Red Hat Bugzilla – Bug 490752
SELinux hindert scangearmp am Laden von /usr/lib/libcncpmslld328.so.1.1.0, welches Textverschiebung benötigt.
Last modified: 2009-11-18 08:00:26 EST
Zusammenfassung: SELinux hindert scangearmp am Laden von /usr/lib/libcncpmslld328.so.1.1.0, welches Textverschiebung benötigt. Detaillierte Beschreibung: Die Anwendung scangearmp versuchte /usr/lib/libcncpmslld328.so.1.1.0 zu laden, welches Textverschiebung benötigt. Dies ist ein mögliches Sicherheitsproblem. Die meisten Bibliotheken benötigen diese Erlaubnis nicht, einige sind ggf. fehlerhaft programmiert und fordern diese Erlaubnis an. Die Webseite SELinux Memory Protection Tests (http://people.redhat.com/drepper/selinux-mem.html) erklärt, wie diese Anforderung entfernt werden kann. Als Workaround können Sie SELinux temporär so konfigurieren, dass /usr/lib/libcncpmslld328.so.1.1.0 Textverschiebung verwendet, bis die Bibliothek gefixt ist. Bitte reichen Sie einen Fehlerbericht (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi) für dieses Paket ein. Zugriff erlauben: Wenn Sie darauf vertrauen, dass /usr/lib/libcncpmslld328.so.1.1.0 korrekt läuft, können Sie den Dateikontext in textrel_shlib_t. "chcon -t textrel_shlib_t /usr/lib/libcncpmslld328.so.1.1.0" ändern Sie müssen auch die Standarddatei mit dem Dateikontext ändern auf dem System, um bei einer komplette Neubezeichnung vorzubeugen. "semanage fcontext -a -t textrel_shlib_t /usr/lib/libcncpmslld328.so.1.1.0" Fixer Befehl: chcon -t textrel_shlib_t '/usr/lib/libcncpmslld328.so.1.1.0' Zusätzliche Informationen: Quellkontext unconfined_u:unconfined_r:unconfined_t:s0 Zielkontext system_u:object_r:lib_t:s0 Zielobjekte /usr/lib/libcncpmslld328.so.1.1.0 [ file ] Quelle scangearmp Quellen-Pfad /usr/local/bin/scangearmp Port <Unbekannt> Host hp550-01 Quellen-RPM-Pakete scangearmp-common-1.10-1 Ziel-RPM-Pakete scangearmp-mp520series-1.10-1 RPM-Richtlinie selinux-policy-3.5.13-47.fc10 SELinux aktiviert True Richtlinienversion targeted MLS aktiviert True Enforcing-Modus Enforcing Plugin-Name allow_execmod Hostname hp550-01 Plattform Linux hp550-01 2.6.27.19-170.2.35.fc10.x86_64 #1 SMP Mon Feb 23 13:00:23 EST 2009 x86_64 x86_64 Anzahl der Alarme 1 Zuerst gesehen Mo 16 Mär 2009 17:51:17 CET Zuletzt gesehen Mo 16 Mär 2009 17:51:17 CET Lokale ID ef8034cc-f717-47c5-b009-b3b71e8638c6 Zeilennummern Raw-Audit-Meldungen node=hp550-01 type=AVC msg=audit(1237222277.531:15): avc: denied { execmod } for pid=2612 comm="scangearmp" path="/usr/lib/libcncpmslld328.so.1.1.0" dev=sda6 ino=100368 scontext=unconfined_u:unconfined_r:unconfined_t:s0 tcontext=system_u:object_r:lib_t:s0 tclass=file node=hp550-01 type=SYSCALL msg=audit(1237222277.531:15): arch=40000003 syscall=125 success=no exit=-13 a0=3b5000 a1=1d000 a2=5 a3=ff9274b0 items=0 ppid=2426 pid=2612 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=(none) ses=1 comm="scangearmp" exe="/usr/local/bin/scangearmp" subj=unconfined_u:unconfined_r:unconfined_t:s0 key=(null)
Miroslav add the following to policy /usr/lib/libcncpmslld328\.so(\.[^/]*)* gen_context(system_u:object_r:textrel_shlib_t,s0) Simon, the problem here is Cannon has built their library incorrectly and SELinux is flagging it as a potential problem/hack. Please report this bug to cannon and include this link. http://people.redhat.com/~drepper/selinux-mem.html You can allow this for now by executing the chcon command in the setroubleshoot message.
Fixed in selinux-policy-3.5.13-50.fc10
This message is a reminder that Fedora 10 is nearing its end of life. Approximately 30 (thirty) days from now Fedora will stop maintaining and issuing updates for Fedora 10. It is Fedora's policy to close all bug reports from releases that are no longer maintained. At that time this bug will be closed as WONTFIX if it remains open with a Fedora 'version' of '10'. Package Maintainer: If you wish for this bug to remain open because you plan to fix it in a currently maintained version, simply change the 'version' to a later Fedora version prior to Fedora 10's end of life. Bug Reporter: Thank you for reporting this issue and we are sorry that we may not be able to fix it before Fedora 10 is end of life. If you would still like to see this bug fixed and are able to reproduce it against a later version of Fedora please change the 'version' of this bug to the applicable version. If you are unable to change the version, please add a comment here and someone will do it for you. Although we aim to fix as many bugs as possible during every release's lifetime, sometimes those efforts are overtaken by events. Often a more recent Fedora release includes newer upstream software that fixes bugs or makes them obsolete. The process we are following is described here: http://fedoraproject.org/wiki/BugZappers/HouseKeeping
Closing as current release