BDU:2024-09660
Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра» Astra Linux Special Edition, dosfstools
2023-03-23
Уязвимость утилиты для проверки и восстановления файловых систем fsck.fat набора программ dosfstools связана с неправильным присвоением разрешений для критичного ресурса. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Компенсирующие меры: - ограничение доступа к точке монтирования файловой системы для непривилегированных учетных записей пользователей. На компьютерах с разделами EFI SP (EFI System Partition), отформатированными в файловые системы FAT12/16/32, для исключения непреднамеренного (случайного) разглашения удаленных данных после сбоев третьих программ, редактирующих EFI SP, рекомендуется устанавливать ограничения на чтение не только для точки монтирования EFI SP, но и для резервных копий EFI SP (если такие создаются в конкретной конфигурации программных средств); - использование программных средства для уничтожения (перезаписи) защищаемой информации при её удалении и форматировании накопителя (или его раздела); - отключение автоматической проверки файловых систем FAT12/16/32 перед их монтированием. Осуществление запуска проверки под контролем администратора, с просмотром «восстановленных» «потерянных» цепочек кластеров; - переключение автоматической проверки файловых систем FAT12/16/32 в режим с высвобождением «потерянных» цепочек кластеров (запуск «fsck.fat» без аргументов «-a», «-y», «-p», «-f»).
Для ОС Astra Linux: - удалить уязвимое ПО dosfstools; - не использовать уязвимую утилиту fsck.fat; - если использование утилиты fsck.fat необходимо, то переключать автоматическую проверку файловых систем FAT12/16/32 в режим с высвобождением «потерянных» цепочек кластеров, то есть запускать утилиту fsck без аргументов «-a», «-y», «-p», «-f»; - ограничить доступ к точке монтирования файловой системы для непривилегированных пользователей. На компьютерах с разделами EFI SP (EFI System Partition), отформатированными в файловые системы FAT12/16/32, для исключения непреднамеренного (случайного) разглашения удаленных данных после сбоев третьих программ, редактирующих EFI SP, рекомендуется устанавливать ограничения на чтение не только для точки монтирования EFI SP, но и для резервных копий EFI SP (если такие создаются в конкретной конфигурации программных средств); - использовать программные средства для уничтожения защищаемой информации при её удалении и форматировании накопителя (или его раздела); - отключение автоматическую проверку файловых систем FAT12/16/32 перед их монтированием. Запускать проверку под контролем администратора, с просмотром «восстановленных» «потерянных» цепочек кластеров; - отключить и удалить неиспользуемые учётные записи пользователей; - активировать и настроить профили пользователей для работы в режиме Киоск-2; - для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - запретить установку бита исполнения для всех пользователей, включая администраторов.