Astra Linux.Обновления безопасности для ALSE 1.5 — различия между версиями

Материал из ТХАБ.РФ
Перейти к: навигация, поиск
м (БЮЛЛЕТЕНЬ № 16092016SE15)
м (/* Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition"…)
Строка 34: Строка 34:
 
=== Идентификаторы уязвимостей соответствуют указанным в банке данных угроз безопасности информации ФСТЭК России ===
 
=== Идентификаторы уязвимостей соответствуют указанным в банке данных угроз безопасности информации ФСТЭК России ===
  
<big>1. Методика безопасности, нейтрализующая уязвимость BDU:2016-01146</big>
+
====1. Методика безопасности, нейтрализующая уязвимость BDU:2016-01146====
  
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета imagemagick, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в конфигурационный файл /etc/ImageMagick/policy.xml в раздел <policymap> добавить строки:<br>
+
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета [[imagemagick]], который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в конфигурационный файл /etc/ImageMagick/policy.xml в раздел <policymap> добавить строки:
<br>
+
 
<code><policy domain="coder" rights="none" pattern="EPHEMERAL" /></code><br>
+
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<code><policy domain="coder" rights="none" pattern="URL" /></code><br>
+
<policy domain="coder" rights="none" pattern="URL" />
<code><policy domain="coder" rights="none" pattern="HTTPS" /></code><br>
+
<policy domain="coder" rights="none" pattern="HTTPS" />
<code><policy domain="coder" rights="none" pattern="MVG" /></code><br>
+
<policy domain="coder" rights="none" pattern="MVG" />
<code><policy domain="coder" rights="none" pattern="MSL" /></code><br>
+
<policy domain="coder" rights="none" pattern="MSL" />
<code><policy domain="coder" rights="none" pattern="FTP" /></code><br>
+
<policy domain="coder" rights="none" pattern="FTP" />
<code><policy domain="coder" rights="none" pattern="HTTP" /></code><br>
+
<policy domain="coder" rights="none" pattern="HTTP" />
<br>
+
 
 +
 
 +
==== 2. Методика безопасности, нейтрализующая уязвимость BDU:2016-01573 ====
 +
 
 +
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета libgraphicsmagick3, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в конфигурационном файле /usr/lib/GraphicsMagick-1.3.16/config/delegates.mgk удалить строку:
 +
 
 +
<delegate decode="gplt" command='"echo" "set size 1.25,0.62; set terminal postscript portrait color solid; set outp    ut \"%o\"; load \"%i\"" > "%u"; "gnuplot" "%u"' />
  
<big>2. Методика безопасности, нейтрализующая уязвимость BDU:2016-01573</big>
+
==== 3. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01583 ====
  
Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета libgraphicsmagick3, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в конфигурационном файле /usr/lib/GraphicsMagick-1.3.16/config/delegates.mgk удалить строку:<br>
+
Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения у пользователей на запуск программы сбора сетевой статистики lnstat. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск данной программы, выполнив в терминале команду:
<br>
 
<code><delegate decode="gplt" command='"echo" "set size 1.25,0.62; set terminal postscript portrait color solid; set outp    ut \"%o\"; load \"%i\"" > "%u"; "gnuplot" "%u"' /></code><br>
 
<br>
 
  
<big>3. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01583</big>
+
chmod 750 /usr/bin/lnstat
  
Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения у пользователей на запуск программы сбора сетевой статистики lnstat. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск данной программы, выполнив в терминале команду:<br>
 
<br>
 
<code>chmod 750 /usr/bin/lnstat</code><br>
 
<br>
 
  
 
<big>4. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01584</big>
 
<big>4. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01584</big>
Строка 116: Строка 115:
 
<br>
 
<br>
 
<code>update-initramfs -u -k all</code><br>
 
<code>update-initramfs -u -k all</code><br>
 +
 
== Ссылки ==
 
== Ссылки ==
 
* [http://astra-linux.com/wiki/index.php/Security_Updates_for_1.5 Проверьте здесь последние обновления безопасности]
 
* [http://astra-linux.com/wiki/index.php/Security_Updates_for_1.5 Проверьте здесь последние обновления безопасности]

Версия 08:14, 13 апреля 2017

БЮЛЛЕТЕНЬ № 16092016SE15

Для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5) в информационных системах необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже.

1. Загрузить образ диска с обновлениями по ссылке
Скачать

2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:

gostsum -d /mnt/essential_and_additional_bin.iso 

Контрольная сумма:

0fd8405aad2a729f5daac2c980109cdad3f78a4365eb2876416e0af70663c3d7

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы. Также в процессе обновления может потребоваться установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия 1.5)

3. Выполнить команды:

sudo mount /mnt/essential_and_additional_bin.iso /media/cdrom
sudo apt-cdrom -m add

на вопрос об имени диска ввести "Astra Linux Security Updates"

sudo apt-get update
sudo apt-get dist-upgrade

после выполнения указанных команд будет выполнено обновление операционной системы.


Внимание!
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-incheck необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями.

В случае, если по каким-то причинам провести обновление программных пакетов указанным выше способом невозможно, выполните методические указания приведенные ниже:

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" (версия 1.5) в информационных системах

Идентификаторы уязвимостей соответствуют указанным в банке данных угроз безопасности информации ФСТЭК России

1. Методика безопасности, нейтрализующая уязвимость BDU:2016-01146

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета imagemagick, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в конфигурационный файл /etc/ImageMagick/policy.xml в раздел <policymap> добавить строки:

<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
<policy domain="coder" rights="none" pattern="FTP" />
<policy domain="coder" rights="none" pattern="HTTP" />


2. Методика безопасности, нейтрализующая уязвимость BDU:2016-01573

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета libgraphicsmagick3, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в конфигурационном файле /usr/lib/GraphicsMagick-1.3.16/config/delegates.mgk удалить строку:

<delegate decode="gplt" command='"echo" "set size 1.25,0.62; set terminal postscript portrait color solid; set outp    ut \"%o\"; load \"%i\"" > "%u"; "gnuplot" "%u"' />

3. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01583

Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения у пользователей на запуск программы сбора сетевой статистики lnstat. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск данной программы, выполнив в терминале команду:

chmod 750 /usr/bin/lnstat


4. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01584

Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения у пользователей на запуск программы сбора сетевой статистики lnstat. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск данной программы, выполнив в терминале команду:

chmod 750 /usr/bin/lnstat

5. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01585

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета gpsd-clients, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы gpxlogger, выполнив в терминале команду:

chmod 750 /usr/bin/gpxlogger

6. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01586

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета speech-tools, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы wfst_run, выполнив в терминале команду:

chmod 750 /usr/bin/wfst_run

7. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01587

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета texlive-binaries, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы mendex, выполнив в терминале команду:

chmod 750 /usr/bin/mendex

8. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01588

Эксплуатация уязвимости возможна только при наличии в операционной системе установленного пакета firebird2.5-classic-common, который не устанавливается по умолчанию. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН запретить пользователям запуск программы gdef, выполнив в терминале команду:

chmod 750 /usr/bin/gdef

9. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01589

Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/wireless/libertas/libertas_cs.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду:

echo blacklist libertas_cs > /etc/modprobe.d/blacklist_libertas_cs.conf

update-initramfs -u -k all

10. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01590

Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/usb/kalmia.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду:

echo blacklist kalmia > /etc/modprobe.d/blacklist_kalmia.conf

update-initramfs -u -k all

11. Методика безопасности, нейтрализующая уязвимость BDU:Z-2016-01591

Эксплуатация уязвимости возможна только при наличии в операционной системе разрешения на автоматическую загрузку модуля ядра drivers/net/usb/smsc75xx.ko. Для предотвращения эксплуатации указанной уязвимости необходимо от имени учетной записи администратора ОС СН в терминале выполнить команду:

echo blacklist smsc75xx > /etc/modprobe.d/blacklist_smsc75xx.conf

update-initramfs -u -k all

Ссылки