- БЮЛЛЕТЕНЬ № 2022-0407SE17MD
- Оглавление
- Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей ядра linux
- Подготовка к установке обновления
- Установка обновления пакетов основного репозитория (main)
- Установка обновления пакетов базового репозитория (base)
- Завершение установки обновления
- БЮЛЛЕТЕНЬ № 20200327SE16
- Известные проблемы и их решения
- Требующие действий перед установкой обновления
- Недостаточно места в дисковом разделе /boot
- Требующие действий после установки обновления
- Не запущены модули ядра для KMS
- Проблема с печатью по протоколу HTTP на сетевой raw-принтер.
- Список уязвимостей, закрываемых обновлением №20200327SE16 Update 5
- Список улучшений функциональности, предоставляемых обновлением №20200327SE16 Update 5
БЮЛЛЕТЕНЬ № 2022-0407SE17MD
Обновление безопасности операционных систем специального назначения «Astra Linux Special Edition» РУСБ.10015-01 и РУСБ.10015-10 (очередное обновление 1.7), далее по тексту — Astra Linux, предназначено для нейтрализации уязвимостей в информационных системах.
Оглавление
Настоящее обновление безопасности предназначено для нейтрализации угрозы эксплуатации уязвимости в Astra Linux с установленным оперативным обновлением 1.7.1.
Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, включены в состав оперативного обновления 1.7.2.
Настоящее обновление безопасности не является кумулятивным.
При применении данного обновления другие виды обновлений автоматически не применяются и должны быть установлены отдельно.
Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения на портале технической поддержки.
Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей ядра linux
Если в системе используется программное обеспечение, разработанное с использованием средств разработки, необходимо выполнить обновление пакетов базового репозитория (base).
Базовый репозиторий (base) также содержит пакеты основного репозитория (main), размещённого на установочном диске. В связи с этим при обновлении пакетов базового репозитория будут обновлены и пакеты основного репозитория.
Подготовка к установке обновления
Перед установкой обновлений:
Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке необходимо выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).
В системах с уровнем защищенности «Усиленный» (Воронеж) или «Максимальный» (Смоленск):
- обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности;
- на время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. Это может быть сделано с помощью инструментов fly-astra-update/astra-update или командой:
Установка обновления пакетов основного репозитория (main)
- Скачать tar-архив 2022-0407SE17MD.tgz с помощью WEB-браузера по следующей ссылке: https://download.astralinux.ru/astra/frozen/1.7_x86-64/1.7.1/iso/2022-0407SE17MD.tgz, либо выполнив команду:
Настоящее обновление пакетов основного репозитория (main) подписано усиленной квалифицированной электронной подписью ООО «РусБИТех-Астра»: https://download.astralinux.ru/astra/frozen/1.7_x86-64/1.7.1/iso/2022-0407SE17MD.tgz.sig. Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.
8d1b037c740701724b7db738a9d3848b212808308b7777f1c6d41cfeae6390f1
deb file:/mnt/2022-0407SE17MD/ 1.7_x86-64 main contrib non-free
echo «deb file:/mnt/2022-0407SE17MD/ 1.7_x86-64 main contrib non-free» | sudo tee -a /etc/apt/sources.list
Установка обновления пакетов базового репозитория (base)
Настоящее обновление пакетов базового репозитория (base) подписано усиленной квалифицированной электронной подписью ООО «РусБИТех-Астра»: https://download.astralinux.ru/astra/frozen/1.7_x86-64/1.7.1/iso/base-2022-0407SE17MD.tgz.sig. Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.
8c246c4c5252f9951744ee2ea6eb4017ec1ecaa1d079eba14646741f9b24ee86
deb file:/mnt/base-2022-0407SE17MD/ 1.7_x86-64 main contrib non-free
echo «deb file:/mnt/base-2022-0407SE17MD/ 1.7_x86-64 main contrib non-free» | sudo tee -a /etc/apt/sources.list
Завершение установки обновления
После выполнения обновления необходимо перезагрузить систему.
После успешной установки обновления проверка целостности программных пакетов установочного диска осуществляется утилитой fly-admin-int-check с применением файла gostsums.txt , расположенного в распакованном каталоге 2022-0407SE17MD.
БЮЛЛЕТЕНЬ № 20200327SE16
Кумулятивное оперативное обновление для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.6).
Данное обновление включает в себя:
Перед установкой оперативных обновлений рекомендуется ознакомиться с подробной инструкцией по
установке обновлений ОС Astra Linux с компакт-дисков.
Всё программное обеспечение, разработанное с использованием оперативных обновлений для дисков со средствами разработки, будет корректно функционировать только в среде ОС Astra Linux с установленными соответствующими оперативными обновлениями.
Перед установкой данного обновления ознакомиться с разделом «Известные проблемы и их решения» настоящего бюллетеня, и обеспечить выполнение рекомендаций этого раздела.
Без использования astra-update обновление можно выполнить в соответствии с инструкцией, приведенной ниже:
1. Загрузить образ диска с обновлениями по ссылке:
Обновление диска со средствами разработки, соответствующее бюллетеню № 20200327SE16, доступно по ссылке.
Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:
Оперативное обновление подписано усиленной квалифицированной электронной подписью ООО «РусБИТех-Астра» (Скачать).
Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.
Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.
Для полного завершения обновления потребуется установочный диск операционной системы специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.6)
3. Если при установке обновления не используется репозиторий основной системы, то необходимо убедиться в том, что зарегистрирован и доступен установочный диск, для чего
просто установить его в привод компакт-дисков (монтировать не надо) и выполнить команду:
4. Если для установки обновления файл ISO-образа переписан на компакт-диск, описанную выше процедуру регистрации повторить для всех компакт-дисков.
5. Если для обновления используются файлы с ISO-образами дисков, то для каждого образа нужно выполнить аналогичную процедуру регистрации, предварительно смонтировав, а потом отмонтировав образ:
Можно не использовать ключ -m, тогда команда apt-cdrom начиная работу сама отмонтирует ранее установленный диск, выдаст запрос на установку нового диска, а после завершения — отмонтирует установленный диск.
При этом образы дисков по запросу команды apt-cdrom можно монтировать из параллельной терминальной сессии.
Описанные процедуры регистрации компакт-дисков и образов должны быть выполнены для всех компакт-дисков и образов, использующихся для обновления.
В процессе установки обновления может потребоваться замена диска/образа диска, с которого происходит установка.
Программа установки предупредит об этом, попросит вставить диск и нажать Enter.
При установке с использованием компакт-диска дистрибутива ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) и файла — образа диска с обновлениями переключать носители не потребуется.
При установке с использованием иных вариантов носителей может потребоваться заменять носители в соответствии с указаниями программы.
При этом компакт-диски просто заменяются в приводе компакт-дисков, а для подключения файлов с образами дисков их нужно будет монтировать в каталог /media/cdrom так же, как и при регистрации :
6. Команды обновления следует выполнять из сессии суперпользователя (sudo -s) с высоким уровнем целостности, а не через отдельные команды sudo:
7. После завершения регистрации всех компакт-дисков и образов выполнить команды для «холостого прогона» установки обновлений (без внесения реальных изменений в систему, ключ -s команды apt), и убедитесь, что в результате работы не возникает неустранимых ошибок:
sudo -s
apt update
apt -s dist-upgrade
exit
По мере появления приглашения на замену носителей — выполнять замену в соответствии с изложенной выше инструкцией.
8. Выполнить обновление командами:
По мере появления приглашения на замену носителей — выполнять замену в соответствии с изложенной выше инструкцией.
После выполнения обновления необходимо перезагрузить систему.
После завершения выполнения указанных команд обновление операционной системы будет выполнено .
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями.
Для упрощения адаптации пользователей к особенностям реализации мандатного контроля целостности, при установке обновления значение мандатного атрибута ccnri принудительно фиксируется во включенном состоянии для всех каталогов файловой системы. Мандатный атрибут ccnri определяет, что контейнер может содержать сущности с различными уровнями целостности, но не большими, чем его собственный уровень целостности и применяется только к контейнерам (каталогам файловой системы).
Известные проблемы и их решения
Требующие действий перед установкой обновления
Недостаточно места в дисковом разделе /boot
Размеры дисковых разделов можно проверить командой:
Если обновление устанавливается на только что установленную ОС с разметкой LVM, выполненной по умолчанию (а именно — размер дискового раздела /boot менее 512МБ, по умолчанию 234МБ), то:
- либо увеличить размер дискового раздела /boot до 512МБ:
- либо, если увеличить размер дискового раздела /boot до 512МБ не представляется возможным:
- удалить ядро hardened командой:
Требующие действий после установки обновления
Не запущены модули ядра для KMS
Проблема пожет появляться на системах, использующих бинарные драйверы NVidia или виртуальных системах, не использующих KMS (например, hyper-v).
Проблема проявляется в том, что после перезагрузки не запускается графическая сессия.Проверить наличие запущенных модулей ядра можно командой:
- Если на обновлённом компьютере не запущены модули ядра для KMS (такие, как nouveau, i915, amdgpu), то установить обновление по обычной процедуре;
- После обновления пакетов fly-dm, fly-qdm в файле /etc/X11/fly-dm/fly-dmrc раскомментировать строку
Проблема с печатью по протоколу HTTP на сетевой raw-принтер.
Список уязвимостей, закрываемых обновлением №20200327SE16 Update 5
Список улучшений функциональности, предоставляемых обновлением №20200327SE16 Update 5