Bug 621996

Summary: SELinux empêche l'accès en "read" à /usr/libexec/polkit-1/polkit-agent-helper-1 on cpuin
Product: [Fedora] Fedora Reporter: Nicolas Mailhot <nicolas.mailhot>
Component: selinux-policyAssignee: Daniel Walsh <dwalsh>
Status: CLOSED ERRATA QA Contact: Fedora Extras Quality Assurance <extras-qa>
Severity: medium Docs Contact:
Priority: medium    
Version: 14CC: dwalsh, mgrepl
Target Milestone: ---   
Target Release: ---   
Hardware: x86_64   
OS: Linux   
Whiteboard: setroubleshoot_trace_hash:33b5d9c566a08248236b55b1c6333b057815b86d07592da092273fc687d850fa
Fixed In Version: selinux-policy-3.8.8-14.fc14 Doc Type: Bug Fix
Doc Text:
Story Points: ---
Clone Of: Environment:
Last Closed: 2010-08-24 01:49:46 UTC Type: ---
Regression: --- Mount Type: ---
Documentation: --- CRM:
Verified Versions: Category: ---
oVirt Team: --- RHEL 7.3 requirements from Atomic Host:
Cloudforms Team: --- Target Upstream Version:
Embargoed:

Description Nicolas Mailhot 2010-08-06 17:59:31 UTC 
Résumé:

SELinux empêche l'accès en "read" à
/usr/libexec/polkit-1/polkit-agent-helper-1 on cpuin

Description détaillée:

SELinux a refusé l'accès demandé par polkit-agent-he. Il n'est pas prévu que
cet accès soit requis par polkit-agent-he et cet accès peut signaler une
tentative d'intrusion. Il est également possible que cette version ou cette
configuration spécifique de l'application provoque cette demande d'accès
supplémenta

Autoriser l'accès:

Vous pouvez créer un module de stratégie locale pour autoriser cet accès -
lisez la FAQ (http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385) Merci de
remplir un rapport de bogue.

Informations complémentaires:

Contexte source               unconfined_u:unconfined_r:policykit_auth_t:s0-s0:c
                              0.c1023
Contexte cible                system_u:object_r:proc_t:s0
Objets du contexte            cpuinfo [ file ]
source                        polkit-agent-he
Chemin de la source           /usr/libexec/polkit-1/polkit-agent-helper-1
Port                          <Inconnu>
Hôte                         (supprimé)
Paquetages RPM source         polkit-0.96-1.fc13
Paquetages RPM cible          
Politique RPM                 selinux-policy-3.8.8-10.fc14
Selinux activé               True
Type de politique             targeted
Mode strict                   Enforcing
Nom du plugin                 catchall
Nom de l'hôte                (supprimé)
Plateforme                    Linux (supprimé) 2.6.35-2.fc14.x86_64 #1 SMP Wed
                              Aug 4 19:15:25 UTC 2010 x86_64 x86_64
Compteur d'alertes            2
Première alerte              ven. 06 août 2010 19:57:59 CEST
Dernière alerte              ven. 06 août 2010 19:57:59 CEST
ID local                      7430054e-c36a-4448-8780-3b0d8ce6d88a
Numéros des lignes           

Messages d'audit bruts        

node=(supprimé) type=AVC msg=audit(1281117479.56:26): avc:  denied  { read } for  pid=2628 comm="polkit-agent-he" name="cpuinfo" dev=proc ino=4026532015 scontext=unconfined_u:unconfined_r:policykit_auth_t:s0-s0:c0.c1023 tcontext=system_u:object_r:proc_t:s0 tclass=file

node=(supprimé) type=SYSCALL msg=audit(1281117479.56:26): arch=c000003e syscall=2 success=no exit=-13 a0=365db5ba53 a1=80000 a2=d a3=0 items=0 ppid=2342 pid=2628 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=(none) ses=1 comm="polkit-agent-he" exe="/usr/libexec/polkit-1/polkit-agent-helper-1" subj=unconfined_u:unconfined_r:policykit_auth_t:s0-s0:c0.c1023 key=(null)



Hash String generated from  catchall,polkit-agent-he,policykit_auth_t,proc_t,file,read
audit2allow suggests:

#============= policykit_auth_t ==============
allow policykit_auth_t proc_t:file read;
Comment 1 Daniel Walsh 2010-08-10 15:38:38 UTC 
You can add these rules for now using

# grep avc /var/log/audit/audit.log | audit2allow -M mypol
# semodule -i mypol.pp

Fixed in selinux-policy-3.8.8-12.fc14
Comment 2 Fedora Update System 2010-08-13 20:29:05 UTC 
selinux-policy-3.8.8-14.fc14 has been submitted as an update for Fedora 14.
http://admin.fedoraproject.org/updates/selinux-policy-3.8.8-14.fc14
Comment 3 Fedora Update System 2010-08-24 01:48:25 UTC 
selinux-policy-3.8.8-14.fc14 has been pushed to the Fedora 14 stable repository.  If problems still persist, please make note of it in this bug report.