Bug 508000 - (neto) Selinux is prevent firefox
Selinux is prevent firefox
Status: CLOSED CANTFIX
Product: Fedora
Classification: Fedora
Component: selinux-policy (Show other bugs)
10
i386 Linux
low Severity medium
: ---
: ---
Assigned To: Miroslav Grepl
Fedora Extras Quality Assurance
:
Depends On:
Blocks:
  Show dependency treegraph
 
Reported: 2009-06-24 23:57 EDT by Austecliano de Sá Anacleto
Modified: 2009-12-04 11:52 EST (History)
4 users (show)

See Also:
Fixed In Version:
Doc Type: Bug Fix
Doc Text:
Story Points: ---
Clone Of:
Environment:
Last Closed: 2009-06-29 08:41:50 EDT
Type: ---
Regression: ---
Mount Type: ---
Documentation: ---
CRM:
Verified Versions:
Category: ---
oVirt Team: ---
RHEL 7.3 requirements from Atomic Host:
Cloudforms Team: ---


Attachments (Terms of Use)

  None (edit)
Description Austecliano de Sá Anacleto 2009-06-24 23:57:56 EDT
Sumário:

O SELinux está impedindo que o firefox carregue
/home/neto/.mozilla/firefox/htn456k1.default/extensions/VMwareVMRC@vmware.com/plugins/np-vmware-vmrc-2.5.0-122581.so,
o que requer deslocamento de texto.

Descrição Detalhada:

O aplicativo firefox tentou carregar
/home/neto/.mozilla/firefox/htn456k1.default/extensions/VMwareVMRC@vmware.com/plugins/np-vmware-vmrc-2.5.0-122581.so,
o que requer deslocamento de texto (text relocation). Isto é um problema sério
de segurança. A maioria das bibliotecas não requer esta permissão. Às vezes,
bibliotecas são mal programadas, o que as leva a requisitar esta permissão. A
página Testes de Proteção de Memória SELinux
(http://people.redhat.com/drepper/selinux-mem.html) explica como remover este
requisito. Você pode configurar o SELinux para permitir que o
/home/neto/.mozilla/firefox/htn456k1.default/extensions/VMwareVMRC@vmware.com/plugins/np-vmware-vmrc-2.5.0-122581.so
use deslocamento como uma solução temporária, até que a biblioteca seja
consertada. Por favor submeta uma notificação de erro
(http://bugzilla.redhat.com/bugzilla/enter_bug.cgi) contra este pacote.

Permitindo Acesso:

Se você confiar que o
/home/neto/.mozilla/firefox/htn456k1.default/extensions/VMwareVMRC@vmware.com/plugins/np-vmware-vmrc-2.5.0-122581.so
irá rodar corretamente, você pode mudar o contexto do arquivo para
textrel_shlib_t. "chcon -t textrel_shlib_t
/home/neto/.mozilla/firefox/htn456k1.default/extensions/VMwareVMRC@vmware.com/plugins/np-vmware-vmrc-2.5.0-122581.so"
Você deve também alterar o arquivo padrão dos arquivos de contexto no sistema
para preservá-los mesmo em uma reetiquetagem completa. "semanage fcontext -a -t
textrel_shlib_t
/home/neto/.mozilla/firefox/htn456k1.default/extensions/VMwareVMRC@vmware.com/plugins/np-vmware-vmrc-2.5.0-122581.so"

Reparar Comando:

chcon -t textrel_shlib_t
'/home/neto/.mozilla/firefox/htn456k1.default/extensions/VMwareVMRC@vmware.com/plugins/np-vmware-vmrc-2.5.0-122581.so'

Informação adicional:

Contexto Fonte                unconfined_u:unconfined_r:unconfined_execmem_t:s0
Contexto Alvo                 unconfined_u:object_r:mozilla_home_t:s0
Objetos do Alvo               /home/neto/.mozilla/firefox/htn456k1.default/exten
                              sions/VMwareVMRC@vmware.com/plugins/np-vmware-
                              vmrc-2.5.0-122581.so [ file ]
Fonte                         firefox
Caminho da Fonte              /usr/lib/firefox-3.0.10/firefox
Porta                         <Desconhecido>
Máquina                      darkstar
Pacotes do RPM Fonte          firefox-3.0.11-1.fc10
Pacotes do RPM Alvo           
RPM da Política              selinux-policy-3.5.13-61.fc10
Selinux Ativado               True
Tipo de Política             targeted
MLS Ativado                   True
Modo Enforcing                Enforcing
Nome do Plugin                allow_execmod
Nome do Host                  darkstar
Plataforma                    Linux darkstar 2.6.27.24-170.2.68.fc10.i686 #1 SMP
                              Wed May 20 23:10:16 EDT 2009 i686 i686
Conta de Alerta               12
Visto Primeiro em             Qui 04 Jun 2009 00:55:33 BRT
Visto pela última vez em     Qui 25 Jun 2009 00:36:24 BRT
ID Local                      11037586-fdbe-4b4c-8754-67d6d240dff7
Números de Linha             

Mensagens de Auditoria de Mat 

node=darkstar type=AVC msg=audit(1245900984.732:36): avc:  denied  { execmod } for  pid=4407 comm="firefox" path="/home/neto/.mozilla/firefox/htn456k1.default/extensions/VMwareVMRC@vmware.com/plugins/np-vmware-vmrc-2.5.0-122581.so" dev=sda1 ino=2277850 scontext=unconfined_u:unconfined_r:unconfined_execmem_t:s0 tcontext=unconfined_u:object_r:mozilla_home_t:s0 tclass=file

node=darkstar type=SYSCALL msg=audit(1245900984.732:36): arch=40000003 syscall=125 success=no exit=-13 a0=f4c000 a1=79000 a2=5 a3=bf8c6390 items=0 ppid=4389 pid=4407 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=(none) ses=1 comm="firefox" exe="/usr/lib/firefox-3.0.11/firefox" subj=unconfined_u:unconfined_r:unconfined_execmem_t:s0 key=(null)
Comment 1 Miroslav Grepl 2009-06-25 09:05:39 EDT
You can set the label suggested in the setroubleshoot message 

or turn on the boolean allow_execmod

# setsebool -P allow_execmod 1

Note You need to log in before you can comment on or make changes to this bug.