Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7), далее по тексту - Astra Linux, в информационных системах.

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

Перед выполнением действий настоящей методики безопасности необходимо установить оперативное обновление 4.7.1 (БЮЛЛЕТЕНЬ № 2022-0114SE47).

Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, включены в состав оперативного обновления 4.7.2.

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости ядра linux

Информация о уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения на портале технической поддержки.

В данной методике безопасности представлены методические рекомендации по устранению уязвимости. Обновлённые пакеты ядра Linux, в которых устранена уязвимость, предоставлены в бюллетене №2022-0318SE47MD.

ВНИМАНИЕ!

При включенной функции подсистемы безопасности «Мандатный контроль целостности» методические указания необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.

Для нейтрализации угрозы эксплуатации уязвимости ядра linux необходимо запретить непривилегированным пользователям создавать новые пространства имен пользователей, установив значение параметра ядра kernel.unprivileged_userns_clone равным "0". Чтобы проверить текущее значение параметра ядра необходимо выполнить команду:

sudo sysctl kernel.unprivileged_userns_clone
Параметр ядра kernel.unprivileged_userns_clone может принимать следующие значения:

  • 0 — в случае, когда непривилегированным пользователям запрещено создавать новые пространства имен пользователей;
  • 1 — в случае, когда непривилегированным пользователям разрешено создавать новые пространства имен пользователей.

Для того чтобы временно (до перезагрузки системы) запретить непривилегированным пользователям создавать новые пространства имен пользователей, необходимо выполнить команду:

sudo sysctl -w kernel.unprivileged_userns_clone=0


Для того чтобы установленное значение параметра ядра сохранилось после перезагрузки, необходимо:

  1. Добавить в файл /etc/sysctl.d/999-astra.conf следующую строку: 

    kernel.unprivileged_userns_clone = 0

    Это можно сделать следующей командой: 

    echo "kernel.unprivileged_userns_clone = 0" | sudo tee -a /etc/sysctl.d/999-astra.conf

  2. Перезагрузить параметры ядра, выполнив команду: 

    sudo sysctl --system


При применении настоящей методики сервис Rootless docker, а также любые сервисы и решения в конфигурациях, требующих создания пространства имен пользователей непривилегированным пользователем, не будут функционировать в этом режиме.

В состав следующего оперативного обновления войдут обновлённые пакеты, в которых будет устранена угроза эксплуатации уязвимости без необходимости запрета создания пространства имен пользователей непривилегированным пользователем.

  • No labels