Page tree

Оперативное обновление безопасности операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10152-02 (очередное обновление 4.7), далее по тексту - Astra Linux, предназначено для нейтрализации угрозы эксплуатации уязвимостей в информационных системах и совершенствования функциональных возможностей.

Настоящее обновление безопасности содержит пакеты, в которых устранены угрозы эксплуатации уязвимостей веб-браузера Chromium.

Перечень уязвимостей, закрываемых обновлением, предоставляется в личном кабинете пользователя.

Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).

Настоящее обновление безопасности не является кумулятивным. При применении данного обновления другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

Перед установкой настоящего обновления безопасности необходимо установить срочное оперативное обновление 4.7.4.UU.1 (БЮЛЛЕТЕНЬ № 2023-0907SE47).

В случае применения (установки) оперативного обновления безопасности необходимо указать номер применяемого бюллетеня в разделе формуляра экземпляра Astra Linux (например, в разделе «Сведения о бюллетенях») или же в паспорте средства вычислительной техники, функционирующего под управлением Astra Linux. 

После успешной установки обновления (в том числе, после установки обновления базового репозитория) проверка целостности программных пакетов установочного диска (основного репозитория - main) осуществляется утилитой fly-admin-int-check с применением файла gostsums.txt, расположенного в распакованном каталоге 2023-1227SE47MD.

Оглавление

В системах с включенным механизмом мандатного контроля целостности обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.

Подготовка к установке обновления

Перед установкой обновлений:

Установка обновления пакетов основного репозитория (main)

Загрузка и проверка tar-архива с обновлением основного репозитория (main)

  1. Скачать tar-архив с обновлением с помощью веб-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/2023-1227SE47MD.tgz
    либо выполнив команду: 

    wget https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/2023-1227SE47MD.tgz

  2. Перейти в каталог с загруженным tar-архивом и выполнить проверку. Возможные варианты проверки:
    • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

      gostsum 2023-1227SE47MD.tgz

      Контрольная сумма:

      84d1380359f3d090570a9bc120ca9990ca3196501dee1295470e62130f7426f9

    • проверка отсоединенной электронной подписи tar-архива посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
      Порядок проверки:
      1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью веб-браузера по следующей ссылке:
        https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/2023-1227SE47MD.tgz.sig
        либо выполнив команду: 

        wget https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/2023-1227SE47MD.tgz.sig

      2. загруженную электронную подпись поместить в каталог с загруженным tar-архивом;
      3. перейти в каталог с загруженным tar-архивом и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        /opt/cprocsp/bin/aarch64/cryptcp -verify -detached 2023-1227SE47MD.tgz 2023-1227SE47MD.tgz.sig -f 2023-1227SE47MD.tgz.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

         Подпись проверена.
        [ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.

Установка обновления

  1. Перейти в каталог с загруженным tar-архивом;
  2. Распаковать архив, например, в каталог /mnt/, выполнив команду: 

    sudo tar xzvf 2023-1227SE47MD.tgz -C /mnt/

  3. Полученный в результате распаковки tar-архива каталог 2023-1227SE47MD подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог /mnt/2023-1227SE47MD/, необходимо в файле /etc/apt/sources.list добавить строку вида:

    deb file:/mnt/2023-1227SE47MD/ 4.7_arm <название_аппаратно_зависимого_компонента> main contrib non-free

    Пример для аппаратно-зависимого компонента baikal1:

    deb file:/mnt/2023-1227SE47MD/ 4.7_arm baikal1 main contrib non-free

    и выполнить команду 

    sudo apt update

  4. После подключения репозитория, обновление пакетов может быть установлено одной из следующих команд:

    • sudo astra-update -a -r -T

      (предварительно должен быть установлен инструмент командной строки astra-update);

    • sudo apt dist-upgrade

Установка обновления пакетов базового репозитория (base)

Загрузка и проверка tar-архива с обновлением базового репозитория (base)

  1. Скачать tar-архив с обновлением с помощью веб-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/base-2023-1227SE47MD.tgz
    либо выполнив команду: 

    wget https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/base-2023-1227SE47MD.tgz

  2. Перейти в каталог с загруженным tar-архивом и выполнить проверку. Возможные варианты проверки:
    • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

      gostsum base-2023-1227SE47MD.tgz

      Контрольная сумма:

      dc2aea61d1bf9da3c8c1cafccfced01d5bd4878df1adb21febad301a10850450

    • проверка отсоединенной электронной подписи tar-архива посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
      Порядок проверки:
      1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью веб-браузера по следующей ссылке:
        https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/base-2023-1227SE47MD.tgz.sig
        либо выполнив команду: 

        wget https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.4/uu/1/iso/base-2023-1227SE47MD.tgz.sig

      2. загруженную электронную подпись поместить в каталог с загруженным tar-архивом;
      3. перейти в каталог с загруженным tar-архивом и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        /opt/cprocsp/bin/aarch64/cryptcp -verify -detached base-2023-1227SE47MD.tgz base-2023-1227SE47MD.tgz.sig -f base-2023-1227SE47MD.tgz.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

         Подпись проверена.
        [ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.

Установка обновления

  1. Перейти в каталог с загруженным tar-архивом;
  2. Распаковать архив, например, в каталог /mnt/, выполнив команду: 

    sudo tar xzvf base-2023-1227SE47MD.tgz -C /mnt/

  3. Полученный в результате распаковки tar-архива каталог base-2023-1227SE47MD подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог /mnt/base-2023-1227SE47MD/, необходимо в файле /etc/apt/sources.list добавить строку вида:

    deb file:/mnt/base-2023-1227SE47MD/ 4.7_arm <название_аппаратно_зависимого_компонента> main contrib non-free

    Пример для аппаратно-зависимого компонента baikal1:

    deb file:/mnt/base-2023-1227SE47MD/ 4.7_arm baikal1 main contrib non-free

    и выполнить команду 

    sudo apt update

  4. После подключения репозитория, обновление пакетов может быть установлено одной из следующих команд:

    • sudo astra-update -a -r -T

      (предварительно должен быть установлен инструмент командной строки astra-update);

    • sudo apt dist-upgrade

Завершение установки обновления

После выполнения обновления перезагрузить систему.

  • No labels