Содержание

Skip to end of metadata
Go to start of metadata

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (версия 1.6)  в информационных системах.

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости CVE-2020-12801

Уязвимость CVE-2020-12801 (https://nvd.nist.gov/vuln/detail/CVE-2020-12801) компонента текстового редактора libreoffice: после аварийного завершения работы и восстановления файла, защищенного защитным преобразованием данных, у пользователя имеется возможностью случайного сохранения незащищённой копии файла.

Для предотвращения эксплуатации указанной уязвимости при сохранении восстановленных защищенных файлов сохранять их как копию (команда "Сохранить как...", возможно с тем же самым именем файла), при этом в обязательном порядке проверить при корректность выставленных параметров защиты сохраняемых данных ("Сохранить с паролем" и "Зашифровать ключем GPG"), и, при необходимости, установить необходимые значения этих параметров. 

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости CVE-2020-1938

Уязвимость CVE-2020-1938 (https://bdu.fstec.ru/vul/2020-00937) реализации протокола AJP в пакете tomcat8, позволяющая выполнение произвольного кода.

Для предотвращения эксплуатации указанной уязвимости:

  1. Если AJP не эксплуатируется, то:

    1. Запретить его использование, удалив или закомментировав в конфигурационном файле /var/lib/tomcat8/conf/server.xml строчку с параметрами этого протокола:

      <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

      Закомментированная строчка должна выглядеть так:

      <!--
      <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
      -->

      В ОС СН Смоленск 1.6  эта строчка по умолчанию закомментирована, т.е.  протокол по умолчанию отключён.

    2. Если в конфигурационный файл были внесены изменения то чтобы изменения вступили в силу перезапустить сервис tomcat8:

      sudo systemctl restart tomcat8

  2. Если протокол AJP эксплуатируется, то следует запретить анонимные подключения, разрешив подключения только доверенным пользователям, для чего в конфигурационном файле /var/lib/tomcat8/conf/server.xml настроить параметры авторизации протокола:

    <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>
Методические указания не являются кумулятивными обновлениями безопасности. При выполнении методических указаний автоматическая установка обновлений безопасности не осуществляется, и обновления безопасности должны быть установлены отдельно.

Внимание

Обновление и изменение конфигурации пакетов необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. При необходимости установки пакетов на время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.
  • No labels