Опубликовано

Квартальное обновление Astra Linux Special Edition

Квартальное обновление безопасности для версии 1.6

Производителем ОС (НПО «РусБИТех») выпущен квартальный пакет обновлений (№ 20181229SE16) для Astra Linux Special Edition, касающийся безопасности и исправляющие некоторые ошибки. Это первый пакет для недавно вышедшей версии 1.6. В пакет обновлений не входят обновления версий ПО, только исправления ошибок и брешей в безопасности системы.

Для удобства пользователей данные обновления выкладываются в наш репозиторий http://packages.lab50.net/security/se16.

Все пакеты, также как и сам репозиторий, представлены в оригинальном неизменном виде и подписаны ключами производителя. Для его использования дополнительных ключей не требуется.

Для подключения репозитория безопасности создайте файл /etc/apt/sources.list.d/security.list:

deb http://packages.lab50.net/security/se16 smolensk main contrib non-free

После подключения обновить систему можно с помощью команд:

sudo aptitude update
sudo aptitude full-upgrade

Исправленные ошибки

Комплекс средств защиты

  • ядро: исправлена утечка информации через prlimit.
  • ядро: устранена возможность обхода ЗПС через запись в /proc/$PID/mem.
  • ядро: устранена возможность изменения меток произвольных файлов от любого пользователя.
  • parsec: добавлено получение мандатных меток из кэша SSSD при работе в домене FreeIPA.
  • parsec: исправлена ошибка работы с памятью в утилите pdp-ls.
  • parsec: устранена ошибка запуска ceph OSD при загрузке.
  • parsec: добавлены тесты МКЦ.
  • parsec: обеспечена возможность администрирования системы при включенной МКЦ.
  • parsec: исправлена ошибка в службе очистки swap-разделов.
  • parsec: изменен порядок вызова PAM-модулей для предотвращения подъема привилегий.
  • parsec: обеспечена возможность монтирования съемных носителей при работе с ненулевой меткой конфиденциальности.
  • parsec: исправлена обработка имен уровней конфиденциальности, состоящих из цифр
  • adduser: устанавливать уровень целостности 0 на создаваемые домашние директории, кроме системных пользователей.
  • ald-parsec: aldd создавал кэш мандатных меток, к которому был невозможен доступ некоторых сервисов, в результате чего, кэш постоянно пересоздавался, приводя сервис slapd к 100% утилизации системы и отказу клиентов в обслуживании.
  • ald: aldd генерировал избыточный сетевой трафик, приводящий сервис slapd к 100% утилизации системы и отказу клиентов в обслуживании.
  • freeipa: исправления связанны с пакетом sssd. Решение проблемы получения мандатных меток доменными пользователями при авторизации при потере связи.
  • astra-safepolicy: очистка окружения при запуске интерпретаторов: добавлены новые переменные окружения.
  • astra-interpreters-lock: добавлен irb в список блокированных интерпретаторов.
  • libapache-mod-auth-kerb: добавлена поддержка модулем kerberos аутентификации режима работы «AstraMode».
  • libgost-astra: исправлено автоматическое включение использование защитного преобразования по алгоритмам ГОСТ при установке пакета.
  • libp11-openssl1: добавление возможности работы с ключами Rutoken.
  • libpam-pwquality: проверка пароля на соответствие политики только для локальных пользователей.
  • libparsec-mac-qt5: обеспечение стабильной работы при большом количестве доменных пользователей, в несколько раз снизилась нагрузка на сеть.
  • opensc: исправление работы с драйверами Рутокен S, проблемы с записью малых файлов.
  • openssh: обновили списки шифров и MAC в комментарии конфигурационного файла ssh_config в соответствии с новыми настройками по умолчанию для модифицированного ssh (ГОСТ на первом месте).
  • pam: устанавливает уровень целостности 0 при создании домашних директорий с помощью pam_homedir.
  • pam: внятные сообщения при блокировке pam_tally, pam_tally2.
  • parsec-cups: исправлена маркировка при печати из некоторых приложений.
  • samba: установка нулевого уровня целостности на домашнюю директорию, добавление привилегии PARSEC_CAP_SIG процессу smbd.
  • shadow: устанавливать уровень целостности 0 на создаваемые домашние директории, кроме системных пользователей.
  • sssd: решение проблемы получения мандатных меток доменными пользователи при логине при потере связи с сервером домена, кеширование словарей мандатных меток.
  • xorg: параметр allow-user-xsession убран из /etc/X11/Xsession.options с тем чтоб пользователь не не мог переопределить свою Х сессию.

Рабочая среда Fly

fly-admin-ald-server

  • При создании ALD пользователя ему присваивается нулевая мандатная метка. Это решает проблему подключения к базе данных postgresql.

fly-admin-digsig

  • При выборе папки на подпись скрытые файлы теперь тоже подписываются. Оптимизация записи в xattr_control. Автоматическое монтирование /boot в ‘rw’ при управлении ЗПС.

fly-admin-gmc

  • Требуется для сборки fly-admin-ald-server (исправление: При создании ALD пользователя ему присваивается нулевая мандатная метка. Это решает проблему подключения к базе данных postgresql)

fly-admin-local-se

  • Требуется для установки fly-admin-local (исправление: Исправлена ошибка при включении киоска при отсутствии /etc/xdg/rusbitech и при отсутствии группы astra-console)

fly-admin-local

  • Исправлена ошибка при включении киоска при отсутствии /etc/xdg/rusbitech и при отсутствии группы astra-console.

fly-admin-mic

  • Исправлена ошибка при отключении МКЦ (увеличено время ожидания ответа программы которая отключает МКЦ)

fly-admin-ntp

  • Исправлена ошибка парсинга конфига

fly-admin-printer-mac

  • В «фонарике» (оборотная сторона последнего листа документа) имеются поля «Исполнитель» и «Отпечатал». В случае настроек авторизации печати в ALD, в этих полях теперь печатается содержимое поля GECOS, а не доменный логин пользователя.

fly-admin-printer

  • Исправлена ошибка при настройке общего доступа

fly-admin-samba

  • Исправлен конфликт при работе совместно с ALD.

fly-admin-service-se

  • При настройке CUPS через ALD создается доменная группа lpmac_ald, в которую должен быть добавлен администратор печати.

fly-dm

  • устранено падение при выполнении «fly-dmctl rtcwake», т.е. без указания аргументов -t/-s secs
  • устранена возможность управления systemd пользователем путем формирования команд типа «fly-dmctl suspendtohyibernate произвольная_команда -p» приводящих к выполнению «systemctl произвольная_команда -p suspend-to-hibernate.service»
  • установить DBUS_SESSION_BUS_ADDRESS=nothing перед запуском fly-mac-dialog для предотвращения запуска dbus демона с высоким уровнем целостности и его непредусмотренного использования в сессии

fly-doc

  • Исправление документации апдейта

fly-fm

  • При отмене перемещения файла между разными разделами исходный файл теперь не удаляется

fly-reflex

  • устранен недостаток графического интерфейса который не позволял корректно работать с несколькими одновременно подключенными сменными носителями

fly-qdm

  • Устранено возможное переполнение буфера при копировании строки с командой вызова виртуальной клавиатуры

fly-weather

  • Исправлено падение. Добавлена поддержка https протокола и ограничен буфер для скачиваемых данных.

fly-wm

Обновление безопасности:

  • fly-wm не мог запустить блокировщик из-за невозможности успешно выполнить XGrabKeyboard, если этот вызов уже сделан другим клиентом. Теперь благодаря поддержке безусловного XUngrabKeyboard для доверенных клиентов в обновленном Х сервере fly-wm при неудаче с XGrabKeyboard, делает гарантированно успешный XUngrabKeyboard, сразу после чего успешно захватывает клавиатуру по XGrabKeyboard и запускает блокировщик экрана.
  • с некоторыми видеодрайверами (проприетарные nvidia) при одновременном срабатывании гашения экрана и блокировщика окно блокировщика не прорисовывалось при этом был виден рабочий стол поверх которого видна строка ввода пароля и часы

Другое

  • cups: исправлена ошибка при отправке основного задания на печать вместе с порожденными.
  • cups: в «фонарике» (оборотная сторона последнего листа документа) имеются поля «Исполнитель» и «Отпечатал». В случае настроек авторизации печати в ALD, в этих полях теперь печатается содержимое поля GECOS, а не доменный логин пользователя.
  • acpi-support: обновление поддержки мультиуровневого МРД.
  • fonts-pt: обновление пакета шрифтов.
Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *