Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимости путём обновления пакетов. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. В последующем, эти пакеты войдут в состав следующего оперативного обновления.
Для установки обновления используется инструмент командной строки astra-scripts
(необходимо установить, если был ранее удалён).
Если обновить пакеты не представляется возможным, то необходимо снять SUID-бит файла /usr/bin/pkexec, выполнив команду:
Порядок применения методики безопасности
- Скачать tar-архив с помощью WEB-браузера по следующей ссылке;
- Перейти в каталог с полученным tar-архивом;
Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:
gostsum 2022-0128ce212md.tar.gzКонтрольная сумма:1ae8f96727dde51b75d101ab07fee9bb33b78ad591865078c1ee9603a4370f64
Распаковать архив, например, в каталог /mnt/2022-0128CE212MD, выполнив команды:
sudo mkdir /mnt/2022-0128CE212MD
sudo tar xzvf 2022-0128ce212md.tar.gz -C /mnt/2022-0128CE212MD
Перейти в каталог /mnt/2022-0128CE212MD:
cd /mnt/2022-0128CE212MDУстановить обновление командой:
sudo astra-debs-update-installed
Предупреждение "Download is performed unsandboxed"/"Загрузка без ограничения песочницы" при установке обновления
При установке пакетов из файлов с помощью команды apt (используемой инструментом командной строки astra-scripts
) пакеты и их зависимости устанавливаются автоматически, но при успешном завершении установки выдается предупреждение:
N: Download is performed unsandboxed as root as file ... couldn't be accessed by user '_apt'. - pkgAcquire::Run (13: Отказано в доступе)
или
N: Загрузка выполняется от лица суперпользователя без ограничений песочницы, так как файл «...» недоступен для пользователя «_apt». - pkgAcquire::Run (13: Отказано в доступе)
Это предупреждение о том, что программа установщик, не имея нужных прав доступа к текущему каталогу, вынуждена была получить привилегии root
для выполнения установки. Установка при этом завершается успешно, и предупреждение можно игнорировать, однако с точки зрения безопасности, правильнее по возможности исключить работу с привилегиями root
. Для того, чтобы исключить это предупреждение, нужно на время выполнения установки предоставить служебному пользователю _apt
права на доступ к текущему каталогу. Примерный сценарий (предполагается, что tar-архив был распакован в каталог /mnt/2022-0128CE212MD):
cd /mnt/2022-0128CE212MD
sudo astra-debs-update-installed
sudo setfacl -x u:_apt /mnt/2022-0128CE212MD