Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 7 Следующий »

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционных систем специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10, РУСБ.10015-37 (очередное обновление 7.7), далее по тексту - Astra Linux, в информационных системах.

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, будут включены в состав следующего оперативного обновления.

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости программного обеспечения Docker

Информация об уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения в техническую поддержку.

Организационные мероприятия

  1. При работе с программным обеспечением Docker должны использоваться следующие механизмы комплекса защиты информации, интегрированные в Astra Linux:

    • запуск гипервизора контейнеров Docker на пониженном уровне целостности;

    • работа с образами и контейнерами Docker в непривилегированном (rootless) режиме.

    Порядок применения указанных механизмов представлен в статье Установка и администрирование Docker в Astra Linux 1.7.

  2. Отключить или удалить неиспользуемые учетные записи пользователей, а также учетные записи недоверенных пользователей.

  3. Настроить монтирования файловых ресурсов хостовой машины в контейнер таким образом, чтобы предотвратить нежелательные изменения в конфигурации хостовой машины.

    Описание настроек монтирования файловых ресурсов хостовой машины представлено в документе РУСБ.10152-02 95 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство администратора. Часть 1».

  4. Настроить контроль целостности контейнеров и их образов. Для этого следует выполнить действия, описанные в документе РУСБ.10152-02 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».

  5. При создание образа с использованием докерфайла не использовать инструкцию USER.

Дополнительные действия для устранения угрозы эксплуатации уязвимости режима Swarm Mode

  1. В многоузловых кластерах необходимо развернуть глобальный контейнер "pause" для каждой зашифрованной overlay-сети на каждом узле. Для этого при создании сервиса нужно указать образ registry.k8s.io/pause и параметр "-- mode global".

  2. Заблокировать входящий трафик на UDP-порт 4789:

    •  с помощью iptables – добавить правило, выполнив в терминале команду, например такого вида: 

      iptables -A INPUT -m udp —-dport 4789 -m policy --dir in --pol none -j DROP

      После добавления правила необходимо удостоверится в том, что изменения будут сохранены после перезагрузки ОС. Подробнее — см. Сохранение и восстановление правил iptables.
    • с помощью межсетевого экрана ufw – добавить правило, выполнив в терминале следующую команду:

      sudo ufw deny 4789/udp

  3. Необходимо убедиться, что модуль ядра xt_u32 доступен для всех узлов кластера Swarm. Для этого необходимо включить данный модуль путем выполнения команды: $ sudo modprobe xt_u32. Убедиться, что модуль активен $ lsmod | grep xt_u32 и обновить текущий образ initramfs командой: $ sudo update-initramfs -u



CVE-2021-41092
  1. Убедиться, что настройки credsStore или credHelpers в файле конфигурации ссылаются на установленный помощник по учетным данным, который является исполняемым и находится в PATH

  • Нет меток