Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10152-02 (очередное обновление 4.7), далее по тексту - Astra Linux, в информационных системах.

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости команды dmidecode

Информация об уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения в техническую поддержку.

Для нейтрализации угрозы эксплуатации уязвимости команды dmidecode необходимо исключить возможность выполнения непривилегированными пользователями команды dmidecode с повышенными привилегиями без запроса пароля. Необходимо провести ревизию файла /etc/sudoers и файлов в каталоге /etc/sudoers.d/  и убедиться, что в файлах отсутствует разрешение на запуск dmidecode с повышенными привилегиями. Для этого выполнить команду:

sudo grep dmidecode /etc/sudoers /etc/sudoers.d/ -r

Если разрешение на запуск dmidecode с повышенными привилегиями отсутствует, то в результате выполнения команды будет пустой вывод.

Строка, предоставляющая привилегии имеет вид:
/etc/sudoers:<группа_пользователей> (ALL) NOPASSWD: /usr/sbin/dmidecode

где <группа_пользователей> – наименование группы, в которую включены непривилегированные пользователи.

Такие строки должны быть удалены или закомментированы;


Для минимизации угроз безопасности в Astra Linux, функционирующей на уровне защищенности «Усиленный» или «Максимальный», рекомендуется включить (если были ранее выключены) следующие функций безопасности системы:

  • мандатный контроль целостности (МКЦ), включая режим МКЦ на файловой системе;
  • замкнутая программная среда (ЗПС);
  • для непривилегированных пользователей активировать блокировку интерпретаторов, в том числе, если возможно —  блокировку интерпретатора bash.

Порядок включения функций безопасности системы представлен в документе РУСБ.10152-02 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».