Квартальное обновление безопасности для версии 1.6
Производителем ОС (НПО «РусБИТех») выпущен квартальный пакет обновлений (№ 20181229SE16) для Astra Linux Special Edition, касающийся безопасности и исправляющие некоторые ошибки. Это первый пакет для недавно вышедшей версии 1.6. В пакет обновлений не входят обновления версий ПО, только исправления ошибок и брешей в безопасности системы.
Для удобства пользователей данные обновления выкладываются в наш репозиторий http://packages.lab50.net/security/se16.
Все пакеты, также как и сам репозиторий, представлены в оригинальном неизменном виде и подписаны ключами производителя. Для его использования дополнительных ключей не требуется.
Для подключения репозитория безопасности создайте файл /etc/apt/sources.list.d/security.list:
deb http://packages.lab50.net/security/se16 smolensk main contrib non-free
После подключения обновить систему можно с помощью команд:
sudo aptitude update sudo aptitude full-upgrade
Исправленные ошибки
Комплекс средств защиты
- ядро: исправлена утечка информации через prlimit.
- ядро: устранена возможность обхода ЗПС через запись в /proc/$PID/mem.
- ядро: устранена возможность изменения меток произвольных файлов от любого пользователя.
- parsec: добавлено получение мандатных меток из кэша SSSD при работе в домене FreeIPA.
- parsec: исправлена ошибка работы с памятью в утилите pdp-ls.
- parsec: устранена ошибка запуска ceph OSD при загрузке.
- parsec: добавлены тесты МКЦ.
- parsec: обеспечена возможность администрирования системы при включенной МКЦ.
- parsec: исправлена ошибка в службе очистки swap-разделов.
- parsec: изменен порядок вызова PAM-модулей для предотвращения подъема привилегий.
- parsec: обеспечена возможность монтирования съемных носителей при работе с ненулевой меткой конфиденциальности.
- parsec: исправлена обработка имен уровней конфиденциальности, состоящих из цифр
- adduser: устанавливать уровень целостности 0 на создаваемые домашние директории, кроме системных пользователей.
- ald-parsec: aldd создавал кэш мандатных меток, к которому был невозможен доступ некоторых сервисов, в результате чего, кэш постоянно пересоздавался, приводя сервис slapd к 100% утилизации системы и отказу клиентов в обслуживании.
- ald: aldd генерировал избыточный сетевой трафик, приводящий сервис slapd к 100% утилизации системы и отказу клиентов в обслуживании.
- freeipa: исправления связанны с пакетом sssd. Решение проблемы получения мандатных меток доменными пользователями при авторизации при потере связи.
- astra-safepolicy: очистка окружения при запуске интерпретаторов: добавлены новые переменные окружения.
- astra-interpreters-lock: добавлен irb в список блокированных интерпретаторов.
- libapache-mod-auth-kerb: добавлена поддержка модулем kerberos аутентификации режима работы «AstraMode».
- libgost-astra: исправлено автоматическое включение использование защитного преобразования по алгоритмам ГОСТ при установке пакета.
- libp11-openssl1: добавление возможности работы с ключами Rutoken.
- libpam-pwquality: проверка пароля на соответствие политики только для локальных пользователей.
- libparsec-mac-qt5: обеспечение стабильной работы при большом количестве доменных пользователей, в несколько раз снизилась нагрузка на сеть.
- opensc: исправление работы с драйверами Рутокен S, проблемы с записью малых файлов.
- openssh: обновили списки шифров и MAC в комментарии конфигурационного файла ssh_config в соответствии с новыми настройками по умолчанию для модифицированного ssh (ГОСТ на первом месте).
- pam: устанавливает уровень целостности 0 при создании домашних директорий с помощью pam_homedir.
- pam: внятные сообщения при блокировке pam_tally, pam_tally2.
- parsec-cups: исправлена маркировка при печати из некоторых приложений.
- samba: установка нулевого уровня целостности на домашнюю директорию, добавление привилегии PARSEC_CAP_SIG процессу smbd.
- shadow: устанавливать уровень целостности 0 на создаваемые домашние директории, кроме системных пользователей.
- sssd: решение проблемы получения мандатных меток доменными пользователи при логине при потере связи с сервером домена, кеширование словарей мандатных меток.
- xorg: параметр allow-user-xsession убран из /etc/X11/Xsession.options с тем чтоб пользователь не не мог переопределить свою Х сессию.
Рабочая среда Fly
fly-admin-ald-server
- При создании ALD пользователя ему присваивается нулевая мандатная метка. Это решает проблему подключения к базе данных postgresql.
fly-admin-digsig
- При выборе папки на подпись скрытые файлы теперь тоже подписываются. Оптимизация записи в xattr_control. Автоматическое монтирование /boot в ‘rw’ при управлении ЗПС.
fly-admin-gmc
- Требуется для сборки fly-admin-ald-server (исправление: При создании ALD пользователя ему присваивается нулевая мандатная метка. Это решает проблему подключения к базе данных postgresql)
fly-admin-local-se
- Требуется для установки fly-admin-local (исправление: Исправлена ошибка при включении киоска при отсутствии /etc/xdg/rusbitech и при отсутствии группы astra-console)
fly-admin-local
- Исправлена ошибка при включении киоска при отсутствии /etc/xdg/rusbitech и при отсутствии группы astra-console.
fly-admin-mic
- Исправлена ошибка при отключении МКЦ (увеличено время ожидания ответа программы которая отключает МКЦ)
fly-admin-ntp
- Исправлена ошибка парсинга конфига
fly-admin-printer-mac
- В «фонарике» (оборотная сторона последнего листа документа) имеются поля «Исполнитель» и «Отпечатал». В случае настроек авторизации печати в ALD, в этих полях теперь печатается содержимое поля GECOS, а не доменный логин пользователя.
fly-admin-printer
- Исправлена ошибка при настройке общего доступа
fly-admin-samba
- Исправлен конфликт при работе совместно с ALD.
fly-admin-service-se
- При настройке CUPS через ALD создается доменная группа lpmac_ald, в которую должен быть добавлен администратор печати.
fly-dm
- устранено падение при выполнении «fly-dmctl rtcwake», т.е. без указания аргументов -t/-s secs
- устранена возможность управления systemd пользователем путем формирования команд типа «fly-dmctl suspendtohyibernate произвольная_команда -p» приводящих к выполнению «systemctl произвольная_команда -p suspend-to-hibernate.service»
- установить DBUS_SESSION_BUS_ADDRESS=nothing перед запуском fly-mac-dialog для предотвращения запуска dbus демона с высоким уровнем целостности и его непредусмотренного использования в сессии
fly-doc
- Исправление документации апдейта
fly-fm
- При отмене перемещения файла между разными разделами исходный файл теперь не удаляется
fly-reflex
- устранен недостаток графического интерфейса который не позволял корректно работать с несколькими одновременно подключенными сменными носителями
fly-qdm
- Устранено возможное переполнение буфера при копировании строки с командой вызова виртуальной клавиатуры
fly-weather
- Исправлено падение. Добавлена поддержка https протокола и ограничен буфер для скачиваемых данных.
fly-wm
Обновление безопасности:
- fly-wm не мог запустить блокировщик из-за невозможности успешно выполнить XGrabKeyboard, если этот вызов уже сделан другим клиентом. Теперь благодаря поддержке безусловного XUngrabKeyboard для доверенных клиентов в обновленном Х сервере fly-wm при неудаче с XGrabKeyboard, делает гарантированно успешный XUngrabKeyboard, сразу после чего успешно захватывает клавиатуру по XGrabKeyboard и запускает блокировщик экрана.
- с некоторыми видеодрайверами (проприетарные nvidia) при одновременном срабатывании гашения экрана и блокировщика окно блокировщика не прорисовывалось при этом был виден рабочий стол поверх которого видна строка ввода пароля и часы
Другое
- cups: исправлена ошибка при отправке основного задания на печать вместе с порожденными.
- cups: в «фонарике» (оборотная сторона последнего листа документа) имеются поля «Исполнитель» и «Отпечатал». В случае настроек авторизации печати в ALD, в этих полях теперь печатается содержимое поля GECOS, а не доменный логин пользователя.
- acpi-support: обновление поддержки мультиуровневого МРД.
- fonts-pt: обновление пакета шрифтов.