Page tree

Методика безопасности для операционной системы общего назначения Astra Linux Common Edition 2.12, далее по тексту - Astra Linux, предназначенная для нейтрализации уязвимостей в информационных системах.

Перечень уязвимостей, закрываемых настоящей методикой безопасности, предоставляется после соответствующего обращения на портале технической поддержки.

Настоящая методика безопасности не является кумулятивной. При выполнении указаний данной методики безопасности другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

Перед применением настоящей методикой безопасности рекомендуется обновить Astra Linux до версии 2.12.43

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости пакета polkit's pkexec

Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимости путём обновления пакетов. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. В последующем, эти пакеты войдут в состав следующего оперативного обновления.

Для установки обновления используется инструмент командной строки astra-scripts (необходимо установить, если был ранее удалён).

Если обновить пакеты не представляется возможным, то необходимо снять SUID-бит файла /usr/bin/pkexec, выполнив команду:

sudo chmod 0755 /usr/bin/pkexec

Порядок применения методики безопасности

  1. Скачать tar-архив с помощью WEB-браузера по следующей ссылке;
  2. Перейти в каталог с полученным tar-архивом;
  3. Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:

    gostsum 2022-0128ce212md.tar.gz
    Контрольная сумма:

    1ae8f96727dde51b75d101ab07fee9bb33b78ad591865078c1ee9603a4370f64
  4. Распаковать архив, например, в каталог /mnt/2022-0128CE212MD, выполнив команды:

    sudo mkdir  /mnt/2022-0128CE212MD

    sudo tar xzvf 2022-0128ce212md.tar.gz -C  /mnt/2022-0128CE212MD

  5. Перейти в каталог  /mnt/2022-0128CE212MD:

    cd /mnt/2022-0128CE212MD 

  6. Установить обновление командой: 

    sudo astra-debs-update-installed

Предупреждение "Download is performed unsandboxed"/"Загрузка без ограничения песочницы" при установке обновления

При установке пакетов из файлов с помощью команды apt (используемой инструментом командной строки astra-scripts) пакеты и их зависимости устанавливаются автоматически, но при успешном завершении установки выдается предупреждение:

N: Download is performed unsandboxed as root as file ... couldn't be accessed by user '_apt'. - pkgAcquire::Run (13: Отказано в доступе)

или

N: Загрузка выполняется от лица суперпользователя без ограничений песочницы, так как файл «...» недоступен для пользователя «_apt». - pkgAcquire::Run (13: Отказано в доступе)

Это предупреждение о том, что программа установщик, не имея нужных прав доступа к текущему каталогу, вынуждена была получить привилегии root для выполнения установки.  Установка при этом завершается успешно, и предупреждение можно игнорировать, однако с точки зрения безопасности, правильнее по возможности исключить работу с привилегиями root. Для того, чтобы исключить это предупреждение, нужно на время выполнения установки предоставить служебному пользователю _apt права на доступ к текущему каталогу. Примерный сценарий (предполагается, что tar-архив был распакован в каталог /mnt/2022-0128CE212MD):

sudo setfacl -m u:_apt:rwx /mnt/2022-0128CE212MD
cd /mnt/2022-0128CE212MD 
sudo astra-debs-update-installed
sudo setfacl -x u:_apt /mnt/2022-0128CE212MD

  • No labels