Bug 618919

Summary:	SELinux hindert /var/lib/boinc/projects/climateprediction.net/famous_6.11_i686-pc-linux-gnu am Laden von /var/lib/boinc/projects/climateprediction.net/famous_se_6.11_i686-pc-linux-gnu.so, welches Textverschiebung benötigt.
Product:	[Fedora] Fedora	Reporter:	Rupert Roth <rupert.roth>
Component:	selinux-policy	Assignee:	Miroslav Grepl <mgrepl>
Status:	CLOSED ERRATA	QA Contact:	Fedora Extras Quality Assurance <extras-qa>
Severity:	medium	Docs Contact:
Priority:	low
Version:	13	CC:	dwalsh, mgrepl, rupert.roth
Target Milestone:	---
Target Release:	---
Hardware:	i386
OS:	Linux
Whiteboard:	setroubleshoot_trace_hash:e0318f0aec0cb3ea29c43d0a4a5d6cca147f372d0d4891fd318dbe43771ee440
Fixed In Version:	selinux-policy-3.7.19-44.fc13	Doc Type:	Bug Fix
Doc Text:		Story Points:	---
Clone Of:		Environment:
Last Closed:	2010-08-10 21:42:14 UTC	Type:	---
Regression:	---	Mount Type:	---
Documentation:	---	CRM:
Verified Versions:		Category:	---
oVirt Team:	---	RHEL 7.3 requirements from Atomic Host:
Cloudforms Team:	---	Target Upstream Version:
Embargoed:

Description Rupert Roth 2010-07-28 04:28:35 UTC

Zusammenfassung:

SELinux hindert
/var/lib/boinc/projects/climateprediction.net/famous_6.11_i686-pc-linux-gnu am
Laden von
/var/lib/boinc/projects/climateprediction.net/famous_se_6.11_i686-pc-linux-gnu.so,
welches Textverschiebung benötigt.

Detaillierte Beschreibung:

[famous_6.11_i68 hat einen zugelassenen Typ (boinc_t). Dieser Zugriff wurde
nicht verweigert.]

Die Anwendung famous_6.11_i68 versuchte
/var/lib/boinc/projects/climateprediction.net/famous_se_6.11_i686-pc-linux-gnu.so
zu laden, welches Textverschiebung benötigt. Dies ist ein mögliches
Sicherheitsproblem. Die meisten Bibliotheken benötigen diese Erlaubnis nicht,
einige sind ggf. fehlerhaft programmiert und fordern diese Erlaubnis an. Die
Webseite SELinux Memory Protection Tests
(http://people.redhat.com/drepper/selinux-mem.html) erklärt, wie diese
Anforderung entfernt werden kann. Als Workaround können Sie SELinux temporär
so konfigurieren, dass
/var/lib/boinc/projects/climateprediction.net/famous_se_6.11_i686-pc-linux-gnu.so
Textverschiebung verwendet, bis die Bibliothek gefixt ist. Bitte reichen Sie
einen Fehlerbericht für dieses Paket ei

Zugriff erlauben:

Wenn Sie darauf vertrauen, dass
/var/lib/boinc/projects/climateprediction.net/famous_se_6.11_i686-pc-linux-gnu.so
korrekt läuft, können Sie den Dateikontext miitels "chcon -t textrel_shlib_t
'/var/lib/boinc/projects/climateprediction.net/famous_se_6.11_i686-pc-linux-gnu.so'"
in textrel_shlib_t ändern. Sie müssen auf dem System auch die Standarddatei
mit dem Dateikontext ändern, um sie von einer kompletten Neubezeichnung
auszunehmen: "semanage fcontext -a -t textrel_shlib_t
'/var/lib/boinc/projects/climateprediction.net/famous_se_6.11_i686-pc-linux-gnu.so'"

Befehl berichtigen:

chcon -t textrel_shlib_t
'/var/lib/boinc/projects/climateprediction.net/famous_se_6.11_i686-pc-linux-gnu.so'

Zusätzliche Informationen:

Quellkontext                  system_u:system_r:boinc_t:s0
Zielkontext                   system_u:object_r:boinc_var_lib_t:s0
Zielobjekte                   /var/lib/boinc/projects/climateprediction.net/famo
                              us_se_6.11_i686-pc-linux-gnu.so [ file ]
Quelle                        famous_6.11_i68
Quellpfad                     /var/lib/boinc/projects/climateprediction.net/famo
                              us_6.11_i686-pc-linux-gnu
Port                          <Unbekannt>
Host                          (entfernt)
RPM-Pakete der Quelle         
RPM-Pakete des Ziels          
Richtlinien-RPM               selinux-policy-3.7.19-39.fc13
SELinux aktiviert             True
Richtlinientyp                targeted
Enforcing-Modus               Enforcing
Plugin-Name                   allow_execmod
Rechnername                   (entfernt)
Plattform                     Linux (entfernt) 2.6.33.6-147.fc13.i686.PAE #1 SMP
                              Tue Jul 6 22:24:44 UTC 2010 i686 i686
Anzahl der Alarme             11
Zuerst gesehen                Di 27 Jul 2010 15:00:07 CEST
Zuletzt gesehen               Mi 28 Jul 2010 06:06:57 CEST
Lokale ID                     7606a339-c063-4632-94a4-4e22ea5add73
Zeilennummern                 

Raw-Audit-Meldungen           

node=(entfernt) type=AVC msg=audit(1280290017.158:28769): avc:  denied  { execmod } for  pid=16836 comm="famous_6.11_i68" path="/var/lib/boinc/projects/climateprediction.net/famous_se_6.11_i686-pc-linux-gnu.so" dev=sda6 ino=1326104 scontext=system_u:system_r:boinc_t:s0 tcontext=system_u:object_r:boinc_var_lib_t:s0 tclass=file

node=(entfernt) type=SYSCALL msg=audit(1280290017.158:28769): arch=40000003 syscall=125 success=yes exit=0 a0=1fd000 a1=76000 a2=5 a3=bfd40690 items=0 ppid=1770 pid=16836 auid=4294967295 uid=489 gid=476 euid=489 suid=489 fsuid=489 egid=476 sgid=476 fsgid=476 tty=(none) ses=4294967295 comm="famous_6.11_i68" exe="/var/lib/boinc/projects/climateprediction.net/famous_6.11_i686-pc-linux-gnu" subj=system_u:system_r:boinc_t:s0 key=(null)



Hash String generated from  allow_execmod,famous_6.11_i68,boinc_t,boinc_var_lib_t,file,execmod
audit2allow suggests:

#============= boinc_t ==============
allow boinc_t boinc_var_lib_t:file execmod;

Comment 1 Miroslav Grepl 2010-07-28 06:14:54 UTC

Fixed in selinux-policy-3.7.19-42.fc13

Comment 2 Fedora Update System 2010-08-06 13:42:10 UTC

selinux-policy-3.7.19-44.fc13 has been submitted as an update for Fedora 13.
http://admin.fedoraproject.org/updates/selinux-policy-3.7.19-44.fc13

Comment 3 Fedora Update System 2010-08-06 21:01:22 UTC

selinux-policy-3.7.19-44.fc13 has been pushed to the Fedora 13 testing repository.  If problems still persist, please make note of it in this bug report.
 If you want to test the update, you can install it with 
 su -c 'yum --enablerepo=updates-testing update selinux-policy'.  You can provide feedback for this update here: http://admin.fedoraproject.org/updates/selinux-policy-3.7.19-44.fc13

Comment 4 Fedora Update System 2010-08-10 21:40:37 UTC

selinux-policy-3.7.19-44.fc13 has been pushed to the Fedora 13 stable repository.  If problems still persist, please make note of it in this bug report.