Astra Linux Common Edition 2.12.43. Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости пакета polkit's pkexec (CVE-2021-4034)

Порядок применения методики безопасности

1. Скачать tar-архив с помощью WEB-браузера по следующей ссылке;
2. Перейти в каталог с полученным tar-архивом;

3. Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:

   gostsum 2022-0128CE2.12MD.tar.gz
   Контрольная сумма:

   64e322a442bd1c4b2339927dec2dac0ba11b31d6a37161f88673816b74671efb

4. Распаковать архив, выполнив команду:

   tar xzvf 2022-0128CE2.12MD.tar.gz

5. Перейти в распакованный каталог 2022-0128CE2.12MD

6. Установить обновление командой: 

   sudo astra-debs-update-installed

Предупреждение "Download is performed unsandboxed"/"Загрузка без ограничения песочницы" при установке обновления

При установке пакетов из файлов с помощью команды apt (используемой инструментом командной строки astra-scripts) пакеты и их зависимости устанавливаются автоматически, но при успешном завершении установки выдается предупреждение:

N: Download is performed unsandboxed as root as file ... couldn't be accessed by user '_apt'. - pkgAcquire::Run (13: Отказано в доступе)

или

N: Загрузка выполняется от лица суперпользователя без ограничений песочницы, так как файл «...» недоступен для пользователя «_apt». - pkgAcquire::Run (13: Отказано в доступе)

Это предупреждение о том, что программа установщик, не имея нужных прав доступа к текущему каталогу, вынуждена была получить привилегии root для выполнения установки.  Установка при этом завершается успешно, и предупреждение можно игнорировать, однако с точки зрения безопасности, правильнее по возможности исключить работу с привилегиями root. Для того, чтобы исключить это предупреждение, нужно на время выполнения установки предоставить служебному пользователю _apt права на доступ к текущему каталогу. Примерный сценарий (предполагается, что tar-архив был скопирован в каталог /mnt):