Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 5 Следующий »

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), далее по тексту - Astra Linux, в информационных системах.

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.


Методика безопасности, нейтрализующая угрозы эксплуатации уязвимости пакета polkit's pkexec (CVE-2021-4034)

Для минимизации угроз безопасности в Astra Linux, функционирующей на уровне защищенности «Усиленный» или «Максимальный», рекомендуется включить (если были ранее выключены) следующие функции подсистемы безопасности:

  • Мандатный контроль целостности (МКЦ), включая режим МКЦ на файловой системе (см. руководство по КСЗ. Часть 1, раздел 4.8);
  • Замкнутая программная среда (ЗПС) — см. руководство по КСЗ. Часть 1, раздел 16.1.

Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимости путём обновления пакетов. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. Обновление пакетов может выполняться непосредственно из распакованных файлов, централизованно из общего репозитория, или индивидуально из локальных репозиториев. Для использования репозиториев их настройку следует выполнить в соответствии с указаниями Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов а также Создание локальных и сетевых репозиториев

Если обновить пакеты не представляется возможным, то необходимо снять SUID-бит для файлового объекта pkexec, выполнив команду:

chmod 0755 /usr/bin/pkexec

Порядок применения методики безопасности

  1. Скачать tar-архив с помощью WEB-браузера по следующей ссылке;
  2. Перейти в каталог с полученным tar-архивом;

  3. Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:

    gostsum 2022-0128se17md.tar.gz
    Контрольная сумма:

    46289e8cb3643afe0233b719eae852319b43961a6fe21f6190e8f580b8243d6a

  4. Распаковать архив, выполнив команду: 

    tar xzvf 2022-0128se17md.tar.gz

    После распаковки архива для установки будут доступен файл обновлений и файл gostsums.txt для проверки контрольных сумм файлов, входящих в ОС (см. руководство по КСЗ. Часть 1, раздел 9.1);

  5. После распаковки архива обновление можно выполнить командой: 

    sudo dpkg -i sudo_1.8.19p1-2.1+deb9u3_amd64.deb

Внимание

При включенной функции подсистемы безопасности «Мандатный контроль целостности» обновление пакетов необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.

На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности.

  • Нет меток