Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 105 Следующий »

Настоящий информационный ресурс является официальным источником получения обновлений операционной системы специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.5), предназначенной для применения в составе информационных (автоматизированных) систем в защищенном исполнении, находящихся в компетенции ФСТЭК России.

Порядок выпуска и доведения Оперативных обновлений до информационных (автоматизированных) систем, находящихся в компетенции Министерства обороны Российской Федерации, установлен в документе «Регламент организации работ по устранению уязвимостей и выпуску обновлений безопасности...», утвержденном начальником 8 Управления Генерального штаба Вооруженных Сил Российской Федерации и согласованным с заказывающими и довольствующими органами военного управления, и подразумевает доведение Оперативных обновлений до эксплуатирующих организаций, включая предприятия оборонно-промышленного комплекса, выполняющих опытно-конструкторские и иные работы в интересах Министерства обороны Российской Федерации, довольствующими (заказывающими) органами военного управления путем автоматизированного получения обновлений из интерактивной системы Министерства обороны Российской Федерации

Всё программное обеспечение, разработанное с использованием оперативных обновлений для дисков со средствами разработки, будет корректно функционировать только в среде ОС Astra Linux с установленными соответствующими оперативными обновлениями.
Как узнать версию Astra Linux и версию установленного обновления Astra Linux?

БЮЛЛЕТЕНЬ № 20210317SE15MD

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (очередное обновление 1.5)  в информационных системах.

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

Методика безопасности, нейтрализующая угрозы эксплуатации уязвимостей sudo


Внимание

Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы.

Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимостей, перечисленных в Списке уязвимостей, закрываемых обновлением №20210317SE15MD путём обновления пакетов, подверженных уязвимостям. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. Обновление пакетов может выполняться непосредственно из распакованных файлов, централизованно из общего репозитория, или индивидуально из локальных репозиториев. Для использования репозиториев их настройку следует выполнить в соответствии с указаниями Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов а также Создание локальных и сетевых репозиториев

Порядок применения методики безопасности:

1. Загрузить архив по ссылке: Cсылка. При наличии подключения к Интернет это можно сделать с помощью web-браузера или командой:

wget https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.5/20210317se15md/20210317se15md.tar.gz

2. Проверить соответствие контрольной суммы полученного архива, выполнив команду:

gostsum 20210317se15md.tar.gz

Контрольная сумма:

05f6a446109abdf144fa671ee7ad590d49d98b8770fb979c616667515dd1d9b3  20210317se15md.tar.gz

Архив подписан усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра" (Скачать).
Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке: https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty

В архиве содержатся файлы для обновления двух несовместимых пакетов: пакета sudo и пакета sudo-ldap. Обновлять следует только тот пакет, который уже установлен в системе. Обычно в ОС Astra Linux установен пакет sudo. Проверить какой именно пакет установлен можно командой:

apt-cache policy sudo sudo-ldap

3. Распаковать архив, выполнив команду:

tar xzf 20210317se15md.tar.gz

После распаковки архива для установки в текущем каталоге будет создан подкаталог 20210317se15md, в котором будут доступны два файла обновлений для двух пакетов и файл gostsums.txt для проверки контрольных сумм файлов, входящих в ОС (см. руководство по КСЗ. Часть 1, раздел 14.2):

  • Файлы для обновления пакетов:
    • sudo_1.8.10p3-1+deb8u8_amd64.deb для обновления пакета sudo;
    • sudo-ldap_1.8.10p3-1+deb8u8_amd64.deb для обновления пакета sudo-ldap;

4. После распаковки архива обновление можно выполнить одной из команд:

Обновление пакета
sudo		Обновление пакета
sudo-ldap
sudo dpkg -i 20210317se15md/sudo_1.8.10p3-1+deb8u8_amd64.deb20210317se15md/sudo-ldap_1.8.10p3-1+deb8u8_amd64.deb

Или обновить только установленный пакет командами:

dpkg -s sudo && sudo dpkg -i 20210317se15md/sudo_1.8.10p3-1+deb8u8_amd64.deb
dpkg -s sudo-ldap && sudo dpkg -i 20210317se15md/sudo-ldap_1.8.10p3-1+deb8u8_amd64.deb

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей модуля ядра scsi_transport_iscsi


Внимание
Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы.

Для полной нейтрализации угрозы эксплуатации уязвимостей CVE-2021-27365, CVE-2021-27363 и CVE-2021-27364 модуля ядра scsi_transport_iscsi:

  1. Если модуль scsi_transport_iscsi не используетсяследует, то запретить загрузку данного модуля, для чего:

    Данный вариант неприменим для хостов, использующих СХД, подключенные по iscsi, том числе неприменим для хостов виртуализации ПК СВ Брест с СХД, подключенными по iscsi.
    1. Используя полномочиями администратора системы с высоким уровнем целостности с помощью текстового редактора открыть файл /etc/modprobe.d/blacklist.conf (если такого файла нет - создать его);

    2. Добавить в файл строку, содержащую ключевое слово install, название блокируемого модуля и название модуля-заменителя:

      install scsi_transport_iscsi /bin/true

    3. Обновить параметры загрузки командой:

      sudo update-initramfs -uk all

    4. Если модуль загружен - перезагрузить систему командой:

      lsmod | grep scsi_transport_iscsi && sudo reboot

  2. Если модуль используется и запрет его загрузки неприменим (например, на хостах виртуализации ПК СВ Брест), следует запретить возможность входа пользователей, не имеющих привилегий администратора.
Эксплуатация уязвимостей CVE-2021-27365, CVE-2021-27363, CVE-2021-27364 возможна только после входа в локальную пользовательскую сессию.
После входа в локальную пользовательскую сессию эксплуатация уязвимостей возможна пользователем, не имеющим привилегий администратора.
Позволяющий осуществить эксплуатацию уязвимостей модуль ядра scsi_transport_iscsi по умолчанию не загружается.

Список нейтрализованных угроз безопасности

  • linux-modules

CVE-2021-27365, CVE-2021-27363, CVE-2021-27364

  • sudo

CVE-2021-3156

  • sudo-ldap

 CVE-2021-3156




БЮЛЛЕТЕНЬ № 20201201SE15

Кумулятивное оперативное обновление (содержит в себе обновления №20190329SE15, №31082018SE15, №02032018SE15, №27102017SE15, №29032017SE15, №16092016SE15) для нейтрализации угроз эксплуатации и уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.5). Необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже. 

Обновление диска со средствами разработки

Соответствующее бюллетеню № 20201201SE15 обновление диска со средствами разработки доступно по ссылке

1. Загрузить образ диска с обновлениями по ссылке: Скачать

2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:

gostsum -d /mnt/20201201SE15.iso
Контрольная сумма:

8e2784719c977eaf80b288ac58358dbca5f2c016f5a9cbc7bdd27352b1a75bef -

Обновление безопасности подписано усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра" (Скачать). Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке: https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.5)

3. Выполнить команды:

sudo mount /mnt/20201201SE15.iso /media/cdrom
sudo apt-cdrom -m add
на вопрос об имени диска ввести "20201201SE15"

Внимание

На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.


sudo apt-get update
sudo apt-get dist-upgrade
sudo apt-get -f install
после выполнения указанных команд будет выполнено обновление операционной системы.

Внимание

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями.
apache2
 CVE-2019-0217, CVE-2019-0220

apt
 CVE-2020-3810

aspell
 CVE-2019-17544

bash
 CVE-2012-6711, CVE-2016-9401, CVE-2019-9924

bind9
 CVE-2018-5743, CVE-2020-8616, CVE-2020-8617

blktrace
 CVE-2018-10689

bzip2
 CVE-2016-3189, CVE-2019-12900

cpio
 CVE-2019-14866

cron
 CVE-2017-9525, CVE-2019-9704, CVE-2019-9705, CVE-2019-9706

cups
 CVE-2018-4300, CVE-2019-8675 CVE-2019-8696, CVE-2020-3898

curl
 CVE-2019-5436, CVE-2019-5482

cyrus-sasl2
 CVE-2019-19906

dbus
 CVE-2019-12749

e2fsprogs
 CVE-2019-5094, CVE-2019-5188

exim4
 CVE-2019-15846

expat
 CVE-2018-20843, CVE-2019-15903

file
 CVE-2019-18218

firefox
 CVE-2016-10196, CVE-2017-5429, CVE-2017-5430, CVE-2017-5432, CVE-2017-5433, CVE-2017-5434,
 CVE-2017-5435, CVE-2017-5436, CVE-2017-5438, CVE-2017-5439, CVE-2017-5440, CVE-2017-5441,
 CVE-2017-5442, CVE-2017-5443, CVE-2017-5444, CVE-2017-5445, CVE-2017-5446, CVE-2017-5447,
 CVE-2017-5448, CVE-2017-5449, CVE-2017-5450, CVE-2017-5451, CVE-2017-5453, CVE-2017-5454,
 CVE-2017-5455, CVE-2017-5456, CVE-2017-5458, CVE-2017-5459, CVE-2017-5460, CVE-2017-5461,
 CVE-2017-5462, CVE-2017-5464, CVE-2017-5465, CVE-2017-5466, CVE-2017-5467, CVE-2017-5468,
 CVE-2017-5469, CVE-2017-5470, CVE-2017-5471, CVE-2017-5472, CVE-2017-7749, CVE-2017-7750,
 CVE-2017-7751, CVE-2017-7752, CVE-2017-7753, CVE-2017-7754, CVE-2017-7756, CVE-2017-7757,
 CVE-2017-7758, CVE-2017-7762, CVE-2017-7764, CVE-2017-7778, CVE-2017-7779, CVE-2017-7780,
 CVE-2017-7781, CVE-2017-7782, CVE-2017-7783, CVE-2017-7784, CVE-2017-7785, CVE-2017-7786,
 CVE-2017-7787, CVE-2017-7788, CVE-2017-7789, CVE-2017-7791, CVE-2017-7792, CVE-2017-7793,
 CVE-2017-7794, CVE-2017-7797, CVE-2017-7798, CVE-2017-7799, CVE-2017-7800, CVE-2017-7801,
 CVE-2017-7802, CVE-2017-7803, CVE-2017-7804, CVE-2017-7805, CVE-2017-7806, CVE-2017-7807,
 CVE-2017-7808, CVE-2017-7809, CVE-2017-7810, CVE-2017-7811, CVE-2017-7812, CVE-2017-7813,
 CVE-2017-7814, CVE-2017-7815, CVE-2017-7816, CVE-2017-7817, CVE-2017-7818, CVE-2017-7819,
 CVE-2017-7820, CVE-2017-7821, CVE-2017-7822, CVE-2017-7823, CVE-2017-7824, CVE-2017-7825,
 CVE-2017-7826, CVE-2017-7827, CVE-2017-7828, CVE-2017-7830, CVE-2017-7831, CVE-2017-7832,
 CVE-2017-7833, CVE-2017-7834, CVE-2017-7835, CVE-2017-7836, CVE-2017-7837, CVE-2017-7838,
 CVE-2017-7839, CVE-2017-7840, CVE-2017-7842, CVE-2018-5089, CVE-2018-5090, CVE-2018-5091,
 CVE-2018-5092, CVE-2018-5093, CVE-2018-5094, CVE-2018-5095, CVE-2018-5097, CVE-2018-5098,
 CVE-2018-5099, CVE-2018-5100, CVE-2018-5101, CVE-2018-5102, CVE-2018-5103, CVE-2018-5104,
 CVE-2018-5105, CVE-2018-5106, CVE-2018-5107, CVE-2018-5108, CVE-2018-5109, CVE-2018-5111,
 CVE-2018-5112, CVE-2018-5113, CVE-2018-5114, CVE-2018-5115, CVE-2018-5116, CVE-2018-5117,
 CVE-2018-5118, CVE-2018-5119, CVE-2018-5122, CVE-2018-5125, CVE-2018-5126, CVE-2018-5127,
 CVE-2018-5128, CVE-2018-5129, CVE-2018-5130, CVE-2018-5131, CVE-2018-5132, CVE-2018-5133,
 CVE-2018-5134, CVE-2018-5135, CVE-2018-5136, CVE-2018-5137, CVE-2018-5140, CVE-2018-5141,
 CVE-2018-5142, CVE-2018-5143, ASE-2020-1104

freetype
 CVE-2015-9290, CVE-2015-9381, CVE-2015-9382, CVE-2015-9383, CVE-2020-15999

gdk-pixbuf
 CVE-2016-6352, CVE-2017-2870, CVE-2017-6312, CVE-2017-6313, CVE-2017-6314

git
 CVE-2019-1348, CVE-2019-1349, CVE-2019-1352, CVE-2019-1353, CVE-2019-1387, CVE-2019-19604,
 CVE-2020-11008, CVE-2020-5260

glib2.0
 CVE-2018-16428, CVE-2018-16429, CVE-2019-12450, CVE-2019-13012

intel-microcode
 CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091, CVE-2019-11135, CVE-2019-11139

isc-dhcp
 CVE-2016-2774, CVE-2017-3144

jasper
 CVE-2018-19542

jquery
 CVE-2019-11358

libarchive
 CVE-2019-18408

libbsd
 CVE-2019-20367

libonig
 CVE-2019-13224, CVE-2019-16163, CVE-2019-19012, CVE-2019-19204, CVE-2019-19246

libpng
 CVE-2016-10087

libreoffice
 CVE-2015-4551, CVE-2015-5212, CVE-2015-5213, CVE-2015-5214, CVE-2016-0794, CVE-2016-0795,
 CVE-2016-4324, CVE-2017-3157, CVE-2017-7856, CVE-2017-7870, CVE-2017-7882, CVE-2017-8358

librsvg
 CVE-2016-6163, CVE-2019-20446

libsndfile
 CVE-2019-3832

libssh2
 CVE-2019-13115, CVE-2019-17498, CVE-2019-3855, CVE-2019-3856, CVE-2019-3857, CVE-2019-3858,
 CVE-2019-3859, CVE-2019-3860, CVE-2019-3861, CVE-2019-3862, CVE-2019-3863

libvirt
 CVE-2019-10161

libvorbis
 CVE-2017-14160, CVE-2018-10392, CVE-2018-10393

libx11
 CVE-2018-14598, CVE-2018-14599, CVE-2018-14600, CVE-2020-14344, CVE-2020-14363

libxdmcp
 CVE-2017-2625

libxslt
 CVE-2016-4609, CVE-2016-4610, CVE-2019-11068, CVE-2019-13117, CVE-2019-13118, CVE-2019-18197

linux
 CVE-2016-2188, CVE-2016-5195, CVE-2016-10905, CVE-2017-18232, CVE-2017-5715, CVE-2017-5753,
 CVE-2017-5754, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2018-12207, CVE-2018-20784,
 CVE-2018-20856, CVE-2018-20961, CVE-2018-20976, CVE-2018-21008, CVE-2018-3620, CVE-2018-3639,
 CVE-2018-3646, CVE-2019-0136, CVE-2019-0154, CVE-2019-0155, CVE-2019-10126, CVE-2019-10638,
 CVE-2019-11091, CVE-2019-11135, CVE-2019-1125, CVE-2019-11478, CVE-2019-11479, CVE-2019-11487,
 CVE-2019-11833, CVE-2019-12614, CVE-2019-13648, CVE-2019-14283, CVE-2019-14284, CVE-2019-14615,
 CVE-2019-14821, CVE-2019-14835, CVE-2019-14895, CVE-2019-14896, CVE-2019-14897, CVE-2019-14901,
 CVE-2019-15098, CVE-2019-17052, CVE-2019-17053, CVE-2019-17054, CVE-2019-17055, CVE-2019-17056,
 CVE-2019-17666, CVE-2019-18660, CVE-2019-18885, CVE-2019-19060, CVE-2019-19062, CVE-2019-19332,
 CVE-2019-19768, CVE-2019-20096, CVE-2019-3846, CVE-2019-3874, CVE-2019-3882, CVE-2019-3900,
 CVE-2020-0543, CVE-2020-10711, CVE-2020-11494, CVE-2020-11608, CVE-2020-11935, CVE-2020-12769,
 CVE-2020-13143, CVE-2020-1749, CVE-2020-2732, CVE-2020-8428, ASE-2020-1101, ASE-2020-1102,
 ASE-2020-1103, ASE-2020-1105

mesa
 CVE-2019-5068

net-snmp
 CVE-2020-15861, CVE-2020-15862

nfs-utils
 CVE-2019-3689

nss
 CVE-2019-11719, CVE-2019-11729, CVE-2019-11745, CVE-2019-17006, CVE-2019-17007, CVE-2020-12399

ntfs-3g
 CVE-2019-9755

ntp
 CVE-2020-11868

openldap
 CVE-2019-13057, CVE-2019-13565

openssh
 CVE-2018-20685, CVE-2019-6109, CVE-2019-6111

openssl
 CVE-2019-1547, CVE-2019-1563

patch
 CVE-2019-13636, CVE-2019-13638

pgagent
 ASE-2020-1106

php5
 CVE-2019-1000019, CVE-2019-1000020, CVE-2019-11036, CVE-2019-11039, CVE-2019-11040, CVE-2019-11041,
 CVE-2019-11042, CVE-2019-11043, CVE-2019-11045, CVE-2019-11046, CVE-2019-11047, CVE-2019-11048,
 CVE-2019-11050, CVE-2019-18218, CVE-2020-7059, CVE-2020-7060, CVE-2020-7062, CVE-2020-7063,
 CVE-2020-7064, CVE-2020-7066, CVE-2020-7067

python2.7
 CVE-2013-1753, CVE-2014-4616, CVE-2014-4650, CVE-2014-7185, CVE-2018-20852, CVE-2019-10160,
 CVE-2019-16056, CVE-2019-9636, CVE-2019-9740, CVE-2019-9947, CVE-2019-9948,qemu CVE-2019-20382,
 CVE-2020-13253, CVE-2020-13659, CVE-2020-13754, CVE-2020-14364, CVE-2020-15863, CVE-2020-16092

qt4-x11
 CVE-2016-9841, CVE-2016-9843, CVE-2020-17507

rsync
 CVE-2016-9840

rsyslog
 CVE-2019-17041, CVE-2019-17042

ruby1.9.1
 CVE-2019-15845, CVE-2019-16201, CVE-2019-16254, CVE-2019-16255, CVE-2019-8320, CVE-2019-8322,
 CVE-2019-8323, CVE-2019-8325

samba
 CVE-2019-3880

sqlite3
 CVE-2019-8457

ssh
 CVE-2016-6210

sudo
 CVE-2019-14287, CVE-2019-18634

systemd
 CVE-2017-18078, CVE-2019-3842

tcpdump
 CVE-2018-10103, CVE-2018-10105, CVE-2018-14461, CVE-2018-14462, CVE-2018-14463, CVE-2018-14464,
 CVE-2018-14465, CVE-2018-14466, CVE-2018-14467, CVE-2018-14468, CVE-2018-14469, CVE-2018-14470,
 CVE-2018-14879, CVE-2018-14880, CVE-2018-14881, CVE-2018-14882, CVE-2018-16227, CVE-2018-16228,
 CVE-2018-16229, CVE-2018-16230, CVE-2018-16300, CVE-2018-16451, CVE-2018-16452, CVE-2019-15166

tiff3
 CVE-2018-5360

unzip
 CVE-2018-1000035, CVE-2019-13232

vim
 CVE-2017-17087, CVE-2019-12735

wget
 CVE-2016-7098, CVE-2019-5953

xorg-server
 CVE-2017-12176, CVE-2017-12177, CVE-2017-12178, CVE-2017-12179, CVE-2017-12180, CVE-2017-12181,
 CVE-2017-12182, CVE-2017-12183, CVE-2017-12184, CVE-2017-12185, CVE-2017-12186, CVE-2017-12187,
 CVE-2020-14346, CVE-2020-14347, CVE-2020-14361, CVE-2020-14362

zlib
 CVE-2019-0201


БЮЛЛЕТЕНЬ № 20190719SE15MD

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (версия 1.5)  в информационных системах.

В целях предотвращения эксплуатации уязвимостей BDU:2019-02313, BDU:2019-02628,  BDU:2019-02609, BDU:2019-02629, позволяющих нарушителю вызвать отказ в обслуживании, рекомендуется выполнить обновление пакетов в соответствии с инструкцией, приведенной ниже. 

ПакетИдентификатор уязвимости
libflycoreBDU:2019-02609
goldendictBDU:2019-02639, BDU:2019-02640
gnupgBDU:2019-02629
linux-astra-modulesBDU:2019-02300

Загрузить архив по ссылке:

Скачать

Контрольная сумма:

9760927c469a64f5368f743a692a2c556da7f615de7003cdac1e0fb5920579c2


Архив подписан усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра" (Скачать).
Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке: https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty

Распаковать архив:

tar xzvf 20190719.tar.gz
Перейти в директорию и установить пакеты:

cd 20190719

sudo dpkg -i *.deb

Вполнить команду для завершения установки пакетов:
sudo apt -f install
При этом если доступен диск со средствами разработки то будут восстановлены зависимости пакета для libflycore-dev, если диск со средствами разработки недоступен то этот пакет будет удалён.

В целях предотвращения эксплуатации уязвимостей, позволяющим нарушителю вызвать отказ в обслуживании, рекомендуется снять бит исполнения для непривилегированных пользователей со следующих утилит:

Имя файлаПакетИдентификатор уязвимости
/usr/bin/signtool libnss3-toolsBDU:2019-02611
/usr/bin/unixcmd vde2BDU:2019-02612
/usr/bin/peekfd psmiscBDU:2019-02613
/usr/bin/makeinfo  texinfoBDU:2019-02614
/usr/bin/nettle-hash  nettle-binBDU:2019-02615
/usr/bin/xkbevd x11-xkb-utilsBDU:2019-02616
/usr/bin/genrbicu-devtoolsBDU:2019-02617
/usr/bin/dvipostexlive-extra-utilsBDU:2019-02618
/usr/bin/pdftohtmlpdftohtmlBDU:2019-02621
/usr/bin/pdftopspoppler-utilsBDU:2019-02622
/usr/bin/vde_l3 vde2BDU:2019-02623
/usr/bin/roarfiltroarclientsBDU:2019-02624
/usr/bin/umax_ppsane-utilsBDU:2019-02625
/usr/bin/fdtdumpdevice-tree-compilerBDU:2019-02626
/usr/bin/faad faadBDU:2019-02627
/usr/bin/a2pperlBDU:2019-02628
/usr/bin/gtbl groff-baseBDU:2019-02630
/usr/bin/infotocap ncurses-binBDU:2019-02631, BDU:2019-02632
/usr/bin/workmanir libirman-devBDU:2019-02634
/usr/bin/ppdhtml cups-ppdcBDU:2019-02635
/usr/bin/glxdemo mesa-utilsBDU:2019-02636
/usr/bin/ppdpo cups-ppdcBDU:2019-02637
/usr/bin/fontlint fontforgeBDU:2019-02638

Для удобства снятия бита исполнения, был подготовлен скрипт:

#!/bin/bash

files='signtool unixcmd peekfd makeinfo nettle-hash xkbevd 
genrb dvipos pdftohtml pdftops vde_l3 roarfilt umax_pp 
fdtdump faad a2p gtbl infotocap workmanir ppdhtml 
glxdemo ppdpo fontlint'

for file in $files; do
    chmod -f -x /usr/bin/${file} && chmod u+x /usr/bin/${file} 
done

Скачать script.sh

Сделать скрипт исполняемым:

chmod +x script.sh
Выполнить:
sudo ./script.sh

Методические указания не являются кумулятивным оперативным обновлением. При выполнении методических указаний автоматическая установка оперативных обновлений не осуществляется, и оперативные обновления должны быть установлены отдельно.

БЮЛЛЕТЕНЬ № 20190712SE15MD

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (версия 1.5)  в информационных системах.

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости BDU:2019-02442

Уязвимость компонента оконного менеджера fly-wm  связанная с ошибками в алгоритме пересчета разрешения при изменения размера окна, позволяющая нарушителю получить доступ к конфиденциальным данным http://bdu.fstec.ru/vul/2019-02442

Для предотвращения эксплуатации указанной уязвимости необходимо выполнить обновление указанного пакета в соответствии с инструкцией, приведенной ниже. 

Внимание

Обновление пакетов необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.

1.Загрузить архив по ссылке:

Cсылка

2.Проверить соответствие контрольной суммы, выполнив команду:

gostsum fly-wm-se15.tar.gz

f7fc6de81ee8716b03d3888467619ef960da3210dc01e7faee69a27c26a8ea22 fly-wm-se15.tar.gz


Архив подписан усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра" (Скачать).
Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке: https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty

3. Распаковать архив, выполнив:

tar xzf fly-wm-se15.tar.gz

4. Перейти в распакованную директорию fly-wm

cd fly-wm

5. Выполнить установку:

sudo dpkg -i *.deb


Внимание

Обновление пакетов необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.
Методические указания не являются кумулятивным оперативным обновлением. При выполнении методических указаний автоматическая установка оперативных обновлений не осуществляется, и оперативные обновления должны быть установлены отдельно.

БЮЛЛЕТЕНЬ № 20190605SE15MD

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (версия 1.5)  в информационных системах.

В целях предотвращения утечек памяти с возможным отказом в обслуживании рекомендуем заблокировать автозагрузку следующих модулей ядра:

libertas_cs.ko
kalmia.ko
smsc75xx.ko
fan.ko
fotg210-udc.ko
udc-xilinx.ko
libertas_tf_usb.ko
usb8xxx.ko
avma1_cs.ko
ir-lirc-codec.ko
radio-maxiradio.ko
i5100_edac.ko
snd-cs5535audio.ko
snd-seq-dummy.ko
ems_pcmcia.ko
snd-korg1212.ko
snd-cs46xx.ko
snd-lola.ko
sis5595.ko
megaraid_mm.ko
lmc.ko
jsm.ko
ips.ko
amd5536udc.ko
hfcsusb.ko
hfc_usb.ko
virtio_pci.ko
hwa-rc.ko
ems_usb.ko
ddbridge.ko
dc395x.ko

Для этого в каталоге /lib/modprobe.d в файлы

  • /lib/modprobe.d/blacklist_linux_4.2.0-23-generic.conf
  • /lib/modprobe.d/ blacklist_linux_4.2.0-23-pax.conf

внести строки, содержашие ключевое слово blacklist и название блокируемого модуля:


blacklist_linux_4.2.0-23-*.conf

blacklist libertas_cs.ko
blacklist kalmia.ko
blacklist smsc75xx.ko
blacklist fan.ko
blacklist fotg210-udc.ko
blacklist udc-xilinx.ko
blacklist libertas_tf_usb.ko
blacklist usb8xxx.ko
blacklist avma1_cs.ko
blacklist ir-lirc-codec.ko
blacklist radio-maxiradio.ko
blacklist i5100_edac.ko
blacklist snd-cs5535audio.ko
blacklist snd-seq-dummy.ko
blacklist ems_pcmcia.ko
blacklist snd-korg1212.ko
blacklist snd-cs46xx.ko
blacklist snd-lola.ko
blacklist sis5595.ko
blacklist megaraid_mm.ko
blacklist lmc.ko
blacklist jsm.ko
blacklist ips.ko
blacklist amd5536udc.ko
blacklist hfcsusb.ko
blacklist hfc_usb.ko
blacklist virtio_pci.ko
blacklist hwa-rc.ko
blacklist ems_usb.ko
blacklist ddbridge.ko
blacklist dc395x.ko

После внесения и сохраения изменений:

  1. Обновить ramfs командой

    sudo update-initramfs -uk all

  2. Перезагрузить систему.
Методические указания не являются кумулятивным оперативным обновлением. При выполнении методических указаний автоматическая установка оперативных обновлений не осуществляется, и оперативные обновления должны быть установлены отдельно.

БЮЛЛЕТЕНЬ № 20190529SE15MD

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (версия 1.5)  в информационных системах.

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета busybox.
Для предотвращения эксплуатации указанной уязвимости необходимо ограничить доступ к утилите busybox всем, кроме пользователей, входящих в группу astra-admin, 
для чего нужно выполнить от имени учетной записи администратора ОС СН с высоким уровнем целостности следующие команды:


chown root:astra-admin /bin/busybox
chmod g+rx /bin/busybox
chmod o-rx /bin/busybox

Методические указания не являются кумулятивным оперативным обновлением. При выполнении методических указаний автоматическая установка оперативных обновлений не осуществляется, и оперативные обновления должны быть установлены отдельно.

БЮЛЛЕТЕНЬ № 20190329SE15

Кумулятивное оперативное обновление (содержит в себе обновления №31082018SE15, №29032017SE15,№16092016SE15,№27102017SE15,№02032018SE15 и №27082018SE15 ) для нейтрализации угроз эксплуатации и уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5). Необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже. 

Обновление диска со средствами разработки

Соответствующее бюллетеню № 20190329SE15 обновление диска со средствами разработки доступно по ссылке

1. Загрузить образ диска с обновлениями по ссылке

Скачать

2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:

gostsum -d /mnt/20190329SE15.iso
Контрольная сумма:

f0a193280a5314bab8243d13463fed4ffd40f7981f5b86c1ca34a9e05354c57f -

Оперативное обновление подписано усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра" (Скачать). Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке: https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5)

3. выполнить команды:

sudo mount /mnt/20190329SE15.iso /media/cdrom
sudo apt-cdrom -m add
на вопрос об имени диска ввести "20190329SE15"

Внимание

На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.


sudo apt-get update
sudo apt-get dist-upgrade
после выполнения указанных команд будет выполнено обновление операционной системы.


Внимание

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями.
apt 
CVE-2019-3462

bind9 
CVE-2018-5740, CVE-2018-5745, CVE-2019-6465

busybox
CVE-2011-5325, CVE-2013-1813, CVE-2014-4607,CVE-2014-9645,
CVE-2015-9261, CVE-2016-2147, CVE-2016-2148, CVE-2017-15873,
CVE-2017-16544, CVE-2018-1000517

cups
CVE-2018-4180, CVE-2018-4181

curl
CVE-2018-14618, CVE-2018-16842

elfutils
CVE-2017-7608, CVE-2017-7610, CVE-2017-7611,CVE-2017-7612,
CVE-2017-7613, CVE-2018-16062, CVE-2018-18310, CVE-2018-18520,
CVE-2018-18521, CVE-2019-7149, CVE-2019-7150, CVE-2019-7665

exiv2
CVE-2018-10958, CVE-2018-10998, CVE-2018-10999,CVE-2018-11531,
CVE-2018-12264, CVE-2018-12265

fuse
CVE-2018-10906

ghostscript
CVE-2018-11645

gnupg
CVE-2016-6313, CVE-2017-7526, CVE-2018-12020

gnutls26
CVE-2017-7869, CVE-2017-5335, CVE-2017-5336,CVE-2017-5337

krb5
CVE-2015-2694, CVE-2016-3119, CVE-2016-3120,CVE-2017-11368,
CVE-2018-5729, CVE-2018-5730, CVE-2018-20217

lame
CVE-2017-9870, CVE-2017-9871, CVE-2017-9872,CVE-2017-15018,
CVE-2017-15045, CVE-2017-15046

lcms
CVE-2018-16435

lcms2
CVE-2018-16435

libapache2-mod-perl2
CVE-2011-2767

libarchive
CVE-2017-14501, CVE-2017-14502, CVE-2017-14503,
CVE-2019-1000019, CVE-2019-1000020

libcaca
CVE-2018-20544, CVE-2018-20546, CVE-2018-20547,
CVE-2018-20549

libsdl1.2
CVE-2019-7572, CVE-2019-7573, CVE-2019-7574,CVE-2019-7575,
CVE-2019-7576, CVE-2019-7577, CVE-2019-7578, CVE-2019-7635,
CVE-2019-7636, CVE-2019-7637, CVE-2019-7638

libsndfile
CVE-2017-14245, CVE-2017-14246, CVE-2017-14634,
CVE-2017-17456, CVE-2017-17457, CVE-2018-13139,
CVE-2018-19661, CVE-2018-19662, CVE-2018-19758

libtirpc
CVE-2018-14622

libxcursor
CVE-2015-9262

libxml2
CVE-2018-14404, CVE-2018-14567, CVE-2018-9251,CVE-2017-18258

linux
CVE-2018-5391, CVE-2018-1000026, CVE-2019-7221,
CVE-2019-7222,CVE-2019-6974, CVE-2018-20784

ming
CVE-2018-11226, CVE-2018-11225, CVE-2018-11100, CVE-2018-11095

mutt
CVE-2018-14349, CVE-2018-14350, CVE-2018-14351, CVE-2018-14352,
CVE-2018-14353, CVE-2018-14354, CVE-2018-14355,CVE-2018-14356,
CVE-2018-14357, CVE-2018-14358, CVE-2018-14359, CVE-2018-14362

mysql
CVE-2018-2767, CVE-2018-3058, CVE-2018-3063,CVE-2018-3066,
CVE-2018-3070, CVE-2018-3081, CVE-2018-3133, CVE-2018-3174,
CVE-2018-3282

net-snmp
CVE-2018-18065

nss
CVE-2018-12404, CVE-2018-18508

openssh
CVE-2018-15473

openssl
CVE-2018-0732, CVE-2018-0737, CVE-2018-0735, CVE-2018-5407,
CVE-2019-1559

perl
CVE-2018-12015, CVE-2018-18311

php5
CVE-2018-14851, CVE-2018-14883, CVE-2018-17082,
CVE-2018-19518, CVE-2018-19935,CVE-2018-20783, CVE-2018-1000888,
CVE-2019-9022,CVE-2019-9637, CVE-2019-9638, CVE-2019-9639,
CVE-2019-9640, CVE-2019-9641

pixman
CVE-2018-5297

python2.7
CVE-2018-1000802, CVE-2018-1060, CVE-2018-1061, CVE-2018-14647

ruby-passenger
CVE-2018-12029

samba
CVE-2016-2125, CVE-2017-2619, CVE-2017-7494, CVE-2018-10858,
CVE-2018-16851

spice
CVE-2018-10873, CVE-2019-3813

sqlite3
CVE-2017-2518, CVE-2018-8740, CVE-2018-20346

systemd
CVE-2018-1049, CVE-2018-15686

tar
CVE-2018-20482

tiff3
CVE-2017-11613, CVE-2018-5784, CVE-2018-18557

tiff
CVE-2018-10963, CVE-2018-1710x, CVE-2018-18557, CVE-2018-18661, 
CVE-2018-10779, CVE-2018-12900, CVE-2018-17000,
CVE-2018-19210, CVE-2019-6128

БЮЛЛЕТЕНЬ № 31082018SE15

Кумулятивное оперативное обновление (содержит в себе обновление №29032017SE15,№16092016SE15,№27102017SE15,№02032018SE15 и №27082018SE15 ) для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5). Необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже. 

Обновление диска со средствами разработки

Соответствующее бюллетеню № 31082018SE15 обновление диска со средствами разработки доступно по ссылке

1. Загрузить образ диска с обновлениями по ссылке 

Скачать

2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:

gostsum -d /mnt/31082018se15.iso
Контрольная сумма:

c46e22dd4ec1ff0254d3ca9d258fce6c0cbbfc771e623e7dc1260f0c2ef56185  -


Оперативное обновление подписано усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра" (Скачать). Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке: https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск 

операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5)

3. выполнить команды:

sudo mount /mnt/31082018se15.iso /media/cdrom
sudo apt-cdrom -m add
на вопрос об имени диска ввести "31082018se15"

Внимание

На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.

sudo apt-get update
sudo apt-get dist-upgrade
после выполнения указанных команд будет выполнено обновление операционной системы.

Внимание!

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями.

1. Aldd, ald-parsec

Astra-ald-2018-01

2. Apache2

CVE-2018-1312

3. Beep

CVE-2018-0492

4. Bind9

CVE-2017-3145

5. Cups

CVE-2017-18190

6. Curl

CVE-2018-1000301

7. Dovecot

CVE-2017-14461

8. Eglibc

CVE-2018-1000001

9. File

CVE-2018-10360

10. Firefox-esr

CVE-2018-5183

11. Fly-dm

Astra-fly-2018-02

12. Fly-wm

Astra-fly-2018-03

13. Freerdp

CVE-2017-2839

14. Ghostscript

CVE-2018-10194

15. Gimp

CVE-2017-17784, CVE-2017-17785, CVE-2017-17786, CVE-2017-17787, CVE-2017-17788, CVE-2017-17789

16. Git

CVE-2018-11235

17. Graphicsmagick

CVE-2018-9018

18. Icu

CVE-2017-15422

19. Imagemagick

CVE-2018-11251

20. Isc-dhcp

CVE-2018-5732

21. Libgd2

CVE-2018-5711

22. Libmad

CVE-2017-8374

23. Libparsec-common-qt5

Astra-prsc-2018-04

24. Librsvg

CVE-2018-1000041

25. Libvirt

CVE-2018-5748

26. Libvncserver

CVE-2018-7225

27. Libvorbis

CVE-2018-5146

28. Libvpx

CVE-2017-13194

29. Memcached

CVE-2018-1000127

30. Mercurial

CVE-2018-1000132

31. Net-snmp

CVE-2018-1000116

32. Openslp-dfsg

CVE-2017-17833

33. Openssh

CVE-2016-10708

34. Openssl

CVE-2018-0739

35. Patch

CVE-2018-1000156

36. Perl

CVE-2018-6913

37. Php5

CVE-2018-10548

38. Postgresql

Astra-psql-2018-05

39. Postgresql-common

Astra-psql-2018-06

40. Procps

CVE-2018-1125

41. Python-crypto

CVE-2018-6594

42. Python-django

CVE-2018-7537

43. Qemu

CVE-2018-7550

44. Rsync

CVE-2018-5764

45. Ruby1.9.1

CVE-2018-1000075, CVE-2018-1000076, CVE-2018-1000077, CVE-2018-1000078

46. Sdl-image1.2

CVE-2017-14450

47. Squid

CVE-2018-1000027

48. Wget

CVE-2018-0494

49. Xorg-server

Astra-Xorg-2018-07


БЮЛЛЕТЕНЬ № 27082018SE15

Для предотвращения возможности подключения отчуждаемых носителей в нарушение установленных политик безопасности дискреционного разграничения доступа необходимо в папку /etc/polkit-1/localauthority/10-vendor.d/ поместить файл ru.rusbitech.noudisksmount.pkla со следующим содержимым:

/etc/polkit-1/localauthority/10-vendor.d/ru.rusbitech.noudisksmount.pkla
[Disable mount for limited users]
 Identity=unix-user:*
 Action=org.freedesktop.udisks.filesystem-mount
 ResultActive=auth_admin

БЮЛЛЕТЕНЬ № 02032018SE15 

Кумулятивное оперативное обновление (содержит в себе обновления №27102017SE15,№29032017SE15, №16092016SE15) для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5).  Для минимизации рисков эксплуатации уязвимостей микропроцессоров Meltdown (CVE-2017-5754) и Spectre v2 (CVE-2017-5715) в состав данного обновления включено ядро linux 4.2.0-24. 

Обновление диска со средствами разработки

Соответствующее бюллетеню № 02032018SE15 обновление диска со средствами разработки доступно по ссылке


В связи с серьезными изменениями в части своего интерфейса это ядро устанавливается дополнительно к linux 4.2.0-23 и не загружается по умолчанию. Стороннее программное обеспечение, содержащее в своем составе модули ядра, скомпилированные для ядра 4.2.0-23, может работать некорректно  и  потребовать перекомпиляции. 

1. В файле /etc/default/grub заменить строку

#GRUB_DEFAULT=0

строкой

GRUB_DEFAULT=0

и заменить строку

GRUB_DEFAULT=version

строкой

#GRUB_DEFAULT=version

2. Выполнить команду:

update-grub 

Также для повышения безопасности при эксплуатации операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01, рекомендуется выполнить дополнительные настройки, размещенные в разделе Astra Linux SE (ОС СН) Смоленск 1.5 Red-Book.

 Необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже. 

1. Загрузить образ диска с обновлениями по ссылке

Скачать

2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:

gostsum -d /mnt/02032018se15.iso

Контрольная сумма:

3f05fae712288a5d65d16b141a95a16726031fa76409a7910847a389f8226627

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск 
операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5)

3. выполнить команды:

sudo mount /mnt/02032018se15.iso /media/cdrom
sudo apt-cdrom -m add
на вопрос об имени диска ввести "02032018SE15"

Внимание

На время установки обновления необходимо снять запрет на установку SUID бита в политиках безопасности.

sudo apt-get update
sudo apt-get dist-upgrade
после выполнения указанных команд будет выполнено обновление операционной системы.

Внимание!

В случае, если на компьютере установлена СУБД PostgreSQL из состава операционной системы, после обновления необходимо выполнить:

sudo chmod +x /usr/share/postgresql-common/pg_ctlcluster
sudo apt-get -f install


Внимание!

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями.


1. Apr

CVE-2017-12613, CVE-2017-12618

2. Db

CVE-2017-10140

3. Curl

CVE-2017-8817, CVE-2017-1000257

4. Eglibc

CVE-2016-3706, CVE-2018-1000001

5. Erlang

CVE-2017-1000385

6. Evince

CVE-2017-1000159

7. Exiv2

CVE-2017-11591, CVE-2017-11683, CVE-2017-14859

8. Firefox_esr

CVE-2017-7828, CVE-2017-7826, CVE-2017-7830, CVE-2017-7843

9. Gdk-pixbuf

CVE-2017-1000422

10. GraphicsMagick

CVE-2017-17498, CVE-2017-17500, CVE-2017-17501, CVE-2017-17502, CVE-2017-17503, CVE-2017-17782, CVE-2017-17912, CVE-2017-17915

CVE-2017-13134, CVE-2017-16547, CVE-2017-16669, CVE-2017-16352, CVE-2017-16353, CVE-2017-15930, CVE-2017-13737, CVE-2017-15277

CVE-2017-14103, CVE-2017-14314, CVE-2017-14504, CVE-2017-14733, CVE-2017-14994, CVE-2017-14997

11. Icu

CVE-2017-14952

12. Imagemagick

CVE-2017-1000445, CVE-2017-1000476

CVE-2017-17914, CVE-2017-17879, CVE-2017-17682, CVE-2017-17504, CVE-2017-13768, CVE-2017-13769, CVE-2017-14060, CVE-2017-14172

CVE-2017-14173, CVE-2017-14174, CVE-2017-14175, CVE-2017-14224, CVE-2017-14249, CVE-2017-14341, CVE-2017-14400, CVE-2017-14505

CVE-2017-14607, CVE-2017-14682, CVE-2017-14739, CVE-2017-14741, CVE-2017-14989, CVE-2017-15016, CVE-2017-15017, CVE-2017-15277

CVE-2017-15281, CVE-2017-12691, CVE-2017-12692, CVE-2017-12693, CVE-2017-12875, CVE-2017-13758

13. Libwpd

CVE-2017-14226

14. Libxcursor

CVE-2017-16612

15. Libxfont

CVE-2017-13720, CVE-2017-13722

16. Libxi

CVE-2016-7945, CVE-2016-7946

17. Libxml2

CVE-2017-5130, CVE-2017-15412, CVE-2017-16931, CVE-2017-16932

18. Linux

CVE-2017-5715, CVE-2017-5754, CVE-2018-1000026

19. Linux-astra-modules

ASTRA-LAM-2017-01, ASTRA-LAM-2017-02, ASTRA-LAM-2017-03

20. Linux-firmware

CVE-2017-13081

21. Linx-cur

CVE-2017-1000211

22. mercurial

CVE-2017-17458

23. NSS

CVE-2016-7056, CVE-2016-8610, CVE-2017-3731, CVE-2017-7805

24. Openssl

CVE-2017-3735

25. Parsec

ASTRA-PRSC-2017-04, ASTRA-PRSC-2017-05, ASTRA-PRSC-2017-06

26. PostgreSQL

CVE-2017-12172, CVE-2017-15098, CVE-2017-7484, CVE-2017-7485, CVE-2017-7486, CVE-2017-7547, CVE-2017-7546, CVE-2017-7548

27. Procmail

CVE-2017-16844

28. Python

CVE-2017-1000158

29. Rsync

CVE-2017-16548, CVE-2017-17433, CVE-2017-17434

30. Ruby

CVE-2017-17405, CVE-2017-17790

31. Sdl-image

CVE-2017-2887

32. Sensible-utils

CVE-2017-17512

33. Thunderbird

CVE-2017-7826, CVE-2017-7828, CVE-2017-7830

CVE-2017-7793, CVE-2017-7805, CVE-2017-7810, CVE-2017-7814, CVE-2017-7818, CVE-2017-7819, CVE-2017-7823, CVE-2017-7824

CVE-2017-7753, CVE-2017-7779, CVE-2017-7784, CVE-2017-7785, CVE-2017-7786, CVE-2017-7787, CVE-2017-7791, CVE-2017-7792, CVE-2017-7800, CVE-2017-7801, CVE-2017-7802, CVE-2017-7803, CVE-2017-7807, CVE-2017-7809

CVE-2017-5470, CVE-2017-5472, CVE-2017-7749, CVE-2017-7750, CVE-2017-7751, CVE-2017-7752, CVE-2017-7754, CVE-2017-7756, CVE-2017-7757, CVE-2017-7758, CVE-2017-7764, CVE-2017-7771, CVE-2017-7772, CVE-2017-7773, CVE-2017-7774, CVE-2017-7775, CVE-2017-7776, CVE-2017-7777, CVE-2017-7778

CVE-2016-10195, CVE-2016-10196, CVE-2016-10197, CVE-2017-5429, CVE-2017-5430, CVE-2017-5432, CVE-2017-5433, CVE-2017-5434, CVE-2017-5435, CVE-2017-5436, CVE-2017-5437, CVE-2017-5438, CVE-2017-5439, CVE-2017-5440, CVE-2017-5441, CVE-2017-5442, CVE-2017-5443, CVE-2017-5444, CVE-2017-5445, CVE-2017-5446, CVE-2017-5447, CVE-2017-5449, CVE-2017-5451, CVE-2017-5454, CVE-2017-5459, CVE-2017-5460, CVE-2017-5461, CVE-2017-5462, CVE-2017-5464, CVE-2017-5465, CVE-2017-5466, CVE-2017-5467 CVE-2017-5469

34. Wget

CVE-2017-13090, CVE-2017-13089

35. Xen

CVE-2017-17044, CVE-2017-17045, CVE-2017-17566, CVE-2017-17563, CVE-2017-17564, CVE-2017-17565, CVE-2017-15589, CVE-2017-15595 ,CVE-2017-15588

CVE-2017-15593 ,CVE-2017-15592 ,CVE-2017-10912 , CVE-2017-10913, CVE-2017-10914 ,CVE-2017-10915 ,CVE-2017-10918

CVE-2017-10920, CVE-2017-10921, CVE-2017-10922 , CVE-2017-12135 ,CVE-2017-12137 ,CVE-2017-12855, CVE-2017-14316

CVE-2017-14318 ,CVE-2017-14317 ,CVE-2017-14319 

36. Xrdp

CVE-2017-16927

37. C-ares

CVE-2017-1000381


БЮЛЛЕТЕНЬ № 27102017SE15

Кумулятивное оперативное обновление (содержит в себе обновление №29032017SE15 и №16092016SE15) для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5). Необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже. 

1. Загрузить образ диска с обновлениями по ссылке 

Скачать

2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:

gostsum -d /mnt/27102017se15.iso
Контрольная сумма:

c079dff8ed74e1dc0f2c91dd5ad73db4fee2c0af1b7a741f530a679e9e6b07d7

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск 
операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5)

3. выполнить команды:

sudo mount /mnt/27102017se15.iso /media/cdrom
sudo apt-cdrom -m add
на вопрос об имени диска ввести "27102017SE15"

Внимание

На время установки обновления необходимо снять запрет на установку SUID бита в политиках безопасности.

sudo apt-get update
sudo apt-get dist-upgrade
после выполнения указанных команд будет выполнено обновление операционной системы.

Внимание!

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями.

1. Apache

CVE-2017-3167

CVE-2017-3169

CVE-2017-7668

CVE-2017-7669

CVE-2017-9798

CVE-2017-9788

2. Augeas

CVE-2017-7555

3. Bind9

CVE-2017-3143

4. Bluez

CVE-2017-1000250

5. c-ares

CVE-2016-0729

6. Curl

CVE-2017-1000254

CVE-2017-1000100

7. Cvs

CVE-2017-12836

8. Dnsmasq

CVE-2017-14494

9. expat

CVE-2017-9233

10. Evince

CVE-2017-1000083

11. Faad2

CVE-2017-9257

12. Firefox

CVE-2017-7793, ...

13. Fontforge

CVE-2017-11568, ...

14. Freexl

CVE-2017-2924, CVE-2017-2923

15. fly-wm

Уязвимость fly-wm, приводящая к аварийному завершению приложения.

16. Gdk-pixbuf

CVE-2017-2862

17. Ghostscript

CVE-2017-11714

18. git

CVE-2017-8386

CVE-2017-1000117

19. gtk

CVE-2013-7447

20. GraphicsMagick

CVE-2017-13777

21. Graphlite2

CVE-2017-13777

22. Heimdal

CVE-2017-11103

23. imagemagick

CVE-2017-9261

CVE-2017-9262

CVE-2017-9405

CVE-2017-9407

CVE-2017-9409

CVE-2017-9439, CVE-2017-9500, CVE-2017-9501

CVE-2017-13658

24. imlib2

CVE-2011-5326

CVE-2016-3993

CVE-2016-3994

CVE-2016-4024

25. libarchive

CVE-2016-7166

26. libffi

CVE-2017-1000376

27. Libflycore

Уязвимость в libflycore до версии 2.2.14, позволяющая злоумышленнику вызвать отказ в обслуживании.

28. libgcrypt11

CVE-2017-7526

29. libgd2

CVE-2017-7890

30. libgxps

CVE-2017-11590

31. Libidn

CVE-2017-14062

32. Libmtp

CVE-2017-9832

33. libmwaw

CVE-2017-9433

34. libsndfile

CVE-2017-6892

CVE-2017-12562

35. libtasn1

CVE-2017-10790

36. Libxml2

CVE-2017-7376

CVE-2017-9049, CVE-2017-9050

37. Linux

CVE-2017-7533

CVE-2017-1000380

38. linux-astra-modules

Уязвимость в linux-astra-modules, позволяющая локальному пользователю нарушить целостность данных.

39. memcached

CVE-2017-9951

40. mercurial

CVE-2017-9462

CVE-2017-1000116

41. openexr

CVE-2017-9116

42. openvpn

CVE-2017-7520

43. p7zip

CVE-2016-2335

44. parsec

Уязвимость модуля безопасности parsec, позволяющая вызвать отказ в обслуживании.

45. Perl

CVE-2017-6512

46. PHP

CVE-2017-11147

47. Qemu

CVE-2017-15038

48. rubygems

CVE-2017-0901

49. sane-backends

CVE-2017-6318

50. spice

CVE-2017-7506

51. sqlite3

CVE-2017-10989

52. Subversion

CVE-2017-9800

53. thunderbird

CVE-2016-1935

54. tiff

CVE-2017-10688

55. unzip

cve-2014-9913, cve-2016-9844

56. vim

CVE-2017-11109

57. vorbis

CVE-2015-6749

58. wpa

CVE-2017-13077,

Множественные уязвимости в wpa, позволяющие удаленному нарушителю получить доступ к зашифрованной конфиденциальной информации.

59. yodl

CVE-2016-10375

БЮЛЛЕТЕНЬ № 01062017SE15

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (версия 1.5) в информационных системах. 

Методика безопасности, нейтрализующая уязвимость CVE-2017-7494

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета samba. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН добавить строку: 

/etc/samba/smb.conf
nt pipe support = no

в секцию [global] конфигурационного файла /etc/samba/smb.conf

БЮЛЛЕТЕНЬ № 29032017SE15

Кумулятивное оперативное обновление (содержит в себе обновление № 16092016SE15) для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5). Необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже.
1. Загрузить образ диска с обновлениями по ссылке
Скачать
2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:

gostsum -d /mnt/29032017se15.iso
Контрольная сумма:

093cd34500d1070cd9ef6d9367e230d45b82d890e89237aeaa8fcc1d1acd395c

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5)

Контрольная сумма iso-образа оперативного обновления № 29032017se15, рассчитанная с использованием Программы фиксации и контроля исходного состояния программного комплекса «ФИКС-UNIX 1.0» 643.53132931.501492-01 (далее по тексту — программа «ФИКС-UNIX 1.0») по алгоритму «Уровень-3», должна соответствовать значению:

C74BE35C

Подсчет контрольной суммы iso-образа оперативного обновления № 29032017se15 с использованием программы «ФИКС-UNIX 1.0» по алгоритму «Уровень-3» должен осуществляться пользователем с правами администратора на рабочей станции, под управлением ОС СН «Astra Linux Special Edition» РУСБ.10015-01, в следующей

последовательности:

Поместить загруженный iso-образ в каталог /mnt на обновляемой системе; 

Выполнить в командной строке:

sudo mount /mnt/29032017se15.iso /media/cdrom
Перейти в директорию, содержащую исполняемый модуль программы «ФИКС-UNIX 1.0» (ufix), и выполнить следующие команды:

./ufix -jR /media/cdrom > /tmp/29032017se15.txt

./ufix -e /tmp/29032017se15.txt /tmp/29032017se15.prj

./ufix -h /tmp/29032017se15.prj /tmp/29032017se15_Report.html

Выполнить в командной строке:

firefox /tmp/29032017se15_Report.html

Сравнить значение контрольной суммы в строке «ВСЕГО», выданное на экран, со значением, указанным выше

3. выполнить команды:

sudo mount /mnt/29032017se15.iso /media/cdrom
sudo apt-cdrom -m add

на вопрос об имени диска ввести "29032017se15"

sudo apt-get update
sudo apt-get dist-upgrade
после выполнения указанных команд будет выполнено обновление операционной системы.

Внимание!

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями.

Примечание

После установки обновления, если запущен контроллер домена, необходимо выполнить команду:
ald-init restart
для контроллера домена, и:
ald-client restart
для клиента домена.

1. Kernel
CVE-2017-2636, CVE-2017-7184, CVE-2016-10229
2. Apache
CVE-2016-5387
3. Bash
CVE-2016-7543
4. Bind9
CVE-2016-1285
CVE-2016-1286
CVE-2016-2775
CVE-2016-2776
CVE-2016-2848
CVE-2016-8864
CVE-2016-9131, CVE-2016-9147, CVE-2016-9444
5. Binutils
CVE-2016-2226
6. Firebird2.5
Ошибка из-за отсутствия проверки длинны имени файла
7. Firefox
CVE-2016-9080, CVE-2016-9893, CVE-2016-9894, CVE-2016-9895, CVE-2016-9896,
CVE-2016-9897, CVE-2016-9898, CVE-2016-9899, CVE-2016-9900, CVE-2016-9901,
CVE-2016-9902, CVE-2016-9903, CVE-2016-9904
8. Ghostscript
CVE-2016-8602
CVE-2013-5653
CVE-2016-7976
CVE-2016-7977
CVE-2016-7978
CVE-2016-7979
9. GraphicsMagick
CVE-2016-7448
CVE-2016-7996
CVE-2016-7997
CVE-2016-8682
CVE-2016-8683
CVE-2016-8684
CVE-2016-7446
CVE-2016-7447
CVE-2016-7449
CVE-2016-7800
CVE-2016-5240
CVE-2016-5241
CVE-2016-5118
10. Gstreamer
10.1.CVE-2016-9634, CVE-2016-9635
10.2.CVE-2016-9811
11. Iproute
 Аварийное завершение утилиты из-за некорректной обработки входных параметров
12. Krb5
 Ошибка передачи контекста безопасности
13. Librsvg
 CVE-2015-7558, CVE-2016-4347, CVE-2016-4348
CVE-2015-7557
14. Libxml2
 CVE-2016-1762, CVE-2016-1833, CVE-2016-1834, CVE-2016-1835, CVE-2016-1836,
CVE-2016-1837, CVE-2016-1838, CVE-2016-1839, CVE-2016-1840, CVE-2016-2073,
CVE-2016-3627, CVE-2016-3705, CVE-2016-4447, CVE-2016-4449, CVE-2016-4483,
CVE-2015-8806
CVE-2016-4658
CVE-2016-5131
15. Ntfs-3g
 CVE-2017-0358
CVE-2015-3202
16. Ntp
 CVE-2015-7974
CVE-2015-7977, CVE-2015-7978
CVE-2015-7979
CVE-2015-8138
CVE-2015-8158
CVE-2016-1548
CVE-2016-1550
CVE-2016-2516
CVE-2016-2518
17. Openssh
 CVE-2016-6515
CVE-2015-8325
18. Openssl
 CVE-2016-2177
CVE-2016-2178
CVE-2016-2179
CVE-2016-2180
CVE-2016-2181
CVE-2016-2183
CVE-2016-6302
CVE-2016-6303
CVE-2016-6304
CVE-2016-6306
19. Perl
 CVE-2016-1238
20. PHP
 CVE-2016-2554
CVE-2016-4473, CVE-2016-4538, CVE-2016-5114, CVE-2016-5399, CVE-2016-5768,
CVE-2016-5769, CVE-2016-5770, CVE-2016-5771, CVE-2016-5772, CVE-2016-5773,
CVE-2016-6289, CVE-2016-6290, CVE-2016-6291, CVE-2016-6292, CVE-2016-6294,
CVE-2016-6295, CVE-2016-6296, CVE-2016-6297
CVE-2016-7411
CVE-2015-8865, CVE-2015-8866, CVE-2015-8878, CVE-2015-8879, CVE-2016-4070,
CVE-2016-4071, CVE-2016-4072, CVE-2016-4073, CVE-2016-4343, CVE-2016-4537,
CVE-2016-4539, CVE-2016-4540, CVE-2016-4541, CVE-2016-4542, CVE-2016-4543,
CVE-2016-4544
CVE-2016-9934
CVE-2016-9935
CVE-2016-10158
CVE-2016-10159
CVE-2016-10160
CVE-2016-10161
21. Postgresql
 Ошибка обработки входных данных, позволяющая вызвать аварийное завершение утилиты или получить доступ к конфиденциальной информации
22. Postgresql-common
 Ошибка, позволяющая вызвать аварийное завершение утилиты из-за некорректной обработки входных параметров
23. Speech-tools
 Ошибка, связанная с отсутствием проверки имени файла, указанного в качестве параметра, и его длинны
24. Squid
 CVE-2016-4554
25. Subversion
 CVE-2016-2167
CVE-2016-2168
26. Sudo
 CVE-2016-7032, CVE-2016-7076
27. Textlive-bin
 Ошибка, связанная с отсутствием проверки имени и файла, указанного в качестве параметра
28. Boost1.49
 CVE-2012-2677
29. C-ares
 CVE-2016-5180
30. Cracklib2
 CVE-2016-6318
31. Curl
 CVE-2016-9586
CVE-2016-8615, CVE-2016-8616, CVE-2016-8617, CVE-2016-8618, CVE-2016-8619,
CVE-2016-8620, CVE-2016-8621, CVE-2016-8622, CVE-2016-8623, CVE-2016-8624
CVE-2016-7167
CVE-2016-7141
CVE-2016-5419
CVE-2016-5420
32. Dpkg
 CVE-2015-0860
33. Expat
 CVE-2012-6702, CVE-2016-5300
CVE-2015-1283
CVE-2016-0719
34. File
 CVE-2015-8865
35. Fly-wm
 Аварийное завершение сессии пользователя из-за некорректной обработки закрытия иерархии окон типа: главное окно, транзиентное окно, транзиентное окно
36. Gdk-pixbuf
 CVE-2015-7552
CVE-2015-7674
37. Giflib
 CVE-2015-7555
38. Gimp
 CVE-2016-4994
39. Git
 CVE-2016-2324, CVE-2016-2315
40. GTK+3.0
 CVE-2013-7447
41. Hdf5
 CVE-2016-4330, CVE-2016-4331, CVE-2016-4332, CVE-2016-4333
42. Hesiod
 CVE-2016-10151
CVE-2016-10152
43. Icu
 CVE-2014-9911
CVE-2016-6293
CVE-2016-7415
44. Jansson
 CVE-2016-6293
45. Jasper
 CVE-2016-8654, CVE-2016-8691, CVE-2016-8692, CVE-2016-8693, CVE-2016-8882,
CVE-2016-8883, CVE-2016-8887, CVE-2016-9560
CVE-2016-1577
CVE-2016-2089
CVE-2016-2116
46. Kcoreaddons
 CVE-2016-7966
47. Lcms2
 CVE-2016-10165
48. Libass
 CVE-2016-7972
CVE-2016-7969
49. Libcrypto++
 CVE-2016-9939
CVE-2016-3995
50. Libebml
 CVE-2015-8789
CVE-2015-8790, CVE-2015-8791
51. Libevent
 CVE-2016-10197
CVE-2016-10195
52. Libflycore
 Аварийное завершение программы из-за возможного переполнения буфера
53. Libgc
 CVE-2016-9427
54. Libgcrypt
 CVE-2016-6313
CVE-2015-7511
55. Libgd2
 CVE-2016-6906, CVE-2016-6912, CVE-2016-9317, CVE-2016-10166, CVE-2016-10167, CVE-2016-10168
56. Libgsf
 CVE-2016-9888
57. Libidn
 CVE-2016-6263
CVE-2016-6261
CVE-2016-8948
CVE-2015-2059
58. Libmatroska
 CVE-2015-8792
59. Libotr
 CVE-2016-2851
60. Libplist
 CVE-2017-5209
CVE-2017-5545
61. Libtasn
 CVE-2016-4008
62. Libupnp
 CVE-2016-8863
CVE-2016-6255
63. Libvirt
 CVE-2016-5008
64. Libvncserver
 CVE-2016-9941, CVE-2016-9942
65. Libwmf
 CVE-2016-9011
66. Libx11
 CVE-2016-7942, CVE-2016-7943
67. Libxfixes
 CVE-2016-7944
68. Libxpm
 CVE-2016-4658
69. LibXrand
 CVE-2016-7947
CVE-2016-7948
70. Libxrender
 CVE-2016-7949, CVE-2016-7950
71. Libxslt
 CVE-2016-4738
72. Libxtst
 CVE-2016-7951
CVE-2016-7952
73. Libxvl
 CVE-2016-5407
74. Libxvmc
 CVE-2016-7953
75. Memcached
 CVE-2013-7291
76. Memcached
 CVE-2016-8704, CVE-2016-8705, CVE-2016-8706
77. Mercurial
 CVE-2016-3105
CVE-2016-3630, CVE-2016-3068, CVE-2016-3069
78. nettle
 CVE-2016-6489
79. nspr
 CVE-2016-1951
80. nss
 CVE-2016-9074
81. Ocaml
 CVE-2015-8869
82. pcsc-lite
 CVE-2016-10109
83. pykerberos
 CVE-2015-3206
84. python-cripto
 CVE-2013-7459
85. python-django
 CVE-2016-9014
CVE-2016-7401
CVE-2016-2512
CVE-2016-2513
86. python-imaging
 CVE-2016-9189
CVE-2016-9190
CVE-2016-0775, CVE-2016-2533
87. python-tornado
 CVE-2014-9720
88. Python2.7
 CVE-2016-0772
CVE-2016-5636
CVE-2016-5699
89. Qemu
 CVE-2016-9921, CVE-2016-9922
90. samba
 CVE-2016-2111
91. spice
 CVE-2016-0749
CVE-2016-2150
92. sqlite3
 CVE-2016-6153
93. squid3
 CVE-2016-10002
94. systemd
 CVE-2016-7796
95. shadow
 CVE-2017-2616
96. texlive
 CVE-2016-10243
97. tre
 CVE-2016-8859
98. vim
 CVE-2016-1248
CVE-2017-5953
99. wget
 CVE-2016-4971
CVE-2017-6508
100. wpa
 CVE-2015-5315
101. xen
 CVE-2016-10024
CVE-2016-10013
102. xerces-c
 CVE-2016-2099
CVE-2016-0729

БЮЛЛЕТЕНЬ № 16092016SE15

Для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5) в информационных системах необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже.
1. Загрузить образ диска с обновлениями по ссылке: Скачать
2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:

gostsum -d /mnt/essential_and_additional_bin.iso
Контрольная сумма: 

0fd8405aad2a729f5daac2c980109cdad3f78a4365eb2876416e0af70663c3d7

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5)
3. выполнить команды:

sudo mount /mnt/essential_and_additional_bin.iso /media/cdrom
sudo apt-cdrom -m add
на вопрос об имени диска ввести "Astra Linux Security Updates"
sudo apt-get update
sudo apt-get dist-upgrade
после выполнения указанных команд будет выполнено обновление операционной системы.

Внимание!

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-incheck необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями.

В случае, если по каким-то причинам провести обновление программных пакетов указанным выше способом невозможно, выполните методические указания приведенные ниже:

Идентификаторы уязвимостей соответствуют указанным в банке данных угроз безопасности информации ФСТЭК России

1. Методика безопасности, нейтрализующая уязвимость BDU:2016-01146

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета imagemagick, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в конфигурационный файл /etc/ImageMagick/policy.xml в раздел <policymap> добавить строки:

<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
<policy domain="coder" rights="none" pattern="FTP" />
<policy domain="coder" rights="none" pattern="HTTP" />

2. Методика безопасности, нейтрализующая уязвимость BDU:2016-01573

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета libgraphicsmagick3, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в конфигурационном файле /usr/lib/GraphicsMagick-1.3.16/config/delegates.mgk удалить строку:

<delegate decode="gplt" command='"echo" "set size 1.25,0.62; set terminal postscript portrait color solid; set outp ut \"%o\"; load \"%i\"" > "%u"; "gnuplot" "%u"' />

3. Методика безопасности, нейтрализующая уязвимость BDU:2019-02264

Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения у пользователей на запуск программы сбора сетевой статистики lnstat. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск данной программы, выполнив в терминале команду:

chmod 750 /usr/bin/lnstat

4. Методика безопасности, нейтрализующая уязвимость BDU:2019-02265

Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения у пользователей на запуск программы сбора сетевой статистики lnstat. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск данной программы, выполнив в терминале команду:

chmod 750 /usr/bin/lnstat

5. Методика безопасности, нейтрализующая уязвимость BDU:2019-02266

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета gpsd-clients, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы gpxlogger, выполнив в терминале команду:

chmod 750 /usr/bin/gpxlogger

6. Методика безопасности, нейтрализующая уязвимость BDU:2019-02267

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета speech-tools, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы wfst_run, выполнив в терминале команду:

chmod 750 /usr/bin/wfst_run

7. Методика безопасности, нейтрализующая уязвимость BDU:2019-02268

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета texlive-binaries, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы mendex, выполнив в терминале команду:

chmod 750 /usr/bin/mendex

8. Методика безопасности, нейтрализующая уязвимость BDU:2019-02269

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета firebird2.5-classic-common, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы gdef, выполнив в терминале команду:

chmod 750 /usr/bin/gdef

9. Методика безопасности, нейтрализующая уязвимость BDU:2019-02270

Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/wireless/libertas/libertas_cs.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду:

echo blacklist libertas_cs > /etc/modprobe.d/blacklist_libertas_cs.conf

update-initramfs -u -k all

10. Методика безопасности, нейтрализующая уязвимость BDU:2019-02271

Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/usb/kalmia.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду:

echo blacklist kalmia > /etc/modprobe.d/blacklist_kalmia.conf

update-initramfs -u -k all

11. Методика безопасности, нейтрализующая уязвимость BDU:2019-02272

Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/usb/smsc75xx.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду:

echo blacklist smsc75xx > /etc/modprobe.d/blacklist_smsc75xx.conf

update-initramfs -u -k all


Информируем всех потребителей, что в командном интерпретаторе bash обнаружены уязвимости, с использованием которых потенциально возможно нарушение установленных правил разграничения доступа.

  • Нет меток