Содержание

Skip to end of metadata
Go to start of metadata

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)  в информационных системах.

Содержание



Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

Внимание

При включенном защитном механизме «Мандатный контроль целостности» применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.

На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности.

Общая методика безопасности, нейтрализующая угрозу эксплуатации ряда уязвимостей


Oops, it seems that you need to place a table or a macro generating a table within the Table Filter macro.

The table is being loaded. Please wait for a bit ...

Название пакетаУгрозы

apache2

CVE-2021-26691

binutils

CVE-2017-13716

binutilsCVE-2018-12699
binutilsCVE-2021-3487
chromiumCVE-2021-30547
firefox CVE-2021-23956
firefox CVE-2021-23962
firefox CVE-2021-23965
firefox CVE-2021-29947
firefox CVE-2021-23964
firefox CVE-2021-23998
firefox CVE-2021-29976
firefox CVE-2021-23958
firefox CVE-2021-23997
firefox CVE-2021-29952
firefox CVE-2021-23954
firefox CVE-2021-23960
firefox CVE-2021-23961
firefox CVE-2021-23994
firefox CVE-2021-23995
firefox CVE-2021-29970
firefoxCVE-2021-30547

imagemagick

CVE-2021-20244

imagemagickCVE-2021-20245
imagemagickCVE-2021-20246
imagemagickCVE-2021-20309
imagemagickCVE-2021-20311
imagemagickCVE-2021-20312

libtasn1-6

CVE-2018-1000654

libx11

CVE-2006-4447

xdmCVE-2006-4447
xorg-serverCVE-2006-4447
xtermCVE-2006-4447

xtrans

CVE-2006-4447

libxml2

CVE-2021-3517

snmptt

CVE-2020-24361

squid

CVE-2021-28662

sysstat

CVE-2019-19725

thunderbird CVE-2021-23964
thunderbird CVE-2021-23998
thunderbird CVE-2021-29976
thunderbird CVE-2021-23954
thunderbird CVE-2021-23960
thunderbirdCVE-2021-23961
thunderbird CVE-2021-23994
thunderbird CVE-2021-23995
thunderbird CVE-2021-29970
thunderbirdCVE-2021-30547

glibc

CVE-2021-33574

glibcCVE-2019-1010022

exim

CVE-2020-28009

eximCVE-2020-28010
eximCVE-2020-28011
eximCVE-2020-28013
eximCVE-2020-28017
eximCVE-2020-28018
eximCVE-2020-28021
eximCVE-2020-28022
eximCVE-2020-28024
eximCVE-2020-28026

Для нейтрализации угрозы эксплуатации уязвимостей пакетов, перечисленных в таблице выше, необходимо соблюдать следующие рекомендации:

  • Запускать программное обеспечение (ПО) в изолированной программной среде с применением инструмента Firejail;

    Изоляция приложений с использованием инструмента Firejail описана в документе РУСБ.10152-02 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».

  • По возможности запускать прикладное ПО в отдельной сессии. Для этого в графическом интерфейсе выбрать Пуск — Завершение работы — Новый вход.  После чего выбрать тип сессии: Отдельный или В окне (см. рис. ниже);

  • Для непривилегированных пользователей активировать блокировку интерпретаторов, в том числе, если возможно —  интерпретатора bash;

    Блокировка интерпретатора bash может ограничить функционал некоторых программ и служб, не очевидным образом использующих bash, что приведет к нарушению штатной работы ОС.

    После блокировки интерпретатора bash консольный вход пользователей с оболочкой bash будет невозможен.

    В графической утилите «Управление политикой безопасности»

    Блокировку интерпретаторов можно включить используя графическую утилиту fly-admin-smc. Для этого:

    • через графический интерфейс запустить утилиту (необходимы права администратора): Пуск — Панель управления — Безопасность — Политика безопасности;
    • на боковой панели навигации выбрать пункт Настройки безопасности — Политика консоли и интерпретаторов и на рабочей панели установить следующие флаги:
      • Включить блокировку интерпретатора Bash для пользователей;
      • Включить блокировку интерпретаторов кроме Bash для пользователей;
    • применить изменения — нажать комбинацию клавиш <Ctrl+S>.
    Без использования графического интерфейса

    Для блокировки интерпретаторов (кроме интерпретатора bash) необходимо выполнить в терминале команду:

    sudo astra-interpreters-lock enable

    Для того чтобы проверить состояние блокировки интерпретаторов, необходимо в терминале выполнить команду:

    sudo astra-interpreters-lock status

    Если блокировка включена, то результатом выполнения команды будет вывод сообщения:

    АКТИВНО

    Для блокировки интерпретатора bash необходимо выполнить в терминале команду:

    sudo astra-bash-lock enable

    Для того чтобы проверить состояние блокировки интерпретатора bash, необходимо в терминале выполнить команду:

    sudo astra-bash-lock status

    Если блокировка включена, то результатом выполнения команды будет вывод сообщения:

    АКТИВНО
  • Для уровней защищенности «Усиленный» и «Максимальный» включить (если были ранее выключены) следующие функции подсистемы безопасности:
    • Мандатный контроль целостности (МКЦ);
    • Замкнутая программная среда (ЗПС);
    В графической утилите «Управление политикой безопасности»

    Функции подсистемы безопасности можно включить используя графическую утилиту fly-admin-smc. Для этого:

    • через графический интерфейс запустить утилиту (необходимы права  суперпользователя с высоким уровнем целостности): Пуск — Панель управления — Безопасность — Политика безопасности;
    • на боковой панели навигации выбрать пункт Мандатный контроль целостности и на рабочей панели установить флаг Подсистема Мандатного Контроля Целостности;
    • на боковой панели навигации выбрать пункт Замкнутая программная среда и во вкладке Настройки на переключателе Контроль исполняемых файлов выбрать значение Включить;
    • применить изменения — нажать комбинацию клавиш <Ctrl+S>.

    После включения МКЦ и ЗПС необходимо перезагрузить ОС.

    Без использования графического интерфейса

    Для включения функции подсистемы безопасности МКЦ необходимо выполнить в терминале команду:

    sudo astra-mic-control enable

    После включения МКЦ необходимо перезагрузить ОС.

    Для того чтобы проверить состояние функции подсистемы безопасности МКЦ, необходимо в терминале выполнить команду:

    sudo astra-mic-control status

    Если функция подсистемы безопасности МКЦ включена, то результатом выполнения команды будет вывод сообщения:

    АКТИВНО

    Для включения функции подсистемы безопасности ЗПС необходимо выполнить в терминале команду:

    sudo astra-digsig-control enable

    После включения ЗПС необходимо перезагрузить ОС.

    Для того чтобы проверить состояние функции подсистемы безопасности ЗПС, необходимо в терминале выполнить команду:

    sudo astra-digsig-control status

    Если функция подсистемы безопасности ЗПС включена, то результатом выполнения команды будет вывод сообщения:

    АКТИВНО
  • Для уровней защищенности «Усиленный» и «Максимальный» — запускать прикладное ПО только в сессиях с низким или промежуточным (отличном от максимального) уровнем целостности (предварительно должен быть включен МКЦ):
    • при графическом входе в систему указать уровень целостности в диалоговом окне, которое появляется после успешного ввода аутентификационных параметров;

    • при консольном входе в систему дополнительных действий не требуется;
  • Для уровней защищенности «Усиленный» и «Максимальный» активировать режим запуска программных сервисов apache2 и exim4 на первом уровне целостности (предварительно должен быть включен МКЦ). Для этого необходимо выполнить в терминале команду:

    sudo astra-ilev1-control enable

    Для того чтобы проверить состояние режима запуска сервисов apache2 и exim4, необходимо в терминале выполнить команду:

    sudo astra-ilev1-control status

    Если режим запуска сервисов apache2 и exim на первом уровне целостности активирован, то результатом выполнения команды будет вывод сообщения:

    АКТИВНО

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения avahi

Список нейтрализованных угроз безопасности:

  • CVE-2017-6519.

Для нейтрализации угрозы эксплуатации уязвимостей необходимо с помощью межсетевого экрана отключить возможность выхода ПО avahi вне локальной сети (заблокировать UDP порт 5353). Для этого:

С помощью iptables

добавить правило, выполнив в терминале команду, например такого вида:

sudo iptables -A INPUT -p udp --dport 5353 -j DROP

После добавления правила необходимо удостоверится в том, что изменения будут сохранены после перезагрузки ОС. Подробнее — см. Сохранение и восстановление правил iptables.

С помощью межсетевого экрана ufw

добавить правило, выполнив в терминале следующую команду:

sudo ufw deny 5353/udp

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения firefox

Список нейтрализованных угроз безопасности:

  • CVE-2021-23954;
  • CVE-2021-23958;
  • CVE-2021-23960;
  • CVE-2021-23994;
  • CVE-2021-23995;
  • CVE-2021-23997;
  • CVE-2021-29952;
  • CVE-2021-29970;
  • CVE-2021-30547.

В процессе эксплуатации ОС вместо ПО firefox рекомендуется использовать ПО chromium.

Для нейтрализации угрозы эксплуатации уязвимостей необходимо следовать общим рекомендациям, представленным выше (см. Общая методика безопасности, нейтрализующая угрозу эксплуатации ряда уязвимостей ).

Кроме того, необходимо выполнить следующие дополнительные действия:

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23958

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент WebRTC (если он включен), для этого:

  • запустите браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
  • в адресную строку введите "about:config" и нажмите клавишу <Enter>;
  • на открывшейся странице с предупреждением нажмите на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
  • на открывшейся странице Расширенные настройки в поле поиска введите следующее наименование параметра: "media.peerconnection.enabled";
  • в появившейся строке с параметром установите значение false, нажав на кнопку [Переключить] (см. рисунок ниже);

  • перезапустите веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23954 и CVE-2021-23960

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент JavaScript (если он включен), для этого:

  • запустите браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
  • в адресную строку введите "about:config" и нажмите клавишу <Enter>;
  • на открывшейся странице с предупреждением нажмите на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
  • на открывшейся странице Расширенные настройки в поле поиска введите следующее наименование параметра: "javascript.enabled";
  • в появившейся строке с параметром установите значение false, нажав на кнопку [Переключить];
  • перезапустите веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23994

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент WebGL (если он включен), для этого:

  • запустите браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
  • в адресную строку введите "about:config" и нажмите клавишу <Enter>;
  • на открывшейся странице с предупреждением нажмите на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
  • на открывшейся странице Расширенные настройки в поле поиска введите следующее наименование параметра: "webgl.disabled";
  • в появившейся строке с параметром установите значение true, нажав на кнопку [Переключить];
  • перезапустите веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23995

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить режим адаптивного дизайна (если он активен), для этого:

  • запустите браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
  • в адресную строку введите "about:config" и нажмите клавишу <Enter>;
  • на открывшейся странице с предупреждением нажмите на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
  • на открывшейся странице Расширенные настройки в поле поиска введите следующее наименование параметра: "devtools.policy.disabled";
  • в появившейся строке с параметром установите значение true, нажав на кнопку [Переключить];
  • перезапустите веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23997

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить функцию кэширования страниц, для этого:

  1. запустите браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
  2. в адресную строку введите "about:config" и нажмите клавишу <Enter>;
  3. на открывшейся странице с предупреждением нажмите на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
  4. на открывшейся странице Расширенные настройки в поле поиска введите следующее наименование параметра: "browser.cache.offline.enable";
  5. в появившейся строке с параметром установите значение false, нажав на кнопку [Переключить];
  6. повторите шаги 4 и 5 для следующих параметров:
    • browser.cache.disk.enable;
    • browser.cache.disk_cache_ssl;
    • browser.cache.memory.enable;
  7. на странице Расширенные настройки в поле поиска введите следующее наименование параметра: "network.http.use-cache";
  8. в появившейся строке с параметром нажмите на кнопку [+], а затем установите значение false, нажав на кнопку [Переключить];
  9. перезапустите веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-29952

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент WebRender (если он включен), для этого:

  • запустите браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
  • в адресную строку введите "about:config" и нажмите клавишу <Enter>;
  • на открывшейся странице с предупреждением нажмите на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
  • на открывшейся странице Расширенные настройки в поле поиска введите следующее наименование параметра: "gfx.webrender.all";
  • в появившейся строке с параметром установите значение false, нажав на кнопку [Переключить];
  • перезапустите веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-29970

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить функцию специальные возможности (Accessibility features), для этого:

  • запустите браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
  • в адресную строку введите "about:config" и нажмите клавишу <Enter>;
  • на открывшейся странице с предупреждением нажмите на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
  • на открывшейся странице Расширенные настройки в поле поиска введите следующее наименование параметра: "accessibility.force_disabled";
  • в появившейся строке с параметром нажмите на кнопку [Изменить] и в текстовом поле введите цифру "1";
  • в строке с параметром нажмите на кнопку [Сохранить];
  • перезапустите веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-30547

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить модуль ANGLE (если он включен), для этого:

  • запустите браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
  • в адресную строку введите "about:config" и нажмите клавишу <Enter>;
  • на открывшейся странице с предупреждением нажмите на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
  • на открывшейся странице Расширенные настройки в поле поиска введите следующее наименование параметра: "webgl.disable-angle";
  • в появившейся строке с параметром установите значение true, нажав на кнопку [Переключить];
  • перезапустите веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации общих уязвимостей программного обеспечения firefox и thunderbird

Список нейтрализованных угроз безопасности:

  • CVE-2021-23961.

В процессе эксплуатации ОС вместо ПО firefox рекомендуется использовать ПО chromiun.

Для нейтрализации угрозы эксплуатации уязвимостей необходимо следовать общим рекомендациям, представленным выше (см. Общая методика безопасности, нейтрализующая угрозу эксплуатации ряда уязвимостей ).

Кроме того, для нейтрализации угрозы эксплуатации уязвимостей необходимо добавить правило блокировки следующих портов для TCP-пакетов:

  • 6566 (используется протоколом SANE);

  • 10080 (используется протоколом Amanda);
  • 69 (используется протоколом TFTP);
  • 161 (используется протоколом SNMP);
  • 1719 (используется протоколом H323 (RAS));
  • 137 (используется протоколом NetBIOS).

Для этого:

С помощью iptables

добавить правила, выполнив в терминале команды, например такого вида:

sudo iptables -A INPUT -p tcp --dport 6566 -j DROP

sudo iptables -A INPUT -p tcp --dport 10080 -j DROP

sudo iptables -A INPUT -p tcp --dport 69 -j DROP

sudo iptables -A INPUT -p tcp --dport 161 -j DROP

sudo iptables -A INPUT -p tcp --dport 1719 -j DROP

sudo iptables -A INPUT -p tcp --dport 137 -j DROP

После добавления правила необходимо удостоверится в том, что изменения будут сохранены после перезагрузки ОС. Подробнее — см. Сохранение и восстановление правил iptables.

С помощью межсетевого экрана ufw

добавить правила, выполнив в терминале следующие команды:

sudo ufw deny 6566/tcp

sudo ufw deny 10080/tcp

sudo ufw deny 69/tcp

sudo ufw deny 161/tcp

sudo ufw deny 1719/tcp

sudo ufw deny 137/tcp

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения glibc

Список нейтрализованных угроз безопасности:

  • CVE-2019-25013.

Для нейтрализации угрозы эксплуатации уязвимостей необходимо отключить (если активна) поддержку корейской кодировки EUC-KR.

Для того чтобы просмотреть установленные локали, необходимо терминале выполнить команду:

locale -a

Результатом выполнения команды будет вывод строк с поддерживаемыми кодировками. Если в ОС поддерживается корейская кодировка EUC-KR, то в терминале среди прочих отобразится строка следующего вида:

ko_KR.euckr

Для удаления локалей используется утилита localepurge. Для её установки необходимо в терминале выполнить команду:

sudo apt install localepurge

Во время установки утилиты во вкладке Файлы локалей, которые нужно оставить в системе, необходимо снять флаг ko_KR.EUC-KR (см. рисунок ниже).

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения imagemagick

Список нейтрализованных угроз безопасности:

  • CVE-2018-15607.

Для нейтрализации угрозы эксплуатации уязвимостей необходимо в конфигурационном файле /etc/ImageMagick-6/policy.xml установить следующие значения:

<policy domain="resource" name="width" value="10KP"/>
<policy domain="resource" name="height" value="10KP"/>

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей технологии iptables

Список нейтрализованных угроз безопасности:

  • CVE-2012-2663.

Для нейтрализации угрозы эксплуатации уязвимости необходимо при формировании правил iptables  соблюдать следующие рекомендации:

  • вместо критерия «--syn» использовать критерий «--tcp-flags SYN,ACK,FIN SYN»;
  • добавить правило сброса TCP-пакетов, в которых одновременно установлены флаги SYN и FIN;

    Пример команды добавления правила

    sudo iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j REJECT

    После добавления правила необходимо удостоверится в том, что изменения будут сохранены после перезагрузки ОС. Подробнее — см. Сохранение и восстановление правил iptables.

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения linuxptp

Список нейтрализованных угроз безопасности:

  • CVE-2021-3570.

Для нейтрализации угрозы эксплуатации уязвимостей необходимо:

  • Если возможно, использовать только сетевой интерфейс внутренней сети (без доступа в Интернет). Пример команды запуска службы ptp4l с использованием сетевого интерфейса eno1:

    sudo ptp4l -i eno1 -m -S

  • Если нет возможности использовать только сетевой интерфейс внутренней сети — с помощью межсетевого экрана блокировать входящие сообщения управления PTP, для этого:

    С помощью iptables

    Добавить правило, выполнив в терминале команду, например такого вида:

    sudo iptables -A INPUT -p udp --dport 320 -j DROP

    После добавления правила необходимо удостоверится в том, что изменения будут сохранены после перезагрузки ОС. Подробнее — см. Сохранение и восстановление правил iptables.

    С помощью межсетевого экрана ufw

    Добавить правило, выполнив в терминале следующую команду:

    sudo ufw deny 320/udp

  • Для уровней защищенности «Усиленный» и «Максимальный» — запускать прикладное ПО только в сессиях с низким или промежуточным (отличном от максимального) уровнем целостности (предварительно должен быть включен МКЦ):
    • при графическом входе в систему указать уровень целостности в диалоговом окне, которое появляется после успешного ввода аутентификационных параметров;
    • при консольном входе в систему дополнительных действий не требуется.

В процессе эксплуатации ОС вместо службы linuxptp рекомендуется использовать службу chronyd. Более подробно: Служба времени chronyd.

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей службы ntp

Список нейтрализованных угроз безопасности:

  • CVE-2018-12327.

Для нейтрализации угрозы эксплуатации уязвимостей необходимо:

  • Проверить корректность  IP-адресов уже используемых NTP-серверов, для этого в терминале выполнить команду:

    sudo ntpdate -q <доменное имя NTP-сервера>

    В результате выполнения команды отобразится информация о NTP-серврере, в том числе и его IP-адрес.

    Чтобы проверить, не является ли IP-адрес NTP-серверов поддельным, можно воспользоваться Whois-сервисом, например, на web-сайте https://2ip.ru/whois/.

    Пример

    Для того чтобы проверить корректность  IP-адреса NTP-сервера ntp4.vniiftri.ru , необходимо:

    • в терминале выполнить команду:

      sudo ntpdate -q ntp4.vniiftri.ru

      пример вывода после выполнения команды:

      server 89.109.251.24, stratum 1, offset 1.294563, delay 0.03233
      5 Aug 13:42:09 ntpdate[1640]: step time server 89.109.251.24 offset 1.294563 sec
    • на  web-сайте https://2ip.ru/whois/ в поле IP адрес или домен ввести доменное имя NTP-сервера и нажать на кнопку [Проверить].

    После этого на открывшейся странице отобразится информация о домене, в том числе зарегистрированный  IP-адрес (см. рис ниже).

  • Не использовать недоверенные, не прошедшие проверку подлинности NTP-серверы.

    Рекомендуется использовать российские NTP-серверы ФГУП «ВНИИФТРИ», перечень которых доступен на официальном web-сайте ФГУП «ВНИИФТРИ» по ссылке: https://www.vniiftri.ru/catalog/services/sinkhronizatsiya-vremeni-cherez-ntp-servera/.

В процессе эксплуатации ОС вместо службы ntp рекомендуется использовать службу chronyd. Более подробно: Служба времени chronyd.

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения php

Список нейтрализованных угроз безопасности:

  • CVE-2021-21702.

Для нейтрализации угрозы эксплуатации уязвимостей необходимо при разработке приложений с использованием SOAP-расширения для PHP указывать только доверенные SOAP-серверы. Для того чтобы проверить безопасность SOAP-сервера, можно воспользоваться специальным сервисом проверки, например, на web-сайте https://www.virustotal.com/gui/home/url.

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения python

Список нейтрализованных угроз безопасности:

  • CVE-2020-8492;
  • CVE-2021-3177.

Для нейтрализации угрозы эксплуатации уязвимостей необходимо следовать общим рекомендациям, представленным выше (см. Общая методика безопасности, нейтрализующая угрозу эксплуатации ряда уязвимостей ).

Кроме того, при разработке скриптов в случае использования ctypes-функции PyCArg_repr необходимо убедиться, что длина строки, полученной в результате вывода sprintf, не превышает 256 байт. Для вычисления количества байт в строке, содержащей текст в кодировке, например, UTF-8, можно воспользоваться следующей функцией:

def utf8len (text):
    return len(text.encode('utf-8'))

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения rpm

Список нейтрализованных угроз безопасности:

  • CVE-2010-2198;
  • CVE-2010-2199;
  • CVE-2017-7500.

Для нейтрализации угрозы эксплуатации уязвимостей необходимо отказаться от использования утилиты rpm. В процессе эксплуатации ОС в качестве пакетного менеджера необходимо применять утилиту apt. Для установки бинарных пакетов (файлов в формате DEB) необходимо использовать утилиту dpkg.

Для преобразования бинарных пакетов из формата RPM в формат DEB можно воспользоваться утилитой alien. Для её установки необходимо в терминале выполнить команду (потребуется диск со средствами разработки):

sudo apt install alien

Команда преобразования бинарных пакетов из формата RPM в формат DEB имеет следующий вид:

sudo alien <наименование пакета>.rpm

Результатом выполнения команды будет вывод сообщения:

<наименование пакета>.deb generated

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей службы rsyslog

Список нейтрализованных угроз безопасности:

  • CVE-2019-17041;
  • CVE-2019-17042.

Для нейтрализации угрозы эксплуатации уязвимостей необходимо отключить (если ранее были включены) модули парсинга pmcisconames и pmaixforwardedfrom. Для этого в файле /etc/rsyslog.conf необходимо закомментировать (вставить символ "#" в начале строки) следующие строки:

module(load="pmcisconames")
module(load="pmaixforwardedfrom")

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения sane-backends

Список нейтрализованных угроз безопасности:

  • CVE-2020-12861.

Для нейтрализации угрозы эксплуатации уязвимостей необходимо отключить функцию auto-discovery, для этого следует в конфигурационном файле /etc/sane.d/epsonds.conf закоментировать (вставить символ "#" в начале строки) следующую строку:

net autodiscovery

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения screen

Список нейтрализованных угроз безопасности:

  • CVE-2021-26937.

Для нейтрализации угрозы эксплуатации уязвимостей необходимо настроить терминал screen таким образом, чтобы в качестве кодировки по умолчанию не использовалась кодировка UTF-8. Например, для того  чтобы в качестве кодировки по умолчанию установить KOI8-R (должна быть предварительно установлена в ОС), необходимо:

  • открыть окно терминала screen;
  • нажать на комбинацию клавиш <Ctrl + A>, а затем ввести символ " : ";
  • в открывшемся поле внизу окна терминала screen ввести следующую команду:

    defencoding KOI8-R

  • нажать клавишу <Enter>.

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения squid

Список нейтрализованных угроз безопасности:

  • BDU:2021-02727;
  • CVE-2021-28652.

Для нейтрализации угрозы эксплуатации уязвимостей необходимо:

  • Обязать пользователей использовать только HTTPS-соединения для доступа на ресурсы сети Интернет и для передачи сообщений;
  • Если возможно, полностью отключить доступ к Cache Manager. Для этого в конфигурационном файле /etc/squid/squid.conf необходимо перед строками, содержащими "allow", добавить следующую строку:

    http_access deny manager
  • Если нет возможности полностью отключить доступ к Cache Manager, то необходимо усилить контроль доступа к Cache Manager — например, использовать аутентификацию или другие средства управления доступом. Подробнее — см. Кеширующий прокси-сервер squid.

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения tar

Список нейтрализованных угроз безопасности:

  • CVE-2005-2541.

Для нейтрализации угрозы эксплуатации уязвимостей необходимо следовать общим рекомендациям, представленным выше (см. Общая методика безопасности, нейтрализующая угрозу эксплуатации ряда уязвимостей ).

При распаковке архивов, полученных из недоверенных источников, если для распаковки используются привилегии суперпользователя, то использовать опцию --no-same-permissions.

Кроме того, при распаковке архивов, полученных из недоверенных источников, выполнять следующие рекомендации:

  • не выполнять операцию разархивирования от имени суперпользователя (с использованием механихма sudo);
  • если для распаковки используются привилегии суперпользователя, то использовать следующий параметр: --no-same-permissions

    Пример

    sudo tar zxvf file.tar.gz --no-same-permissions

Список нейтрализованных угроз безопасности


Oops, it seems that you need to place a table or a macro generating a table within the Table Filter macro.

The table is being loaded. Please wait for a bit ...

Название пакетаУгрозы

apache2

CVE-2021-26691

avahiCVE-2017-6519

binutils

CVE-2017-13716

binutilsCVE-2018-12699
binutilsCVE-2021-3487
chromiumCVE-2021-30547
firefox CVE-2021-23956
firefox CVE-2021-23962
firefox CVE-2021-23965
firefox CVE-2021-29947
firefox CVE-2021-23964
firefox CVE-2021-23998
firefox CVE-2021-29976
firefox CVE-2021-23958
firefox CVE-2021-23997
firefox CVE-2021-29952
firefox CVE-2021-23954
firefox CVE-2021-23960
firefox CVE-2021-23961
firefox CVE-2021-23994
firefox CVE-2021-23995
firefox CVE-2021-29970
firefoxCVE-2021-30547
imagemagickCVE-2018-15607

imagemagick

CVE-2021-20244

imagemagickCVE-2021-20245
imagemagickCVE-2021-20246
imagemagickCVE-2021-20309
imagemagickCVE-2021-20311
imagemagickCVE-2021-20312
iptablesCVE-2012-2663

libtasn1-6

CVE-2018-1000654

libx11

CVE-2006-4447

linuxptpCVE-2021-3570
ntpCVE-2020-11868
ntpCVE-2018-12327
ntpCVE-2020-13817
phpCVE-2021-21702
pythonCVE-2020-8492
pythonCVE-2021-3177
rpmCVE-2010-2198
rpmCVE-2010-2199
rpmCVE-2017-7500
rsyslogCVE-2019-17041
rsyslogCVE-2019-17042
xdmCVE-2006-4447
xorg-serverCVE-2006-4447
xtermCVE-2006-4447

xtrans

CVE-2006-4447

libxml2

CVE-2021-3517

sane-backendsCVE-2020-12861
screenCVE-2021-26937

snmptt

CVE-2020-24361

squidBDU:2021-02727
squidCVE-2021-28652

squid

CVE-2021-28662

sysstat

CVE-2019-19725

tarCVE-2005-2541
thunderbird CVE-2021-23964
thunderbird CVE-2021-23998
thunderbird CVE-2021-29976
thunderbird CVE-2021-23954
thunderbird CVE-2021-23960
thunderbirdCVE-2021-23961
thunderbird CVE-2021-23994
thunderbird CVE-2021-23995
thunderbird CVE-2021-29970
thunderbirdCVE-2021-30547
glibcCVE-2019-25013

glibc

CVE-2021-33574

glibcCVE-2019-1010022

exim

CVE-2020-28009

eximCVE-2020-28010
eximCVE-2020-28011
eximCVE-2020-28013
eximCVE-2020-28017
eximCVE-2020-28018
eximCVE-2020-28021
eximCVE-2020-28022
eximCVE-2020-28024
eximCVE-2020-28026
  • No labels