Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.
Перед выполнением действий настоящей методики безопасности необходимо установить оперативное обновление 4.7.3.UU.1 (БЮЛЛЕТЕНЬ № 2023-0131SE47MD).
Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, включены в состав оперативного обновления 4.7.3.UU.2 (БЮЛЛЕТЕНЬ № 2023-0316SE47MD).
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости службы сервера FreeIPA
Информация об уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения в техническую поддержку.
ВНИМАНИЕ!
В системах с включенным механизмом мандатного контроля целостности обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
Для нейтрализации угрозы эксплуатации уязвимости службы сервера FreeIPA на каждом сервере (реплике) необходимо выполнить действия, описанные ниже.
Уточнить наименование домена командой:
astra-freeipa-server -iПример вывода после выполнения команды:Обнаружен настроенный домен my.domain.local WEB: https://dc.my.domain.local
- Изменить ACL (список прав доступа) атрибута
userPassword
сanyone
(все пользователи) наall
(только аутентифицированные пользователи), для чего использовать команду ldapmodify. Например, в интерактивном режиме:Запустить инструмент командной строки
ldapmodify
:ldapmodify -D "cn=Directory Manager" -WВвести пароль администратора домена;
После успешной аутентификации никакие сообщения, включая приглашение для ввода, не выводятся.Ввести следующие строки:
dn: <компоненты_наименования_домена> changetype: modify delete: aci aci: (targetattr = "userPassword")(version 3.0; acl "Users can read attr userPassword"; allow (read, compare,search) groupdn = "ldap:///anyone";) - add: aci aci: (targetattr = "userPassword")(version 3.0; acl "Users can read attr userPassword"; allow (read, compare,search) groupdn = "ldap:///all";) -
где <компоненты_наименования_домена> - запись вида:
dc=<N-й_компонент_наименования_домена>,...,dc=<2-й_компонент_наименования_домена>,dc=<1-й_компонент_наименования_домена>
для примера, приведенного выше (имя домена my.domain.local), строка будет иметь вид:
dn: dc=my,dc=domain,dc=local
Нажать клавишу <ENTER> (дважды) . О внесении изменений в настройки свидетельствует следующее сообщение:
modifying entry "<компоненты_наименования_домена>"
Завершить работу инструмента командной строки
ldapmodify
, например, нажав комбинацию клавиш <Ctrl+D>.
Независимо от применения настоящей методики рекомендуется установить настройки сложности пароля не ниже, чем:
- минимальная длина пароля — 8 символов;
- количество классов символов, используемых в пароле, — не менее чем два класса символов. Применяются следующие классы символов:
- буквы верхнего регистра;
- буквы нижнего регистра;
- цифры;
- специальные символы;
- пробелы и непечатаемые символы.
После применения настоящей методики рекомендуется сменить пароли пользователей.