Справочный центр

Содержание

Skip to end of metadata
Go to start of metadata

Кумулятивное обновление для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.6).

Перед установкой обновлений рекомендуется ознакомиться с подробной инструкцией по
установке обновлений ОС Astra Linux с компакт-дисков.
Всё программное обеспечение, разработанное с использованием обновлений для дисков со средствами разработки, будет корректно функционировать только в среде ОС Astra Linux с установленными соответствующими обновлениями безопасности.
Совместимость версий ПК СВ Брест с обновлениями безопасности ОС СН Astra Linux SE

Для установки обновления необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже. 

1. Загрузить образ диска с обновлениями по ссылке:

Скачать

Обновление диска со средствами разработки, соответствующее бюллетеню № 20190912SE16 доступно по ссылке.

2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:

gostsum -d /mnt/20190912SE16.iso

Контрольная сумма:

f70a610c3d8405218484a621191afdd1902506575319f30e3be640db198a1039

Обновление безопасности подписано усиленной квалифицированной электронной подписью АО "НПО РусБИТех" с использованием ключевого комплекта, выданного удостоверяющим центром Министерства Обороны Российской Федерации (Скачать).
Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, размещенные на сайте: https://structure.mil.ru/structure/UC/certificate.htm


Внимание

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.
Для полного завершения обновления потребуется установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.6)

3. Если при установке обновления не используется репозиторий основной системы, то необходимо убедиться  в том, что зарегистрирован и доступен установочный диск, для чего
просто установить его в привод компакт-дисков (монтировать не надо) и выполнить команду:

sudo apt-cdrom add
4. Если для установки обновления файл ISO-образа переписан на компакт-диск, описанную выше процедуру регистрации  повторить для всех компакт-дисков.

5. Если для обновления используются файлы с ISO-образами дисков, то для каждого образа нужно выполнить аналогичную процедуру регистрации, предварительно смонтировав, а потом отмонтировав образ:

sudo mount /mnt/20190912SE16.iso /media/cdrom
sudo apt-cdrom -m add
sudo umount /media/cdrom
на вопрос об имени диска ввести "20190912SE16".

Можно не использовать ключ -m, тогда команда apt-cdrom начиная работу сама отмонтирует ранее установленный диск, выдаст запрос на установку нового диска, а после завершения - отмонтирует установленный диск.
При этом образы дисков по запросу команды apt-cdrom можно монтировать по из параллельной терминальной сессии.

Описанные процедуры регистрации компакт-дисков и образов должны быть выполнены для всех компакт-дисков и образов, использующихся для обновления.


В процессе установки обновления может потребоваться замена диска/образа диска, с которого происходит установка.
Программа установки предупредит об этом, попросит вставить диск и нажать Enter.

При установке с использованием компакт-диска дистрибутива ОС ОН Смоленск 1.6 и файла - образа диска с обновлениями переключать носители не потребуется.

При установке с использованием иных вариантов носителей может потребоваться заменять носители в соответствии с указаниями программы.
При этом компакт-диски просто заменяются в приводе компакт-дисков, а для подключения файлов с образами дисков их нужно будет монтировать в каталог /media/cdrom так же, как и при регистрации:

sudo mount /mnt/20190912SE16.iso /media/cdrom

6. После завершения регистрации всех компакт-дисков и образов запустить сессию суперпользователя и в этой сессии выполнить команды:

sudo -s
apt update
apt dist-upgrade
apt -f install
По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией.

После выполнения обновления рекомендуется перезагрузить систему.

После перезагрузки ОС рекомендуется проверить успех обновления:

sudo apt-get check
и, при необходимости, повторно выполнить команду
sudo apt -f install
После завершения выполнения указанных команд обновление операционной системы будет выполнено .


После установки обновления безопасности изменятся и не будут совпадать контрольные суммы некоторых файлов, входящих в пакеты fly-admin-winprops и fly-winprops-service. Для устранения этой проблемы после установки обновления безопасности следует обновить указанные пакеты следующими командами:

sudo apt install --reinstall fly-admin-winprops
sudo apt install --reinstall fly-winprops-service


Внимание

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями.

Для упрощения адаптации пользователей к особенностям реализации мандатного контроля целостности, при установке обновления значение мандатного атрибута ccnri принудительно фиксируется во включенном состоянии для всех каталогов файловой системы. Мандатный атрибут ccnri определяет, что контейнер может содержать сущности с различными уровнями целостности, но не большими, чем его собственный уровень целостности и применяется только к контейнерам  (каталогам файловой системы). 

 Список уязвимостей, закрываемых обновлением

apache2

CVE-2019-0220, CVE-2019-0217, CVE-2019-0211, CVE-2019-0196, CVE-2018-17189, CVE-2018-17199

atftp

CVE-2019-11366, CVE-2019-11365

bind9

CVE-2018-5744, CVE-2018-5745, CVE-2019-6465, CVE-2018-5740, CVE-2018-5738, CVE-2016-8864

chromium

CVE-2019-5787, CVE-2019-5788, CVE-2019-5789, CVE-2019-5790, CVE-2019-5791, CVE-2019-5792, CVE-2019-5793, CVE-2019-5794, CVE-2019-5795, CVE-2019-5796, CVE-2019-5797, CVE-2019-5798, CVE-2019-5799, CVE-2019-5800, CVE-2019-5802, CVE-2019-5803, CVE-2019-5786, CVE-2019-5784, CVE-2018-17481, CVE-2019-5754, CVE-2019-5755, CVE-2019-5756, CVE-2019-5757, CVE-2019-5758, CVE-2019-5759, CVE-2019-5760, CVE-2019-5762, CVE-2019-5763, CVE-2019-5764, CVE-2019-5765, CVE-2019-5766, CVE-2019-5767, CVE-2019-5768, CVE-2019-5769, CVE-2019-5770, CVE-2019-5772, CVE-2019-5773, CVE-2019-5774, CVE-2019-5775, CVE-2019-5776, CVE-2019-5777, CVE-2019-5778, CVE-2019-5779, CVE-2019-5780, CVE-2019-5781, CVE-2019-5782, CVE-2019-5783, CVE-2018-17480, CVE-2018-17481, CVE-2018-18335, CVE-2018-18336, CVE-2018-18337, CVE-2018-18338, CVE-2018-18339, CVE-2018-18340, CVE-2018-18341, CVE-2018-18342, CVE-2018-18343, CVE-2018-18344, CVE-2018-18345, CVE-2018-18346, CVE-2018-18347, CVE-2018-18348, CVE-2018-18349, CVE-2018-18350, CVE-2018-18351, CVE-2018-18352, CVE-2018-18353, CVE-2018-18354, CVE-2018-18355, CVE-2018-18356, CVE-2018-18357, CVE-2018-18358, CVE-2018-18359, CVE-2018-17479, CVE-2018-17478

cups

CVE-2017-18248, CVE-2018-4700

dbus

CVE-2019-12749

dovecot

CVE-2019-11500, CVE-2019-7524, CVE-2019-3814, CVE-2017-14461, CVE-2017-15130, CVE-2017-15132

exim4

CVE-2019-10149 CVE-2019-15846

expat

CVE-2018-20843

ffmpeg

CVE-2019-9718, CVE-2019-11338, CVE-2018-1999011, CVE-2018-15822

firefox

CVE-2019-9811, CVE-2019-11711, CVE-2019-11712, CVE-2019-11713, CVE-2019-11714, CVE-2019-11715, CVE-2019-11716, CVE-2019-11717, CVE-2019-11718, CVE-2019-11720, CVE-2019-11721, CVE-2019-11730, CVE-2019-11723, CVE-2019-11724, CVE-2019-11725, CVE-2019-11727, CVE-2019-11728, CVE-2019-11710, CVE-2019-11709, CVE-2019-11708, CVE-2019-11707, CVE-2019-9816, CVE-2019-9817, CVE-2019-9819, CVE-2019-9820, CVE-2019-9821, CVE-2019-11691, CVE-2019-11692, CVE-2019-11693, CVE-2019-7317, CVE-2019-11695, CVE-2019-11696, CVE-2019-11697, CVE-2019-11698, CVE-2019-11699, CVE-2019-11701, CVE-2019-9814, CVE-2019-9800, CVE-2019-9810, CVE-2019-9813, CVE-2019-9790, CVE-2019-9791, CVE-2019-9792, CVE-2019-9793, CVE-2019-9795, CVE-2019-9796, CVE-2019-9797, CVE-2019-9799, CVE-2019-9802, CVE-2019-9803, CVE-2019-9805, CVE-2019-9806, CVE-2019-9807, CVE-2019-9809, CVE-2019-9808, CVE-2019-9789, CVE-2019-9788, CVE-2018-18356, CVE-2019-5795, CVE-2018-18511, CVE-2018-18500, CVE-2018-18503, CVE-2018-18504, CVE-2018-18505, CVE-2018-18506, CVE-2018-18502, CVE-2018-18501, CVE-2018-12407, CVE-2018-17466, CVE-2018-18492, CVE-2018-18493, CVE-2018-18494, CVE-2018-18495, CVE-2018-18496, CVE-2018-18497, CVE-2018-18498, CVE-2018-12406, CVE-2018-12405

ghostscript

CVE-2019-3839, CVE-2019-3835, CVE-2019-3835, CVE-2019-3838, CVE-2019-3838, CVE-2019-6116, CVE-2018-19409 CVE-2018-19475 CVE-2018-19476 CVE-2018-19477

gnupg1

CVE-2018-12020

gst-plugins-base1.0

CVE-2019-9928

imagemagick

CVE-2019-10650, CVE-2019-9956

intel-microcode

CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091

jquery

CVE-2019-11358

kconfig

CVE-2019-14744

ldb

CVE-2019-3824

liblivemedia

CVE-2019-6256, CVE-2019-7314, CVE-2019-9215

libpng1.6

CVE-2019-7317

libreoffice

CVE-2018-16858, CVE-2019-9848, CVE-2019-9849

libssh2

CVE-2019-3855, CVE-2019-3856, CVE-2019-3857, CVE-2019-3858, CVE-2019-3859, CVE-2019-3860, CVE-2019-3861, CVE-2019-3862, CVE-2019-3863

libvirt

CVE-2019-10161, CVE-2019-10167, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091, CVE-2017-5753, CVE-2017-5715, CVE-2018-3639, CVE-2018-1064,CVE-2018-6764, CVE-2018-5748.

libvncserver

CVE-2018-20748, CVE-2018-20749, CVE-2018-20750, CVE-2018-15126, CVE-2018-15127, CVE-2018-20020, CVE-2018-20019, CVE-2018-20021, CVE-2018-20022, CVE-2018-20023, CVE-2018-20024, CVE-2018-7225, CVE-2016-9941, CVE-2016-9942, CVE-2014-6051, CVE-2014-6052, CVE-2014-6053, CVE-2014-6054, CVE-2014-6055

linux

CVE-2019-1125 

mariadb-10.1

CVE-2018-3282, CVE-2018-3251, CVE-2018-3174, CVE-2018-3156, CVE-2018-3143, CVE-2016-9843, CVE-2018-3066, CVE-2018-3064, CVE-2018-3063, CVE-2018-3058, CVE-2018-2819, CVE-2018-2817, CVE-2018-2813, CVE-2018-2787, CVE-2018-2784, CVE-2018-2782, CVE-2018-2781, CVE-2018-2771, CVE-2018-2767, CVE-2018-2766, CVE-2018-2761, CVE-2018-2755, CVE-2018-2668, CVE-2018-2665, CVE-2018-2640, CVE-2018-2622, CVE-2018-2612, CVE-2018-2562, CVE-2017-15365, CVE-2017-10378, CVE-2017-10268
CVE-2017-10384, CVE-2017-10379, CVE-2017-10286

ntfs-3g

CVE-2019-9755

openjpeg2

CVE-2018-14423, CVE-2018-6616, CVE-2017-17480, CVE-2018-18088, CVE-2018-5785

openssh

CVE-2018-20685, CVE-2019-6109, CVE-2019-6111

openssl

CVE-2018-0737, CVE-2018-0732, CVE-2018-0735, CVE-2018-0734, CVE-2019-1543

openssl1.0

CVE-2019-1559, CVE-2018-0737, CVE-2018-0732, CVE-2018-0734, CVE-2018-5407

perl

CVE-2018-18311, CVE-2018-18312, CVE-2018-18313, CVE-2018-18314

php-pear

CVE-2018-1000888

php7.0

CVE-2019-9020, CVE-2019-9021, CVE-2019-9022, CVE-2019-9023, CVE-2019-9024, CVE-2018-19518, CVE-2018-14851, CVE-2018-14883, CVE-2018-17082

postgresql-9.6

CVE-2017-7484, CVE-2019-10130

postgresql-common

CVE-2017-8806, CVE-2017-12172, CVE-2016-1255, CVE-2016-1255

python-django

CVE-2019-6975, CVE-2019-12308, CVE-2019-12781, CVE-2019-3498

qemu

CVE-2018-11806, CVE-2018-12617, CVE-2018-16872, CVE-2018-17958, CVE-2018-18849, CVE-2018-18954, CVE-2018-19364, CVE-2018-19489, CVE-2019-3812, CVE-2019-6778, CVE-2019-9824, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091, CVE-2019-12155

qtbase-opensource-src

CVE-2018-15518 CVE-2018-19873 CVE-2018-19870

rails

CVE-2018-16476, CVE-2019-5418, CVE-2019-5419

ruby-i18n

CVE-2014-10077

ruby-loofah

CVE-2018-16468

ruby-rack

CVE-2018-16471

ruby2.3

CVE-2019-8320, CVE-2019-8321, CVE-2019-8322, CVE-2019-8323, CVE-2019-8324, CVE-2019-8325

samba

CVE-2018-1140, CVE-2018-10919, CVE-2018-10918, CVE-2018-10858, CVE-2018-1140, CVE-2018-1139, CVE-2018-16857, CVE-2018-16853, CVE-2018-16852, CVE-2018-16851, CVE-2018-16841, CVE-2018-14629, CVE-2019-3880, CVE-2019-3870, CVE-2018-16860, CVE-2019-12435

spice

CVE-2018-10873, CVE-2019-3813

symfony

CVE-2018-14773, CVE-2018-19789, CVE-2018-19790, CVE-2019-10909, CVE-2019-10910, CVE-2019-10911, CVE-2019-10912, CVE-2019-10913

systemd

CVE-2019-6454, CVE-2019-3842, CVE-2018-1049, CVE-2018-15686

thunderbird

CVE-2019-9811, CVE-2019-11711, CVE-2019-11712, CVE-2019-11713, CVE-2019-11729, CVE-2019-11715, CVE-2019-11717, CVE-2019-11719, CVE-2019-11730, CVE-2019-11709,
CVE-2019-11707, CVE-2019-11708,
CVE-2019-11703, CVE-2019-11704, CVE-2019-11705, CVE-2019-11706,
CVE-2019-9816, CVE-2019-9817, CVE-2019-9819, CVE-2019-9820, CVE-2019-11691, CVE-2019-11692, CVE-2019-11693, CVE-2019-7317, CVE-2019-9797, CVE-2018-18511, CVE-2019-11698, CVE-2019-5798, CVE-2019-9800,
CVE-2019-9790, CVE-2019-9791, CVE-2019-9792, CVE-2019-9793, CVE-2019-9794, CVE-2019-9795, CVE-2019-9796, CVE-2018-18506, CVE-2019-9788, CVE-2019-9810, CVE-2019-9813,
CVE-2018-18356, CVE-2019-5785, CVE-2018-18335, CVE-2018-18509,
CVE-2018-18500, CVE-2018-18505, CVE-2016-5824, CVE-2018-18501,
CVE-2018-17466, CVE-2018-18492, CVE-2018-18493, CVE-2018-18494, CVE-2018-18498, CVE-2018-12405,
CVE-2018-12392, CVE-2018-12393, CVE-2018-12389, CVE-2018-12390,
CVE-2018-12377, CVE-2018-12378, CVE-2018-12379, CVE-2018-12376, CVE-2018-12385, CVE-2018-12383,
CVE-2018-12359, CVE-2018-12360, CVE-2018-12361, CVE-2018-12362, CVE-2018-5156, CVE-2018-12363, CVE-2018-12364, CVE-2018-12365, CVE-2018-12371, CVE-2018-12366, CVE-2018-12367, CVE-2018-5187, CVE-2018-5188,
CVE-2018-12372, CVE-2018-12373, CVE-2018-12374

tiff

CVE-2018-5784, CVE-2018-7456, CVE-2018-8905, CVE-2018-10963, CVE-2018-17101, CVE-2018-18557, CVE-2017-11613, CVE-2017-17095

unzip

CVE-2018-1000035

uriparser

CVE-2018-19198, CVE-2018-19199, CVE-2018-19200

vim

CVE-2019-12735

vlc

CVE-2019-12874

wget

CVE-2019-5953

wpa

CVE-2019-11555, CVE-2019-9495, CVE-2019-9497, CVE-2019-9498, CVE-2019-9499, CVE-2019-9497, CVE-2018-14526

xen

CVE-2018-19967, CVE-2018-19966, CVE-2018-19965, CVE-2018-19961, CVE-2018-19962, CVE-2018-18883, CVE-2018-14678, CVE-2018-15471, CVE-2018-14007, CVE-2018-19964, CVE-2018-19963

zeromq3

CVE-2019-13132, CVE-2019-6250

zziplib

CVE-2018-6381, CVE-2018-6484, CVE-2018-6541, CVE-2018-6869, CVE-2018-6540, CVE-2018-7725, CVE-2018-7726, CVE-2018-16548

  • No labels

15 Comments

  1. Виктор Разин

    Александр Левдонский

    Если исполнялась  БЮЛЛЕТЕНЬ № 20190712SE16MD, то после обновления, хеш-суммы некоторых файлов не будут совпадать. SIRIUS-915 - Getting issue details... STATUS

    Необходимо после обновления выполнить:

    sudo apt install --reinstall fly-admin-winprops
sudo apt install --reinstall fly-winprops-service

    Необходимо где-то пометить.

  2. Александр Левдонский

    Виктор Разин Дополнил.

  3. Алексей Ковин

    в списке уязвимостей полно старья как оказалось.. легко отследить по номеру CVE .. надо хотябы до 2017 все убрать .. 

  4. Алексей Ковин

    хотя вроде в thunderbird только видно, но интересно как оформляли паспорта .. никто не заметил ?

  5. Александр Левдонский

    Поправил список уязвимостей по пакету thunderbird в соответствии с chengelog-ами пакета.

    Проверил старые уязвимости по другим пакетам.

    Добавил в список по mariadb 3 уязвимости, которые упомянуты в новом логе, но не упомянуты в старом.

    И похоже, что в bind9 при переходе от сборки debian к сборке ubuntu, потерялся патч CVE-2017-3145 (упоминается в бюллетене 31082018SE15), ветки разошлись на предыдущем коммите:

    bind9 (1:9.10.3.dfsg.P4-12.3+deb9u4) stretch-security; urgency=high
    * Non-maintainer upload by the Security Team.
    * Addresses could be referenced after being freed in resolver.c, causing an
    assertion failure. (CVE-2017-3145)
    -- Salvatore Bonaccorso <carnil@debian.org> Mon, 15 Jan 2018 22:40:17 +0100

    bind9 (1:9.10.3.dfsg.P4-12.3+deb9u3) stretch; urgency=medium
    [ Bernhard Schmidt ]
    * Import upcoming DNSSEC KSK-2017 from 9.10.5
    [ Ondřej Surý ]
    * Non-maintainer upload.
    -- Ondřej Surý <ondrej@debian.org> Mon, 28 Aug 2017 09:36:28 +0200

    https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-3145.html уязвимость закрыта.

  6. Шухрат Махмадиев

    Александр Левдонский , прошу Вас подправить инфу по поводу обновления "БРЕСТА". 

    Вышла версия 2.3 Бреста, можно обновляться до 3 апдейта Смоленска соответсвенно .

    1. Александр Левдонский

      Готово. Что с обновлением 4?

      1. Шухрат Махмадиев

        немного не так. Нужно подправить: "Если у Вас установлен ПК СВ "Брест" версии 2.0, то после установки данного обновления безопасности необходимо обновить ПК СВ "Брест" до версии 2.3!"


        4 апдейт не тестился. В теории должен и с 4ым апдейтом работать, ведь он от 3-го особо не отличается кроме правок связанных с exim.


        Михаил Кучеренко, можешь плз проверить? все верно исправлено?

  7. Александр Левдонский

    Исправил.

  8. Шухрат Махмадиев

    Вячеслав Тихонов , подскажи плз результаты тестов. Инфу на странице можно менять?

  9. Александр Левдонский

    Шухрат МахмадиевВячеслав Тихонов Михаил Кучеренко Коллеги, жду указаний, что писать про Брест.

    1. Шухрат Махмадиев

      сегодня должны согласовать с Ярославом. Отпишу позже о решении вопроса

      1. Александр Левдонский

        Шухрат МахмадиевВячеслав Тихонов Михаил Кучеренко Коллеги, жду указаний, что писать про Брест.

  10. Александр Левдонский

    Шухрат МахмадиевВячеслав Тихонов Михаил Кучеренко Коллеги, жду указаний, что писать про Брест.

  11. Михаил Кучеренко

    Предлагаю в информационном блоке (стандартным размером шрифта):

    В случае применения ПК СВ "Брест" перед установкой обновлений рекомендуется ознакомиться со статьей

    Совместимость версий ПК СВ Брест с обновлениями безопасности ОС СН Astra Linux SE

    Примечание, ссылку указать на статью, которая будет размещена в паблике.