Обновления безопасности

Проверка целостности и подлинности пакетов обновлений

1. С помощью установленного криптопровайдера «КриптоПро»

Проверить подпись пакета обновлений возможно с помощью консольной утилиты cryptcp, входящей в состав КриптоПро CSP.
Для успешной проверки подписи необходимо скачать и установить в соответствующие хранилища цепочку сертификатов, списки отзыва и сам сертификат подписи. Ссылки на скачивание:

Корневой сертификат головного УЦ Минкомсвязи России

Список отзыва головного УЦ Минкомсвязи России
Промежуточный сертификат УЦ АО «ЕЭТП»
Список отзыва головного УЦ АО «ЕЭТП»
Сертификат подписи пакетов ООО «РЕД СОФТ»

Затем загрузите на компьютер пакет обновления и файл подписи.

Для проверки подписи выполните команду:
/opt/cprocsp/bin/amd64/cryptcp -verify -verall -detached <имя файла пакета обновления> <имя файла подписи пакета>
Пример команды:
/opt/cprocsp/bin/amd64/cryptcp -verify -verall -detached /home/user/pkgs/testfile.rpm /home/user/sgns/testfile.rpm.sgn

Так же возможна массовая проверка подписей. Для удобства загрузите пакеты обновлений в один каталог (например pkgs), а файлы подписи в другой (например sgns) и выполните команду:
/opt/cprocsp/bin/amd64/cryptcp -vsignf -dir <каталог подписей> <маска файлов>
Пример команды:
/opt/cprocsp/bin/amd64/cryptcp -vsignf -dir /home/user/sgns /home/user/pkgs/*

2. С помощью онлайн сервиса проверки электронной подписи КриптоПро DSS

Перейдите по ссылке на страницу проверки электронной подписи сервиса КриптоПро DSS: https://dss.cryptopro.ru/Verify/Verify/
В поле «Документ для проверки» выберите файл подписи.

В поле «Формат подписи» выберите вариант «Подпись в формате CMS».

В блоке «Параметры» укажите «Отсоединенная подпись», «Подпись данных» и «Алгоритм хеширования»«GR 34.11-2012 256».
В блоке «Исходный документ» выберите пакет обновления, соответствующий загруженному файлу подписи.
В блоке «Дополнительные проверки сертификата» установите флаг «Проверка требований к квалифицированному сертификату».

Нажмите кнопку «Проверить».
В результате должна открыться страница с результатом проверки ЭП, где «Результат проверки» должен быть «Подпись действительна».

3. С помощью менеджера пакетов ОС

Проверить дайджесты и подписи скачанного пакета можно командой:
# rpm --checksig <имя пакета>.rpm
Например:
# rpm --checksig ppp-2.4.7-22.el7.x86_64.rpm
ppp-2.4.7-22.el7.x86_64.rpm: digests Ок

Проверить информацию о пакете можно командой:
# rpm -qi <имя пакета>.rpm
Например:
# rpm -qi ppp-2.4.7-22.el7.x86_64.rpm
...
Packager : RED SOFT
Vendor : RED SOFT


Уязвимость в PPPD

1. Описание уязвимости:

Проблема (CVE-2020-8597) представляет собой уязвимость переполнения буфера стека, возникшую из-за логической ошибки в EAP (Extensible Authentication Protocol) парсере пакетов в PPPD (функции eap_request() и eap_response() в eap.c). Уязвимость предоставляет возможность без авторизации удаленно выполнить произвольный код на уязвимых системах и получить полный контроль над ними. Для этого атакующему потребуется отправить специально сформированный EAP-пакет на уязвимый PPP-клиент или сервер.

2. Возможные меры по устранению уязвимости

— отказаться от использования демона протокола PPP (Point-to-Point Protocol) pppd
или
— установить обновления безопасности.

Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
Обновлено:
ppp.x86_64 0:2.4.7-22.el7
Выполнено!

б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет:

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/ppp-2.4.7-22.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall ppp-2.4.7-22.el7.x86_64.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
Обновлено:
ppp.x86_64 0:2.4.7-22.el7
Выполнено!

После выполнения обновления рекомендуется перезагрузить систему.

Если вы нашли ошибку, выделите текст и нажмите Ctrl+Enter.

Print Friendly, PDF & Email