508000 – (neto) Selinux is prevent firefox

Bug 508000 (neto) - Selinux is prevent firefox

Summary: Selinux is prevent firefox

Keywords:
Status:	CLOSED CANTFIX
Alias:	neto
Product:	Fedora
Classification:	Fedora
Component:	selinux-policy
Sub Component:
Version:	10
Hardware:	i386
OS:	Linux
Priority:	low
Severity:	medium
Target Milestone:	---
Assignee:	Miroslav Grepl
QA Contact:	Fedora Extras Quality Assurance
Docs Contact:
URL:
Whiteboard:
Depends On:
Blocks:
TreeView+	depends on / blocked

Reported:	2009-06-25 03:57 UTC by Austecliano de Sá Anacleto
Modified:	2009-12-04 16:52 UTC (History)
CC List:	4 users (show)
Fixed In Version:
Doc Type:	Bug Fix
Doc Text:
Clone Of:
Environment:
Last Closed:	2009-06-29 12:41:50 UTC
Type:	---
Embargoed:
Dependent Products:

Attachments	(Terms of Use)

Description Austecliano de Sá Anacleto 2009-06-25 03:57:56 UTC

Sumário:

O SELinux está impedindo que o firefox carregue
/home/neto/.mozilla/firefox/htn456k1.default/extensions/VMwareVMRC/plugins/np-vmware-vmrc-2.5.0-122581.so,
o que requer deslocamento de texto.

Descrição Detalhada:

O aplicativo firefox tentou carregar
/home/neto/.mozilla/firefox/htn456k1.default/extensions/VMwareVMRC/plugins/np-vmware-vmrc-2.5.0-122581.so,
o que requer deslocamento de texto (text relocation). Isto é um problema sério
de segurança. A maioria das bibliotecas não requer esta permissão. Às vezes,
bibliotecas são mal programadas, o que as leva a requisitar esta permissão. A
página Testes de Proteção de Memória SELinux
(http://people.redhat.com/drepper/selinux-mem.html) explica como remover este
requisito. Você pode configurar o SELinux para permitir que o
/home/neto/.mozilla/firefox/htn456k1.default/extensions/VMwareVMRC/plugins/np-vmware-vmrc-2.5.0-122581.so
use deslocamento como uma solução temporária, até que a biblioteca seja
consertada. Por favor submeta uma notificação de erro
(http://bugzilla.redhat.com/bugzilla/enter_bug.cgi) contra este pacote.

Permitindo Acesso:

Se você confiar que o
/home/neto/.mozilla/firefox/htn456k1.default/extensions/VMwareVMRC/plugins/np-vmware-vmrc-2.5.0-122581.so
irá rodar corretamente, você pode mudar o contexto do arquivo para
textrel_shlib_t. "chcon -t textrel_shlib_t
/home/neto/.mozilla/firefox/htn456k1.default/extensions/VMwareVMRC/plugins/np-vmware-vmrc-2.5.0-122581.so"
Você deve também alterar o arquivo padrão dos arquivos de contexto no sistema
para preservá-los mesmo em uma reetiquetagem completa. "semanage fcontext -a -t
textrel_shlib_t
/home/neto/.mozilla/firefox/htn456k1.default/extensions/VMwareVMRC/plugins/np-vmware-vmrc-2.5.0-122581.so"

Reparar Comando:

chcon -t textrel_shlib_t
'/home/neto/.mozilla/firefox/htn456k1.default/extensions/VMwareVMRC/plugins/np-vmware-vmrc-2.5.0-122581.so'

Informação adicional:

Contexto Fonte                unconfined_u:unconfined_r:unconfined_execmem_t:s0
Contexto Alvo                 unconfined_u:object_r:mozilla_home_t:s0
Objetos do Alvo               /home/neto/.mozilla/firefox/htn456k1.default/exten
                              sions/VMwareVMRC/plugins/np-vmware-
                              vmrc-2.5.0-122581.so [ file ]
Fonte                         firefox
Caminho da Fonte              /usr/lib/firefox-3.0.10/firefox
Porta                         <Desconhecido>
Máquina                      darkstar
Pacotes do RPM Fonte          firefox-3.0.11-1.fc10
Pacotes do RPM Alvo           
RPM da Política              selinux-policy-3.5.13-61.fc10
Selinux Ativado               True
Tipo de Política             targeted
MLS Ativado                   True
Modo Enforcing                Enforcing
Nome do Plugin                allow_execmod
Nome do Host                  darkstar
Plataforma                    Linux darkstar 2.6.27.24-170.2.68.fc10.i686 #1 SMP
                              Wed May 20 23:10:16 EDT 2009 i686 i686
Conta de Alerta               12
Visto Primeiro em             Qui 04 Jun 2009 00:55:33 BRT
Visto pela última vez em     Qui 25 Jun 2009 00:36:24 BRT
ID Local                      11037586-fdbe-4b4c-8754-67d6d240dff7
Números de Linha             

Mensagens de Auditoria de Mat 

node=darkstar type=AVC msg=audit(1245900984.732:36): avc:  denied  { execmod } for  pid=4407 comm="firefox" path="/home/neto/.mozilla/firefox/htn456k1.default/extensions/VMwareVMRC/plugins/np-vmware-vmrc-2.5.0-122581.so" dev=sda1 ino=2277850 scontext=unconfined_u:unconfined_r:unconfined_execmem_t:s0 tcontext=unconfined_u:object_r:mozilla_home_t:s0 tclass=file

node=darkstar type=SYSCALL msg=audit(1245900984.732:36): arch=40000003 syscall=125 success=no exit=-13 a0=f4c000 a1=79000 a2=5 a3=bf8c6390 items=0 ppid=4389 pid=4407 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=(none) ses=1 comm="firefox" exe="/usr/lib/firefox-3.0.11/firefox" subj=unconfined_u:unconfined_r:unconfined_execmem_t:s0 key=(null)

Comment 1 Miroslav Grepl 2009-06-25 13:05:39 UTC

You can set the label suggested in the setroubleshoot message 

or turn on the boolean allow_execmod

# setsebool -P allow_execmod 1

Note You need to log in before you can comment on or make changes to this bug.