БЮЛЛЕТЕНЬ № 20190529SE15
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (версия 1.5) в информационных системах.
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета busybox.
Для предотвращения эксплуатации указанной уязвимости необходимо ограничить доступ к утилите busybox всем, кроме пользователей, входящих в группу astra-admin,
для чего нужно выполнить от имени учетной записи администратора ОС СН с высоким уровнем целостности следующие команды:
chmod g+rx /bin/busybox
chmod o-rx /bin/busybox
БЮЛЛЕТЕНЬ № 20190329SE15
Кумулятивное обновление (содержит в себе обновления №31082018SE15,
№29032017SE15,
№16092016SE15,№27102017SE15,№02032018SE15 и №27082018SE15
) для нейтрализации угроз эксплуатации и уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5). Необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже.
Обновление диска со средствами разработки
Соответствующее бюллетеню № 20190329SE15 обновление диска со средствами разработки доступно по сслыке
1. Загрузить образ диска с обновлениями по ссылке
2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:
f0a193280a5314bab8243d13463fed4ffd40f7981f5b86c1ca34a9e05354c57f -
Обновление безопасности подписано усиленной квалифицированной электронной подписью АО "НПО РусБИТех", выданной удостоверяющим центром Министерства Обороны Российской Федерации (Скачать). Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, размещенные на сайте: https://structure.mil.ru/structure/UC/certificate.htm
Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск
операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5)
3. выполнить команды:
sudo mount /mnt/20190329SE15.iso /media/cdrom
sudo apt-cdrom -m add
Внимание
sudo apt-get update
sudo apt-get dist-upgrade
Внимание
БЮЛЛЕТЕНЬ № 31082018SE15
Кумулятивное обновление (содержит в себе обновление №29032017SE15,
№16092016SE15,№27102017SE15,№02032018SE15 и №27082018SE15
) для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5). Необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже.
Обновление диска со средствами разработки
Соответствующее бюллетеню № 31082018SE15 обновление диска со средствами разработки доступно по сслыке
1. Загрузить образ диска с обновлениями по ссылке
2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:
Обновление безопасности подписано усиленной квалифицированной электронной подписью АО "НПО РусБИТех", выданной удостоверяющим центром Министерства Обороны Российской Федерации (Скачать). Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, размещенные на сайте: https://structure.mil.ru/structure/UC/certificate.htm
Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск
операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5)
3. выполнить команды:
sudo mount /mnt/31082018se15.iso /media/cdrom
sudo apt-cdrom -m add
Внимание
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.
sudo apt-get update
sudo apt-get dist-upgrade
Внимание!
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями.
БЮЛЛЕТЕНЬ № 27082018SE15
Для предотвращения возможности подключения отчуждаемых носителей в нарушение установленных политик безопасности дискреционного разграничения доступа необходимо в папку /etc/polkit-1/localauthority/10-vendor.d/ поместить файл ru.rusbitech.noudisksmount.pkla со следующим содержимым:
[Disable mount for limited users] Identity=unix-user:* Action=org.freedesktop.udisks.filesystem-mount ResultActive=auth_admin
БЮЛЛЕТЕНЬ № 02032018SE15
Кумулятивное обновление (содержит в себе обновления №27102017SE15,№29032017SE15, №16092016SE15) для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5). Для минимизации рисков эксплуатации уязвимостей микропроцессоров Meltdown (CVE-2017-5754) и Spectre v2 (CVE-2017-5715) в состав данного обновления включено ядро linux 4.2.0-24.
Обновление диска со средствами разработки
Соответствующее бюллетеню № 02032018SE15 обновление диска со средствами разработки доступно по сслыке
В связи с серьезными изменениями в части своего интерфейса это ядро устанавливается дополнительно к linux 4.2.0-23 и не загружается по умолчанию. Стороннее программное обеспечение, содержащее в своем составе модули ядра, скомпилированные для ядра 4.2.0-23, может работать некорректно и потребовать перекомпиляции.
Также для повышения безопасности при эксплуатации операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01, рекомендуется выполнить дополнительные настройки, размещенные в разделе Astra Linux SE (ОС СН) Смоленск 1.5 Red-Book.
Необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже.
1. Загрузить образ диска с обновлениями по ссылке
2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:
Контрольная сумма:
3f05fae712288a5d65d16b141a95a16726031fa76409a7910847a389f8226627
Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск
операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5)
3. выполнить команды:
sudo mount /mnt/02032018se15.iso /media/cdrom
sudo apt-cdrom -m add
Внимание
На время установки обновления необходимо снять запрет на установку SUID бита в политиках безопасности.
sudo apt-get update
sudo apt-get dist-upgrade
Внимание!
В случае, если на компьютере установлена СУБД PostgreSQL из состава операционной системы, после обновления необходимо выполнить:
sudo chmod +x /usr/share/postgresql-common/pg_ctlcluster
sudo apt-get -f install
Внимание!
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями.
БЮЛЛЕТЕНЬ № 27102017SE15
Кумулятивное обновление (содержит в себе обновление №29032017SE15
и №16092016SE15
) для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5). Необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже.
1. Загрузить образ диска с обновлениями по ссылке
2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:
Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск
операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5)
3. выполнить команды:
sudo mount /mnt/27102017se15.iso /media/cdrom
sudo apt-cdrom -m add
Внимание
На время установки обновления необходимо снять запрет на установку SUID бита в политиках безопасности.
sudo apt-get update
sudo apt-get dist-upgrade
Внимание!
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями.
БЮЛЛЕТЕНЬ № 01062017SE15
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (версия 1.5) в информационных системах.
Методика безопасности, нейтрализующая уязвимость CVE-2017-7494
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета samba. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН добавить строку:
nt pipe support = no
в секцию [global] конфигурационного файла /etc/samba/smb.conf
БЮЛЛЕТЕНЬ № 29032017SE15
Кумулятивное обновление (содержит в себе обновление № 16092016SE15) для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5). Необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже.
1. Загрузить образ диска с обновлениями по ссылке
Скачать
2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:
093cd34500d1070cd9ef6d9367e230d45b82d890e89237aeaa8fcc1d1acd395c
Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск
операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5)
Контрольная сумма iso-образа обновления безопасности № 2
, рассчитанная с использованием Программы фиксации и контроля исходного состояния программного комплекса «ФИКС-UNIX 1.0» 643.53132931.501492-01 (далее по тексту — программа «ФИКС-UNIX 1.0») по алгоритму «Уровень-3», должна соответствовать значению:9032017se15
C74BE35C
Подсчет контрольной суммы iso-образа обновления безопасности № 2
с использованием программы «ФИКС-UNIX 1.0» по алгоритму «Уровень-3» должен осуществляться пользователем с правами администратора на рабочей станции, под управлением ОС СН «Astra Linux Special Edition» РУСБ.10015-01, в следующей9032017se15
последовательности:
Поместить загруженный iso-образ в каталог /mnt на обновляемой системе;
Выполнить в командной строке:
sudo mount /mnt/29032017se15.iso
/media/cdrom
ufix
), и выполнить следующие команды:./ufix -jR /media/cdrom > /tmp/29032017se15.txt
./ufix -e /tmp/29032017se15.txt /tmp/29032017se15.prj
./ufix -h /tmp/29032017se15.prj /tmp/29032017se15_Report.html
firefox /tmp/29032017se15_Report.html
Сравнить значение контрольной суммы в строке «ВСЕГО», выданное на экран, со значением, указанным выше
3. выполнить команды:
sudo mount /mnt/29032017se15.iso /media/cdrom
sudo apt-cdrom -m add
на вопрос об имени диска ввести "29032017se15"
sudo apt-get update
sudo apt-get dist-upgrade
Внимание!
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями.
Примечание
После установки обновления, если запущен контроллер домена, необходимо выполнить команду:ald-init restart
для контроллера домена, и:ald-client restart
для клиента домена.
БЮЛЛЕТЕНЬ № 16092016SE15
Для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5) в информационных системах необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже.
1. Загрузить образ диска с обновлениями по ссылке
Скачать
2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:
gostsum -d /mnt/essential_and_additional_bin.iso
Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5)
3. выполнить команды:
sudo mount /mnt/essential_and_additional_bin.iso /media/cdrom
sudo apt-cdrom -m add
sudo apt-get update
sudo apt-get dist-upgrade
Внимание!
В случае, если по каким-то причинам провести обновление программных пакетов указанным выше способом невозможно, выполните методические указания приведенные ниже: