Обновление безопасности, нейтрализующие угрозу эксплуатации уязвимостей ядра linux
Нейтрализация угрозы эксплуатации уязвимостей осуществляется путём обновления отдельных пакетов. Пакеты с устраненными уязвимостями войдут в состав последующего кумулятивного оперативного обновления.
Если в системе используется программное обеспечение, разработанное с использованием средств разработки, необходимо выполнить обновление пакетов, размещённых на диске со средствами разработки.
Подготовка к установке обновления
Перед установкой обновлений:
- ознакомиться с настоящей инструкцией;
- ознакомиться с инструкцией: fly-astra-update и astra-update - инструменты для установки обновлений.
Внимание
- обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности;
на время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. Это может быть сделано с помощью инструментов
fly-astra-update/astra-update
или командой:sudo astra-nochmodx-lock disable
Установка обновления пакетов установочного диска
- Скачать tar-архив
20220318SE16MD.tar.gz
с помощью WEB-браузера по следующей ссылке: https://nas01.astralinux.ru/sharing/J1jFTMuwC; - Перейти в каталог с полученным tar-архивом;
Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:
gostsum 20220318SE16MD.tar.gzКонтрольная сумма:08fe0cb89b03462ae77891e220d21b874d37dd262b807f40a2a4c011fc45dd0a
Распаковать архив, например, в каталог
/mnt/
, выполнив команду:sudo tar xzvf 20220318SE16MD.tar.gz -C /mnt/Полученный в результате распаковки tar-архива каталог
20220318SE16MD
подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог/mnt/20220318SE16MD/
, необходимо в файле/etc/apt/sources.list
добавить строку видаdeb file:/mnt/20220318SE16MD/ smolensk main contrib non-free
и выполнить команду
sudo apt updateПосле подключения репозитория, обновление пакетов может быть установлено одной из следующих команд:
- sudo astra-update -a -r
- sudo apt dist-upgrade
Установка обновления пакетов диска со средствами разработки
- Скачать tar-архив
devel-20220318SE16MD.tar.gz
с помощью WEB-браузера по следующей ссылке: https://nas01.astralinux.ru/sharing/bPNbbMnAb; - Перейти в каталог с полученным tar-архивом;
Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:
gostsum devel-20220318SE16MD.tar.gzКонтрольная сумма:1cdb2a4980bd8996c4fe3d5d8c6c28f1b670fab357dff99da4ab3a2850374081
Распаковать архив, например, в каталог
/mnt/
, выполнив команду:tar xzvf devel-20220318SE16MD.tar.gz -C /mnt/Полученный в результате распаковки tar-архива каталог
devel-20220318SE16MD
подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог/mnt/devel-20220318SE16MD/
, необходимо в файле/etc/apt/sources.list
добавить строку видаdeb file:/mnt/devel-20220318SE16MD/ smolensk main contrib non-free
и выполнить команду
sudo apt updateПосле подключения репозитория, обновление может быть установлено одной из следующих команд:
- sudo astra-update -a -r
- sudo apt dist-upgrade
Завершение установки обновления
После выполнения обновления перезагрузить систему.
Внимание
После успешной установки обновления проверка целостности программных пакетов установочного диска осуществляется утилитой fly-admin-int-check
с применением файла gostsums.txt
, расположенного в распакованном каталоге 20220318SE16MD.
Методические указания, нейтрализующие угрозу эксплуатации уязвимостей пакета apache2
Методика устранения уязвимости, связанной с переполнение буфера в lua_module, при разборе запросов, состоящих из нескольких частей (multipart)
Для устранения этой уязвимости необходимо отключить модуль поддержки языка LUA. Чтобы просмотреть перечень используемых модулей необходимо выполнить команду:
lua
, то следует выполнить команду:Вместе с тем, или в случае, если применение вышеперечисленных мер не представляется возможным, для минимизации угроз безопасности в результате эксплуатации уязвимости, необходимо (рекомендуется) активировать (если еще не активирован) режим Мандатного контроля целостности (МКЦ), включая режим МКЦ на файловой системе. Для защиты системных компонентов ОС от оказания негативного воздействия на них со стороны скомпрометированных процессов в результате эксплуатации уязвимостей активировать режим запуска сервиса apache2 на выделенном мандатном уровне целостности посредством утилиты astra-ilev1-control в соответствии с ...(документацией) .