Содержание

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 3 Next »

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (версия 1.5)  в информационных системах.

Методические указания не являются кумулятивными обновлениями безопасности. При выполнении методических указаний автоматическая установка обновлений безопасности не осуществляется, и обновления безопасности должны быть установлены отдельно.

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей модуля ядра scsi_transport_iscsi

Внимание

Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности.

Для полной нейтрализации угрозы эксплуатации уязвимостей CVE-2021-27365, CVE-2021-27363 и CVE-2021-27364 модуля ядра scsi_transport_iscsi:

  1. Если модуль scsi_transport_iscsi не используетсяследует, то запретить загрузку данного модуля, для чего:

    Данный вариант неприменим для хостов, использующих СХД, подключенные по iscsi, том числе неприменим для хостов виртуализации ПК СВ Брест с СХД, подключенными по iscsi.
    1. Используя полномочиями администратора системы с высоким уровнем целостности с помощью текстового редактора открыть файл /etc/modprobe.d/blacklist.conf (если такого файла нет - создать его);

    2. Добавить в файл строку, содержащую ключевое слово install, название блокируемого модуля и название модуля-заменителя:

      install scsi_transport_iscsi /bin/true
    3. Обновить параметры загрузки командой:

      sudo update-initramfs -uk all

    4. Если модуль загружен - перезагрузить систему командой:

      lsmod | grep scsi_transport_iscsi && sudo reboot

  1. Если модуль используется и запрет его загрузки неприменим (например, на хостах виртуализации ПК СВ Брест), следует запретить возможность входа пользователей, не имеющих привилегий администратора.

Эксплуатация уязвимостей CVE-2021-27365, CVE-2021-27363, CVE-2021-27364 возможна только после входа в локальную пользовательскую сессию.
После входа в локальную пользовательскую сессию эксплуатация уязвимостей возможна пользователем, не имеющим привилегий администратора.
Позволяющий осуществить эксплуатацию уязвимостей модуль ядра scsi_transport_iscsi по умолчанию не загружается.

Список нейтрализованных угроз безопасности

  • linux-modules

CVE-2021-27365, CVE-2021-27363, CVE-2021-27364

  • sudo

CVE-2021-3156

  • sudo-ldap

 CVE-2021-3156



  • No labels