Методика безопасности для операционной системы общего назначения Astra Linux Common Edition 2.12, далее по тексту - Astra Linux, предназначенные для нейтрализации уязвимостей в информационных системах.
Перечень уязвимостей, закрываемых настоящей методикой безопасности, предоставляется после соответствующего обращения на портале технической поддержки.
Настоящая методика безопасности не является кумулятивной. При выполнении указаний данной методики безопасности другие виды обновлений автоматически не применяются и должны быть установлены отдельно.
Перед применением настоящей методикой безопасности рекомендуется обновить Astra Linux до версии 2.12.43
В данной методике безопасности представлены методические рекомендации по устранению уязвимости. Обновлённые пакеты ядра Linux, в которых устранена уязвимость, предоставлены в методике безопасности №2022-0318CE212MD.
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости ядра linux
Для нейтрализации угрозы эксплуатации уязвимости ядра linux необходимо запретить непривилегированным пользователям создавать новые пространства имен пользователей, установив значение параметра ядра kernel.unprivileged_userns_clone равным "0". Чтобы проверить текущее значение параметра ядра необходимо выполнить команду:
kernel.unprivileged_userns_clone может принимать следующие значения:- 0 — в случае, когда непривилегированным пользователям запрещено создавать новые пространства имен пользователей;
- 1 — в случае, когда непривилегированным пользователям разрешено создавать новые пространства имен пользователей.
Для того чтобы временно (до перезагрузки системы) запретить непривилегированным пользователям создавать новые пространства имен пользователей, необходимо выполнить команду:
Для того чтобы установленное значение параметра ядра сохранилось после перезагрузки, необходимо:
Добавить в файл
/etc/sysctl.d/999-astra.confследующую строку:kernel.unprivileged_userns_clone = 0
Это можно сделать следующей командой:
echo "kernel.unprivileged_userns_clone = 0" | sudo tee -a /etc/sysctl.d/999-astra.confПерезагрузить параметры ядра, выполнив команду:
sudo sysctl --system
При применении настоящей методики сервис Rootless docker, а также любые сервисы и решения в конфигурациях, требующих создания пространства имен пользователей непривилегированным пользователем, не будут функционировать в этом режиме.
В состав следующего оперативного обновления войдут обновлённые пакеты, в которых будет устранена угроза эксплуатации уязвимости без необходимости запрета создания пространства имен пользователей непривилегированным пользователем.