Оглавление
Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.
Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, будут включены в состав следующего оперативного обновления.
Информация об уязвимостях, закрываемых при выполнении настоящих методических указаний, предоставляется после соответствующего обращения в техническую поддержку.
ВНИМАНИЕ!
При включенной функции подсистемы безопасности «Мандатный контроль целостности» методические указания необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости ядра linux
Общие сведения
Выявлена угроза эксплуатации уязвимости в программном модуле
ravb
(драйвер сетевых устройств Renesas), который загружается в ядро linux. По умолчанию в Astra Linux загрузка данного модуля выключена.
Чтобы проверить загружен ли модуль ravb в ядро linux, необходимо выполнить одну из команд:
- lsmod | grep ravb
- kmod list | grep ravb
Если модуль не загружен, то в результате выполнения команд будет пустой вывод.
Если модуль загружен, то для нейтрализации угрозы эксплуатации уязвимости необходимо запретить загрузку модуля
ravb
в ядро linux.
ВНИМАНИЕ!
После выключения загрузки модуля ravb в ядро linux, использование сетевых устройств Renesas AVB будет невозможно.
Если необходимо обеспечить загрузку драйвера сетевых устройств Renesas AVB в ядро linux, то для нейтрализации угрозы эксплуатации уязвимости необходимо выполнить организационные мероприятия.
Запрет загрузки модуля ravb в ядро linux
Для того чтобы запретить загрузку модуля ravb в ядро linux необходимо выполнить действия, описанные ниже.
- Выгрузить модуль
ravbиз ядра linux. Для этого выполнить одну из команд:- sudo rmmod ravb
- sudo modprobe -r ravb
Добавить модуль
ravbв черный список командой:
sudo echo "blacklist ravb" >> /etc/modprobe.d/blacklist.confОбновить текущий образ
initramfsкомандой:sudo update-initramfs -u- Перезагрузить компьютер.
- Дополнительно выполнить организационные мероприятия.
Дополнительные организационные мероприятия
Если необходимо обеспечить загрузку драйвера сетевых устройств Renesas AVB в ядро linux, то для нейтрализации угрозы эксплуатации уязвимости необходимо выполнить действия, описанные ниже.
- Включить (если ранее не были включены) для непривилегированных пользователей следующие функции безопасности системы:
- блокировка консоли для пользователей;
- блокировка интерпретаторов;
- блокировка макросов.
- Осуществить принудительную смену паролей пользователей.
- Отключить или удалить неиспользуемые учетные записи пользователей, а также учетные записи недоверенных пользователей.
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости браузера Chromium
Для нейтрализации угрозы эксплуатации уязвимости браузера Chromium необходимо придерживаться следующих рекомендаций:
- Запускать веб-браузер Chromium в изолированных контейнерах docker в непривилегированном (rootless) режиме. Работа с Docker в непривилегированном режиме описана в документе РУСБ.10152-02 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».
- Использовать веб-браузер Firefox, входящий в состав Astra Linux.
- Запретить сайтам использование JavaScript и/или задать "белый" список сайтов, которым использование JavaScript будет разрешено. Для этого:
- запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium;
- в адресную строку ввести "
chrome://settings/content/javascript" и нажать клавишу <Enter>; - на открывшейся странице JavaScript установить флаг Запретить сайтам использовать JavaScript;
- на странице JavaScript в секции Разрешить сайтам использовать JavaScript нажать на кнопку [Добавить];
- в открывшемся окне Добавление сайта ввести адрес доверенного сайта (например,
"[*.]astralinux.ru") и нажать на кнопку [Добавить]. Аналогичным образом добавить адреса необходимых сайтов.