Билютени безопасности astra linux

Содержание
  1. Общая информация
  2. Оглавление
  3. Порядок установки обновления
  4. Подготовка к установке обновления
  5. Загрузка и проверка образа диска с обновлением пакетов установочного диска
  6. Загрузка и проверка образа диска с обновлением пакетов диска со средствами разработки
  7. Установка инструментов для обновления
  8. Установка fly-astra-update/astra-update из репозитория
  9. Установка fly-astra-update/astra-update из образа обновления
  10. Установка обновления
  11. Установка обновления с использованием сетевых репозиториев
  12. Установка обновления с использованием локальных копий ISO-образов
  13. Завершение установки обновления
  14. Запрет загрузки модуля ksmbd.ko в ядро Linux
  15. БЮЛЛЕТЕНЬ № 20220407SE16MD
  16. Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей ядра linux
  17. Подготовка к установке обновления
  18. Установка обновления пакетов установочного диска
  19. Установка обновления пакетов диска со средствами разработки
  20. Завершение установки обновления

Общая информация

Оперативное обновление 1.6.11 представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.6), далее по тексту — Astra Linux.

Данное обновление включает в себя:

  • БЮЛЛЕТЕНЬ № 20220407SE16MD
  • БЮЛЛЕТЕНЬ № 20220318SE16MD
  • БЮЛЛЕТЕНЬ № 20220201SE16MD
  • БЮЛЛЕТЕНЬ № 20211126SE16 (оперативное обновление 10)
  • БЮЛЛЕТЕНЬ № 20211008SE16 (оперативное обновление 9)
  • БЮЛЛЕТЕНЬ № 20210730SE16 (оперативное обновление 8)
  • БЮЛЛЕТЕНЬ № 20210723SE16MD
  • БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7)
  • БЮЛЛЕТЕНЬ № 20210317SE16MD
  • БЮЛЛЕТЕНЬ № 20210128SE16MD
  • БЮЛЛЕТЕНЬ № 20201207SE16MD
  • БЮЛЛЕТЕНЬ № 20200921SE16MD
  • БЮЛЛЕТЕНЬ № 20200807SE16MD
  • БЮЛЛЕТЕНЬ № 20200722SE16 (оперативное обновление 6)
  • БЮЛЛЕТЕНЬ № 20200526SE16MD
  • БЮЛЛЕТЕНЬ № 20200327SE16 (оперативное обновление 5)
  • БЮЛЛЕТЕНЬ № 20191029SE16 (оперативное обновление 4)
  • БЮЛЛЕТЕНЬ № 20190912SE16 (оперативное обновление 3)
  • БЮЛЛЕТЕНЬ № 20190712SE16MD
  • БЮЛЛЕТЕНЬ № 20190621SE16MD
  • БЮЛЛЕТЕНЬ № 20190529SE16MD
  • БЮЛЛЕТЕНЬ № 20190222SE16 (оперативное обновление 2)
  • БЮЛЛЕТЕНЬ № 20181229SE16 (оперативное обновление 1)

Данное обновление содержит:

  • обновления (изменения) пакетов установочного диска;
  • обновления (изменения) пакетов диска со средствами разработки.

Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения пользователя на портал технической поддержки.

В случае использования ядра Linux версии 5.15, в целях устранения угрозы эксплуатации уязвимости модуля ksmbd.ko , необходимо запретить загрузку данного модуля в ядро Linux – см. Запрет загрузки модуля ksmbd.ko в ядро Linux.

После успешной установки обновления проверка целостности программных пакетов установочного диска осуществляется утилитой fly-admin-int-check с применением файла gostsums.txt , расположенного в корневом каталоге образа диска обновления пакетов установочного диска repository-update -bin .iso .

В случае применения оперативного обновления необходимо указать номер применяемого бюллетеня в разделе формуляра экземпляра Astra Linux (например, в разделе «Сведения о бюллетенях») или же в паспорте средства вычислительной техники, функционирующего под управлением Astra Linux.

Читайте также:  Структура исполняемого файла в linux

Оглавление

Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).

Если в системе используется программное обеспечение, разработанное с использованием средств разработки, необходимо дополнительно выполнить обновление пакетов диска со средствами разработки (имя файла с образом диска repository-update-dev.iso) .

Порядок установки обновления

Подготовка к установке обновления

Перед установкой обновлений:

Обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.

Если при установке системы был создан отдельный загрузочный раздел, то перед установкой обновлений необходимо определить размер свободного пространства на этом разделе. Для этого в терминале выполнить команду:

Для установки настоящего обновления требуется не менее 100 МБ. Если размер свободного пространства на дисковом разделе /boot недостаточен, то следует увеличить размер дискового раздела /boot (рекомендуется не менее 512МБ).

Загрузка и проверка образа диска с обновлением пакетов установочного диска

  1. Скачать образ диска с обновлением пакетов установочного диска с помощью веб-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.11/iso/repository-update-bin.iso
    либо выполнив команду:
    проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
    скачать усиленную квалифицированную электронную подпись ООО «РусБИТех-Астра» с помощью веб-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.11/iso/repository-update-bin.iso.sig
    либо выполнив команду:

/opt/cprocsp/bin/amd64/cryptcp -verify -detached r epository-update-bin.iso repository-update-bin.iso .sig -f repository-update-bin.iso .sig

В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести «y» и нажать клавишу . Сообщение вида:

Подпись проверена. [ErrorCode: 0x00000000]

Загрузка и проверка образа диска с обновлением пакетов диска со средствами разработки

Описываемые в этом разделе действия выполняются только в том случае, если в системе используется программное обеспечение, разработанное с использованием средств разработки.

  1. Скачать образ диска с обновлением пакетов диска со средствами разработки с помощью веб-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.11/iso/repository-update-dev.iso
    либо выполнив команду:
    проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
    скачать усиленную квалифицированную электронную подпись ООО «РусБИТех-Астра» с помощью веб-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.11/iso/repository-update-dev.iso.sig
    либо выполнив команду:

/opt/cprocsp/bin/amd64/cryptcp -verify -detached repository-update-dev.iso repository-update-dev.iso .sig -f repository-update-bin.dev .sig

В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести «y» и нажать клавишу . Сообщение вида:

Подпись проверена. [ErrorCode: 0x00000000]

Установка инструментов для обновления

Установка fly-astra-update/astra-update из репозитория

Если созданы сетевые репозитории из установочного диска и образа диска с обновлением пакетов установочного диска (см. Создание локальных и сетевых репозиториев) и если на обновляемой системе настроен доступ к этим сетевым репозиториям в файле /etc/apt/sources.list , то установку инструментов для обновления можно выполнить следующими командами:

Читайте также:  Dell with linux ubuntu

    установка графического инструмента fly-astra-update (при этом будет автоматически установлен инструмент командной строки astra-update):

Установка fly-astra-update/astra-update из образа обновления

  1. Примонтировать загруженный образ обновления пакетов установочного диска, например, в каталог /media/cdrom:

sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
sudo apt install /media/cdrom/pool/non-free/libf/libflyadmin/libflyadminpackage_*.deb
sudo apt install /media/cdrom/pool/non-free/f/fly-astra-update/fly-astra-update_*.deb

Установка обновления

Установка обновления с использованием сетевых репозиториев

Если созданы сетевые репозитории (см. Создание локальных и сетевых репозиториев) для всех используемых ISO-образов:

  1. Обязательные репозитории:
    • установочный диск;
    • диск с обновлением пакетов установочного диска.
  2. Дополнительные репозитории:
    • диск со средствами разработки;
    • диск с обновлением пакетов диска со средствами разработки.

И если на обновляемой машине настроен доступ к сетевым репозиториям в файле /etc/apt/sources.list , то обновление может быть установлено командой:

Если доступ к репозиториям в файле /etc/apt/sources.list не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update — инструменты для установки обновлений).

Установка обновления с использованием локальных копий ISO-образов

Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий ISO-образов. Комплект образов для обновления аналогичен комплекту репозиториев:

  1. Обязательные репозитории:
    • установочный диск;
    • диск с обновлением пакетов установочного диска.
  2. Дополнительные репозитории:
    • диск со средствами разработки;
    • диск с обновлением пакетов диска со средствами разработки.

ISO-образы могут быть сохранены как локальные файлы, или предоставлены на подключаемом съемном носителе. Установка обновления в таком случае выполняется с помощью astra-update/fly-astra-update, например:

В приведенном примере предполагается, что образы скопированы в каталог /mnt или находятся на съемном носителе, смонтированном в каталог /mnt .
Подробности также см. в описании инструментов fly-astra-update и astra-update.

Завершение установки обновления

После выполнения обновления перезагрузить систему.

Запрет загрузки модуля ksmbd.ko в ядро Linux

В случае использования ядра Linux версии 5.15, в целях устранения угрозы эксплуатации уязвимости модуля ksmbd.ko , необходимо запретить загрузку данного модуля в ядро Linux. Для этого необходимо выполнить действия описанные ниже.

  1. Используя полномочиями администратора системы с высоким уровнем целостности с помощью текстового редактора открыть файл
    /etc/modprobe.d/blacklist.local.conf (если такого файла нет — создать его).
  2. Добавить в файл строку, содержащую ключевое слово install , название блокируемого модуля и shell-комманду:

Источник

БЮЛЛЕТЕНЬ № 20220407SE16MD

Обновление безопасности операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6), далее по тексту — Astra Linux, предназначено для нейтрализации уязвимостей в информационных системах.

Настоящее обновление безопасности предназначено для нейтрализации угрозы эксплуатации уязвимости в Astra Linux с установленным оперативным обновлением 10 (бюллетень № 20211126SE16).

Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, включены в состав оперативного обновления 11 (бюллетень № 20220829SE16).

Настоящее обновление безопасности не является кумулятивным.

При применении данного обновления другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения на портале технической поддержки.

В настоящее обновление безопасности добавлена версия пакета QEMU, в котором обеспечивается установка мандатной метки в пакетах сетевого трафика.

Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей ядра linux

Нейтрализация угрозы эксплуатации уязвимостей осуществляется путём обновления отдельных пакетов. Пакеты с устраненными уязвимостями войдут в состав последующего кумулятивного оперативного обновления.

Если в системе используется программное обеспечение, разработанное с использованием средств разработки, необходимо выполнить обновление пакетов, размещённых на диске со средствами разработки.

Подготовка к установке обновления

Перед установкой обновлений:

Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке необходимо выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).

  • обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности;
  • на время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. Это может быть сделано с помощью инструментов fly-astra-update/astra-update или командой:

Установка обновления пакетов установочного диска

Настоящее обновление безопасности подписано усиленной квалифицированной электронной подписью ООО «РусБИТех-Астра»: https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20220407SE16MD/20220407SE16MD.tar.gz.sig. Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.

0e9c533a438adcd2093c20ddb09e2fb8a7eab2fc8450eb71c14275e194485238
deb file:/mnt/20220407SE16MD/ smolensk main contrib non-free

echo «deb file:/mnt/20220407SE16MD/ smolensk main contrib non-free» | sudo tee -a /etc/apt/sources.list

Установка обновления пакетов диска со средствами разработки

Настоящее обновление пакетов диска со средствами разработки подписано усиленной квалифицированной электронной подписью ООО «РусБИТех-Астра»: https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/devel/20220407SE16MD/20220407SE16MD-devel.tar.gz.sig. Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.

ec6908eeb9c19acf4c883e0dcc59b97f3b35b0db13c534c87889b82184543f8a
deb file:/mnt/20220407SE16MD-devel/ smolensk main contrib non-free

echo «deb file:/mnt/20220407SE16MD-devel/ smolensk main contrib non-free» | sudo tee -a /etc/apt/sources.list

Завершение установки обновления

После выполнения обновления необходимо перезагрузить систему.

После успешной установки обновления проверка целостности программных пакетов установочного диска осуществляется утилитой fly-admin-int-check с применением файла gostsums.txt , расположенного в распакованном каталоге 20220407SE16MD.

Источник

Оцените статью
Adblock
detector