Astra linux бюллетень 20211126se16

БЮЛЛЕТЕНЬ № 20220222SE16MD

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6), далее по тексту — Astra Linux, в информационных системах.

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

Настоящее методические указания предназначены для нейтрализации угрозы эксплуатации уязвимости в Astra Linux с установленным оперативным обновлением 10 (бюллетень № 20211126SE16).

Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, включены в состав оперативного обновления 11 (бюллетень № 20220829SE16).

Если нет возможности установить оперативное обновление 11, можно воспользоваться обновлением безопасности БЮЛЛЕТЕНЬ № 2022-0318SE16MD.

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости ядра linux

Информация о уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения на портале технической поддержки.

В данной методике безопасности представлены методические рекомендации по устранению уязвимости. Обновлённые пакеты ядра Linux, в которых устранена уязвимость, предоставлены в бюллетене №20220318SE16MD.

Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.

Для нейтрализации угрозы эксплуатации уязвимости ядра linux необходимо запретить непривилегированным пользователям создавать новые пространства имен пользователей, установив значение параметра ядра kernel.unprivileged_userns_clone равным «0». Чтобы проверить текущее значение параметра ядра необходимо выполнить команду:

  • 0 — в случае, когда непривилегированным пользователям запрещено создавать новые пространства имен пользователей;
  • 1 — в случае, когда непривилегированным пользователям разрешено создавать новые пространства имен пользователей.

Для того чтобы временно (до перезагрузки системы) запретить непривилегированным пользователям создавать новые пространства имен пользователей, необходимо выполнить команду:

Для того чтобы установленное значение параметра ядра сохранилось после перезагрузки, необходимо:

    Добавить в файл /etc/sysctl.d/999-astra.conf следующую строку:

kernel.unprivileged_userns_clone = 0

При применении настоящей методики не будут функционировать любые сервисы в конфигурациях, требующих создание пространства имен пользователей непривилегированным пользователем. Такие сервисы чаще всего входят в состав средств управления контейнерами .

Читайте также:  How to apply patch linux

В состав следующего оперативного обновления войдут обновлённые пакеты, в которых будет устранена угроза эксплуатации уязвимости без необходимости запрета создания пространства имен пользователей непривилегированным пользователем.

Источник

Общая информация

Оперативное обновление 1.6.11 представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.6), далее по тексту — Astra Linux.

Данное обновление включает в себя:

  • БЮЛЛЕТЕНЬ № 20220407SE16MD
  • БЮЛЛЕТЕНЬ № 20220318SE16MD
  • БЮЛЛЕТЕНЬ № 20220201SE16MD
  • БЮЛЛЕТЕНЬ № 20211126SE16 (оперативное обновление 10)
  • БЮЛЛЕТЕНЬ № 20211008SE16 (оперативное обновление 9)
  • БЮЛЛЕТЕНЬ № 20210730SE16 (оперативное обновление 8)
  • БЮЛЛЕТЕНЬ № 20210723SE16MD
  • БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7)
  • БЮЛЛЕТЕНЬ № 20210317SE16MD
  • БЮЛЛЕТЕНЬ № 20210128SE16MD
  • БЮЛЛЕТЕНЬ № 20201207SE16MD
  • БЮЛЛЕТЕНЬ № 20200921SE16MD
  • БЮЛЛЕТЕНЬ № 20200807SE16MD
  • БЮЛЛЕТЕНЬ № 20200722SE16 (оперативное обновление 6)
  • БЮЛЛЕТЕНЬ № 20200526SE16MD
  • БЮЛЛЕТЕНЬ № 20200327SE16 (оперативное обновление 5)
  • БЮЛЛЕТЕНЬ № 20191029SE16 (оперативное обновление 4)
  • БЮЛЛЕТЕНЬ № 20190912SE16 (оперативное обновление 3)
  • БЮЛЛЕТЕНЬ № 20190712SE16MD
  • БЮЛЛЕТЕНЬ № 20190621SE16MD
  • БЮЛЛЕТЕНЬ № 20190529SE16MD
  • БЮЛЛЕТЕНЬ № 20190222SE16 (оперативное обновление 2)
  • БЮЛЛЕТЕНЬ № 20181229SE16 (оперативное обновление 1)

Данное обновление содержит:

  • обновления (изменения) пакетов установочного диска;
  • обновления (изменения) пакетов диска со средствами разработки.

Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения пользователя на портал технической поддержки.

В случае использования ядра Linux версии 5.15, в целях устранения угрозы эксплуатации уязвимости модуля ksmbd.ko , необходимо запретить загрузку данного модуля в ядро Linux – см. Запрет загрузки модуля ksmbd.ko в ядро Linux.

После успешной установки обновления проверка целостности программных пакетов установочного диска осуществляется утилитой fly-admin-int-check с применением файла gostsums.txt , расположенного в корневом каталоге образа диска обновления пакетов установочного диска repository-update -bin .iso .

В случае применения оперативного обновления необходимо указать номер применяемого бюллетеня в разделе формуляра экземпляра Astra Linux (например, в разделе «Сведения о бюллетенях») или же в паспорте средства вычислительной техники, функционирующего под управлением Astra Linux.

Оглавление

Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).

Если в системе используется программное обеспечение, разработанное с использованием средств разработки, необходимо дополнительно выполнить обновление пакетов диска со средствами разработки (имя файла с образом диска repository-update-dev.iso) .

Читайте также:  Переустановить linux mint через терминал

Порядок установки обновления

Подготовка к установке обновления

Перед установкой обновлений:

Обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.

Если при установке системы был создан отдельный загрузочный раздел, то перед установкой обновлений необходимо определить размер свободного пространства на этом разделе. Для этого в терминале выполнить команду:

Для установки настоящего обновления требуется не менее 100 МБ. Если размер свободного пространства на дисковом разделе /boot недостаточен, то следует увеличить размер дискового раздела /boot (рекомендуется не менее 512МБ).

Загрузка и проверка образа диска с обновлением пакетов установочного диска

  1. Скачать образ диска с обновлением пакетов установочного диска с помощью веб-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.11/iso/repository-update-bin.iso
    либо выполнив команду:
    проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
    скачать усиленную квалифицированную электронную подпись ООО «РусБИТех-Астра» с помощью веб-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.11/iso/repository-update-bin.iso.sig
    либо выполнив команду:

/opt/cprocsp/bin/amd64/cryptcp -verify -detached r epository-update-bin.iso repository-update-bin.iso .sig -f repository-update-bin.iso .sig

В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести «y» и нажать клавишу . Сообщение вида:

Подпись проверена. [ErrorCode: 0x00000000]

Загрузка и проверка образа диска с обновлением пакетов диска со средствами разработки

Описываемые в этом разделе действия выполняются только в том случае, если в системе используется программное обеспечение, разработанное с использованием средств разработки.

  1. Скачать образ диска с обновлением пакетов диска со средствами разработки с помощью веб-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.11/iso/repository-update-dev.iso
    либо выполнив команду:
    проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
    скачать усиленную квалифицированную электронную подпись ООО «РусБИТех-Астра» с помощью веб-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.11/iso/repository-update-dev.iso.sig
    либо выполнив команду:

/opt/cprocsp/bin/amd64/cryptcp -verify -detached repository-update-dev.iso repository-update-dev.iso .sig -f repository-update-bin.dev .sig

В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести «y» и нажать клавишу . Сообщение вида:

Подпись проверена. [ErrorCode: 0x00000000]

Установка инструментов для обновления

Установка fly-astra-update/astra-update из репозитория

Если созданы сетевые репозитории из установочного диска и образа диска с обновлением пакетов установочного диска (см. Создание локальных и сетевых репозиториев) и если на обновляемой системе настроен доступ к этим сетевым репозиториям в файле /etc/apt/sources.list , то установку инструментов для обновления можно выполнить следующими командами:

Читайте также:  Скриншоты линукс чем делать

    установка графического инструмента fly-astra-update (при этом будет автоматически установлен инструмент командной строки astra-update):

Установка fly-astra-update/astra-update из образа обновления

  1. Примонтировать загруженный образ обновления пакетов установочного диска, например, в каталог /media/cdrom:

sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
sudo apt install /media/cdrom/pool/non-free/libf/libflyadmin/libflyadminpackage_*.deb
sudo apt install /media/cdrom/pool/non-free/f/fly-astra-update/fly-astra-update_*.deb

Установка обновления

Установка обновления с использованием сетевых репозиториев

Если созданы сетевые репозитории (см. Создание локальных и сетевых репозиториев) для всех используемых ISO-образов:

  1. Обязательные репозитории:
    • установочный диск;
    • диск с обновлением пакетов установочного диска.
  2. Дополнительные репозитории:
    • диск со средствами разработки;
    • диск с обновлением пакетов диска со средствами разработки.

И если на обновляемой машине настроен доступ к сетевым репозиториям в файле /etc/apt/sources.list , то обновление может быть установлено командой:

Если доступ к репозиториям в файле /etc/apt/sources.list не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update — инструменты для установки обновлений).

Установка обновления с использованием локальных копий ISO-образов

Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий ISO-образов. Комплект образов для обновления аналогичен комплекту репозиториев:

  1. Обязательные репозитории:
    • установочный диск;
    • диск с обновлением пакетов установочного диска.
  2. Дополнительные репозитории:
    • диск со средствами разработки;
    • диск с обновлением пакетов диска со средствами разработки.

ISO-образы могут быть сохранены как локальные файлы, или предоставлены на подключаемом съемном носителе. Установка обновления в таком случае выполняется с помощью astra-update/fly-astra-update, например:

В приведенном примере предполагается, что образы скопированы в каталог /mnt или находятся на съемном носителе, смонтированном в каталог /mnt .
Подробности также см. в описании инструментов fly-astra-update и astra-update.

Завершение установки обновления

После выполнения обновления перезагрузить систему.

Запрет загрузки модуля ksmbd.ko в ядро Linux

В случае использования ядра Linux версии 5.15, в целях устранения угрозы эксплуатации уязвимости модуля ksmbd.ko , необходимо запретить загрузку данного модуля в ядро Linux. Для этого необходимо выполнить действия описанные ниже.

  1. Используя полномочиями администратора системы с высоким уровнем целостности с помощью текстового редактора открыть файл
    /etc/modprobe.d/blacklist.local.conf (если такого файла нет — создать его).
  2. Добавить в файл строку, содержащую ключевое слово install , название блокируемого модуля и shell-комманду:

Источник

Оцените статью
Adblock
detector