Bug 475473
| Summary: | Google chromium/wine/SELinux config mismatch | ||
|---|---|---|---|
| Product: | [Fedora] Fedora | Reporter: | Léon Joskowicz <leon.j> |
| Component: | selinux-policy-strict | Assignee: | Daniel Walsh <dwalsh> |
| Status: | CLOSED CURRENTRELEASE | QA Contact: | Ben Levenson <benl> |
| Severity: | low | Docs Contact: | |
| Priority: | low | ||
| Version: | 11 | ||
| Target Milestone: | --- | ||
| Target Release: | --- | ||
| Hardware: | x86_64 | ||
| OS: | Linux | ||
| Whiteboard: | |||
| Fixed In Version: | Doc Type: | Bug Fix | |
| Doc Text: | Story Points: | --- | |
| Clone Of: | Environment: | ||
| Last Closed: | 2009-11-18 13:09:30 UTC | Type: | --- |
| Regression: | --- | Mount Type: | --- |
| Documentation: | --- | CRM: | |
| Verified Versions: | Category: | --- | |
| oVirt Team: | --- | RHEL 7.3 requirements from Atomic Host: | |
| Cloudforms Team: | --- | Target Upstream Version: | |
| Embargoed: | |||
Fixed in selinux-policy-3.5.13-34.fc10 This bug appears to have been reported against 'rawhide' during the Fedora 11 development cycle. Changing version to '11'. More information and reason for this action is here: http://fedoraproject.org/wiki/BugZappers/HouseKeeping |
Description of problem: starting chromium (under wine) leads to SELinux warning Version-Release number of selected component (if applicable): 2.6.27.5-117.fc10.x86_64 / wine 1.1.9 / chromium fails on help How reproducible: solid- just start chromium after install from codeweavers Steps to Reproduce: 1. 2. my understanding is that cxchromium should install in \C drive not in /opt so it would be better sandboxed. Actual results: SELinux empêche wine-pthread de charger /opt/cxchromium/lib/wine/kernel32.dll.so qui exige une réinstallation du texte. (Selinux prevents wine-pthread from loading /opt/cxchromium....) Expected results: nothing Additional info:SELinux empêche wine-pthread de charger /opt/cxchromium/lib/wine/kernel32.dll.so qui exige une réinstallation du texte. Description détailléeL'application wine-pthread a essayé de charger /opt/cxchromium/lib/wine/kernel32.dll.so qui exige une réinstallation du texte. C'est un problème de potentiel sécurité . La plupart des bibliothèques n'ont pas besoin de cette permission. Les bibliothèques sont parfois programmées incorrectement et demandent cette permission. La page web Essais de protection mémoire de SElinux explique comment retirer ces exigences. Vous pouvez configurer temporairement SELinux pour permettre à /opt/cxchromium/lib/wine/kernel32.dll.so d'utiliser le réadressage comme solution de auxiliaire, jusqu'à ce que la bibliothèque soit corrigée. Merci de remplir un rapport de bogue pour ce paquet. Autoriser l'accès Si vous autorisez /opt/cxchromium/lib/wine/kernel32.dll.so à fonctionner correctement, vous pouvez changer le contexte du fichier à textrel_shlib_t. "chcon -t textrel_shlib_t /opt/cxchromium/lib/wine/kernel32.dll.so" Vous devez aussi changer le dossier par défaut des fichiers de contexte de votre système, même lors d'un réétiquetage complet, de manière à les préserver. "semanage fcontext -a -t textrel_shlib_t '/opt/cxchromium/lib/wine/kernel32.dll.so'" Commande de correctionchcon -t textrel_shlib_t '/opt/cxchromium/lib/wine/kernel32.dll.so' Informations complémentairesContexte source: unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023Contexte cible: system_u:object_r:lib_t:s0Objets du contexte: /opt/cxchromium/lib/wine/kernel32.dll.so [ file ]source: wine-pthreadChemin de la source: /opt/cxchromium/bin/wine-preloaderPort: <Inconnu>Hôte: leonj.localdomainPaquetages RPM source: cxchromium-0.9.0-1Paquetages RPM cible: cxchromium-0.9.0-1Politique RPM: selinux-policy-3.5.13-26.fc10Selinux activé: TrueType de politique: targetedMLS activé: TrueMode strict: EnforcingNom du plugin: allow_execmodNom de l'hôte: leonj.localdomainPlateforme: Linux leonj.localdomain 2.6.27.5-117.fc10.x86_64 #1 SMP Tue Nov 18 11:58:53 EST 2008 x86_64 x86_64 Compteur d'alertes: 2Première alerte: lun. 08 déc. 2008 22:05:14 CETDernière alerte: mar. 09 déc. 2008 12:30:25 CETID local: 6e6a9d27-7be8-4fce-9868-214e29557dd8Numéros des lignes: Messages d'audit bruts :node=leonj.localdomain type=AVC msg=audit(1228822225.774:16): avc: denied { execmod } for pid=2982 comm="wine-pthread" path="/opt/cxchromium/lib/wine/kernel32.dll.so" dev=sda2 ino=1638716 scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=system_u:object_r:lib_t:s0 tclass=file node=leonj.localdomain type=SYSCALL msg=audit(1228822225.774:16): arch=40000003 syscall=125 success=no exit=-13 a0=7b8b7000 a1=1000 a2=7 a3=7b8b7000 items=0 ppid=1 pid=2982 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=(none) ses=1 comm="wine-pthread" exe="/opt/cxchromium/bin/wine-preloader" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)