Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) в информационных системах.
Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.
Обновленные пакеты, в которых устранена угроза эксплуатации уязвимостей, включены в состав оперативного обновления 8 (БЮЛЛЕТЕНЬ № 20210730SE16).
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей linux и systemd
Внимание
При применении даной методики:
- Блокируются уязвимые режимы:
- работа docker в непривилегированном режиме (rootless);
- работа lxc с непривилегированными контейнерами lxc;
- аналогичные режимы другого ПО, требующие поддержки режима пользовательских пространств идентификаторов (user namespaces)";
- Блокируется работа непривилегированных пользователей с сетью в режиме BPF.
Для нейтрализации угрозы эксплуатации уязвимостей CVE-2021-33909 (пакет linux) и CVE-2021-33910 (системная служба systemd):
Добавить в файл /etc/sysctl.d/999-astra.conf строчки:
kernel.unprivileged_userns_clone = 0 kernel.unprivileged_bpf_disabled = 1
Это можно делать командами:
echo "kernel.unprivileged_userns_clone = 0" | sudo tee -a /etc/sysctl.d/999-astra.conf
echo "kernel.unprivileged_bpf_disabled = 1" | sudo tee -a /etc/sysctl.d/999-astra.confПерезагрузить параметры ядра:
sudo sysctl --system
Список нейтрализованных угроз безопасности
- linux
CVE-2021-33909
- systemd
CVE-2021-33910