Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.
Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, будут включены в состав следующего оперативного обновления.
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости команды dmidecode
Информация об уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения в техническую поддержку.
Для нейтрализации угрозы эксплуатации уязвимости команды dmidecode необходимо придерживаться следующих рекомендаций:
исключить возможность выполнения непривилегированными пользователями команды dmidecode с повышенными привилегиями без запроса пароля. Для этого не применять (исключить, если были ранее применены) настройки, позволяющие такой запуск, в файле /etc/sudoers и файлах в каталоге /etc/sudoers.d/ (см.
man visudo
иman sudoers
):Провести ревизию файла /etc/sudoers и файлов в каталоге /etc/sudoers.d/ и убедиться, что в файлах отсутствует разрешение на запуск dmidecode с повышенными привилегиями:
sudo grep dmidecode /etc/sudoers /etc/sudoers.d/ -rСтрока, предоставляющая привилегии имеет вид:(ALL) NOPASSWD: /usr/sbin/dmidecode
Такие строки должны быть удалены или закомментированы;
- Для минимизации угроз безопасности в Astra Linux, функционирующей на уровне защищенности «Усиленный» или «Максимальный», рекомендуется включить (если были ранее выключены) следующие функции подсистемы безопасности:
- мандатный контроль целостности (МКЦ), включая режим МКЦ на файловой системе (см. раздел 4.8 документа РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1»);
- замкнутая программная среда (ЗПС) — см. раздел 16.1 документа РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».
- для непривилегированных пользователей активировать блокировку интерпретаторов, в том числе, если возможно — блокировку интерпретатора bash;