Содержание

Skip to end of metadata
Go to start of metadata

Кумулятивное обновление для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.6).

Перед установкой обновлений рекомендуется ознакомиться с подробной инструкцией по
установке обновлений ОС Astra Linux с компакт-дисков.


Для установки обновления необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже. 

1. Загрузить образ диска с обновлениями по ссылке:

Скачать

2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:

gostsum -d /mnt/20190222se16.iso

Контрольная сумма:

941178bbf4cf7ff146724d3105ffd690df022a52bab660566a8a9974f95dfcd6

Обновление безопасности подписано усиленной квалифицированной электронной подписью АО "НПО РусБИТех" с использованием ключевого комплекта, выданного удостоверяющим центром Министерства Обороны Российской Федерации (Скачать).
Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, размещенные на сайте: https://structure.mil.ru/structure/UC/certificate.htm


Внимание

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.
Для полного завершения обновления потребуется установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.6)

3. Если при установке обновления не используется репозиторий основной системы, то необходимо убедиться  в том, что зарегистрирован и доступен установочный диск, для чего
просто установить его в привод компакт-дисков (монтировать не надо) и выполнить команду:

sudo apt-cdrom add
4. Если для установки обновления файл ISO-образа переписан на компакт-диск, описанную выше процедуру регистрации  повторить для всех компакт-дисков.

5. Если для обновления используются файлы с ISO-образами дисков, то для каждого образа нужно выполнить аналогичную процедуру регистрации, предварительно смонтировав, а потом отмонтировав образ:

sudo mount /mnt/20190222se16.iso /media/cdrom
sudo apt-cdrom -m add
sudo umount /media/cdrom
на вопрос об имени диска ввести "20190222se16".

Можно не использовать ключ -m, тогда команда apt-cdrom начиная работу сама отмонтирует ранее установленный диск, выдаст запрос на установку нового диска, а после завершения - отмонтирует установленный диск.
При этом образы дисков по запросу команды apt-cdrom можно монтировать по из параллельной терминальной сессии.

Описанные процедуры регистрации компакт-дисков и образов должны быть выполнены для всех компакт-дисков и образов, использующихся для обновления.


В процессе установки обновления может потребоваться замена диска/образа диска, с которого происходит установка.
Программа установки предупредит об этом, попросит вставить диск и нажать Enter.

При установке с использованием компакт-диска дистрибутива ОС ОН Смоленск 1.6 и файла - образа диска с обновлениями переключать носители не потребуется.

При установке с использованием иных вариантов носителей может потребоваться заменять носители в соответствии с указаниями программы.
При этом компакт-диски просто заменяются в приводе компакт-дисков, а для подключения файлов с образами дисков их нужно будет монтировать в каталог /media/cdrom так же, как и при регистрации:

sudo mount /mnt/20190222se16.iso /media/cdrom

6. После завершения регистрации всех компакт-дисков и образов выполнить команды:

sudo apt update
sudo apt dist-upgrade
sudo apt -f install
По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией.


После выполнения обновления рекомендуется перезагрузить систему.

После завершения выполнения указанных команд обновление операционной системы будет выполнено .

Внимание

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями.

Для упрощения адаптации пользователей к особенностям реализации мандатного контроля целостности, при установке обновления значение мандатного атрибута ccnri принудительно фиксируется во включенном состоянии для всех каталогов файловой системы. Мандатный атрибут ccnri определяет, что контейнер может содержать сущности с различными уровнями целостности, но не большими, чем его собственный уровень целостности и применяется только к контейнерам  (каталогам файловой системы). 

 Список уязвимостей, закрываемых обновлением

curl

  • CVE-2018-16842

Libcurl

  • CVE-2018-16890
  • CVE-2019-3822
  • CVE-2019-3823

HPLIP

  • CVE-2015-0839

GD Graphics Library

  • CVE-2018-1000222
  • CVE-2018-5711

fly-admin-autostart

  • ASE16:2019-0201

astra-openvpn-server

  • ASE16:2019-0202

dpkg

  • ASE16:2019-0203

fly-admin-smc

  • ASE16:2019-0204

fly-admin-viewaudit

  • ASE16:2019-0205

fly-admin-reflex

  • ASE16:2019-0206

libgost-astra

  • ASE16:2019-0207

libpam-pwquality

  • ASE16:2019-0208

pam

  • ASE16:2019-0209
  • ASE16:2019-0210

tigervnc

  • ASE16:2019-0211

astrase-fix-maildir

  • ASE16:2018-1223

fly-admin-ntp

  • ASE16:2018-1224

fly-admin-printer

  • ASE16:2018-1225

fly-admin-samba

  • ASE16:2018-1226

fly-admin-service-se

  • ASE16:2018-1227

fly-dm

  • ASE16:2018-1228
  • ASE16:2018-1229
  • ASE16:2018-1230

fly-qdm

  • ASE16:2018-1231

fly-weather

  • ASE16:2018-1232

fly-wm

  • ASE16:2018-1233

libparsec-mac-qt5

  • ASE16:2018-1234

libvirt

  • ASE16:2018-1235

linux-astra-modules

  • ASE16:2018-1236
  • ASE16:2018-1237
  • ASE16:2018-1238

opensc

  • ASE16:2018-1239

xorg

  • ASE16:2018-1240
  • No labels