Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1), далее по тексту - Astra Linux, в информационных системах.


Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.


Настоящие методические указания направлены на нейтрализацию угрозы эксплуатации уязвимости в Astra Linux с установленным оперативным обновлением 8.1.3 (БЮЛЛЕТЕНЬ № 20211019SE81).


Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости пакета polkit's pkexec

Информация о уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения на портале технической поддержки.


Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности.


Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимости путём обновления пакетов. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. В последующем, эти пакеты войдут в состав следующего оперативного обновления.

Для установки обновления используется инструмент командной строки astra-scripts (необходимо установить, если был ранее удалён).


Если обновить пакеты не представляется возможным, то необходимо снять SUID-бит файла /usr/bin/pkexec, выполнив команду:

sudo chmod 0755 /usr/bin/pkexec



Порядок применения методики безопасности

  1. Скачать tar-архив с помощью WEB-браузера по следующей ссылке ;
  2. Перейти в каталог с полученным tar-архивом;

  3. Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:

    gostsum 20220201SE81MD.tar.gz

    Контрольная сумма:

    46840a5c1cc008c80036994c5e45f4f0dea81a29850012c8e580af5f7617e544


  4. Распаковать tar- архив, выполнив команду: 

    tar xzvf 20220201SE81MD.tar.gz


    Полученный в результате распаковки tar- архива каталог 20220201SE81MD можно подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Если предполагается устанавливать обновление на компьютеры не используя сетевой репозиторий, то распаковать tar-архив можно сразу на съемный носитель, и далее обновление выполнять с этого носителя.


    После распаковки tar- архива для установки будут доступны файлы обновлений и файл gostsums.txt для проверки контрольных сумм файлов, входящих в Astra Linux ( см. раздел 8.1 документа РУСБ.10265-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1»).


  5. Перейти в распакованный каталог 20220201SE81MD;

  6. Установить обновление командой: 

    sudo astra-debs-update-installed


Предупреждение "Download is performed unsandboxed"/"Загрузка без ограничения песочницы" при установке обновления

При установке пакетов из файлов с помощью команды apt (используемой инструментом командной строки astra-scripts) пакеты и их зависимости устанавливаются автоматически, но при успешном завершении установки выдается предупреждение:

N: Download is performed unsandboxed as root as file ... couldn't be accessed by user '_apt'. - pkgAcquire::Run (13: Отказано в доступе)

или

N: Загрузка выполняется от лица суперпользователя без ограничений песочницы, так как файл «...» недоступен для пользователя «_apt». - pkgAcquire::Run (13: Отказано в доступе)

Это предупреждение о том, что программа установщик, не имея нужных прав доступа к текущему каталогу, вынуждена была получить привилегии root для выполнения установки.  Установка при этом завершается успешно, и предупреждение можно игнорировать, однако с точки зрения безопасности, правильнее по возможности исключить работу с привилегиями root. Для того, чтобы исключить это предупреждение, нужно на время выполнения установки предоставить служебному пользователю _apt права на доступ к текущему каталогу. Примерный сценарий (предполагается, что tar-архив был распакован в каталог /mnt):

sudo setfacl -dm u:_apt:rwx /mnt/20220201SE81MD/
cd /mnt/20220201SE81MD/
sudo astra-debs-update-installed
sudo setfacl -dx u:_apt /mnt/20220201SE81MD/