Методика безопасности для операционной системы общего назначения Astra Linux Common Edition 2.12, далее по тексту - Astra Linux, предназначенная для нейтрализации уязвимостей в информационных системах.
Перечень уязвимостей, закрываемых настоящей методикой безопасности, предоставляется после соответствующего обращения на портале технической поддержки.
Настоящая методика безопасности не является кумулятивной. При выполнении указаний данной методики безопасности другие виды обновлений автоматически не применяются и должны быть установлены отдельно.
Перед применением настоящей методикой безопасности рекомендуется обновить Astra Linux до версии 2.12.43
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости пакета polkit's pkexec
Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимости путём обновления пакетов. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. В последующем, эти пакеты войдут в состав следующего оперативного обновления.
Для установки обновления используется инструмент командной строки astra-scripts (необходимо установить, если был ранее удалён).
Если обновить пакеты не представляется возможным, то необходимо снять SUID-бит файла /usr/bin/pkexec, выполнив команду:
Порядок применения методики безопасности
- Скачать tar-архив с помощью WEB-браузера по следующей ссылке;
- Перейти в каталог с полученным tar-архивом;
Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:
gostsum 2022-0128ce212md.tar.gzКонтрольная сумма:1ae8f96727dde51b75d101ab07fee9bb33b78ad591865078c1ee9603a4370f64
Распаковать архив, например, в каталог /mnt/2022-0128CE212MD, выполнив команды:
sudo mkdir /mnt/2022-0128CE212MD
sudo tar xzvf 2022-0128ce212md.tar.gz -C /mnt/2022-0128CE212MD
Перейти в каталог /mnt/2022-0128CE212MD:
cd /mnt/2022-0128CE212MDУстановить обновление командой:
sudo astra-debs-update-installed
Предупреждение "Download is performed unsandboxed"/"Загрузка без ограничения песочницы" при установке обновления
При установке пакетов из файлов с помощью команды apt (используемой инструментом командной строки astra-scripts) пакеты и их зависимости устанавливаются автоматически, но при успешном завершении установки выдается предупреждение:
N: Download is performed unsandboxed as root as file ... couldn't be accessed by user '_apt'. - pkgAcquire::Run (13: Отказано в доступе)
или
N: Загрузка выполняется от лица суперпользователя без ограничений песочницы, так как файл «...» недоступен для пользователя «_apt». - pkgAcquire::Run (13: Отказано в доступе)
Это предупреждение о том, что программа установщик, не имея нужных прав доступа к текущему каталогу, вынуждена была получить привилегии root для выполнения установки. Установка при этом завершается успешно, и предупреждение можно игнорировать, однако с точки зрения безопасности, правильнее по возможности исключить работу с привилегиями root. Для того, чтобы исключить это предупреждение, нужно на время выполнения установки предоставить служебному пользователю _apt права на доступ к текущему каталогу. Примерный сценарий (предполагается, что tar-архив был распакован в каталог /mnt/2022-0128CE212MD):
cd /mnt/2022-0128CE212MD
sudo astra-debs-update-installed
sudo setfacl -x u:_apt /mnt/2022-0128CE212MD