Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.
Перед выполнением действий настоящей методики безопасности необходимо установить оперативное обновление 5 (БЮЛЛЕТЕНЬ № 20200327SE16).
Обновленные пакеты, в которых устранена угроза эксплуатации уязвимостей, включены в состав оперативного обновления 6 (БЮЛЛЕТЕНЬ № 20200722SE16).
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости CVE-2020-12801
Уязвимость CVE-2020-12801 (https://nvd.nist.gov/vuln/detail/CVE-2020-12801) компонента текстового редактора libreoffice: после аварийного завершения работы и восстановления файла, защищенного защитным преобразованием данных, у пользователя имеется возможностью случайного сохранения незащищённой копии файла.
Для предотвращения эксплуатации указанной уязвимости при сохранении восстановленных защищенных файлов сохранять их как копию (команда "Сохранить как...", возможно с тем же самым именем файла), при этом в обязательном порядке проверить при корректность выставленных параметров защиты сохраняемых данных ("Сохранить с паролем" и "Зашифровать ключем GPG"), и, при необходимости, установить необходимые значения этих параметров.
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости CVE-2020-1938
Уязвимость CVE-2020-1938 (https://bdu.fstec.ru/vul/2020-00937) реализации протокола AJP в пакете tomcat8, позволяющая выполнение произвольного кода.
Для предотвращения эксплуатации указанной уязвимости:
Если AJP не эксплуатируется, то:
Запретить его использование, удалив или закомментировав в конфигурационном файле /var/lib/tomcat8/conf/server.xml строчку с параметрами этого протокола:
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
Закомментированная строчка должна выглядеть так:
<!-- <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /> -->
В ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) эта строчка по умолчанию закомментирована, т.е. протокол по умолчанию отключён.
Если в конфигурационный файл были внесены изменения то чтобы изменения вступили в силу перезапустить сервис tomcat8:
sudo systemctl restart tomcat8
Если протокол AJP эксплуатируется, то следует запретить анонимные подключения, разрешив подключения только доверенным пользователям, для чего в конфигурационном файле /var/lib/tomcat8/conf/server.xml настроить параметры авторизации протокола:
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>
Внимание