Оглавление
Настоящее обновление безопасности предназначено для нейтрализации угрозы эксплуатации уязвимости в Astra Linux с установленным оперативным обновлением 12 (БЮЛЛЕТЕНЬ № 20221220SE16).
Настоящее обновление безопасности не является кумулятивным.
При применении данного обновления другие виды обновлений автоматически не применяются и должны быть установлены отдельно.
Настоящее обновление безопасности содержит пакеты, в которых устранены угрозы эксплуатации уязвимостей СУБД Redis.
Кроме того, реализованы улучшения функциональности следующего программного обеспечения:
- Chromium;
- LibreOffice;
- Службы управления аутентификацией и авторизацией (System Security Services Daemon – SSSD).
Если в системе используется программное обеспечение, разработанное с использованием средств разработки, необходимо дополнительно выполнить обновление программного обеспечения диска со средствами разработки.
Подготовка к установке обновления
Перед установкой обновлений:
- ознакомиться с настоящей инструкцией;
- ознакомиться с инструкцией: fly-astra-update и astra-update - инструменты для установки обновлений.
Обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
Установка обновления программного обеспечения установочного диска
Загрузка и проверка tar-архива с обновлением
Скачать tar-архив с обновлением с помощью веб-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.12/iso/20230525SE16MD.tar.gz
либо выполнив команду:wget https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.12/iso/20230525SE16MD.tar.gz- Перейти в каталог с tar-архивом 20230525SE16MD.tar.gz и выполнить проверку. Возможные варианты проверки:
проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
gostsum 20230525SE16MD.tar.gzКонтрольная сумма:
- проверка отсоединенной электронной подписи посредством ПО КриптоПро CSP.
Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
Порядок проверки:скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью веб-браузера по по ссылке, представленной в личном кабинете;
- загруженную электронную подпись поместить в каталог c tar-архивом 20230525SE16MD.tar.gz,
перейти в каталог c tar-архивом 20230525SE16MD.tar.gz и выполнить проверку, указав в качестве хранилища сертификатов непосредственно саму подпись (ключ -f <имя_файла_подписи>):
/opt/cprocsp/bin/amd64/cryptcp -verify -detached 20230525SE16MD.tar.gz 20230525SE16MD.tar.gz.sig -f 20230525SE16MD.tar.gz.sigВ процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.
Сообщение вида:
Подпись проверена. [ErrorCode: 0x00000000]
говорит о том, что проверка подписи завершена успешно.
Установка обновления
Распаковать архив, например, в каталог
/mnt/20230525SE16MD
, Для этого необходимо последовательно выполнить команды:sudo mkdir /mnt/20230525SE16MD
sudo tar xzvf 20230525SE16MD.tar.gz -C /mnt/20230525SE16MD/
Полученный в результате распаковки tar-архива каталог 20230525SE16MD дополнительно подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог
/mnt/20230525SE16MD/
, необходимо:с помощью текстового редактора в файле
/etc/apt/sources.list
добавить строку вида:deb file:/mnt/20230525SE16MD/ smolensk main contrib non-free
либо выполнить команду:
echo "deb file:/mnt/20230525SE16MD/ smolensk main contrib non-free" | sudo tee -a /etc/apt/sources.listзатем выполнить повторную синхронизацию файлов описаний пакетов с их источником:
sudo apt update
После подключения репозитория, обновление пакетов может быть установлено одной из следующих команд:
- sudo astra-update -a -r
- sudo apt dist-upgrade
Установка обновления программного обеспечения диска со средствами разработки
Загрузка и проверка tar-архива с обновлением
Скачать tar-архив с обновлением с помощью веб-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.12/iso/20230525SE16MD-devel.tar.gz
либо выполнив команду:wget https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.12/iso/20230525SE16MD-devel.tar.gz- Перейти в каталог с tar-архивом 20230525SE16MD-devel.tar.gz и выполнить проверку. Возможные варианты проверки:
проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
gostsum 20230525SE16MD-devel.tar.gzКонтрольная сумма:
- проверка отсоединенной электронной подписи посредством ПО КриптоПро CSP.
Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
Порядок проверки:скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью веб-браузера по по ссылке, представленной в личном кабинете;
- загруженную электронную подпись поместить в каталог c tar-архивом 20230525SE16MD-devel.tar.gz,
перейти в каталог c tar-архивом 20230525SE16MD-devel.tar.gz и выполнить проверку, указав в качестве хранилища сертификатов непосредственно саму подпись (ключ -f <имя_файла_подписи>):
/opt/cprocsp/bin/amd64/cryptcp -verify -detached 20230525SE16MD-devel.tar.gz 20230525SE16MD-devel.tar.gz.sig -f 20230525SE16MD-devel.tar.gz.sigВ процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.
Сообщение вида:
Подпись проверена. [ErrorCode: 0x00000000]
говорит о том, что проверка подписи завершена успешно.
Установка обновления
Распаковать архив, например, в каталог
/mnt/20230525SE16MD-devel
, Для этого необходимо последовательно выполнить команды:sudo mkdir /mnt/20230525SE16MD-devel
sudo tar xzvf 20230525SE16MD-devel.tar.gz -C /mnt/20230525SE16MD-devel/
Полученный в результате распаковки tar-архива каталог
/mnt/20230525SE16MD-devel
дополнительно подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог/mnt/20230525SE16MD/
, необходимо:с помощью текстового редактора в файле
/etc/apt/sources.list
добавить строку вида:deb file:/mnt/20230525SE16MD/ smolensk main contrib non-free
либо выполнить команду:
echo "deb file:/mnt/20230525SE16MD-devel
smolensk main contrib non-free" | sudo tee -a /etc/apt/sources.listзатем выполнить повторную синхронизацию файлов описаний пакетов с их источником:
sudo apt update
После подключения репозитория, обновление пакетов может быть установлено одной из следующих команд:
- sudo astra-update -a -r
- sudo apt dist-upgrade
Завершение установки обновления
После выполнения обновления необходимо перезагрузить систему.
Внимание
После успешной установки обновления проверка целостности программных пакетов установочного диска осуществляется утилитой fly-admin-int-check
с применением файла gostsums.txt
, расположенного в распакованном каталоге 20230525SE16MD.