Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.
Перед выполнением действий настоящей методики безопасности необходимо установить оперативное обновление 1.7.1 (БЮЛЛЕТЕНЬ № 2021-1126SE17).
Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, включены в состав оперативного обновления 1.7.2.
Если нет возможности установить оперативное обновление 1.7.2, можно воспользоваться обновлением безопасности БЮЛЛЕТЕНЬ № 2022-0318SE17MD.
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости ядра linux
Информация об уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения на портале технической поддержки.
ВНИМАНИЕ!
При включенной функции подсистемы безопасности «Мандатный контроль целостности» методические указания необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
Для нейтрализации угрозы эксплуатации уязвимости ядра linux необходимо запретить непривилегированным пользователям создавать новые пространства имен пользователей, установив значение параметра ядра kernel.unprivileged_userns_clone равным "0". Чтобы проверить текущее значение параметра ядра, необходимо выполнить команду:
kernel.unprivileged_userns_clone может принимать следующие значения:- 0 — в случае, когда непривилегированным пользователям запрещено создавать новые пространства имен пользователей;
- 1 — в случае, когда непривилегированным пользователям разрешено создавать новые пространства имен пользователей.
Для того чтобы временно (до перезагрузки системы) запретить непривилегированным пользователям создавать новые пространства имен пользователей, необходимо выполнить команду:
Для того чтобы установленное значение параметра ядра сохранилось после перезагрузки, необходимо:
Добавить в файл
/etc/sysctl.d/999-astra.confследующую строку:kernel.unprivileged_userns_clone = 0
Это можно сделать следующей командой:
echo "kernel.unprivileged_userns_clone = 0" | sudo tee -a /etc/sysctl.d/999-astra.confПерезагрузить параметры ядра, выполнив команду:
sudo sysctl --system
При применении настоящей методики сервис Rootless docker, а также любые сервисы и решения в конфигурациях, требующих создания пространства имен пользователей непривилегированным пользователем, не будут функционировать в этом режиме.
В состав оперативного обновления 1.7.2 вошли обновлённые пакеты, в которых устранена угроза эксплуатации уязвимости. При этом нет необходимости устанавливать запрет на создание пространства имен пользователей непривилегированным пользователем.