Bug 659882

Summary: SELinux는 누출된 /home/hemos/GNUstep/Defaults 파일 서술자로 /lib/upstart/shutdown 액
Product: [Fedora] Fedora Reporter: breathejustice <breathejustice>
Component: selinux-policyAssignee: Miroslav Grepl <mgrepl>
Status: CLOSED ERRATA QA Contact: Fedora Extras Quality Assurance <extras-qa>
Severity: medium Docs Contact:
Priority: low    
Version: 14CC: breathejustice, dwalsh, mgrepl
Target Milestone: ---   
Target Release: ---   
Hardware: i386   
OS: Linux   
Whiteboard: setroubleshoot_trace_hash:96bbf9da26d08a3e464a6bb5c93c364cea192b085dda4291504829d8639b3ded
Fixed In Version: selinux-policy-3.9.7-16.fc14 Doc Type: Bug Fix
Doc Text:
Story Points: ---
Clone Of: Environment:
Last Closed: 2010-12-13 20:12:46 UTC Type: ---
Regression: --- Mount Type: ---
Documentation: --- CRM:
Verified Versions: Category: ---
oVirt Team: --- RHEL 7.3 requirements from Atomic Host:
Cloudforms Team: --- Target Upstream Version:
Embargoed:

Description breathejustice 2010-12-03 23:08:16 UTC 
요약:

SELinux는 누출된 /home/hemos/GNUstep/Defaults 파일 서술자로 /lib/upstart/shutdown 액

상세 설명:

[shutdown은(는) 허용 유형 (shutdown_t)이 있습니다. 이 액세스는 거부되지 않습니다. ]

SELinux는 shutdown 명령에 의해 요청된 액세스를 거부합니다. 이는 누출된 서술자 또는 shutdown 출력 결과가 액세스를 허용하지
않는 파일로 방향 전환된 것처럼 보입니다. 누출된 서술자는 SELinux가 이를 종료하고 오류를 보고하므로 무시할 수 있습니다.

액세스 허용:

이러한 액세스를 허용하기 위해 로컬 정책 모듈을 생성할 수 있습니다 - <a href="http://docs.fedoraproject

자세한 정보:

소스 문맥                         unconfined_u:unconfined_r:shutdown_t:s0-s0:c0.c102
                              3
대상 문맥                         unconfined_u:object_r:user_home_t:s0
대상 객체                         /home/hemos/GNUstep/Defaults [ dir ]
소스                            shutdown
소스 경로                         /lib/upstart/shutdown
포트                            <알려지지 않음>
호스트                           (removed)
소스 RPM 패키지                    upstart-0.6.5-10.fc14
대상 RPM 패키지                    
정책 RPM                        selinux-policy-3.9.7-12.fc14
Selinux 활성화                   True
정책 유형                         targeted
강제 모드                         Enforcing
플러그인명                         leaks
호스트명                          (removed)
플랫폼                           Linux (removed) 2.6.35.6-48.fc14.i686
                              #1 SMP Fri Oct 22 15:34:36 UTC 2010 i686 i686
통지 카운트                        1
초기 화면                         2010년 12월 03일 (금) 오전 06시 51분 50초
마지막 화면                        2010년 12월 03일 (금) 오전 06시 51분 50초
로컬 ID                         a616fa5c-6afc-4f0d-a04b-485054d05a53
줄 번호                          

원 감사 메세지                      

node=(removed) type=AVC msg=audit(1291380710.588:51): avc:  denied  { read } for  pid=6157 comm="shutdown" path="/home/hemos/GNUstep/Defaults" dev=sda2 ino=796995 scontext=unconfined_u:unconfined_r:shutdown_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=dir

node=(removed) type=SYSCALL msg=audit(1291380710.588:51): arch=40000003 syscall=11 success=yes exit=0 a0=99face0 a1=99fd248 a2=9a0b608 a3=99fd248 items=0 ppid=6096 pid=6157 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=pts0 ses=4 comm="shutdown" exe="/lib/upstart/shutdown" subj=unconfined_u:unconfined_r:shutdown_t:s0-s0:c0.c1023 key=(null)



Hash String generated from  leaks,shutdown,shutdown_t,user_home_t,dir,read
audit2allow suggests:

#============= shutdown_t ==============
allow shutdown_t user_home_t:dir read;
Comment 1 Miroslav Grepl 2010-12-06 10:07:47 UTC 
Which tool were you using when this happened?


You can dontaudit it for now using

# grep shutdown_t /var/log/audit/audit.log | audit2allow -D -M mypol
# semodule -i mypol.pp


Fixed in selinux-policy-3.9.7-15.fc14
Comment 2 Fedora Update System 2010-12-10 13:54:39 UTC 
selinux-policy-3.9.7-16.fc14 has been submitted as an update for Fedora 14.
https://admin.fedoraproject.org/updates/selinux-policy-3.9.7-16.fc14
Comment 3 Fedora Update System 2010-12-10 20:29:04 UTC 
selinux-policy-3.9.7-16.fc14 has been pushed to the Fedora 14 testing repository.  If problems still persist, please make note of it in this bug report.
 If you want to test the update, you can install it with 
 su -c 'yum --enablerepo=updates-testing update selinux-policy'.  You can provide feedback for this update here: https://admin.fedoraproject.org/updates/selinux-policy-3.9.7-16.fc14
Comment 4 Fedora Update System 2010-12-13 20:11:46 UTC 
selinux-policy-3.9.7-16.fc14 has been pushed to the Fedora 14 stable repository.  If problems still persist, please make note of it in this bug report.