Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.
Перед выполнением действий настоящей методики безопасности необходимо установить оперативное обновление 4.7.1 (БЮЛЛЕТЕНЬ № 2022-0114SE47).
Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, включены в состав оперативного обновления 4.7.2.
Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения на портале технической поддержки.
Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей ядра linux
Нейтрализация угрозы эксплуатации уязвимостей осуществляется путём обновления отдельных пакетов. Пакеты с устраненными уязвимостями войдут в состав последующего кумулятивного оперативного обновления.
Если в системе используется программное обеспечение, разработанное с использованием средств разработки, необходимо выполнить обновление пакетов базового репозитория (base).
Базовый репозиторий (base) также содержит пакеты основного репозитория (main), размещённого на установочном диске. В связи с этим при обновлении пакетов базового репозитория будут обновлены и пакеты основного репозитория.
Подготовка к установке обновления
Перед установкой обновлений:
- ознакомиться с настоящей инструкцией;
- ознакомиться с инструкцией: fly-astra-update и astra-update - инструменты для установки обновлений.
В системах с уровнем защищенности «Усиленный» (Воронеж) или «Максимальный» (Смоленск):
- обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности;
на время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. Это может быть сделано с помощью инструментов
fly-astra-update/astra-updateили командой:sudo astra-nochmodx-lock disable
Установка обновления пакетов основного репозитория (main)
Скачать tar-архив с помощью WEB-браузера по следующей ссылке: https://download.astralinux.ru/astra/frozen/4.7_arm/4.7.1/iso/2022-0318SE47MD.tar.gz;
Настоящее обновление пакетов основного репозитория (main) подписано усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра":
Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.- Перейти в каталог с полученным tar-архивом;
Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:
gostsum 2022-0318SE47MD.tar.gzКонтрольная сумма:578f56b39c8d93e53c56e490d8f33dd77716e4b05dd819d4796a5fa51052cd62
Распаковать архив, например, в каталог
/mnt/, выполнив команду:sudo tar xzvf 2022-0318SE47MD.tar.gz -C /mnt/Полученный в результате распаковки tar-архива каталог
2022-0318SE47MDподключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог/mnt/2022-0318SE47MD/, необходимо в файле/etc/apt/sources.listдобавить строку видаdeb file:/mnt/2022-0318SE47MD/ 4.7_arm main contrib non-free
при необходимости дополнительно указать аппаратно-зависимые компоненты (baikal1, huawei1, mtrust1) и выполнить команду:
sudo apt updateПосле подключения репозитория, обновление пакетов может быть установлено одной из следующих команд:
- sudo astra-update -a -r
- sudo apt dist-upgrade
Установка обновления пакетов базового репозитория (base)
Скачать tar-архив с помощью WEB-браузера по следующей ссылке: https://download.astralinux.ru/astra/frozen/4.7_arm/4.7.1/iso/base-2022-0318SE47MD.tar.gz;
Настоящее обновление пакетов базового репозитория (base) подписано усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра":
Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.- Перейти в каталог с полученным tar-архивом;
Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:
gostsum base-2022-0318SE47MD.tar.gzКонтрольная сумма:57e9e8535c0cbb9998226217cd5dbd7a934a4085400b9accec3585541e81f1b6
Распаковать архив, например, в каталог
/mnt/, выполнив команду:sudo tar xzvf base-2022-0318SE47MD.tar.gz -C /mnt/Полученный в результате распаковки tar-архива каталог
base-2022-0318SE47MDподключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог/mnt/base-2022-0318SE47MD/, необходимо в файле/etc/apt/sources.listдобавить строку видаdeb file:/mnt/base-2022-0318SE47MD/ 4.7_arm main contrib non-free
при необходимости дополнительно указать аппаратно-зависимые компоненты (baikal1, huawei1, mtrust1) и выполнить команду
sudo apt updateПосле подключения репозитория, обновление может быть установлено одной из следующих команд:
- sudo astra-update -a -r
- sudo apt dist-upgrade
Завершение установки обновления
После выполнения обновления перезагрузить систему.
Внимание
После успешной установки обновления проверка целостности программных пакетов установочного диска осуществляется утилитой fly-admin-int-check с применением файла gostsums.txt, расположенного в распакованном каталоге 2022-0318SE47MD.
Методические указания, нейтрализующие угрозу эксплуатации уязвимостей пакета apache2
Методика устранения уязвимости, связанной с переполнением буфера в lua_module при разборе запросов, состоящих из нескольких частей (multipart)
Для устранения этой уязвимости необходимо отключить модуль поддержки языка LUA. Чтобы просмотреть перечень используемых модулей, необходимо выполнить команду:
lua, то следует выполнить команду: Методика устранения SSRF-уязвимости (Server Side Request Forgery) в mod_proxy
Для устранения этой уязвимости необходимо отключить поддержку прямого proxy в конфигурационном файле (по умолчанию имеет следующие расположение: /etc/apache2/sites-enabled/000-default.conf).
Параметр ProxyRequests должен иметь значение "off". При этом, если это необходимо, реверс-прокси может остаться включенным.
В случае, если есть возможность отключить все режимы работы proxy, то необходимо выполнить команду:
После внесения изменений необходимо перезапустить веб-сервер Apache, выполнив команду:
Методика устранения угрозы атаки типа HTTP Request Smuggling
Для устранения этой уязвимости необходимо в конфигурационном файле (по умолчанию имеет следующие расположение: /etc/apache2/sites-enabled/000-default.conf) отключить поддержку протокола http/2 — из строки параметров Protocols (перечня используемых протоколов) следует исключить значение "h2" (протокол HTTP/2).
После внесения изменений необходимо перезапустить веб-сервер Apache, выполнив команду:
Веб-сервер Apache необходимо настроить на работу по HTTPS.
В системах с уровнем защищенности «Усиленный» (Воронеж) или «Максимальный» (Смоленск):
Для минимизации угроз безопасности в результате эксплуатации уязвимости, в том числе если применение вышеперечисленных мер не представляется возможным, рекомендуется активировать режим Мандатного контроля целостности (МКЦ), включая режим МКЦ на файловой системе.
Для защиты системных компонентов Astra Linux от оказания негативного воздействия на них со стороны скомпрометированных процессов в результате эксплуатации уязвимостей необходимо активировать режим запуска сервиса apache2 на выделенном мандатном уровне целостности посредством инструмента astra-ilev1-control. Описание инструмента приведено в man astra-ilev1-control.
Добавление корневого сертификата удостоверяющего центра Минцифры России
Описанные ниже действия не обязательны и выполняются по необходимости.
Добавление корневого сертификата необходимо выполнить после установки пакета ca-certificates-local и для каждого пользователя.
Добавление корневого сертификата в Firefox
- Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox.
- В адресную строку ввести "
about:preferences" и нажать клавишу <Enter>. - На открывшейся странице в левом поле выбрать пункт Приватность и защита и в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов].
- В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [Импортировать...].
- В открывшемся окне импорта выбрать файл
/usr/share/ca-certificates/mozilla/rootca_MinDDC_rsa2022.crtи нажать на кнопку [Открыть]. - В открывшемся окне Загрузка сертификата установить флаг Доверять при идентификации веб-сайтов и нажать на кнопку [ОК].
- В окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [ОК].
Чтобы проверить наличие сертификата удостоверяющего центра Минцифры России, необходимо снова в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов]. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и удостовериться в наличии строк:
The Ministry of Digital Development and Communications Russian Trusted Root CA
Добавление корневого сертификата в Chromium
- Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium.
- В адресную строку ввести "
chrome://settings/certificates" и нажать клавишу <Enter>. - На открывшейся странице Настроить сертификаты в правом поле открыть вкладку Центры сертификации и нажать на кнопку [Импорт].
- В открывшемся окне импорта выбрать файл
/usr/share/ca-certificates/mozilla/rootca_MinDDC_rsa2022.crtи нажать на кнопку [Открыть]. - В открывшемся окне настройки доверия установить флаг Доверять этому сертификату при идентификации сайтов и нажать на кнопку [ОК].
После успешного добавления корневого сертификата на странице Настроить сертификаты во вкладке Центры сертификации появятся следующие строки:
org-The Ministry of Digital Development and Communications Russian Trusted Root CA