Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 2 Следующий »

Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимости путём обновления пакетов. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. Обновление пакетов может выполняться непосредственно из распакованных файлов, централизованно из общего репозитория, или индивидуально из локальных репозиториев. Для использования репозиториев их настройку следует выполнить в соответствии с указаниями Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов а также Создание локальных и сетевых репозиториев

Если обновить пакеты не представляется возможным, то необходимо снять SUID-бит для файлового объекта pkexec, выполнив команду:

chmod 0755 /usr/bin/pkexec

Порядок применения методики безопасности

  1. Скачать tar-архив с помощью WEB-браузера по следующей ссылке;
  2. Перейти в каталог с полученным tar-архивом;

  3. Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:

    gostsum 2022-0128ce212md.tar.gz
    Контрольная сумма:

    46289e8cb3643afe0233b719eae852319b43961a6fe21f6190e8f580b8243d6a

  4. Распаковать архив, выполнив команду: 

    tar xzvf 2022-0128ce212md.tar.gz

    После распаковки архива для установки будут доступен файл обновлений и файл gostsums.txt для проверки контрольных сумм файлов, входящих в ОС ( см. руководство по КСЗ. Часть 1, раздел 9.1);

  5. После распаковки архива обновление можно выполнить командой: 

    sudo dpkg -i sudo_1.8.19p1-2.1+deb9u3_amd64.deb

    Внимание

    При включенной функции подсистемы безопасности «Мандатный контроль целостности» обновление пакетов необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.

    На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности.


Пример сценария установки обновления при наличии доступа в Интернет

Приведённый ниже сценарий выполняет следующие действия:

  1. Загрузка архива с web-сайта Astra Linux; 

    При отсутствии на обновляемом компьютере доступа к этому web-сайту загрузку из сети Интернет можно заменить копированием архива с подключенного носителя. При этом предполагается, что архив копируется в каталог /mnt.

  2. Распаковка архива;
  3. Создание записи о репозитории для менеджера пакетов;
  4. Обновление списоков репозиториев менеджера пакетов;
  5. Установка обновления;
  6. Опционально:
    1. Удаление созданной записи о репозитории;
    2. Удаление архива и распакованных файлов.

Сценарий: 

#!/bin/bash

cd /mnt/

sudo wget https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.7/2022-0128ce212md/2022-0128ce212md.tar.gz
sudo tar xzf 2022-0128ce212md.tar.gz
echo "deb file:///mnt/smolensk-1.7-2022-0128ce212MD 1.7_x86-64 contrib main non-free" | sudo tee /etc/apt/sources.list.d/2022-0128ce212md.list
sudo apt update
sudo apt dist-upgrade
#sudo rm /etc/apt/sources.list.d/2022-0128ce212md.list
#sudo rm -rf /mnt/2022-0128ce212md.tar.gz /mnt/smolensk-1.7-2022-0128ce212MD
  • Нет меток