Astra Linux.Обновления безопасности для ALSE 1.5 — различия между версиями
Админ (обсуждение | вклад) (Новая страница: «= БЮЛЛЕТЕНЬ № 16092016SE15 = Для нейтрализации угроз эксплуатации уязвимостей операционной с…») |
Админ (обсуждение | вклад) м |
||
| Строка 1: | Строка 1: | ||
| − | = БЮЛЛЕТЕНЬ № 16092016SE15 = | + | == БЮЛЛЕТЕНЬ № 16092016SE15 == |
| − | Для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5) в информационных системах необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже. | + | Для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "[[Astra Linux Special Edition]]" РУСБ.10015-01 (версия 1.5) в информационных системах необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже. |
<br> | <br> | ||
| + | |||
1. Загрузить образ диска с обновлениями по ссылке | 1. Загрузить образ диска с обновлениями по ссылке | ||
<br>[https://stor.rusbitech.ru/data/public/6cb39e.php?lang=ru Скачать]<br> | <br>[https://stor.rusbitech.ru/data/public/6cb39e.php?lang=ru Скачать]<br> | ||
| + | |||
2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду: | 2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду: | ||
<br> | <br> | ||
| Строка 12: | Строка 14: | ||
<code>0fd8405aad2a729f5daac2c980109cdad3f78a4365eb2876416e0af70663c3d7</code><br> | <code>0fd8405aad2a729f5daac2c980109cdad3f78a4365eb2876416e0af70663c3d7</code><br> | ||
Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5)<br> | Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5)<br> | ||
| + | |||
3. выполнить команды:<br> | 3. выполнить команды:<br> | ||
<code>sudo mount /mnt/essential_and_additional_bin.iso /media/cdrom</code><br> | <code>sudo mount /mnt/essential_and_additional_bin.iso /media/cdrom</code><br> | ||
| Строка 21: | Строка 24: | ||
после выполнения указанных команд будет выполнено обновление операционной системы.<br> | после выполнения указанных команд будет выполнено обновление операционной системы.<br> | ||
<br> | <br> | ||
| − | == Внимание! == После успешного обновления проверку целостности программных пакетов утилитой fly-admin-incheck необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями.<br> | + | |
| + | === Внимание! === | ||
| + | |||
| + | После успешного обновления проверку целостности программных пакетов утилитой fly-admin-incheck необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями.<br> | ||
<br> | <br> | ||
| + | |||
В случае, если по каким-то причинам провести обновление программных пакетов указанным выше способом невозможно, выполните методические указания приведенные ниже: | В случае, если по каким-то причинам провести обновление программных пакетов указанным выше способом невозможно, выполните методические указания приведенные ниже: | ||
| − | = Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (версия 1.5) в информационных системах = | + | == Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (версия 1.5) в информационных системах == |
| − | == Идентификаторы уязвимостей соответствуют указанным в банке данных угроз безопасности информации ФСТЭК России == | + | === Идентификаторы уязвимостей соответствуют указанным в банке данных угроз безопасности информации ФСТЭК России === |
<big>1. Методика безопасности, нейтрализующая уязвимость BDU:2016-01146</big> | <big>1. Методика безопасности, нейтрализующая уязвимость BDU:2016-01146</big> | ||
| Строка 41: | Строка 48: | ||
<code><policy domain="coder" rights="none" pattern="HTTP" /></code><br> | <code><policy domain="coder" rights="none" pattern="HTTP" /></code><br> | ||
<br> | <br> | ||
| + | |||
<big>2. Методика безопасности, нейтрализующая уязвимость BDU:2016-01573</big> | <big>2. Методика безопасности, нейтрализующая уязвимость BDU:2016-01573</big> | ||
| Строка 54: | Строка 62: | ||
<code>chmod 750 /usr/bin/lnstat</code><br> | <code>chmod 750 /usr/bin/lnstat</code><br> | ||
<br> | <br> | ||
| + | |||
<big>4. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01584</big> | <big>4. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01584</big> | ||
| Строка 60: | Строка 69: | ||
<code>chmod 750 /usr/bin/lnstat</code><br> | <code>chmod 750 /usr/bin/lnstat</code><br> | ||
<br> | <br> | ||
| + | |||
<big>5. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01585</big> | <big>5. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01585</big> | ||
| Строка 72: | Строка 82: | ||
<code>chmod 750 /usr/bin/wfst_run</code><br> | <code>chmod 750 /usr/bin/wfst_run</code><br> | ||
<br> | <br> | ||
| + | |||
<big>7. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01587</big> | <big>7. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01587</big> | ||
Версия 08:04, 13 апреля 2017
Содержание
БЮЛЛЕТЕНЬ № 16092016SE15
Для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5) в информационных системах необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже.
1. Загрузить образ диска с обновлениями по ссылке
Скачать
2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:
gostsum -d /mnt/essential_and_additional_bin.iso
Контрольная сумма:
0fd8405aad2a729f5daac2c980109cdad3f78a4365eb2876416e0af70663c3d7
Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5)
3. выполнить команды:
sudo mount /mnt/essential_and_additional_bin.iso /media/cdrom
sudo apt-cdrom -m add
на вопрос об имени диска ввести "Astra Linux Security Updates"
sudo apt-get update
sudo apt-get dist-upgrade
после выполнения указанных команд будет выполнено обновление операционной системы.
Внимание!
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-incheck необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями.
В случае, если по каким-то причинам провести обновление программных пакетов указанным выше способом невозможно, выполните методические указания приведенные ниже:
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (версия 1.5) в информационных системах
Идентификаторы уязвимостей соответствуют указанным в банке данных угроз безопасности информации ФСТЭК России
1. Методика безопасности, нейтрализующая уязвимость BDU:2016-01146
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета imagemagick, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в конфигурационный файл /etc/ImageMagick/policy.xml в раздел <policymap> добавить строки:
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
<policy domain="coder" rights="none" pattern="FTP" />
<policy domain="coder" rights="none" pattern="HTTP" />
2. Методика безопасности, нейтрализующая уязвимость BDU:2016-01573
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета libgraphicsmagick3, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в конфигурационном файле /usr/lib/GraphicsMagick-1.3.16/config/delegates.mgk удалить строку:
<delegate decode="gplt" command='"echo" "set size 1.25,0.62; set terminal postscript portrait color solid; set outp ut \"%o\"; load \"%i\"" > "%u"; "gnuplot" "%u"' />
3. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01583
Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения у пользователей на запуск программы сбора сетевой статистики lnstat. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск данной программы, выполнив в терминале команду:
chmod 750 /usr/bin/lnstat
4. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01584
Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения у пользователей на запуск программы сбора сетевой статистики lnstat. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск данной программы, выполнив в терминале команду:
chmod 750 /usr/bin/lnstat
5. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01585
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета gpsd-clients, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы gpxlogger, выполнив в терминале команду:
chmod 750 /usr/bin/gpxlogger
6. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01586
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета speech-tools, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы wfst_run, выполнив в терминале команду:
chmod 750 /usr/bin/wfst_run
7. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01587
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета texlive-binaries, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы mendex, выполнив в терминале команду:
chmod 750 /usr/bin/mendex
8. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01588
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета firebird2.5-classic-common, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы gdef, выполнив в терминале команду:
chmod 750 /usr/bin/gdef
9. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01589
Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/wireless/libertas/libertas_cs.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду:
echo blacklist libertas_cs > /etc/modprobe.d/blacklist_libertas_cs.conf
update-initramfs -u -k all
10. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01590
Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/usb/kalmia.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду:
echo blacklist kalmia > /etc/modprobe.d/blacklist_kalmia.conf
update-initramfs -u -k all
11. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01591
Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/usb/smsc75xx.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду:
echo blacklist smsc75xx > /etc/modprobe.d/blacklist_smsc75xx.conf
update-initramfs -u -k all
