Astra Linux.Обновления безопасности для ALSE 1.5 — различия между версиями

Материал из ТХАБ.РФ
Перейти к: навигация, поиск
м (/* Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition"…)
м
Строка 3: Строка 3:
 
Для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "[[Astra Linux Special Edition]]" РУСБ.10015-01 (версия 1.5) в информационных системах необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже.
 
Для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "[[Astra Linux Special Edition]]" РУСБ.10015-01 (версия 1.5) в информационных системах необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже.
  
1. Загрузить образ диска с обновлениями по ссылке <br>[https://stor.rusbitech.ru/data/public/6cb39e.php?lang=ru Скачать]<br>
+
1. Загрузить образ диска с обновлениями по ссылке: [https://stor.rusbitech.ru/data/public/6cb39e.php?lang=ru Скачать]
  
 
2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:
 
2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:
Строка 17: Строка 17:
 
  sudo mount /mnt/essential_and_additional_bin.iso /media/cdrom
 
  sudo mount /mnt/essential_and_additional_bin.iso /media/cdrom
 
  sudo apt-cdrom -m add
 
  sudo apt-cdrom -m add
 +
 
на вопрос об имени диска ввести "Astra Linux Security Updates"
 
на вопрос об имени диска ввести "Astra Linux Security Updates"
  
Строка 23: Строка 24:
  
 
после выполнения указанных команд будет выполнено обновление операционной системы.
 
после выполнения указанных команд будет выполнено обновление операционной системы.
 
  
 
  '''Внимание!'''
 
  '''Внимание!'''
Строка 34: Строка 34:
 
=== Идентификаторы уязвимостей соответствуют указанным в банке данных угроз безопасности информации ФСТЭК России ===
 
=== Идентификаторы уязвимостей соответствуют указанным в банке данных угроз безопасности информации ФСТЭК России ===
  
====1. Методика безопасности, нейтрализующая уязвимость BDU:2016-01146====
+
==== 1. Методика безопасности, нейтрализующая уязвимость BDU:2016-01146 ====
  
 
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета [[imagemagick]], который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в конфигурационный файл /etc/ImageMagick/policy.xml в раздел <policymap> добавить строки:
 
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета [[imagemagick]], который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в конфигурационный файл /etc/ImageMagick/policy.xml в раздел <policymap> добавить строки:
Строка 49: Строка 49:
 
==== 2. Методика безопасности, нейтрализующая уязвимость BDU:2016-01573 ====
 
==== 2. Методика безопасности, нейтрализующая уязвимость BDU:2016-01573 ====
  
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета libgraphicsmagick3, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в конфигурационном файле /usr/lib/GraphicsMagick-1.3.16/config/delegates.mgk удалить строку:
+
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета [[libgraphicsmagick3]], который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в конфигурационном файле /usr/lib/GraphicsMagick-1.3.16/config/delegates.mgk удалить строку:
  
 
  <delegate decode="gplt" command='"echo" "set size 1.25,0.62; set terminal postscript portrait color solid; set outp    ut \"%o\"; load \"%i\"" > "%u"; "gnuplot" "%u"' />
 
  <delegate decode="gplt" command='"echo" "set size 1.25,0.62; set terminal postscript portrait color solid; set outp    ut \"%o\"; load \"%i\"" > "%u"; "gnuplot" "%u"' />
Строка 55: Строка 55:
 
==== 3. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01583 ====  
 
==== 3. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01583 ====  
  
Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения у пользователей на запуск программы сбора сетевой статистики lnstat. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск данной программы, выполнив в терминале команду:
+
Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения у пользователей на запуск программы сбора сетевой статистики [[lnstat]]. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск данной программы, выполнив в терминале команду:
 +
 
 +
chmod 750 /usr/bin/lnstat
 +
 
 +
 
 +
==== 4. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01584 ====
 +
 
 +
Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения у пользователей на запуск программы сбора сетевой статистики [[lnstat]]. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск данной программы, выполнив в терминале команду:
  
 
  chmod 750 /usr/bin/lnstat
 
  chmod 750 /usr/bin/lnstat
  
 +
==== 5. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01585 ====
  
<big>4. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01584</big>
+
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета [[gpsd-clients]], который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы gpxlogger, выполнив в терминале команду:
  
Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения у пользователей на запуск программы сбора сетевой статистики lnstat. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск данной программы, выполнив в терминале команду:<br>
+
chmod 750 /usr/bin/gpxlogger
<br>
+
 
<code>chmod 750 /usr/bin/lnstat</code><br>
+
==== 6. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01586 ====
<br>
+
 
 +
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета [[speech-tools]], который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы wfst_run, выполнив в терминале команду:
 +
 
 +
chmod 750 /usr/bin/wfst_run
 +
 
 +
 
 +
==== 7. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01587 ====
 +
 
 +
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета [[texlive-binaries]], который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы mendex, выполнив в терминале команду:
 +
 
 +
chmod 750 /usr/bin/mendex
 +
 
 +
==== 8. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01588 ====
  
<big>5. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01585</big>
+
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета [[firebird2.5-classic-common]], который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы gdef, выполнив в терминале команду:
  
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета gpsd-clients, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы gpxlogger, выполнив в терминале команду:<br>
+
chmod 750 /usr/bin/gdef
<br>
 
<code>chmod 750 /usr/bin/gpxlogger</code><br>
 
<br>
 
<big>6. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01586</big>
 
  
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета speech-tools, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы wfst_run, выполнив в терминале команду:<br>
+
==== 9. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01589 ====
<br>
 
<code>chmod 750 /usr/bin/wfst_run</code><br>
 
<br>
 
  
<big>7. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01587</big>
+
Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/wireless/libertas/libertas_cs.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду:
  
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета texlive-binaries, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы mendex, выполнив в терминале команду:<br>
+
echo blacklist libertas_cs > /etc/modprobe.d/blacklist_libertas_cs.conf
<br>
 
<code>chmod 750 /usr/bin/mendex</code><br>
 
<br>
 
<big>8. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01588</big>
 
  
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета firebird2.5-classic-common, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы gdef, выполнив в терминале команду:<br>
+
update-initramfs -u -k all
<br>
 
<code>chmod 750 /usr/bin/gdef</code><br>
 
<br>
 
<big>9. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01589</big>
 
  
Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/wireless/libertas/libertas_cs.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду:<br>
+
==== 10. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01590 ====
<br>
 
<code>echo blacklist libertas_cs > /etc/modprobe.d/blacklist_libertas_cs.conf</code><br>
 
<br>
 
<code>update-initramfs -u -k all</code><br>
 
<br>
 
<big>10. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01590</big>
 
  
 
Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/usb/kalmia.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду:<br>
 
Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/usb/kalmia.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду:<br>
Строка 108: Строка 107:
 
<code>update-initramfs -u -k all</code><br>
 
<code>update-initramfs -u -k all</code><br>
 
<br>
 
<br>
<big>11. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01591</big>
 
  
Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/usb/smsc75xx.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду:<br>
+
==== 11. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01591 ====
<br>
+
 
 +
Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/usb/smsc75xx.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду:
 +
 
 
<code>echo blacklist smsc75xx > /etc/modprobe.d/blacklist_smsc75xx.conf</code><br>
 
<code>echo blacklist smsc75xx > /etc/modprobe.d/blacklist_smsc75xx.conf</code><br>
<br>
+
 
 
<code>update-initramfs -u -k all</code><br>
 
<code>update-initramfs -u -k all</code><br>
  
 
== Ссылки ==
 
== Ссылки ==
 +
 
* [http://astra-linux.com/wiki/index.php/Security_Updates_for_1.5 Проверьте здесь последние обновления безопасности]
 
* [http://astra-linux.com/wiki/index.php/Security_Updates_for_1.5 Проверьте здесь последние обновления безопасности]
 
 
  
 
[[Категория:Astra Linux]]
 
[[Категория:Astra Linux]]
Строка 125: Строка 124:
 
[[Категория:Astra Linux Special Edition версия 1.5]]
 
[[Категория:Astra Linux Special Edition версия 1.5]]
 
[[Категория:Как сделать]]
 
[[Категория:Как сделать]]
 +
[[Категория:Обновления безопасности]]

Версия 08:22, 13 апреля 2017

Содержание

БЮЛЛЕТЕНЬ № 16092016SE15

Для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5) в информационных системах необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже.

1. Загрузить образ диска с обновлениями по ссылке: Скачать

2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:

gostsum -d /mnt/essential_and_additional_bin.iso 

Контрольная сумма:

0fd8405aad2a729f5daac2c980109cdad3f78a4365eb2876416e0af70663c3d7

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5)

3. Выполнить команды:

sudo mount /mnt/essential_and_additional_bin.iso /media/cdrom
sudo apt-cdrom -m add

на вопрос об имени диска ввести "Astra Linux Security Updates"

sudo apt-get update
sudo apt-get dist-upgrade

после выполнения указанных команд будет выполнено обновление операционной системы.

Внимание!
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-incheck необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями.

В случае, если по каким-то причинам провести обновление программных пакетов указанным выше способом невозможно, выполните методические указания приведенные ниже:

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (версия 1.5) в информационных системах

Идентификаторы уязвимостей соответствуют указанным в банке данных угроз безопасности информации ФСТЭК России

1. Методика безопасности, нейтрализующая уязвимость BDU:2016-01146

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета imagemagick, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в конфигурационный файл /etc/ImageMagick/policy.xml в раздел <policymap> добавить строки:

<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
<policy domain="coder" rights="none" pattern="FTP" />
<policy domain="coder" rights="none" pattern="HTTP" />


2. Методика безопасности, нейтрализующая уязвимость BDU:2016-01573

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета libgraphicsmagick3, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в конфигурационном файле /usr/lib/GraphicsMagick-1.3.16/config/delegates.mgk удалить строку:

<delegate decode="gplt" command='"echo" "set size 1.25,0.62; set terminal postscript portrait color solid; set outp    ut \"%o\"; load \"%i\"" > "%u"; "gnuplot" "%u"' />

3. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01583

Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения у пользователей на запуск программы сбора сетевой статистики lnstat. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск данной программы, выполнив в терминале команду:

chmod 750 /usr/bin/lnstat


4. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01584

Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения у пользователей на запуск программы сбора сетевой статистики lnstat. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск данной программы, выполнив в терминале команду:

chmod 750 /usr/bin/lnstat

5. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01585

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета gpsd-clients, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы gpxlogger, выполнив в терминале команду:

chmod 750 /usr/bin/gpxlogger

6. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01586

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета speech-tools, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы wfst_run, выполнив в терминале команду:

chmod 750 /usr/bin/wfst_run


7. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01587

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета texlive-binaries, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы mendex, выполнив в терминале команду:

chmod 750 /usr/bin/mendex

8. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01588

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета firebird2.5-classic-common, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы gdef, выполнив в терминале команду:

chmod 750 /usr/bin/gdef

9. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01589

Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/wireless/libertas/libertas_cs.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду:

echo blacklist libertas_cs > /etc/modprobe.d/blacklist_libertas_cs.conf
update-initramfs -u -k all

10. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01590

Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/usb/kalmia.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду:

echo blacklist kalmia > /etc/modprobe.d/blacklist_kalmia.conf

update-initramfs -u -k all

11. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01591

Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/usb/smsc75xx.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду:

echo blacklist smsc75xx > /etc/modprobe.d/blacklist_smsc75xx.conf

update-initramfs -u -k all

Ссылки