Настоящее обновление безопасности содержит пакеты, в которых устранены угрозы эксплуатации уязвимостей веб-браузера Chromium.
Перечень уязвимостей, закрываемых обновлением, предоставляется в личном кабинете пользователя.
Настоящее обновление безопасности не является кумулятивным. При применении данного обновления другие виды обновлений автоматически не применяются и должны быть установлены отдельно.
Перед установкой настоящего обновления безопасности необходимо установить срочное оперативное обновление 4.7.4.UU.1 (БЮЛЛЕТЕНЬ № 2023-0907SE47).
В случае применения (установки) оперативного обновления безопасности необходимо указать номер применяемого бюллетеня в разделе формуляра экземпляра Astra Linux (например, в разделе «Сведения о бюллетенях») или же в паспорте средства вычислительной техники, функционирующего под управлением Astra Linux.
После успешной установки обновления (в том числе, после установки обновления базового репозитория) проверка целостности программных пакетов установочного диска (основного репозитория - main) осуществляется утилитой fly-admin-int-check с применением файла gostsums.txt, расположенного в распакованном каталоге 2023-1227SE47MD.
Оглавление
Подготовка к установке обновления
Перед установкой обновлений:
- ознакомиться с настоящей инструкцией;
- ознакомиться с инструкцией: fly-astra-update и astra-update - инструменты для установки обновлений.
Установка обновления пакетов основного репозитория (main)
Загрузка и проверка tar-архива с обновлением основного репозитория (main)
Скачать tar-архив с обновлением с помощью веб-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/2023-1227SE47MD.tgz
либо выполнив команду:wget https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/2023-1227SE47MD.tgz- Перейти в каталог с загруженным tar-архивом и выполнить проверку. Возможные варианты проверки:
проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
gostsum 2023-1227SE47MD.tgzКонтрольная сумма:
- проверка отсоединенной электронной подписи tar-архива посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
Порядок проверки:скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью веб-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/2023-1227SE47MD.tgz.sig
либо выполнив команду:wget https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/2023-1227SE47MD.tgz.sig- загруженную электронную подпись поместить в каталог с загруженным tar-архивом;
перейти в каталог с загруженным tar-архивом и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):
/opt/cprocsp/bin/aarch64/cryptcp -verify -detached 2023-1227SE47MD.tgz 2023-1227SE47MD.tgz.sig -f 2023-1227SE47MD.tgz.sigВ процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.
Сообщение вида:
Подпись проверена. [ErrorCode: 0x00000000]
говорит о том, что проверка подписи завершена успешно.
Установка обновления
- Перейти в каталог с загруженным tar-архивом;
Распаковать архив, например, в каталог
/mnt/, выполнив команду:sudo tar xzvf 2023-1227SE47MD.tgz -C /mnt/Полученный в результате распаковки tar-архива каталог
2023-1227SE47MDподключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог/mnt/2023-1227SE47MD/, необходимо в файле/etc/apt/sources.listдобавить строку вида:deb file:/mnt/2023-1227SE47MD/ 4.7_arm <название_аппаратно_зависимого_компонента> main contrib non-free
Пример для аппаратно-зависимого компонента
baikal1:deb file:/mnt/2023-1227SE47MD/ 4.7_arm baikal1 main contrib non-free
и выполнить команду
sudo apt updateПосле подключения репозитория, обновление пакетов может быть установлено одной из следующих команд:
- sudo astra-update -a -r -T
(предварительно должен быть установлен инструмент командной строки
astra-update); - sudo apt dist-upgrade
Установка обновления пакетов базового репозитория (base)
Загрузка и проверка tar-архива с обновлением базового репозитория (base)
Скачать tar-архив с обновлением с помощью веб-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/base-2023-1227SE47MD.tgz
либо выполнив команду:wget https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/base-2023-1227SE47MD.tgz- Перейти в каталог с загруженным tar-архивом и выполнить проверку. Возможные варианты проверки:
проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
gostsum base-2023-1227SE47MD.tgzКонтрольная сумма:
- проверка отсоединенной электронной подписи tar-архива посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
Порядок проверки:скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью веб-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/base-2023-1227SE47MD.tgz.sig
либо выполнив команду:wget https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/base-2023-1227SE47MD.tgz.sig- загруженную электронную подпись поместить в каталог с загруженным tar-архивом;
перейти в каталог с загруженным tar-архивом и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):
/opt/cprocsp/bin/aarch64/cryptcp -verify -detached base-2023-1227SE47MD.tgz base-2023-1227SE47MD.tgz.sig -f base-2023-1227SE47MD.tgz.sigВ процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.
Сообщение вида:
Подпись проверена. [ErrorCode: 0x00000000]
говорит о том, что проверка подписи завершена успешно.
Установка обновления
- Перейти в каталог с загруженным tar-архивом;
Распаковать архив, например, в каталог
/mnt/, выполнив команду:sudo tar xzvf base-2023-1227SE47MD.tgz -C /mnt/Полученный в результате распаковки tar-архива каталог
base-2023-1227SE47MDподключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог/mnt/base-2023-1227SE47MD/, необходимо в файле/etc/apt/sources.listдобавить строку вида:deb file:/mnt/base-2023-1227SE47MD/ 4.7_arm <название_аппаратно_зависимого_компонента> main contrib non-free
Пример для аппаратно-зависимого компонента
baikal1:deb file:/mnt/base-2023-1227SE47MD/ 4.7_arm baikal1 main contrib non-free
и выполнить команду
sudo apt updateПосле подключения репозитория, обновление пакетов может быть установлено одной из следующих команд:
- sudo astra-update -a -r -T
(предварительно должен быть установлен инструмент командной строки
astra-update); - sudo apt dist-upgrade
Завершение установки обновления
После выполнения обновления перезагрузить систему.