Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимости путём обновления пакетов. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. Обновление пакетов может выполняться непосредственно из распакованных файлов, централизованно из общего репозитория, или индивидуально из локальных репозиториев. Для использования репозиториев их настройку следует выполнить в соответствии с указаниями Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов а также Создание локальных и сетевых репозиториев .
Если обновить пакеты не представляется возможным, то необходимо снять SUID-бит для файлового объекта pkexec, выполнив команду:
Порядок применения методики безопасности
- Скачать tar-архив с помощью WEB-браузера по следующей ссылке;
- Перейти в каталог с полученным tar-архивом;
Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:
gostsum 2022-0128ce212md.tar.gzКонтрольная сумма:46289e8cb3643afe0233b719eae852319b43961a6fe21f6190e8f580b8243d6a
Распаковать архив, выполнив команду:
tar xzvf 2022-0128ce212md.tar.gzПосле распаковки архива обновление можно выполнить командой:
sudo dpkg -i sudo_1.8.19p1-2.1+deb9u3_amd64.deb
Пример сценария установки обновления при наличии доступа в Интернет
Приведённый ниже сценарий выполняет следующие действия:
Загрузка архива с web-сайта Astra Linux;
При отсутствии на обновляемом компьютере доступа к этому web-сайту загрузку из сети Интернет можно заменить копированием архива с подключенного носителя. При этом предполагается, что архив копируется в каталог /mnt.
- Распаковка архива;
- Создание записи о репозитории для менеджера пакетов;
- Обновление списоков репозиториев менеджера пакетов;
- Установка обновления;
- Опционально:
- Удаление созданной записи о репозитории;
- Удаление архива и распакованных файлов.
Сценарий:
#!/bin/bash cd /mnt/ sudo wget https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.7/2022-0128ce212md/2022-0128ce212md.tar.gz sudo tar xzf 2022-0128ce212md.tar.gz echo "deb file:///mnt/smolensk-1.7-2022-0128ce212MD orel contrib main non-free" | sudo tee /etc/apt/sources.list.d/2022-0128ce212md.list sudo apt update sudo apt dist-upgrade #sudo rm /etc/apt/sources.list.d/2022-0128ce212md.list #sudo rm -rf /mnt/2022-0128ce212md.tar.gz /mnt/smolensk-1.7-2022-0128ce212MD