Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей пакетов sudo и sudo-ldap
Внимание
На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности.
Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимостей, перечисленных в Списке нейтрализованных угроз безопасности. Нейтрализация осуществляется путём обновления пакетов, подверженных уязвимостям. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. Обновление пакетов может выполняться непосредственно из распакованных файлов, централизованно из общего репозитория, или индивидуально из локальных репозиториев. Для использования репозиториев их настройку следует выполнить в соответствии с указаниями Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов а также Создание локального репозитория.
Порядок применения методики безопасности
В качестве дополнительной меры защиты рекомендуется включить блокировку консоли для пользователей и блокировку интерпретаторов. (см. руководство по КСЗ. Часть 15, раздел 15.5).
1. Загрузить архив по ссылке: Cсылка. При наличии подключения к Интернет это можно сделать с помощью web-браузера или командой:
2. Проверить соответствие контрольной суммы полученного архива, выполнив команду:
Контрольная сумма:
В архиве содержатся файлы для обновления двух несовместимых пакетов: пакета sudo и пакета sudo-ldap. Обновлять следует только тот пакет, который уже установлен в системе. Обычно в ОС Astra Linux установен пакет sudo. Проверить какой именно пакет установлен можно командой:
3. Распаковать архив, выполнив команду:
После распаковки архива для установки будут доступны два файла обновлений для двух пакетов и файл gostsums.txt для проверки контрольных сумм файлов, входящих в ОС (см. руководство по КСЗ. Часть 1, раздел 9.1):
- Файлы для обновления пакетов:
- файл sudo_1.8.19p1-2.1+deb9u3_amd64.deb для обновления пакета sudo;
- файл sudo-ldap_1.8.19p1-2.1+deb9u3_amd64.deb для обновления пакета sudo-ldap;.
4. После распаковки архива обновление можно выполнить одной из команд:
| Обновление пакета sudo | Обновление пакета sudo-ldap |
|---|---|
| sudo dpkg -i sudo_1.8.19p1-2.1+deb9u3_amd64.deb | sudo dpkg -i sudo-ldap_1.8.19p1-2.1+deb9u3_amd64.deb |
Или обновить только установленный пакет командами:
dpkg -s sudo-ldap && sudo dpkg -i sudo-ldap_1.8.19p1-2.1+deb9u3_amd64.deb
Внимание
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей модуля ядра scsi_transport_iscsi
Внимание
Для полной нейтрализации угрозы эксплуатации уязвимостей CVE-2021-27365, CVE-2021-27363 и CVE-2021-27364 модуля ядра scsi_transport_iscsi следует запретить загрузку данного модуля, для чего:
- Используя полномочиями администратора системы с высоким уровнем целостности с помощью текстового редактора открыть файл /etc/modprobe.d/blacklist.conf (если такого файла нет - создать его);
Добавить в файл строку, содержащую ключевое слово install, название блокируемого модуля и название модуля-заменителя:
install scsi_transport_iscsi /bin/true
Обновить параметры загрузки командой:
sudo update-initramfs -uk allЕсли модуль загружен - перезагрузить систему командой:
lsmod | grep scsi_transport_iscsi && sudo reboot
Эксплуатация уязвимостей CVE-2021-27365, CVE-2021-27363, CVE-2021-27364 возможна только после входа в локальную пользовательскую сессию.
После входа в локальную пользовательскую сессию эксплуатация уязвимостей возможна пользователем, не имеющим привилегий администратора.
Позволяющий осуществить эксплуатацию уязвимостей модуль ядра scsi_transport_iscsi по умолчанию не загружается.