Обновления безопасности

Проверка целостности и подлинности пакетов обновлений

1. С помощью установленного криптопровайдера «КриптоПро»

Проверить подпись пакета обновлений возможно с помощью консольной утилиты cryptcp, входящей в состав КриптоПро CSP.
Для успешной проверки подписи необходимо скачать и установить в соответствующие хранилища цепочку сертификатов, списки отзыва и сам сертификат подписи. Ссылки на скачивание:

Корневой сертификат головного УЦ Минкомсвязи России

Список отзыва головного УЦ Минкомсвязи России
Промежуточный сертификат УЦ АО «ЕЭТП»
Список отзыва головного УЦ АО «ЕЭТП»
Сертификат подписи пакетов ООО «РЕД СОФТ»

Затем загрузите на компьютер пакет обновления и файл подписи.

Для проверки подписи выполните команду:
/opt/cprocsp/bin/amd64/cryptcp -verify -verall -detached <имя файла пакета обновления> <имя файла подписи пакета>
Пример команды:
/opt/cprocsp/bin/amd64/cryptcp -verify -verall -detached /home/user/pkgs/testfile.rpm /home/user/sgns/testfile.rpm.sgn

Так же возможна массовая проверка подписей. Для удобства загрузите пакеты обновлений в один каталог (например pkgs), а файлы подписи в другой (например sgns) и выполните команду:
/opt/cprocsp/bin/amd64/cryptcp -vsignf -dir <каталог подписей> <маска файлов>
Пример команды:
/opt/cprocsp/bin/amd64/cryptcp -vsignf -dir /home/user/sgns /home/user/pkgs/*

2. С помощью онлайн сервиса проверки электронной подписи КриптоПро DSS

Перейдите по ссылке на страницу проверки электронной подписи сервиса КриптоПро DSS: https://dss.cryptopro.ru/Verify/Verify/
В поле «Документ для проверки» выберите файл подписи.

В поле «Формат подписи» выберите вариант «Подпись в формате CMS».

В блоке «Параметры» укажите «Отсоединенная подпись», «Подпись данных» и «Алгоритм хеширования»«GR 34.11-2012 256».
В блоке «Исходный документ» выберите пакет обновления, соответствующий загруженному файлу подписи.
В блоке «Дополнительные проверки сертификата» установите флаг «Проверка требований к квалифицированному сертификату».

Нажмите кнопку «Проверить».
В результате должна открыться страница с результатом проверки ЭП, где «Результат проверки» должен быть «Подпись действительна».

3. С помощью менеджера пакетов ОС

Проверить дайджесты и подписи скачанного пакета можно командой:
# rpm --checksig <имя пакета>.rpm
Например:
# rpm --checksig ppp-2.4.7-22.el7.x86_64.rpm
ppp-2.4.7-22.el7.x86_64.rpm: digests Ок

Проверить информацию о пакете можно командой:
# rpm -qi <имя пакета>.rpm
Например:
# rpm -qi ppp-2.4.7-22.el7.x86_64.rpm
...
Packager : RED SOFT
Vendor : RED SOFT


Уязвимость в PPPD (CVE-2020-8597)

1. Описание уязвимости:

Проблема (CVE-2020-8597) представляет собой уязвимость переполнения буфера стека, возникшую из-за логической ошибки в EAP (Extensible Authentication Protocol) парсере пакетов в PPPD (функции eap_request() и eap_response() в eap.c). Уязвимость предоставляет возможность без авторизации удаленно выполнить произвольный код на уязвимых системах и получить полный контроль над ними. Для этого атакующему потребуется отправить специально сформированный EAP-пакет на уязвимый PPP-клиент или сервер.

2. Возможные меры по устранению уязвимости

— отказаться от использования демона протокола PPP (Point-to-Point Protocol) pppd
или
— установить обновления безопасности.

Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
Обновлено:
ppp.x86_64 0:2.4.7-22.el7
Выполнено!

б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет:

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/ppp-2.4.7-22.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall ppp-2.4.7-22.el7.x86_64.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
Обновлено:
ppp.x86_64 0:2.4.7-22.el7
Выполнено!

После выполнения обновления рекомендуется перезагрузить систему.

Уязвимость в браузере firefox (CVE-2020-6819 и CVE-2020-6820)

1. Описание уязвимости:

Обнаружены две критические уязвимости, которые могут привести к выполнению кода атакующего при обработке определённым образом оформленного контента. Предупреждается, что в сети уже выявлены факты применения данных уязвимостей для совершения атак. Проблемы вызваны обращением к уже освобождённым областям памяти (use-after-free) при обработке ReadableStream (CVE-2020-6820) и при выполнении деструктора nsDocShell (CVE-2020-6819).

2. Возможные меры по устранению уязвимости

Установить обновления безопасности.
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет:

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/firefox-60.9.0-4.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall firefox-60.9.0-4.el7.x86_64.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

После выполнения обновления рекомендуется перезагрузить браузер.

Уязвимость в OpenVPN (CVE-2020-11810)

1. Описание уязвимости:

Сформирован корректирующий выпуск пакета для создания виртуальных частных сетей OpenVPN 2.4.9. В новой версии устранена уязвимость (CVE-2020-11810), позволяющая перевести сеанс клиента на новый IP-адрес, который до этого не был авторизирован. Проблема может быть использована для прерывания только что подключившегося клиента на стадии, когда уже сформирован peer-id, но не завершено согласование сессионных ключей (один клиент может остановить сеансы других клиентов).

2. Возможные меры по устранению уязвимости

— отказаться от использования виртуальных частных сетей на базе OpenVPN
или
— установить обновления безопасности.
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет:

http://repo.red-soft.ru/RedOS/7.2c/x86_64/updates/openvpn-2.4.9-1.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall openvpn-2.4.9-1.el7.x86_64.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Уязвимость в Git (CVE-2020-11008, CVE-2020-5260)

1. Описание уязвимости:

Уязвимость в Git. Уязвимость затрагивает обработчики «credential.helper» и эксплуатируется при передаче специально оформленного URL, содержащего символ новой строки, пустой хост или не указанную схему запроса. При обработке подобного URL credential.helper отправляет информацию об учётных данных, не соответствующих запрошенному протоколу или хосту, к которому осуществляется обращение.

2. Возможные меры по устранению уязвимости

— отказаться от использования системы управления исходными текстами Git;
— не использовать credential.helper при обращении к публичным репозиториям и не применять «git clone» в режиме «—recurse-submodules» с непроверенными репозиториями;
или
— установить обновления безопасности для пакета: git-1.8.3
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (и зависимости при необходимости):

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/git-1.8.3.1-14.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall git-1.8.3.1-14.el7.x86_64.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Уязвимость в VLC (CVE-2019-19721, CVE-2020-6071, CVE-2020-6072, CVE-2020-6073, CVE-2020-6077, CVE-2020-6078, CVE-2020-6079)

1. Описание уязвимости:

Уязвимость позволяет удаленному пользователю:
— создать специальный файл изображения, который может вызвать чтение вне границ,
— отправить специально созданный запрос на обнаружение службы microdns, потенциально вызывая различные проблемы управления памятью.

2. Возможные меры по устранению уязвимости

Пользователь должен воздержаться от открытия файлов от ненадежных третьих сторон или доступа к ненадежным удаленным сайтам (или отключить плагины браузера VLC), пока не будет применено исправление. Пока VLC не будет обновлен не рекомендуется использовать обнаружение сети.
или
— установить обновления безопасности для пакета:
vlc-3.0.4
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (и зависимости при необходимости):

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/vlc-3.0.10-1.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall vlc-3.0.10-1.el7.x86_64.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Уязвимость в DNS-сервере BIND

1. Описание уязвимости:

Проблема безопасности связана с неэффективностью защиты от атак «DNS rebinding» при работе в режиме перенаправляющего запросы DNS-сервера (блок «forwarders» в настройках).

2. Возможные меры по устранению уязвимости

Отключить DNS сервер BIND
или
— установить обновления безопасности для пакета:
bind-9.11.4-6
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (и зависимости при необходимости):

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/bind-9.11.4-6.P2.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall bind-9.11.4-6.P2.el7.x86_64.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Уязвимость в FreeRDP

1. Описание уязвимости:

Устранено восемь уязвимостей. Пять проблем могут привести к краху или утечке данных в результате чтения из областей за пределами выделенного буфера. Одна проблема приводит к целочисленному переполнению. Три проблемы могут привести к переполнению буфера в обработчиках cliprdr_server_receive_capabilities и URBDRC.

2. Возможные меры по устранению уязвимости

— отказаться от использования протокола удалённого доступа к рабочему столу RDP (Remote Desktop Protocol)
или
— установить обновления безопасности для пакета:
freerdp-2.1.0

Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (и зависимости при необходимости):

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/freerdp-2.1.0-2.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall freerdp-2.1.0-2.el7.x86_64.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Уязвимости в прокси-сервере Squid

1. Описание уязвимости:

Проблемы присутствуют в коде обработки блока «@» в начале URL («user@host») и позволяют обойти правила ограничения доступа, отравить содержимое кэша и совершать атаку с использованием межсайтового скриптинга.

2. Возможные меры по устранению уязвимости

Не использовать прокси-сервер Squid
или
— установить обновления безопасности для пакета:
squid-3.5.27
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (и зависимости при необходимости):

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/squid-3.5.27-1.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall squid-3.5.27-1.el7.x86_64.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Уязвимость в VLC (CVE-2020-13428)

1. Описание уязвимости:

Уязвимость в плеере VLC 3.0.11. Уязвимость может вызывать переполнение буфера в функции hxxx_AnnexB_to_xVC().
Уязвимость потенциально позволяет организовать выполнение кода атакующего при воспроизведении специально оформленного видео в формате H.264 (Annex-B), упакованного, например, в контейнер AVI.

2. Возможные меры по устранению уязвимости

Пользователь должен воздержаться от открытия файлов от ненадежных третьих сторон или использования плеера VLC, пока не будет применено исправление.
или
— установить обновления безопасности для пакета:
vlc-3.0.11
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (и зависимости при необходимости):

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/vlc-3.0.11-1.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall vlc-3.0.11-1.el7.x86_64.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Уязвимость в Curl (CVE-2020-8177)

1. Описание уязвимости:

Уязвимость позволяет перезаписать локальный файл в системе при обращении к подконтрольному атакующему серверу. Проблема проявляется только при одновременном использовании опций «-J» («—remote-header-name») и «-i» («—head»). Опция «-J» позволяет сохранить файл с именем, указанным в заголовке «Content-Disposition». В случае если файл с таким именем уже существует, программа curl в штатном режиме отказывается выполнить перезапись, но в случае наличия опции «-i» логика проверки нарушается и файл перезаписывается (проверка осуществляется на этапе получения тела ответа, но при опции «-i» вначале выводятся HTTP-заголовки и они успевают сохраниться до начала обработки тела ответа). В файл записываются только HTTP-заголовки, но сервер может отдать вместо заголовков произвольные данные и они будут записаны.

2. Возможные меры по устранению уязвимости

Необходимо запретить использование утилиты curl.
или
— установить обновления безопасности для пакета:
curl-7.61.1
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (и зависимости при необходимости):

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/curl-7.61.1-14.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall curl-7.61.1-14.el7.x86_64.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Уязвимость в X.Org Server и libX11 (CVE-2020-14347, CVE-2020-14344)

1. Описание уязвимости:

CVE-2020-14347 — отсутствие инициализации памяти при выделении буферов для пиксельных карт при помощи вызова AllocatePixmap() может привести к утечке X-клиенту содержимого памяти из кучи, когда X-сервер работает с повышенными привилегиями.
CVE-2020-14344 — целочисленное переполнение в реализации XIM (Input Method) в libX11, которое может привести к повреждению областей памяти в куче при обработке специально оформленных сообщений от метода ввода.

2. Возможные меры по устранению уязвимости

Установить обновления безопасности для пакетов:
libX11* и xorg-x11*
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (и зависимости при необходимости):

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall libX11* xorg-x11*
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Если вы нашли ошибку, выделите текст и нажмите Ctrl+Enter.

Print Friendly, PDF & Email