Вышло оперативное обновление Astra Linux Special Edition № 2022-0819.
Обновление включило в себя:
- БЮЛЛЕТЕНЬ № 2022-0407;
- бюллетень № 2022-0318;
- бюллетень № 2022-0201;
- бюллетень № 2021-1126 (оперативное обновление 1.7.1).
- бюллетень № 2021-0915.
Обновление доступно в нашем репозитории.
Основные изменения
Закрыто более 500 уязвимостей в различных программных компонентах (производитель не публикует их в открытом виде).
Добавлено ядро Linux версии 5.15 с поддержкой новых чипсетов от Intel и AMD, а также современных видеокарт в двух вариантах — обычном (generic) и с усиленной защищенностью (hardened). Наиболее значимые изменения:
- новый драйвер NTFS с поддержкой записи;
- поддержка механизма fs-verity в файловой системе Btrfs;
- улучшена производительность файловых систем EXT4, XFS, OverlayFS и NFS;
- добавлен новый системный вызов process_mrelease для систем реагирования на нехватку памяти;
- добавлена поддержка EFI-разделов с нестандартным размещением таблиц GPT.
Добавлен пакет ca-certificates-local, содержащий сертификат удостоверяющего центра Минцифры России.
Изменения в комплексе средств защиты
Улучшена синхронизация меток безопасности на файловых системах OCFS2 и Ceph.
Добавлен пакет qemu-efi-aarch64 для поддержки UEFI для гостевых машин с архитектурой ARM64.
Усовершенствован механизм мандатного контроля целостности (МКЦ):
- добавлены дополнительные атрибуты, позволяющие уточнять или изменять правила МКЦ для тех или иных сущностей;
- введен расширенный режим МКЦ;
- добавлен инструмент командной строки sumic (пакет parsec-sumic), предназначенный для запуска процесса на пониженном (заданном) уровне целостности;
- установлен запрет на вход в сессию с выбранными одновременно ненулевой меткой конфиденциальности и ненулевым уровнем целостности;
- при выключении МКЦ автоматически снимаются атрибуты целостности с объектов файловой системы (выключение МКЦ на файловой системе). Для обеспечения совместимости сохранен устаревший инструмент выключения МКЦ на файловой системе unset-fs-ilev;
- добавлен инструмент командной строки astra-mode-apps, который включает и выключает режим AstraMode сервера Apache2, а также управляет состоянием параметра МасEnable сервера печати CUPS.
Усовершенствован механизм PARSEC-привилегий.
Исправлены ошибки, возникающие при использовании профилей для режима Киоск-2.
Исправлены ошибки, возникающие при запуске приложений в формате AppImage.
Усовершенствована процедура контроля подключения съемных машинных носителей информации, в том числе:
- добавлена возможность учета съемных машинных носителей информации и на уровнях защищённости ниже максимального (режима «Смоленск»);
- доработан процесс управления подключением, в котором используется протокол MTP (добавлена блокировка съемных носителей MTP).
Защищённая СУБД PostgreSQL обновлена до версии 11.15, в которой реализованы следующие улучшения:
- добавлена поддержка мандатного разграничения для логической репликации. В связи с этим:
- добавлены новые SQL команды MAC LABEL ON [PUBLICATION, SUBSCRIPTION, SLOT] is …
- запрещена команда ALTER TABLE <table> SET (… MACS..) из-за ее устаревания;
- добавлена поддержка мандатного разграничения для декларативного партицирования — мандатные атрибуты таблиц-партиций наследуются от мастер-таблицы;
- увеличена глубина рекурсивной проверки зависимых таблиц.