Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.
Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, будут включены в состав следующего оперативного обновления.
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости программного обеспечения Docker
Информация об уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения в техническую поддержку.
Организационные мероприятия
- При работе с программным обеспечением Docker должны использоваться следующие механизмы комплекса защиты информации, интегрированные в Astra Linux:
- запуск гипервизора контейнеров Docker на пониженном уровне целостности;
- работа с образами и контейнерами Docker в непривилегированном (rootless) режиме.
- Так же необходимо ограничить доступ к хосту недоверенным пользователям и ограничить доступ к хост-томам доверенными контейнерами
- Необходимо убедиться, что запускаются только доверенные контейнеры
- Необходимо отказаться от использования дополнительной настройки Dockerfile путем «USER $USERNAME». Выполнить перезапуск всех контейнеров - дополнительные группы будут настроены корректно
Список уязвимостей, которые закрываются общими методическими рекомендациями:
- CVE-2021-41091
- CVE-2021-41089
- CVE-2021-21285
- CVE-2021-21284
CVE-2023-28842
- В многоузловых кластерах необходимо развернуть глобальный контейнер "pause" для каждоый зашифрованной воерлейной сети на каждом узле. Для этого нужно использовать образ registry.k8s.io/pause и глобальную службу --mode
- Необходимо заблокировать UDP-порт 4789 от входящего трафика путем выполнения команды: iptables -A INPUT -m udp —-dport 4789 -m policy --dir in --pol none -j DROP
CVE-2023-28840 и CVE-2023-28841
- Для предотвращения внедрения всех пакетов VXLAN необходимо закрыть порт VXLAN (по умолчанию UDP-порт 4789) для входящего трафика путем выполнения команды:
iptables -I INPUT -m udp —-dport 4789 -m policy --dir in --pol none -j DROP - Необходимо убедиться, что модуль ядра xt_u32 доступен для всех узлов кластера Swarm. Для этого необходимо включить данный модуль путем выполнения команды: $ sudo modprobe xt_u32. Убедиться, что модуль активен $ lsmod | grep xt_u32 и обновить текущий образ initramfs командой: $ sudo update-initramfs -u
CVE-2022-36109
- Отказаться от использования дополнительной настройки Dockerfile путем «USER $USERNAME» и дополнительные группы будут настроены корректно
CVE-2021-41092
- Убедиться, что настройки credsStore или credHelpers в файле конфигурации ссылаются на установленный помощник по учетным данным, который является исполняемым и находится в PATH