sudo-ldap;

4. После распаковки архива обновление можно выполнить одной из команд:

Обновление пакета
sudo
Обновление пакета
sudo-ldap
sudo dpkg -i 20210317se15md/sudo_1.8.10p3-1+deb8u8_amd64.deb20210317se15md/sudo-ldap_1.8.10p3-1+deb8u8_amd64.deb

Или обновить только установленный пакет командами:

dpkg -s sudo && sudo dpkg -i 20210317se15md/sudo_1.8.10p3-1+deb8u8_amd64.deb
dpkg -s sudo-ldap && sudo dpkg -i 20210317se15md/sudo-ldap_1.8.10p3-1+deb8u8_amd64.deb

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей модуля ядра scsi_transport_iscsi


Внимание
Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы.

Для полной нейтрализации угрозы эксплуатации уязвимостей CVE-2021-27365, CVE-2021-27363 и CVE-2021-27364 модуля ядра scsi_transport_iscsi:

  1. Если модуль scsi_transport_iscsi не используетсяследует, то запретить загрузку данного модуля, для чего:

    Данный вариант неприменим для хостов, использующих СХД, подключенные по iscsi, том числе неприменим для хостов виртуализации ПК СВ Брест с СХД, подключенными по iscsi.
    1. Используя полномочиями администратора системы с высоким уровнем целостности с помощью текстового редактора открыть файл /etc/modprobe.d/blacklist.conf (если такого файла нет - создать его);

    2. Добавить в файл строку, содержащую ключевое слово install, название блокируемого модуля и название модуля-заменителя:

      install scsi_transport_iscsi /bin/true
    3. Обновить параметры загрузки командой:

      sudo update-initramfs -uk all

    4. Если модуль загружен - перезагрузить систему командой:

      lsmod | grep scsi_transport_iscsi && sudo reboot

  1. Если модуль используется и запрет его загрузки неприменим (например, на хостах виртуализации ПК СВ Брест), следует запретить возможность входа пользователей, не имеющих привилегий администратора.
Эксплуатация уязвимостей CVE-2021-27365, CVE-2021-27363, CVE-2021-27364 возможна только после входа в локальную пользовательскую сессию.
После входа в локальную пользовательскую сессию эксплуатация уязвимостей возможна пользователем, не имеющим привилегий администратора.
Позволяющий осуществить эксплуатацию уязвимостей модуль ядра scsi_transport_iscsi по умолчанию не загружается.

Список нейтрализованных угроз безопасности

  • linux-modules

CVE-2021-27365, CVE-2021-27363, CVE-2021-27364

  • sudo

CVE-2021-3156

  • sudo-ldap

 CVE-2021-3156




БЮЛЛЕТЕНЬ № 20201201SE15

Кумулятивное оперативное обновление (содержит в себе обновления №20190329SE15, №31082018SE15, №02032018SE15, №27102017SE15, №29032017SE15, №16092016SE15) для нейтрализации угроз эксплуатации и уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.5). Необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже. 

Обновление диска со средствами разработки

Соответствующее бюллетеню № 20201201SE15 обновление диска со средствами разработки доступно по ссылке

1. Загрузить образ диска с обновлениями по ссылке: Скачать

2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:

gostsum -d /mnt/20201201SE15.iso

Контрольная сумма:

8e2784719c977eaf80b288ac58358dbca5f2c016f5a9cbc7bdd27352b1a75bef -

Обновление безопасности подписано усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра" (Скачать). Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке: https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.5)

3. Выполнить команды:

sudo mount /mnt/20201201SE15.iso /media/cdrom
sudo apt-cdrom -m add

на вопрос об имени диска ввести "20201201SE15"

Внимание

На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.


sudo apt-get update
sudo apt-get dist-upgrade
sudo apt-get -f install

после выполнения указанных команд будет выполнено обновление операционной системы.

Внимание

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями.
apache2
 CVE-2019-0217, CVE-2019-0220

apt
CVE-2020-3810

aspell
CVE-2019-17544

bash
CVE-2012-6711, CVE-2016-9401, CVE-2019-9924

bind9
CVE-2018-5743, CVE-2020-8616, CVE-2020-8617

blktrace
CVE-2018-10689

bzip2
CVE-2016-3189, CVE-2019-12900

cpio
CVE-2019-14866

cron
CVE-2017-9525, CVE-2019-9704, CVE-2019-9705, CVE-2019-9706

cups
CVE-2018-4300, CVE-2019-8675 CVE-2019-8696, CVE-2020-3898

curl
CVE-2019-5436, CVE-2019-5482

cyrus-sasl2
CVE-2019-19906

dbus
CVE-2019-12749

e2fsprogs
CVE-2019-5094, CVE-2019-5188

exim4
CVE-2019-15846

expat
CVE-2018-20843, CVE-2019-15903

file
CVE-2019-18218

firefox
CVE-2016-10196, CVE-2017-5429, CVE-2017-5430, CVE-2017-5432, CVE-2017-5433, CVE-2017-5434,
CVE-2017-5435, CVE-2017-5436, CVE-2017-5438, CVE-2017-5439, CVE-2017-5440, CVE-2017-5441,
CVE-2017-5442, CVE-2017-5443, CVE-2017-5444, CVE-2017-5445, CVE-2017-5446, CVE-2017-5447,
CVE-2017-5448, CVE-2017-5449, CVE-2017-5450, CVE-2017-5451, CVE-2017-5453, CVE-2017-5454,
CVE-2017-5455, CVE-2017-5456, CVE-2017-5458, CVE-2017-5459, CVE-2017-5460, CVE-2017-5461,
CVE-2017-5462, CVE-2017-5464, CVE-2017-5465, CVE-2017-5466, CVE-2017-5467, CVE-2017-5468,
CVE-2017-5469, CVE-2017-5470, CVE-2017-5471, CVE-2017-5472, CVE-2017-7749, CVE-2017-7750,
CVE-2017-7751, CVE-2017-7752, CVE-2017-7753, CVE-2017-7754, CVE-2017-7756, CVE-2017-7757,
CVE-2017-7758, CVE-2017-7762, CVE-2017-7764, CVE-2017-7778, CVE-2017-7779, CVE-2017-7780,
CVE-2017-7781, CVE-2017-7782, CVE-2017-7783, CVE-2017-7784, CVE-2017-7785, CVE-2017-7786,
CVE-2017-7787, CVE-2017-7788, CVE-2017-7789, CVE-2017-7791, CVE-2017-7792, CVE-2017-7793,
CVE-2017-7794, CVE-2017-7797, CVE-2017-7798, CVE-2017-7799, CVE-2017-7800, CVE-2017-7801,
CVE-2017-7802, CVE-2017-7803, CVE-2017-7804, CVE-2017-7805, CVE-2017-7806, CVE-2017-7807,
CVE-2017-7808, CVE-2017-7809, CVE-2017-7810, CVE-2017-7811, CVE-2017-7812, CVE-2017-7813,
CVE-2017-7814, CVE-2017-7815, CVE-2017-7816, CVE-2017-7817, CVE-2017-7818, CVE-2017-7819,
CVE-2017-7820, CVE-2017-7821, CVE-2017-7822, CVE-2017-7823, CVE-2017-7824, CVE-2017-7825,
CVE-2017-7826, CVE-2017-7827, CVE-2017-7828, CVE-2017-7830, CVE-2017-7831, CVE-2017-7832,
CVE-2017-7833, CVE-2017-7834, CVE-2017-7835, CVE-2017-7836, CVE-2017-7837, CVE-2017-7838,
CVE-2017-7839, CVE-2017-7840, CVE-2017-7842, CVE-2018-5089, CVE-2018-5090, CVE-2018-5091,
CVE-2018-5092, CVE-2018-5093, CVE-2018-5094, CVE-2018-5095, CVE-2018-5097, CVE-2018-5098,
CVE-2018-5099, CVE-2018-5100, CVE-2018-5101, CVE-2018-5102, CVE-2018-5103, CVE-2018-5104,
CVE-2018-5105, CVE-2018-5106, CVE-2018-5107, CVE-2018-5108, CVE-2018-5109, CVE-2018-5111,
CVE-2018-5112, CVE-2018-5113, CVE-2018-5114, CVE-2018-5115, CVE-2018-5116, CVE-2018-5117,
CVE-2018-5118, CVE-2018-5119, CVE-2018-5122, CVE-2018-5125, CVE-2018-5126, CVE-2018-5127,
CVE-2018-5128, CVE-2018-5129, CVE-2018-5130, CVE-2018-5131, CVE-2018-5132, CVE-2018-5133,
CVE-2018-5134, CVE-2018-5135, CVE-2018-5136, CVE-2018-5137, CVE-2018-5140, CVE-2018-5141,
CVE-2018-5142, CVE-2018-5143, ASE-2020-1104

freetype
CVE-2015-9290, CVE-2015-9381, CVE-2015-9382, CVE-2015-9383, CVE-2020-15999

gdk-pixbuf
CVE-2016-6352, CVE-2017-2870, CVE-2017-6312, CVE-2017-6313, CVE-2017-6314

git
CVE-2019-1348, CVE-2019-1349, CVE-2019-1352, CVE-2019-1353, CVE-2019-1387, CVE-2019-19604,
CVE-2020-11008, CVE-2020-5260

glib2.0
CVE-2018-16428, CVE-2018-16429, CVE-2019-12450, CVE-2019-13012

intel-microcode
CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091, CVE-2019-11135, CVE-2019-11139

isc-dhcp
CVE-2016-2774, CVE-2017-3144

jasper
CVE-2018-19542

jquery
CVE-2019-11358

libarchive
CVE-2019-18408

libbsd
CVE-2019-20367

libonig
CVE-2019-13224, CVE-2019-16163, CVE-2019-19012, CVE-2019-19204, CVE-2019-19246

libpng
CVE-2016-10087

libreoffice
CVE-2015-4551, CVE-2015-5212, CVE-2015-5213, CVE-2015-5214, CVE-2016-0794, CVE-2016-0795,
CVE-2016-4324, CVE-2017-3157, CVE-2017-7856, CVE-2017-7870, CVE-2017-7882, CVE-2017-8358

librsvg
CVE-2016-6163, CVE-2019-20446

libsndfile
CVE-2019-3832

libssh2
CVE-2019-13115, CVE-2019-17498, CVE-2019-3855, CVE-2019-3856, CVE-2019-3857, CVE-2019-3858,
CVE-2019-3859, CVE-2019-3860, CVE-2019-3861, CVE-2019-3862, CVE-2019-3863

libvirt
CVE-2019-10161

libvorbis
CVE-2017-14160, CVE-2018-10392, CVE-2018-10393

libx11
CVE-2018-14598, CVE-2018-14599, CVE-2018-14600, CVE-2020-14344, CVE-2020-14363

libxdmcp
CVE-2017-2625

libxslt
CVE-2016-4609, CVE-2016-4610, CVE-2019-11068, CVE-2019-13117, CVE-2019-13118, CVE-2019-18197

linux
CVE-2016-2188, CVE-2016-5195, CVE-2016-10905, CVE-2017-18232, CVE-2017-5715, CVE-2017-5753,
CVE-2017-5754, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2018-12207, CVE-2018-20784,
CVE-2018-20856, CVE-2018-20961, CVE-2018-20976, CVE-2018-21008, CVE-2018-3620, CVE-2018-3639,
CVE-2018-3646, CVE-2019-0136, CVE-2019-0154, CVE-2019-0155, CVE-2019-10126, CVE-2019-10638,
CVE-2019-11091, CVE-2019-11135, CVE-2019-1125, CVE-2019-11478, CVE-2019-11479, CVE-2019-11487,
CVE-2019-11833, CVE-2019-12614, CVE-2019-13648, CVE-2019-14283, CVE-2019-14284, CVE-2019-14615,
CVE-2019-14821, CVE-2019-14835, CVE-2019-14895, CVE-2019-14896, CVE-2019-14897, CVE-2019-14901,
CVE-2019-15098, CVE-2019-17052, CVE-2019-17053, CVE-2019-17054, CVE-2019-17055, CVE-2019-17056,
CVE-2019-17666, CVE-2019-18660, CVE-2019-18885, CVE-2019-19060, CVE-2019-19062, CVE-2019-19332,
CVE-2019-19768, CVE-2019-20096, CVE-2019-3846, CVE-2019-3874, CVE-2019-3882, CVE-2019-3900,
CVE-2020-0543, CVE-2020-10711, CVE-2020-11494, CVE-2020-11608, CVE-2020-11935, CVE-2020-12769,
CVE-2020-13143, CVE-2020-1749, CVE-2020-2732, CVE-2020-8428, ASE-2020-1101, ASE-2020-1102,
ASE-2020-1103, ASE-2020-1105

mesa
CVE-2019-5068

net-snmp
CVE-2020-15861, CVE-2020-15862

nfs-utils
CVE-2019-3689

nss
CVE-2019-11719, CVE-2019-11729, CVE-2019-11745, CVE-2019-17006, CVE-2019-17007, CVE-2020-12399

ntfs-3g
CVE-2019-9755

ntp
CVE-2020-11868

openldap
CVE-2019-13057, CVE-2019-13565

openssh
CVE-2018-20685, CVE-2019-6109, CVE-2019-6111

openssl
CVE-2019-1547, CVE-2019-1563

patch
CVE-2019-13636, CVE-2019-13638

pgagent
ASE-2020-1106

php5
CVE-2019-1000019, CVE-2019-1000020, CVE-2019-11036, CVE-2019-11039, CVE-2019-11040, CVE-2019-11041,
CVE-2019-11042, CVE-2019-11043, CVE-2019-11045, CVE-2019-11046, CVE-2019-11047, CVE-2019-11048,
CVE-2019-11050, CVE-2019-18218, CVE-2020-7059, CVE-2020-7060, CVE-2020-7062, CVE-2020-7063,
CVE-2020-7064, CVE-2020-7066, CVE-2020-7067

python2.7
CVE-2013-1753, CVE-2014-4616, CVE-2014-4650, CVE-2014-7185, CVE-2018-20852, CVE-2019-10160,
CVE-2019-16056, CVE-2019-9636, CVE-2019-9740, CVE-2019-9947, CVE-2019-9948,qemu CVE-2019-20382,
CVE-2020-13253, CVE-2020-13659, CVE-2020-13754, CVE-2020-14364, CVE-2020-15863, CVE-2020-16092

qt4-x11
CVE-2016-9841, CVE-2016-9843, CVE-2020-17507

rsync
CVE-2016-9840

rsyslog
CVE-2019-17041, CVE-2019-17042

ruby1.9.1
CVE-2019-15845, CVE-2019-16201, CVE-2019-16254, CVE-2019-16255, CVE-2019-8320, CVE-2019-8322,
CVE-2019-8323, CVE-2019-8325

samba
CVE-2019-3880

sqlite3
CVE-2019-8457

ssh
CVE-2016-6210

sudo
CVE-2019-14287, CVE-2019-18634

systemd
CVE-2017-18078, CVE-2019-3842

tcpdump
CVE-2018-10103, CVE-2018-10105, CVE-2018-14461, CVE-2018-14462, CVE-2018-14463, CVE-2018-14464,
CVE-2018-14465, CVE-2018-14466, CVE-2018-14467, CVE-2018-14468, CVE-2018-14469, CVE-2018-14470,
CVE-2018-14879, CVE-2018-14880, CVE-2018-14881, CVE-2018-14882, CVE-2018-16227, CVE-2018-16228,
CVE-2018-16229, CVE-2018-16230, CVE-2018-16300, CVE-2018-16451, CVE-2018-16452, CVE-2019-15166

tiff3
CVE-2018-5360

unzip
CVE-2018-1000035, CVE-2019-13232

vim
CVE-2017-17087, CVE-2019-12735

wget
CVE-2016-7098, CVE-2019-5953

xorg-server
CVE-2017-12176, CVE-2017-12177, CVE-2017-12178, CVE-2017-12179, CVE-2017-12180, CVE-2017-12181,
CVE-2017-12182, CVE-2017-12183, CVE-2017-12184, CVE-2017-12185, CVE-2017-12186, CVE-2017-12187,
CVE-2020-14346, CVE-2020-14347, CVE-2020-14361, CVE-2020-14362

zlib
CVE-2019-0201


БЮЛЛЕТЕНЬ № 20190719SE15MD

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (очередное обновление 1.5)  в информационных системах.

В целях предотвращения эксплуатации уязвимостей BDU:2019-02313, BDU:2019-02628,  BDU:2019-02609, BDU:2019-02629, позволяющих нарушителю вызвать отказ в обслуживании, рекомендуется выполнить обновление пакетов в соответствии с инструкцией, приведенной ниже. 

ПакетИдентификатор уязвимости
libflycoreBDU:2019-02609
goldendictBDU:2019-02639, BDU:2019-02640
gnupgBDU:2019-02629
linux-astra-modulesBDU:2019-02300

Загрузить архив по ссылке:

Скачать

Контрольная сумма:

9760927c469a64f5368f743a692a2c556da7f615de7003cdac1e0fb5920579c2


Архив подписан усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра" (Скачать).
Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке: https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty

Распаковать архив:

tar xzvf 20190719.tar.gz

Перейти в директорию и установить пакеты:

cd 20190719

sudo dpkg -i *.deb

Вполнить команду для завершения установки пакетов:

sudo apt -f install

При этом если доступен диск со средствами разработки то будут восстановлены зависимости пакета для libflycore-dev, если диск со средствами разработки недоступен то этот пакет будет удалён.


В целях предотвращения эксплуатации уязвимостей, позволяющим нарушителю вызвать отказ в обслуживании, рекомендуется снять бит исполнения для непривилегированных пользователей со следующих утилит:

Имя файлаПакетИдентификатор уязвимости
/usr/bin/signtool libnss3-toolsBDU:2019-02611
/usr/bin/unixcmd vde2BDU:2019-02612
/usr/bin/peekfd psmiscBDU:2019-02613
/usr/bin/makeinfo  texinfoBDU:2019-02614
/usr/bin/nettle-hash  nettle-binBDU:2019-02615
/usr/bin/xkbevd x11-xkb-utilsBDU:2019-02616
/usr/bin/genrbicu-devtoolsBDU:2019-02617
/usr/bin/dvipostexlive-extra-utilsBDU:2019-02618
/usr/bin/pdftohtmlpdftohtmlBDU:2019-02621
/usr/bin/pdftopspoppler-utilsBDU:2019-02622
/usr/bin/vde_l3 vde2BDU:2019-02623
/usr/bin/roarfiltroarclientsBDU:2019-02624
/usr/bin/umax_ppsane-utilsBDU:2019-02625
/usr/bin/fdtdumpdevice-tree-compilerBDU:2019-02626
/usr/bin/faad faadBDU:2019-02627
/usr/bin/a2pperlBDU:2019-02628
/usr/bin/gtbl groff-baseBDU:2019-02630
/usr/bin/infotocap ncurses-binBDU:2019-02631, BDU:2019-02632
/usr/bin/workmanir libirman-devBDU:2019-02634
/usr/bin/ppdhtml cups-ppdcBDU:2019-02635
/usr/bin/glxdemo mesa-utilsBDU:2019-02636
/usr/bin/ppdpo cups-ppdcBDU:2019-02637
/usr/bin/fontlint fontforgeBDU:2019-02638

Для удобства снятия бита исполнения, был подготовлен скрипт:

#!/bin/bash

files='signtool unixcmd peekfd makeinfo nettle-hash xkbevd 
genrb dvipos pdftohtml pdftops vde_l3 roarfilt umax_pp 
fdtdump faad a2p gtbl infotocap workmanir ppdhtml 
glxdemo ppdpo fontlint'

for file in $files; do
    chmod -f -x /usr/bin/${file} && chmod u+x /usr/bin/${file} 
done

Скачать script.sh

Сделать скрипт исполняемым:

chmod +x script.sh

Выполнить:

sudo ./script.sh

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

БЮЛЛЕТЕНЬ № 20190712SE15MD

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (очередное обновление 1.5)  в информационных системах.

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости BDU:2019-02442

Уязвимость компонента оконного менеджера fly-wm  связанная с ошибками в алгоритме пересчета разрешения при изменения размера окна, позволяющая нарушителю получить доступ к конфиденциальным данным http://bdu.fstec.ru/vul/2019-02442

Для предотвращения эксплуатации указанной уязвимости необходимо выполнить обновление указанного пакета в соответствии с инструкцией, приведенной ниже. 

Внимание

Обновление пакетов необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.

1.Загрузить архив по ссылке:

Cсылка

2.Проверить соответствие контрольной суммы, выполнив команду:

gostsum fly-wm-se15.tar.gz

f7fc6de81ee8716b03d3888467619ef960da3210dc01e7faee69a27c26a8ea22 fly-wm-se15.tar.gz


Архив подписан усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра" (Скачать).
Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке: https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty

3. Распаковать архив, выполнив:

tar xzf fly-wm-se15.tar.gz

4. Перейти в распакованную директорию fly-wm

cd fly-wm

5. Выполнить установку:

sudo dpkg -i *.deb


Внимание

Обновление пакетов необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

БЮЛЛЕТЕНЬ № 20190605SE15MD

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (очередное обновление 1.5)  в информационных системах.

В целях предотвращения утечек памяти с возможным отказом в обслуживании рекомендуем заблокировать автозагрузку следующих модулей ядра:

libertas_cs.ko
kalmia.ko
smsc75xx.ko
fan.ko
fotg210-udc.ko
udc-xilinx.ko
libertas_tf_usb.ko
usb8xxx.ko
avma1_cs.ko
ir-lirc-codec.ko
radio-maxiradio.ko
i5100_edac.ko
snd-cs5535audio.ko
snd-seq-dummy.ko
ems_pcmcia.ko
snd-korg1212.ko
snd-cs46xx.ko
snd-lola.ko
sis5595.ko
megaraid_mm.ko
lmc.ko
jsm.ko
ips.ko
amd5536udc.ko
hfcsusb.ko
hfc_usb.ko
virtio_pci.ko
hwa-rc.ko
ems_usb.ko
ddbridge.ko
dc395x.ko

Для этого в каталоге /lib/modprobe.d в файлы

  • /lib/modprobe.d/blacklist_linux_4.2.0-23-generic.conf
  • /lib/modprobe.d/ blacklist_linux_4.2.0-23-pax.conf

внести строки, содержашие ключевое слово blacklist и название блокируемого модуля:


blacklist_linux_4.2.0-23-*.conf

blacklist libertas_cs.ko
blacklist kalmia.ko
blacklist smsc75xx.ko
blacklist fan.ko
blacklist fotg210-udc.ko
blacklist udc-xilinx.ko
blacklist libertas_tf_usb.ko
blacklist usb8xxx.ko
blacklist avma1_cs.ko
blacklist ir-lirc-codec.ko
blacklist radio-maxiradio.ko
blacklist i5100_edac.ko
blacklist snd-cs5535audio.ko
blacklist snd-seq-dummy.ko
blacklist ems_pcmcia.ko
blacklist snd-korg1212.ko
blacklist snd-cs46xx.ko
blacklist snd-lola.ko
blacklist sis5595.ko
blacklist megaraid_mm.ko
blacklist lmc.ko
blacklist jsm.ko
blacklist ips.ko
blacklist amd5536udc.ko
blacklist hfcsusb.ko
blacklist hfc_usb.ko
blacklist virtio_pci.ko
blacklist hwa-rc.ko
blacklist ems_usb.ko
blacklist ddbridge.ko
blacklist dc395x.ko

После внесения и сохраения изменений:

  1. Обновить ramfs командой

    sudo update-initramfs -uk all

  2. Перезагрузить систему.

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

БЮЛЛЕТЕНЬ № 20190529SE15MD

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (очередное обновление 1.5)  в информационных системах.

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета busybox.
Для предотвращения эксплуатации указанной уязвимости необходимо ограничить доступ к утилите busybox всем, кроме пользователей, входящих в группу astra-admin, 
для чего нужно выполнить от имени учетной записи администратора ОС СН с высоким уровнем целостности следующие команды
:


chown root:astra-admin /bin/busybox
chmod g+rx /bin/busybox
chmod o-rx /bin/busybox

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

БЮЛЛЕТЕНЬ № 20190329SE15

Кумулятивное оперативное обновление (содержит в себе обновления №31082018SE15, №29032017SE15,№16092016SE15,№27102017SE15,№02032018SE15 и №27082018SE15 ) для нейтрализации угроз эксплуатации и уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.5). Необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже. 

Обновление диска со средствами разработки

Соответствующее бюллетеню № 20190329SE15 обновление диска со средствами разработки доступно по ссылке

1. Загрузить образ диска с обновлениями по ссылке

Скачать

2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:

gostsum -d /mnt/20190329SE15.iso

Контрольная сумма:

f0a193280a5314bab8243d13463fed4ffd40f7981f5b86c1ca34a9e05354c57f -

Оперативное обновление подписано усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра" (Скачать). Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке: https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.5)

3. выполнить команды:

sudo mount /mnt/20190329SE15.iso /media/cdrom
sudo apt-cdrom -m add

на вопрос об имени диска ввести "20190329SE15"

Внимание

На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.


sudo apt-get update
sudo apt-get dist-upgrade

после выполнения указанных команд будет выполнено обновление операционной системы.


Внимание

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями.
apt 
CVE-2019-3462
bind9
CVE-2018-5740, CVE-2018-5745, CVE-2019-6465
busybox
CVE-2011-5325, CVE-2013-1813, CVE-2014-4607,CVE-2014-9645, CVE-2015-9261, CVE-2016-2147, CVE-2016-2148, CVE-2017-15873, CVE-2017-16544, CVE-2018-1000517
cups
CVE-2018-4180, CVE-2018-4181
curl
CVE-2018-14618, CVE-2018-16842
elfutils
CVE-2017-7608, CVE-2017-7610, CVE-2017-7611,CVE-2017-7612, CVE-2017-7613, CVE-2018-16062, CVE-2018-18310, CVE-2018-18520, CVE-2018-18521, CVE-2019-7149, CVE-2019-7150, CVE-2019-7665
exiv2
CVE-2018-10958, CVE-2018-10998, CVE-2018-10999,CVE-2018-11531, CVE-2018-12264, CVE-2018-12265
fuse
CVE-2018-10906
ghostscript
CVE-2018-11645
gnupg
CVE-2016-6313, CVE-2017-7526, CVE-2018-12020
gnutls26
CVE-2017-7869, CVE-2017-5335, CVE-2017-5336,CVE-2017-5337
krb5
CVE-2015-2694, CVE-2016-3119, CVE-2016-3120,CVE-2017-11368, CVE-2018-5729, CVE-2018-5730, CVE-2018-20217
lame
CVE-2017-9870, CVE-2017-9871, CVE-2017-9872,CVE-2017-15018, CVE-2017-15045, CVE-2017-15046
lcms
CVE-2018-16435
lcms2
CVE-2018-16435
libapache2-mod-perl2
CVE-2011-2767
libarchive
CVE-2017-14501, CVE-2017-14502, CVE-2017-14503, CVE-2019-1000019, CVE-2019-1000020
libcaca
CVE-2018-20544, CVE-2018-20546, CVE-2018-20547, CVE-2018-20549
libsdl1.2
CVE-2019-7572, CVE-2019-7573, CVE-2019-7574,CVE-2019-7575,
CVE-2019-7576, CVE-2019-7577, CVE-2019-7578, CVE-2019-7635, CVE-2019-7636, CVE-2019-7637, CVE-2019-7638
libsndfile
CVE-2017-14245, CVE-2017-14246, CVE-2017-14634, CVE-2017-17456, CVE-2017-17457, CVE-2018-13139, CVE-2018-19661, CVE-2018-19662, CVE-2018-19758
libtirpc
CVE-2018-14622
libxcursor
CVE-2015-9262
libxml2
CVE-2018-14404, CVE-2018-14567, CVE-2018-9251,CVE-2017-18258
linux
CVE-2018-5391, CVE-2018-1000026, CVE-2019-7221, CVE-2019-7222,CVE-2019-6974, CVE-2018-20784
ming
CVE-2018-11226, CVE-2018-11225, CVE-2018-11100, CVE-2018-11095
mutt
CVE-2018-14349, CVE-2018-14350, CVE-2018-14351, CVE-2018-14352, CVE-2018-14353, CVE-2018-14354, CVE-2018-14355,CVE-2018-14356, CVE-2018-14357, CVE-2018-14358, CVE-2018-14359, CVE-2018-14362
mysql
CVE-2018-2767, CVE-2018-3058, CVE-2018-3063,CVE-2018-3066, CVE-2018-3070, CVE-2018-3081, CVE-2018-3133, CVE-2018-3174, CVE-2018-3282
net-snmp
CVE-2018-18065
nss
CVE-2018-12404, CVE-2018-18508
openssh
CVE-2018-15473
openssl
CVE-2018-0732, CVE-2018-0737, CVE-2018-0735, CVE-2018-5407, CVE-2019-1559
perl
CVE-2018-12015, CVE-2018-18311
php5
CVE-2018-14851, CVE-2018-14883, CVE-2018-17082, CVE-2018-19518, CVE-2018-19935,CVE-2018-20783, CVE-2018-1000888, CVE-2019-9022,CVE-2019-9637, CVE-2019-9638, CVE-2019-9639, CVE-2019-9640, CVE-2019-9641
pixman
CVE-2018-5297
python2.7
CVE-2018-1000802, CVE-2018-1060, CVE-2018-1061, CVE-2018-14647
ruby-passenger
CVE-2018-12029
samba
CVE-2016-2125, CVE-2017-2619, CVE-2017-7494, CVE-2018-10858, CVE-2018-16851
spice
CVE-2018-10873, CVE-2019-3813
sqlite3
CVE-2017-2518, CVE-2018-8740, CVE-2018-20346
systemd
CVE-2018-1049, CVE-2018-15686
tar
CVE-2018-20482
tiff3
CVE-2017-11613, CVE-2018-5784, CVE-2018-18557
tiff
CVE-2018-10963, CVE-2018-1710x, CVE-2018-18557, CVE-2018-18661,
CVE-2018-10779, CVE-2018-12900, CVE-2018-17000, CVE-2018-19210, CVE-2019-6128

БЮЛЛЕТЕНЬ № 31082018SE15

Кумулятивное оперативное обновление (содержит в себе обновление №29032017SE15,№16092016SE15,№27102017SE15,№02032018SE15 и №27082018SE15 ) для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.5). Необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже. 

Обновление диска со средствами разработки

Соответствующее бюллетеню № 31082018SE15 обновление диска со средствами разработки доступно по ссылке

1. Загрузить образ диска с обновлениями по ссылке 

Скачать

2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:

gostsum -d /mnt/31082018se15.iso

Контрольная сумма:

c46e22dd4ec1ff0254d3ca9d258fce6c0cbbfc771e623e7dc1260f0c2ef56185  -


Оперативное обновление подписано усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра" (Скачать). Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке: https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск 

операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.5)

3. выполнить команды:

sudo mount /mnt/31082018se15.iso /media/cdrom
sudo apt-cdrom -m add

на вопрос об имени диска ввести "31082018se15"

Внимание

На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.

sudo apt-get update
sudo apt-get dist-upgrade

после выполнения указанных команд будет выполнено обновление операционной системы.

Внимание!

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями.

1. Aldd, ald-parsec

Astra-ald-2018-01

2. Apache2

CVE-2018-1312

3. Beep

CVE-2018-0492

4. Bind9

CVE-2017-3145

5. Cups

CVE-2017-18190

6. Curl

CVE-2018-1000301

7. Dovecot

CVE-2017-14461

8. Eglibc

CVE-2018-1000001

9. File

CVE-2018-10360

10. Firefox-esr

CVE-2018-5183

11. Fly-dm

Astra-fly-2018-02

12. Fly-wm

Astra-fly-2018-03

13. Freerdp

CVE-2017-2839

14. Ghostscript

CVE-2018-10194

15. Gimp

CVE-2017-17784, CVE-2017-17785, CVE-2017-17786, CVE-2017-17787, CVE-2017-17788, CVE-2017-17789

16. Git

CVE-2018-11235

17. Graphicsmagick

CVE-2018-9018

18. Icu

CVE-2017-15422

19. Imagemagick

CVE-2018-11251

20. Isc-dhcp

CVE-2018-5732

21. Libgd2

CVE-2018-5711

22. Libmad

CVE-2017-8374

23. Libparsec-common-qt5

Astra-prsc-2018-04

24. Librsvg

CVE-2018-1000041

25. Libvirt

CVE-2018-5748

26. Libvncserver

CVE-2018-7225

27. Libvorbis

CVE-2018-5146

28. Libvpx

CVE-2017-13194

29. Memcached

CVE-2018-1000127

30. Mercurial

CVE-2018-1000132

31. Net-snmp

CVE-2018-1000116

32. Openslp-dfsg

CVE-2017-17833

33. Openssh

CVE-2016-10708

34. Openssl

CVE-2018-0739

35. Patch

CVE-2018-1000156

36. Perl

CVE-2018-6913

37. Php5

CVE-2018-10548

38. Postgresql

Astra-psql-2018-05

39. Postgresql-common

Astra-psql-2018-06

40. Procps

CVE-2018-1125

41. Python-crypto

CVE-2018-6594

42. Python-django

CVE-2018-7537

43. Qemu

CVE-2018-7550

44. Rsync

CVE-2018-5764

45. Ruby1.9.1

CVE-2018-1000075, CVE-2018-1000076, CVE-2018-1000077, CVE-2018-1000078

46. Sdl-image1.2

CVE-2017-14450

47. Squid

CVE-2018-1000027

48. Wget

CVE-2018-0494

49. Xorg-server

Astra-Xorg-2018-07


БЮЛЛЕТЕНЬ № 27082018SE15

Для предотвращения возможности подключения отчуждаемых носителей в нарушение установленных политик безопасности дискреционного разграничения доступа необходимо в папку /etc/polkit-1/localauthority/10-vendor.d/ поместить файл ru.rusbitech.noudisksmount.pkla со следующим содержимым:

/etc/polkit-1/localauthority/10-vendor.d/ru.rusbitech.noudisksmount.pkla
[Disable mount for limited users]
 Identity=unix-user:*
 Action=org.freedesktop.udisks.filesystem-mount
 ResultActive=auth_admin

БЮЛЛЕТЕНЬ № 02032018SE15 

Кумулятивное оперативное обновление (содержит в себе обновления №27102017SE15,№29032017SE15, №16092016SE15) для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.5).  Для минимизации рисков эксплуатации уязвимостей микропроцессоров Meltdown (CVE-2017-5754) и Spectre v2 (CVE-2017-5715) в состав данного обновления включено ядро linux 4.2.0-24. 

Обновление диска со средствами разработки

Соответствующее бюллетеню № 02032018SE15 обновление диска со средствами разработки доступно по ссылке


В связи с серьезными изменениями в части своего интерфейса это ядро устанавливается дополнительно к linux 4.2.0-23 и не загружается по умолчанию. Стороннее программное обеспечение, содержащее в своем составе модули ядра, скомпилированные для ядра 4.2.0-23, может работать некорректно  и  потребовать перекомпиляции. 

1. В файле /etc/default/grub заменить строку

#GRUB_DEFAULT=0 

строкой

GRUB_DEFAULT=0

и заменить строку

GRUB_DEFAULT=version 

строкой

#GRUB_DEFAULT=version 

2. Выполнить команду:

update-grub 

Также для повышения безопасности при эксплуатации операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01, рекомендуется выполнить дополнительные настройки, размещенные в разделе Red Book: Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5).

 Необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже. 

1. Загрузить образ диска с обновлениями по ссылке

Скачать

2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:

gostsum -d /mnt/02032018se15.iso

Контрольная сумма:

3f05fae712288a5d65d16b141a95a16726031fa76409a7910847a389f8226627

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск 
операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.5)

3. выполнить команды:

sudo mount /mnt/02032018se15.iso /media/cdrom
sudo apt-cdrom -m add

на вопрос об имени диска ввести "02032018SE15"

Внимание

На время установки обновления необходимо снять запрет на установку SUID бита в политиках безопасности.

sudo apt-get update
sudo apt-get dist-upgrade

после выполнения указанных команд будет выполнено обновление операционной системы.

Внимание!

В случае, если на компьютере установлена СУБД PostgreSQL из состава операционной системы, после обновления необходимо выполнить:

sudo chmod +x /usr/share/postgresql-common/pg_ctlcluster
sudo apt-get -f install


Внимание!

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями.


1. Apr

CVE-2017-12613, CVE-2017-12618

2. Db

CVE-2017-10140

3. Curl

CVE-2017-8817, CVE-2017-1000257

4. Eglibc

CVE-2016-3706, CVE-2018-1000001

5. Erlang

CVE-2017-1000385

6. Evince

CVE-2017-1000159

7. Exiv2

CVE-2017-11591, CVE-2017-11683, CVE-2017-14859

8. Firefox_esr

CVE-2017-7828, CVE-2017-7826, CVE-2017-7830, CVE-2017-7843

9. Gdk-pixbuf

CVE-2017-1000422

10. GraphicsMagick

CVE-2017-17498, CVE-2017-17500, CVE-2017-17501, CVE-2017-17502, CVE-2017-17503, CVE-2017-17782, CVE-2017-17912, CVE-2017-17915

CVE-2017-13134, CVE-2017-16547, CVE-2017-16669, CVE-2017-16352, CVE-2017-16353, CVE-2017-15930, CVE-2017-13737, CVE-2017-15277

CVE-2017-14103, CVE-2017-14314, CVE-2017-14504, CVE-2017-14733, CVE-2017-14994, CVE-2017-14997

11. Icu

CVE-2017-14952

12. Imagemagick

CVE-2017-1000445, CVE-2017-1000476

CVE-2017-17914, CVE-2017-17879, CVE-2017-17682, CVE-2017-17504, CVE-2017-13768, CVE-2017-13769, CVE-2017-14060, CVE-2017-14172

CVE-2017-14173, CVE-2017-14174, CVE-2017-14175, CVE-2017-14224, CVE-2017-14249, CVE-2017-14341, CVE-2017-14400, CVE-2017-14505

CVE-2017-14607, CVE-2017-14682, CVE-2017-14739, CVE-2017-14741, CVE-2017-14989, CVE-2017-15016, CVE-2017-15017, CVE-2017-15277

CVE-2017-15281, CVE-2017-12691, CVE-2017-12692, CVE-2017-12693, CVE-2017-12875, CVE-2017-13758

13. Libwpd

CVE-2017-14226

14. Libxcursor

CVE-2017-16612

15. Libxfont

CVE-2017-13720, CVE-2017-13722

16. Libxi

CVE-2016-7945, CVE-2016-7946

17. Libxml2

CVE-2017-5130, CVE-2017-15412, CVE-2017-16931, CVE-2017-16932

18. Linux

CVE-2017-5715, CVE-2017-5754, CVE-2018-1000026

19. Linux-astra-modules

ASTRA-LAM-2017-01, ASTRA-LAM-2017-02, ASTRA-LAM-2017-03

20. Linux-firmware

CVE-2017-13081

21. Linx-cur

CVE-2017-1000211

22. mercurial

CVE-2017-17458

23. NSS

CVE-2016-7056, CVE-2016-8610, CVE-2017-3731, CVE-2017-7805

24. Openssl

CVE-2017-3735

25. Parsec

ASTRA-PRSC-2017-04, ASTRA-PRSC-2017-05, ASTRA-PRSC-2017-06

26. PostgreSQL

CVE-2017-12172, CVE-2017-15098, CVE-2017-7484, CVE-2017-7485, CVE-2017-7486, CVE-2017-7547, CVE-2017-7546, CVE-2017-7548

27. Procmail

CVE-2017-16844

28. Python

CVE-2017-1000158

29. Rsync

CVE-2017-16548, CVE-2017-17433, CVE-2017-17434

30. Ruby

CVE-2017-17405, CVE-2017-17790

31. Sdl-image

CVE-2017-2887

32. Sensible-utils

CVE-2017-17512

33. Thunderbird

CVE-2017-7826, CVE-2017-7828, CVE-2017-7830

CVE-2017-7793, CVE-2017-7805, CVE-2017-7810, CVE-2017-7814, CVE-2017-7818, CVE-2017-7819, CVE-2017-7823, CVE-2017-7824

CVE-2017-7753, CVE-2017-7779, CVE-2017-7784, CVE-2017-7785, CVE-2017-7786, CVE-2017-7787, CVE-2017-7791, CVE-2017-7792, CVE-2017-7800, CVE-2017-7801, CVE-2017-7802, CVE-2017-7803, CVE-2017-7807, CVE-2017-7809

CVE-2017-5470, CVE-2017-5472, CVE-2017-7749, CVE-2017-7750, CVE-2017-7751, CVE-2017-7752, CVE-2017-7754, CVE-2017-7756, CVE-2017-7757, CVE-2017-7758, CVE-2017-7764, CVE-2017-7771, CVE-2017-7772, CVE-2017-7773, CVE-2017-7774, CVE-2017-7775, CVE-2017-7776, CVE-2017-7777, CVE-2017-7778

CVE-2016-10195, CVE-2016-10196, CVE-2016-10197, CVE-2017-5429, CVE-2017-5430, CVE-2017-5432, CVE-2017-5433, CVE-2017-5434, CVE-2017-5435, CVE-2017-5436, CVE-2017-5437, CVE-2017-5438, CVE-2017-5439, CVE-2017-5440, CVE-2017-5441, CVE-2017-5442, CVE-2017-5443, CVE-2017-5444, CVE-2017-5445, CVE-2017-5446, CVE-2017-5447, CVE-2017-5449, CVE-2017-5451, CVE-2017-5454, CVE-2017-5459, CVE-2017-5460, CVE-2017-5461, CVE-2017-5462, CVE-2017-5464, CVE-2017-5465, CVE-2017-5466, CVE-2017-5467 CVE-2017-5469

34. Wget

CVE-2017-13090, CVE-2017-13089

35. Xen

CVE-2017-17044, CVE-2017-17045, CVE-2017-17566, CVE-2017-17563, CVE-2017-17564, CVE-2017-17565, CVE-2017-15589, CVE-2017-15595 ,CVE-2017-15588

CVE-2017-15593 ,CVE-2017-15592 ,CVE-2017-10912 , CVE-2017-10913, CVE-2017-10914 ,CVE-2017-10915 ,CVE-2017-10918

CVE-2017-10920, CVE-2017-10921, CVE-2017-10922 , CVE-2017-12135 ,CVE-2017-12137 ,CVE-2017-12855, CVE-2017-14316

CVE-2017-14318 ,CVE-2017-14317 ,CVE-2017-14319 

36. Xrdp

CVE-2017-16927

37. C-ares

CVE-2017-1000381


БЮЛЛЕТЕНЬ № 27102017SE15

Кумулятивное оперативное обновление (содержит в себе обновление №29032017SE15 и №16092016SE15) для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.5). Необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже. 

1. Загрузить образ диска с обновлениями по ссылке 

Скачать

2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:

gostsum -d /mnt/27102017se15.iso

Контрольная сумма:

c079dff8ed74e1dc0f2c91dd5ad73db4fee2c0af1b7a741f530a679e9e6b07d7

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск 
операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.5)

3. выполнить команды:

sudo mount /mnt/27102017se15.iso /media/cdrom
sudo apt-cdrom -m add

на вопрос об имени диска ввести "27102017SE15"

Внимание

На время установки обновления необходимо снять запрет на установку SUID бита в политиках безопасности.

sudo apt-get update
sudo apt-get dist-upgrade

после выполнения указанных команд будет выполнено обновление операционной системы.

Внимание!

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями.

1. Apache

CVE-2017-3167

CVE-2017-3169

CVE-2017-7668

CVE-2017-7669

CVE-2017-9798

CVE-2017-9788

2. Augeas

CVE-2017-7555

3. Bind9

CVE-2017-3143

4. Bluez

CVE-2017-1000250

5. c-ares

CVE-2016-0729

6. Curl

CVE-2017-1000254

CVE-2017-1000100

7. Cvs

CVE-2017-12836

8. Dnsmasq

CVE-2017-14494

9. expat

CVE-2017-9233

10. Evince

CVE-2017-1000083

11. Faad2

CVE-2017-9257

12. Firefox

CVE-2017-7793, ...

13. Fontforge

CVE-2017-11568, ...

14. Freexl

CVE-2017-2924, CVE-2017-2923

15. fly-wm

Уязвимость fly-wm, приводящая к аварийному завершению приложения.

16. Gdk-pixbuf

CVE-2017-2862

17. Ghostscript

CVE-2017-11714

18. git

CVE-2017-8386

CVE-2017-1000117

19. gtk

CVE-2013-7447

20. GraphicsMagick

CVE-2017-13777

21. Graphlite2

CVE-2017-13777

22. Heimdal

CVE-2017-11103

23. imagemagick

CVE-2017-9261

CVE-2017-9262

CVE-2017-9405

CVE-2017-9407

CVE-2017-9409

CVE-2017-9439, CVE-2017-9500, CVE-2017-9501

CVE-2017-13658

24. imlib2

CVE-2011-5326

CVE-2016-3993

CVE-2016-3994

CVE-2016-4024

25. libarchive

CVE-2016-7166

26. libffi

CVE-2017-1000376

27. Libflycore

Уязвимость в libflycore до версии 2.2.14, позволяющая злоумышленнику вызвать отказ в обслуживании.

28. libgcrypt11

CVE-2017-7526

29. libgd2

CVE-2017-7890

30. libgxps

CVE-2017-11590

31. Libidn

CVE-2017-14062

32. Libmtp

CVE-2017-9832

33. libmwaw

CVE-2017-9433

34. libsndfile

CVE-2017-6892

CVE-2017-12562

35. libtasn1

CVE-2017-10790

36. Libxml2

CVE-2017-7376

CVE-2017-9049, CVE-2017-9050

37. Linux

CVE-2017-7533

CVE-2017-1000380

38. linux-astra-modules

Уязвимость в linux-astra-modules, позволяющая локальному пользователю нарушить целостность данных.

39. memcached

CVE-2017-9951

40. mercurial

CVE-2017-9462

CVE-2017-1000116

41. openexr

CVE-2017-9116

42. openvpn

CVE-2017-7520

43. p7zip

CVE-2016-2335

44. parsec

Уязвимость модуля безопасности parsec, позволяющая вызвать отказ в обслуживании.

45. Perl

CVE-2017-6512

46. PHP

CVE-2017-11147

47. Qemu

CVE-2017-15038

48. rubygems

CVE-2017-0901

49. sane-backends

CVE-2017-6318

50. spice

CVE-2017-7506

51. sqlite3

CVE-2017-10989

52. Subversion

CVE-2017-9800

53. thunderbird

CVE-2016-1935

54. tiff

CVE-2017-10688

55. unzip

cve-2014-9913, cve-2016-9844

56. vim

CVE-2017-11109

57. vorbis

CVE-2015-6749

58. wpa

CVE-2017-13077,

Множественные уязвимости в wpa, позволяющие удаленному нарушителю получить доступ к зашифрованной конфиденциальной информации.

59. yodl

CVE-2016-10375

БЮЛЛЕТЕНЬ № 01062017SE15

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (очередное обновление 1.5) в информационных системах. 

Методика безопасности, нейтрализующая уязвимость CVE-2017-7494

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета samba. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН добавить строку: 

/etc/samba/smb.conf
nt pipe support = no

в секцию [global] конфигурационного файла /etc/samba/smb.conf

БЮЛЛЕТЕНЬ № 29032017SE15

Кумулятивное оперативное обновление (содержит в себе обновление № 16092016SE15) для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.5). Необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже.
1. Загрузить образ диска с обновлениями по ссылке
Скачать
2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:

gostsum -d /mnt/29032017se15.iso

Контрольная сумма:

093cd34500d1070cd9ef6d9367e230d45b82d890e89237aeaa8fcc1d1acd395c

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.5)


Контрольная сумма iso-образа оперативного обновления № 29032017se15, рассчитанная с использованием Программы фиксации и контроля исходного состояния программного комплекса «ФИКС-UNIX 1.0» 643.53132931.501492-01 (далее по тексту — программа «ФИКС-UNIX 1.0») по алгоритму «Уровень-3», должна соответствовать значению:

C74BE35C

Подсчет контрольной суммы iso-образа оперативного обновления № 29032017se15 с использованием программы «ФИКС-UNIX 1.0» по алгоритму «Уровень-3» должен осуществляться пользователем с правами администратора на рабочей станции, под управлением ОС СН «Astra Linux Special Edition» РУСБ.10015-01, в следующей

последовательности:

Поместить загруженный iso-образ в каталог /mnt на обновляемой системе; 

Выполнить в командной строке:

sudo mount /mnt/29032017se15.iso /media/cdrom

Перейти в директорию, содержащую исполняемый модуль программы «ФИКС-UNIX 1.0» (ufix), и выполнить следующие команды:

./ufix -jR /media/cdrom > /tmp/29032017se15.txt

./ufix -e /tmp/29032017se15.txt /tmp/29032017se15.prj

./ufix -h /tmp/29032017se15.prj /tmp/29032017se15_Report.html

Выполнить в командной строке:

firefox /tmp/29032017se15_Report.html

Сравнить значение контрольной суммы в строке «ВСЕГО», выданное на экран, со значением, указанным выше


3. выполнить команды:

sudo mount /mnt/29032017se15.iso /media/cdrom
sudo apt-cdrom -m add

на вопрос об имени диска ввести "29032017se15"

sudo apt-get update
sudo apt-get dist-upgrade

после выполнения указанных команд будет выполнено обновление операционной системы.

Внимание!

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями.

Примечание

После установки обновления, если запущен контроллер домена, необходимо выполнить команду:
ald-init restart
для контроллера домена, и:
ald-client restart
для клиента домена.

1. Kernel
CVE-2017-2636, CVE-2017-7184, CVE-2016-10229
2. Apache
CVE-2016-5387
3. Bash
CVE-2016-7543
4. Bind9
CVE-2016-1285
CVE-2016-1286
CVE-2016-2775
CVE-2016-2776
CVE-2016-2848
CVE-2016-8864
CVE-2016-9131, CVE-2016-9147, CVE-2016-9444
5. Binutils
CVE-2016-2226
6. Firebird2.5
Ошибка из-за отсутствия проверки длинны имени файла
7. Firefox
CVE-2016-9080, CVE-2016-9893, CVE-2016-9894, CVE-2016-9895, CVE-2016-9896,
CVE-2016-9897, CVE-2016-9898, CVE-2016-9899, CVE-2016-9900, CVE-2016-9901,
CVE-2016-9902, CVE-2016-9903, CVE-2016-9904
8. Ghostscript
CVE-2016-8602
CVE-2013-5653
CVE-2016-7976
CVE-2016-7977
CVE-2016-7978
CVE-2016-7979
9. GraphicsMagick
CVE-2016-7448
CVE-2016-7996
CVE-2016-7997
CVE-2016-8682
CVE-2016-8683
CVE-2016-8684
CVE-2016-7446
CVE-2016-7447
CVE-2016-7449
CVE-2016-7800
CVE-2016-5240
CVE-2016-5241
CVE-2016-5118
10. Gstreamer
10.1.CVE-2016-9634, CVE-2016-9635
10.2.CVE-2016-9811
11. Iproute
Аварийное завершение утилиты из-за некорректной обработки входных параметров
12. Krb5
Ошибка передачи контекста безопасности
13. Librsvg
CVE-2015-7558, CVE-2016-4347, CVE-2016-4348
CVE-2015-7557
14. Libxml2
CVE-2016-1762, CVE-2016-1833, CVE-2016-1834, CVE-2016-1835, CVE-2016-1836,
CVE-2016-1837, CVE-2016-1838, CVE-2016-1839, CVE-2016-1840, CVE-2016-2073,
CVE-2016-3627, CVE-2016-3705, CVE-2016-4447, CVE-2016-4449, CVE-2016-4483,
CVE-2015-8806
CVE-2016-4658
CVE-2016-5131
15. Ntfs-3g
CVE-2017-0358
CVE-2015-3202
16. Ntp
CVE-2015-7974
CVE-2015-7977, CVE-2015-7978
CVE-2015-7979
CVE-2015-8138
CVE-2015-8158
CVE-2016-1548
CVE-2016-1550
CVE-2016-2516
CVE-2016-2518
17. Openssh
CVE-2016-6515
CVE-2015-8325
18. Openssl
CVE-2016-2177
CVE-2016-2178
CVE-2016-2179
CVE-2016-2180
CVE-2016-2181
CVE-2016-2183
CVE-2016-6302
CVE-2016-6303
CVE-2016-6304
CVE-2016-6306
19. Perl
CVE-2016-1238
20. PHP
CVE-2016-2554
CVE-2016-4473, CVE-2016-4538, CVE-2016-5114, CVE-2016-5399, CVE-2016-5768,
CVE-2016-5769, CVE-2016-5770, CVE-2016-5771, CVE-2016-5772, CVE-2016-5773,
CVE-2016-6289, CVE-2016-6290, CVE-2016-6291, CVE-2016-6292, CVE-2016-6294,
CVE-2016-6295, CVE-2016-6296, CVE-2016-6297
CVE-2016-7411
CVE-2015-8865, CVE-2015-8866, CVE-2015-8878, CVE-2015-8879, CVE-2016-4070,
CVE-2016-4071, CVE-2016-4072, CVE-2016-4073, CVE-2016-4343, CVE-2016-4537,
CVE-2016-4539, CVE-2016-4540, CVE-2016-4541, CVE-2016-4542, CVE-2016-4543,
CVE-2016-4544
CVE-2016-9934
CVE-2016-9935
CVE-2016-10158
CVE-2016-10159
CVE-2016-10160
CVE-2016-10161
21. Postgresql
Ошибка обработки входных данных, позволяющая вызвать аварийное завершение утилиты или получить доступ к конфиденциальной информации
22. Postgresql-common
Ошибка, позволяющая вызвать аварийное завершение утилиты из-за некорректной обработки входных параметров
23. Speech-tools
Ошибка, связанная с отсутствием проверки имени файла, указанного в качестве параметра, и его длинны
24. Squid
CVE-2016-4554
25. Subversion
CVE-2016-2167
CVE-2016-2168
26. Sudo
CVE-2016-7032, CVE-2016-7076
27. Textlive-bin
Ошибка, связанная с отсутствием проверки имени и файла, указанного в качестве параметра
28. Boost1.49
CVE-2012-2677
29. C-ares
CVE-2016-5180
30. Cracklib2
CVE-2016-6318
31. Curl
CVE-2016-9586
CVE-2016-8615, CVE-2016-8616, CVE-2016-8617, CVE-2016-8618, CVE-2016-8619,
CVE-2016-8620, CVE-2016-8621, CVE-2016-8622, CVE-2016-8623, CVE-2016-8624
CVE-2016-7167
CVE-2016-7141
CVE-2016-5419
CVE-2016-5420
32. Dpkg
CVE-2015-0860
33. Expat
CVE-2012-6702, CVE-2016-5300
CVE-2015-1283
CVE-2016-0719
34. File
CVE-2015-8865
35. Fly-wm
Аварийное завершение сессии пользователя из-за некорректной обработки закрытия иерархии окон типа: главное окно, транзиентное окно, транзиентное окно
36. Gdk-pixbuf
CVE-2015-7552
CVE-2015-7674
37. Giflib
CVE-2015-7555
38. Gimp
CVE-2016-4994
39. Git
CVE-2016-2324, CVE-2016-2315
40. GTK+3.0
CVE-2013-7447
41. Hdf5
CVE-2016-4330, CVE-2016-4331, CVE-2016-4332, CVE-2016-4333
42. Hesiod
CVE-2016-10151
CVE-2016-10152
43. Icu
CVE-2014-9911
CVE-2016-6293
CVE-2016-7415
44. Jansson
CVE-2016-6293
45. Jasper
CVE-2016-8654, CVE-2016-8691, CVE-2016-8692, CVE-2016-8693, CVE-2016-8882,
CVE-2016-8883, CVE-2016-8887, CVE-2016-9560
CVE-2016-1577
CVE-2016-2089
CVE-2016-2116
46. Kcoreaddons
CVE-2016-7966
47. Lcms2
CVE-2016-10165
48. Libass
CVE-2016-7972
CVE-2016-7969
49. Libcrypto++
CVE-2016-9939
CVE-2016-3995
50. Libebml
CVE-2015-8789
CVE-2015-8790, CVE-2015-8791
51. Libevent
CVE-2016-10197
CVE-2016-10195
52. Libflycore
Аварийное завершение программы из-за возможного переполнения буфера
53. Libgc
CVE-2016-9427
54. Libgcrypt
CVE-2016-6313
CVE-2015-7511
55. Libgd2
CVE-2016-6906, CVE-2016-6912, CVE-2016-9317, CVE-2016-10166, CVE-2016-10167, CVE-2016-10168
56. Libgsf
CVE-2016-9888
57. Libidn
CVE-2016-6263
CVE-2016-6261
CVE-2016-8948
CVE-2015-2059
58. Libmatroska
CVE-2015-8792
59. Libotr
CVE-2016-2851
60. Libplist
CVE-2017-5209
CVE-2017-5545
61. Libtasn
CVE-2016-4008
62. Libupnp
CVE-2016-8863
CVE-2016-6255
63. Libvirt
CVE-2016-5008
64. Libvncserver
CVE-2016-9941, CVE-2016-9942
65. Libwmf
CVE-2016-9011
66. Libx11
CVE-2016-7942, CVE-2016-7943
67. Libxfixes
CVE-2016-7944
68. Libxpm
CVE-2016-4658
69. LibXrand
CVE-2016-7947
CVE-2016-7948
70. Libxrender
CVE-2016-7949, CVE-2016-7950
71. Libxslt
CVE-2016-4738
72. Libxtst
CVE-2016-7951
CVE-2016-7952
73. Libxvl
CVE-2016-5407
74. Libxvmc
CVE-2016-7953
75. Memcached
CVE-2013-7291
76. Memcached
CVE-2016-8704, CVE-2016-8705, CVE-2016-8706
77. Mercurial
CVE-2016-3105
CVE-2016-3630, CVE-2016-3068, CVE-2016-3069
78. nettle
CVE-2016-6489
79. nspr
CVE-2016-1951
80. nss
CVE-2016-9074
81. Ocaml
CVE-2015-8869
82. pcsc-lite
CVE-2016-10109
83. pykerberos
CVE-2015-3206
84. python-cripto
CVE-2013-7459
85. python-django
CVE-2016-9014
CVE-2016-7401
CVE-2016-2512
CVE-2016-2513
86. python-imaging
CVE-2016-9189
CVE-2016-9190
CVE-2016-0775, CVE-2016-2533
87. python-tornado
CVE-2014-9720
88. Python2.7
CVE-2016-0772
CVE-2016-5636
CVE-2016-5699
89. Qemu
CVE-2016-9921, CVE-2016-9922
90. samba
CVE-2016-2111
91. spice
CVE-2016-0749
CVE-2016-2150
92. sqlite3
CVE-2016-6153
93. squid3
CVE-2016-10002
94. systemd
CVE-2016-7796
95. shadow
CVE-2017-2616
96. texlive
CVE-2016-10243
97. tre
CVE-2016-8859
98. vim
CVE-2016-1248
CVE-2017-5953
99. wget
CVE-2016-4971
CVE-2017-6508
100. wpa
CVE-2015-5315
101. xen
CVE-2016-10024
CVE-2016-10013
102. xerces-c
CVE-2016-2099
CVE-2016-0729

БЮЛЛЕТЕНЬ № 16092016SE15

Для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.5) в информационных системах необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже.
1. Загрузить образ диска с обновлениями по ссылке: Скачать
2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:

gostsum -d /mnt/essential_and_additional_bin.iso

Контрольная сумма: 

0fd8405aad2a729f5daac2c980109cdad3f78a4365eb2876416e0af70663c3d7

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.5)
3. выполнить команды:

sudo mount /mnt/essential_and_additional_bin.iso /media/cdrom
sudo apt-cdrom -m add

на вопрос об имени диска ввести "Astra Linux Security Updates"

sudo apt-get update
sudo apt-get dist-upgrade

после выполнения указанных команд будет выполнено обновление операционной системы.

Внимание!

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-incheck необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями.

В случае, если по каким-то причинам провести обновление программных пакетов указанным выше способом невозможно, выполните методические указания приведенные ниже:

Идентификаторы уязвимостей соответствуют указанным в банке данных угроз безопасности информации ФСТЭК России

1. Методика безопасности, нейтрализующая уязвимость BDU:2016-01146

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета imagemagick, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в конфигурационный файл /etc/ImageMagick/policy.xml в раздел <policymap> добавить строки:

<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
<policy domain="coder" rights="none" pattern="FTP" />
<policy domain="coder" rights="none" pattern="HTTP" />

2. Методика безопасности, нейтрализующая уязвимость BDU:2016-01573

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета libgraphicsmagick3, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в конфигурационном файле /usr/lib/GraphicsMagick-1.3.16/config/delegates.mgk удалить строку:

<delegate decode="gplt" command='"echo" "set size 1.25,0.62; set terminal postscript portrait color solid; set outp ut \"%o\"; load \"%i\"" > "%u"; "gnuplot" "%u"' />

3. Методика безопасности, нейтрализующая уязвимость BDU:2019-02264

Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения у пользователей на запуск программы сбора сетевой статистики lnstat. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск данной программы, выполнив в терминале команду:

chmod 750 /usr/bin/lnstat

4. Методика безопасности, нейтрализующая уязвимость BDU:2019-02265

Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения у пользователей на запуск программы сбора сетевой статистики lnstat. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск данной программы, выполнив в терминале команду:

chmod 750 /usr/bin/lnstat

5. Методика безопасности, нейтрализующая уязвимость BDU:2019-02266

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета gpsd-clients, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы gpxlogger, выполнив в терминале команду:

chmod 750 /usr/bin/gpxlogger

6. Методика безопасности, нейтрализующая уязвимость BDU:2019-02267

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета speech-tools, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы wfst_run, выполнив в терминале команду:

chmod 750 /usr/bin/wfst_run

7. Методика безопасности, нейтрализующая уязвимость BDU:2019-02268

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета texlive-binaries, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы mendex, выполнив в терминале команду:

chmod 750 /usr/bin/mendex

8. Методика безопасности, нейтрализующая уязвимость BDU:2019-02269

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета firebird2.5-classic-common, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы gdef, выполнив в терминале команду:

chmod 750 /usr/bin/gdef

9. Методика безопасности, нейтрализующая уязвимость BDU:2019-02270

Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/wireless/libertas/libertas_cs.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду:

echo blacklist libertas_cs > /etc/modprobe.d/blacklist_libertas_cs.conf

update-initramfs -u -k all

10. Методика безопасности, нейтрализующая уязвимость BDU:2019-02271

Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/usb/kalmia.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду:

echo blacklist kalmia > /etc/modprobe.d/blacklist_kalmia.conf

update-initramfs -u -k all

11. Методика безопасности, нейтрализующая уязвимость BDU:2019-02272

Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/usb/smsc75xx.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду:

echo blacklist smsc75xx > /etc/modprobe.d/blacklist_smsc75xx.conf

update-initramfs -u -k all


Информируем всех потребителей, что в командном интерпретаторе bash обнаружены уязвимости, с использованием которых потенциально возможно нарушение установленных правил разграничения доступа.