Bug 598072

Souhrn:

SELinux brání /usr/bin/c3pldrv načtení /usr/lib/libcaepcm.so.1.0, která
vyžaduje přesun text

Podrobný popis:

[SELinux je v tolerantním režimu. Přístup byl povolen.]

Aplikace c3pldrv se pokusila načíst /usr/lib/libcaepcm.so.1.0, která
vyžaduje přesun textu. Je to možný bezpečnostní problém. Většina
knihoven tato oprávnění nepotřebují. Knihovny jsou někdy špatně
naprogramované a požadují tato oprávnění. SELinux Testy Paměťové
Ochrany (http://people.redhat.com/drepper/selinux-mem.html) tato stránka
vysvětluje jak odstranit tento požadavek. Můžete nastavit SELinux dočasně
tak, aby umožnil /usr/lib/libcaepcm.so.1.0 přesun textu, dokud nebude knihovna
opravena. Prosím pošl

Povolení přístupu:

If you trust /usr/lib/libcaepcm.so.1.0 to run correctly, you can change the file
context to textrel_shlib_t. "chcon -t textrel_shlib_t
'/usr/lib/libcaepcm.so.1.0'" You must also change the default file context files
on the system in order to preserve them even on a full relabel. "semanage
fcontext -a -t textrel_shlib_t '/usr/lib/libcaepcm.so.1.0'"

Příkaz pro opravu:

chcon -t textrel_shlib_t '/usr/lib/libcaepcm.so.1.0'

Další informace:

Kontext zdroje                system_u:system_r:cupsd_t:s0-s0:c0.c1023
Kontext cíle                 system_u:object_r:lib_t:s0
Objekty cíle                 /usr/lib/libcaepcm.so.1.0 [ file ]
Zdroj                         c3pldrv
Cesta zdroje                  /usr/bin/c3pldrv
Port                          <Neznámé>
Počítač                    (removed)
RPM balíčky zdroje          cndrvcups-common-2.00-2
RPM balíčky cíle           cndrvcups-common-2.00-2
RPM politiky                  selinux-policy-3.7.19-21.fc13
Selinux povolen               True
Typ politiky                  targeted
Vynucovací režim            Permissive
Název zásuvného modulu     allow_execmod
Název počítače            (removed)
Platforma                     Linux (removed) 2.6.33.4-95.fc13.x86_64 #1
                              SMP Thu May 13 05:16:23 UTC 2010 x86_64 x86_64
Počet upozornění           2
Poprvé viděno               Po 31. květen 2010, 13:25:54 CEST
Naposledy viděno             Po 31. květen 2010, 13:26:05 CEST
Místní ID                   34bace6a-7448-4b61-8747-d098fd899eac
Čísla řádků              

Původní zprávy auditu      

node=(removed) type=AVC msg=audit(1275305165.677:27): avc:  denied  { execmod } for  pid=2787 comm="c3pldrv" path="/usr/lib/libcaepcm.so.1.0" dev=dm-0 ino=2378736 scontext=system_u:system_r:cupsd_t:s0-s0:c0.c1023 tcontext=system_u:object_r:lib_t:s0 tclass=file

node=(removed) type=SYSCALL msg=audit(1275305165.677:27): arch=40000003 syscall=125 success=yes exit=0 a0=101000 a1=fe000 a2=5 a3=ff923b30 items=0 ppid=2786 pid=2787 auid=4294967295 uid=4 gid=7 euid=4 suid=4 fsuid=4 egid=7 sgid=7 fsgid=7 tty=(none) ses=4294967295 comm="c3pldrv" exe="/usr/bin/c3pldrv" subj=system_u:system_r:cupsd_t:s0-s0:c0.c1023 key=(null)



Hash String generated from  allow_execmod,c3pldrv,cupsd_t,lib_t,file,execmod
audit2allow suggests:

#============= cupsd_t ==============
allow cupsd_t lib_t:file execmod;