Справочный центр

Дерево страниц

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)  в информационных системах.


Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

Обновленные пакеты, в которых устранена угроза эксплуатации уязвимостей, включены в состав оперативного обновления 8 (БЮЛЛЕТЕНЬ № 20210730SE16).

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей linux и systemd

Внимание

Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности.


При применении даной методики:

  1. Блокируются уязвимые режимы:
    1. работа docker в непривилегированном режиме (rootless);
    2. работа lxc с непривилегированными контейнерами lxc;
    3. аналогичные режимы другого ПО, требующие поддержки режима пользовательских пространств идентификаторов (user namespaces)";
  2. Блокируется работа непривилегированных пользователей с сетью в режиме BPF.


Для нейтрализации угрозы эксплуатации уязвимостей CVE-2021-33909 (пакет linux) и CVE-2021-33910 (системная служба systemd):

  1. Добавить в файл /etc/sysctl.d/999-astra.conf строчки: 

    kernel.unprivileged_userns_clone = 0
kernel.unprivileged_bpf_disabled = 1

    Это можно делать командами:

    echo "kernel.unprivileged_userns_clone = 0" | sudo tee -a /etc/sysctl.d/999-astra.conf
    echo "kernel.unprivileged_bpf_disabled = 1" | sudo tee -a /etc/sysctl.d/999-astra.conf

  2. Перезагрузить параметры ядра:

    sudo sysctl --system

Список нейтрализованных угроз безопасности

  • linux

CVE-2021-33909

  • systemd

CVE-2021-33910



  • Нет меток