- Общая информация
- Оглавление
- Порядок установки обновления
- Подготовка к установке обновления
- Загрузка и проверка образа диска с обновлением пакетов установочного диска
- Загрузка и проверка образа диска с обновлением пакетов диска со средствами разработки
- Установка инструментов для обновления
- Установка fly-astra-update/astra-update из репозитория
- Установка fly-astra-update/astra-update из образа обновления
- Установка обновления
- Установка обновления с использованием сетевых репозиториев
- Установка обновления с использованием локальных копий ISO-образов
- Завершение установки обновления
- Запрет загрузки модуля ksmbd.ko в ядро Linux
- БЮЛЛЕТЕНЬ № 20220407SE16MD
- Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей ядра linux
- Подготовка к установке обновления
- Установка обновления пакетов установочного диска
- Установка обновления пакетов диска со средствами разработки
- Завершение установки обновления
Общая информация
Оперативное обновление 1.6.11 представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.6), далее по тексту — Astra Linux.
Данное обновление включает в себя:
- БЮЛЛЕТЕНЬ № 20220407SE16MD
- БЮЛЛЕТЕНЬ № 20220318SE16MD
- БЮЛЛЕТЕНЬ № 20220201SE16MD
- БЮЛЛЕТЕНЬ № 20211126SE16 (оперативное обновление 10)
- БЮЛЛЕТЕНЬ № 20211008SE16 (оперативное обновление 9)
- БЮЛЛЕТЕНЬ № 20210730SE16 (оперативное обновление 8)
- БЮЛЛЕТЕНЬ № 20210723SE16MD
- БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7)
- БЮЛЛЕТЕНЬ № 20210317SE16MD
- БЮЛЛЕТЕНЬ № 20210128SE16MD
- БЮЛЛЕТЕНЬ № 20201207SE16MD
- БЮЛЛЕТЕНЬ № 20200921SE16MD
- БЮЛЛЕТЕНЬ № 20200807SE16MD
- БЮЛЛЕТЕНЬ № 20200722SE16 (оперативное обновление 6)
- БЮЛЛЕТЕНЬ № 20200526SE16MD
- БЮЛЛЕТЕНЬ № 20200327SE16 (оперативное обновление 5)
- БЮЛЛЕТЕНЬ № 20191029SE16 (оперативное обновление 4)
- БЮЛЛЕТЕНЬ № 20190912SE16 (оперативное обновление 3)
- БЮЛЛЕТЕНЬ № 20190712SE16MD
- БЮЛЛЕТЕНЬ № 20190621SE16MD
- БЮЛЛЕТЕНЬ № 20190529SE16MD
- БЮЛЛЕТЕНЬ № 20190222SE16 (оперативное обновление 2)
- БЮЛЛЕТЕНЬ № 20181229SE16 (оперативное обновление 1)
Данное обновление содержит:
- обновления (изменения) пакетов установочного диска;
- обновления (изменения) пакетов диска со средствами разработки.
Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения пользователя на портал технической поддержки.
В случае использования ядра Linux версии 5.15, в целях устранения угрозы эксплуатации уязвимости модуля ksmbd.ko , необходимо запретить загрузку данного модуля в ядро Linux – см. Запрет загрузки модуля ksmbd.ko в ядро Linux.
После успешной установки обновления проверка целостности программных пакетов установочного диска осуществляется утилитой fly-admin-int-check с применением файла gostsums.txt , расположенного в корневом каталоге образа диска обновления пакетов установочного диска repository-update -bin .iso .
В случае применения оперативного обновления необходимо указать номер применяемого бюллетеня в разделе формуляра экземпляра Astra Linux (например, в разделе «Сведения о бюллетенях») или же в паспорте средства вычислительной техники, функционирующего под управлением Astra Linux.
Оглавление
Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).
Если в системе используется программное обеспечение, разработанное с использованием средств разработки, необходимо дополнительно выполнить обновление пакетов диска со средствами разработки (имя файла с образом диска repository-update-dev.iso) .
Порядок установки обновления
Подготовка к установке обновления
Перед установкой обновлений:
Обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
Если при установке системы был создан отдельный загрузочный раздел, то перед установкой обновлений необходимо определить размер свободного пространства на этом разделе. Для этого в терминале выполнить команду:
Для установки настоящего обновления требуется не менее 100 МБ. Если размер свободного пространства на дисковом разделе /boot недостаточен, то следует увеличить размер дискового раздела /boot (рекомендуется не менее 512МБ).
Загрузка и проверка образа диска с обновлением пакетов установочного диска
- Скачать образ диска с обновлением пакетов установочного диска с помощью веб-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.11/iso/repository-update-bin.iso
либо выполнив команду:
- проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
- скачать усиленную квалифицированную электронную подпись ООО «РусБИТех-Астра» с помощью веб-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.11/iso/repository-update-bin.iso.sig
либо выполнив команду:
/opt/cprocsp/bin/amd64/cryptcp -verify -detached r epository-update-bin.iso repository-update-bin.iso .sig -f repository-update-bin.iso .sig
В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести «y» и нажать клавишу . Сообщение вида:
Подпись проверена. [ErrorCode: 0x00000000]
Загрузка и проверка образа диска с обновлением пакетов диска со средствами разработки
Описываемые в этом разделе действия выполняются только в том случае, если в системе используется программное обеспечение, разработанное с использованием средств разработки.
- Скачать образ диска с обновлением пакетов диска со средствами разработки с помощью веб-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.11/iso/repository-update-dev.iso
либо выполнив команду:
- проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
- скачать усиленную квалифицированную электронную подпись ООО «РусБИТех-Астра» с помощью веб-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.11/iso/repository-update-dev.iso.sig
либо выполнив команду:
/opt/cprocsp/bin/amd64/cryptcp -verify -detached repository-update-dev.iso repository-update-dev.iso .sig -f repository-update-bin.dev .sig
В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести «y» и нажать клавишу . Сообщение вида:
Подпись проверена. [ErrorCode: 0x00000000]
Установка инструментов для обновления
Установка fly-astra-update/astra-update из репозитория
Если созданы сетевые репозитории из установочного диска и образа диска с обновлением пакетов установочного диска (см. Создание локальных и сетевых репозиториев) и если на обновляемой системе настроен доступ к этим сетевым репозиториям в файле /etc/apt/sources.list , то установку инструментов для обновления можно выполнить следующими командами:
- установка графического инструмента fly-astra-update (при этом будет автоматически установлен инструмент командной строки astra-update):
Установка fly-astra-update/astra-update из образа обновления
- Примонтировать загруженный образ обновления пакетов установочного диска, например, в каталог /media/cdrom:
sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
sudo apt install /media/cdrom/pool/non-free/libf/libflyadmin/libflyadminpackage_*.deb
sudo apt install /media/cdrom/pool/non-free/f/fly-astra-update/fly-astra-update_*.deb
Установка обновления
Установка обновления с использованием сетевых репозиториев
Если созданы сетевые репозитории (см. Создание локальных и сетевых репозиториев) для всех используемых ISO-образов:
- Обязательные репозитории:
- установочный диск;
- диск с обновлением пакетов установочного диска.
- Дополнительные репозитории:
- диск со средствами разработки;
- диск с обновлением пакетов диска со средствами разработки.
И если на обновляемой машине настроен доступ к сетевым репозиториям в файле /etc/apt/sources.list , то обновление может быть установлено командой:
Если доступ к репозиториям в файле /etc/apt/sources.list не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update — инструменты для установки обновлений).
Установка обновления с использованием локальных копий ISO-образов
Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий ISO-образов. Комплект образов для обновления аналогичен комплекту репозиториев:
- Обязательные репозитории:
- установочный диск;
- диск с обновлением пакетов установочного диска.
- Дополнительные репозитории:
- диск со средствами разработки;
- диск с обновлением пакетов диска со средствами разработки.
ISO-образы могут быть сохранены как локальные файлы, или предоставлены на подключаемом съемном носителе. Установка обновления в таком случае выполняется с помощью astra-update/fly-astra-update, например:
В приведенном примере предполагается, что образы скопированы в каталог /mnt или находятся на съемном носителе, смонтированном в каталог /mnt .
Подробности также см. в описании инструментов fly-astra-update и astra-update.
Завершение установки обновления
После выполнения обновления перезагрузить систему.
Запрет загрузки модуля ksmbd.ko в ядро Linux
В случае использования ядра Linux версии 5.15, в целях устранения угрозы эксплуатации уязвимости модуля ksmbd.ko , необходимо запретить загрузку данного модуля в ядро Linux. Для этого необходимо выполнить действия описанные ниже.
- Используя полномочиями администратора системы с высоким уровнем целостности с помощью текстового редактора открыть файл
/etc/modprobe.d/blacklist.local.conf (если такого файла нет — создать его). - Добавить в файл строку, содержащую ключевое слово install , название блокируемого модуля и shell-комманду:
БЮЛЛЕТЕНЬ № 20220407SE16MD
Обновление безопасности операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6), далее по тексту — Astra Linux, предназначено для нейтрализации уязвимостей в информационных системах.
Настоящее обновление безопасности предназначено для нейтрализации угрозы эксплуатации уязвимости в Astra Linux с установленным оперативным обновлением 10 (бюллетень № 20211126SE16).
Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, включены в состав оперативного обновления 11 (бюллетень № 20220829SE16).
Настоящее обновление безопасности не является кумулятивным.
При применении данного обновления другие виды обновлений автоматически не применяются и должны быть установлены отдельно.
Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения на портале технической поддержки.
В настоящее обновление безопасности добавлена версия пакета QEMU, в котором обеспечивается установка мандатной метки в пакетах сетевого трафика.
Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей ядра linux
Нейтрализация угрозы эксплуатации уязвимостей осуществляется путём обновления отдельных пакетов. Пакеты с устраненными уязвимостями войдут в состав последующего кумулятивного оперативного обновления.
Если в системе используется программное обеспечение, разработанное с использованием средств разработки, необходимо выполнить обновление пакетов, размещённых на диске со средствами разработки.
Подготовка к установке обновления
Перед установкой обновлений:
Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке необходимо выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).
- обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности;
- на время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. Это может быть сделано с помощью инструментов fly-astra-update/astra-update или командой:
Установка обновления пакетов установочного диска
Настоящее обновление безопасности подписано усиленной квалифицированной электронной подписью ООО «РусБИТех-Астра»: https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20220407SE16MD/20220407SE16MD.tar.gz.sig. Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.
0e9c533a438adcd2093c20ddb09e2fb8a7eab2fc8450eb71c14275e194485238
deb file:/mnt/20220407SE16MD/ smolensk main contrib non-free
echo «deb file:/mnt/20220407SE16MD/ smolensk main contrib non-free» | sudo tee -a /etc/apt/sources.list
Установка обновления пакетов диска со средствами разработки
Настоящее обновление пакетов диска со средствами разработки подписано усиленной квалифицированной электронной подписью ООО «РусБИТех-Астра»: https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/devel/20220407SE16MD/20220407SE16MD-devel.tar.gz.sig. Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.
ec6908eeb9c19acf4c883e0dcc59b97f3b35b0db13c534c87889b82184543f8a
deb file:/mnt/20220407SE16MD-devel/ smolensk main contrib non-free
echo «deb file:/mnt/20220407SE16MD-devel/ smolensk main contrib non-free» | sudo tee -a /etc/apt/sources.list
Завершение установки обновления
После выполнения обновления необходимо перезагрузить систему.
После успешной установки обновления проверка целостности программных пакетов установочного диска осуществляется утилитой fly-admin-int-check с применением файла gostsums.txt , расположенного в распакованном каталоге 20220407SE16MD.