Bug 600912 - SELinux powstrzymuje npviewer.bin dostęp do deskryptora pliku /tmp/icedteaplugin-tomek/2159-icedteanp-plugin-to-appletviewer, który wyciekł.
SELinux powstrzymuje npviewer.bin dostęp do deskryptora pliku /tmp/icedteaplu...
Status: CLOSED RAWHIDE
Product: Fedora
Classification: Fedora
Component: selinux-policy (Show other bugs)
rawhide
x86_64 Linux
low Severity medium
: ---
: ---
Assigned To: Daniel Walsh
Fedora Extras Quality Assurance
setroubleshoot_trace_hash:291726b94a0...
:
Depends On:
Blocks:
  Show dependency treegraph
 
Reported: 2010-06-06 12:40 EDT by tomek.by
Modified: 2010-06-07 10:12 EDT (History)
2 users (show)

See Also:
Fixed In Version:
Doc Type: Bug Fix
Doc Text:
Story Points: ---
Clone Of:
Environment:
Last Closed: 2010-06-07 10:12:45 EDT
Type: ---
Regression: ---
Mount Type: ---
Documentation: ---
CRM:
Verified Versions:
Category: ---
oVirt Team: ---
RHEL 7.3 requirements from Atomic Host:
Cloudforms Team: ---


Attachments (Terms of Use)

  None (edit)
Description tomek.by 2010-06-06 12:40:10 EDT
Podsumowanie:

SELinux powstrzymuje npviewer.bin dostęp do deskryptora pliku
/tmp/icedteaplugin-tomek/2159-icedteanp-plugin-to-appletviewer, który wyciekł.

Szczegółowy opis:

[npviewer.bin posiada typ zezwalania (nsplugin_t). Ten dostęp nie został
odmówiony.]

SELinux odmówił dostęp żądany przez polecenie npviewer.bin. Wygląda na to,
że wyciekł deskryptor lub wyjście npviewer.bin zostało przekierowane do
pliku, do którego nie ma dostępu. Wycieki zwykle mogą być ignorowane,
ponieważ SELinux po prostu zamyka wyciek i zgłasza błąd. Aplikacja nie
używa deskryptora, więc będzie działała poprawnie. Jeśli jest to
przekierowanie, wyjście nie zostanie uzyskane w
/tmp/icedteaplugin-tomek/2159-icedteanp-plugin-to-appletviewer. Powinno się
utworzyć raport na Bugzilli o selinux-policy, a zostanie on przekierowany do
właściwego pakietu. Można bezpi

Zezwalanie na dostęp:

Można utworzyć moduł polityki lokalnej, aby umożliwić ten dostęp - proszę
zobaczyć FAQ<

Dodatkowe informacje:

Kontekst źródłowy          unconfined_u:unconfined_r:nsplugin_t:s0-s0:c0.c102
                              3
Kontekst docelowy             unconfined_u:object_r:user_tmp_t:s0
Obiekty docelowe              /tmp/icedteaplugin-tomek/2159-icedteanp-plugin-to-
                              appletviewer [ fifo_file ]
Źródło                     npviewer.bin
Ścieżka źródłowa         /usr/lib64/nspluginwrapper/npviewer.bin
Port                          <Nieznane>
Komputer                      (usunięto)
Źródłowe pakiety RPM       nspluginwrapper-1.3.0-11.fc13
Docelowe pakiety RPM          
Pakiet RPM polityki           selinux-policy-3.8.1-5.fc14
SELinux jest włączony       True
Typ polityki                  targeted
Tryb wymuszania               Enforcing
Nazwa wtyczki                 leaks
Nazwa komputera               (usunięto)
Platforma                     Linux (usunięto) 2.6.34-20.fc14.x86_64 #1 SMP Wed Jun
                              2 12:36:51 UTC 2010 x86_64 x86_64
Liczba alarmów               4
Po raz pierwszy               nie, 6 cze 2010, 16:22:46
Po raz ostatni                nie, 6 cze 2010, 18:39:29
Lokalny identyfikator         982c11c8-c178-4915-b6ed-2c6ca13e52d4
Liczba wierszy                

Surowe komunikaty audytu      

node=(usunięto) type=AVC msg=audit(1275842369.398:23601): avc:  denied  { write } for  pid=16682 comm="npviewer.bin" path="/tmp/icedteaplugin-tomek/2159-icedteanp-plugin-to-appletviewer" dev=dm-0 ino=2495057 scontext=unconfined_u:unconfined_r:nsplugin_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:user_tmp_t:s0 tclass=fifo_file

node=(usunięto) type=AVC msg=audit(1275842369.398:23601): avc:  denied  { read } for  pid=16682 comm="npviewer.bin" path="/tmp/icedteaplugin-tomek/2159-icedteanp-appletviewer-to-plugin" dev=dm-0 ino=2495056 scontext=unconfined_u:unconfined_r:nsplugin_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:user_tmp_t:s0 tclass=fifo_file

node=(usunięto) type=SYSCALL msg=audit(1275842369.398:23601): arch=c000003e syscall=59 success=yes exit=0 a0=27e05a0 a1=27e08f0 a2=27e1a90 a3=8 items=0 ppid=2159 pid=16682 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=(none) ses=1 comm="npviewer.bin" exe="/usr/lib64/nspluginwrapper/npviewer.bin" subj=unconfined_u:unconfined_r:nsplugin_t:s0-s0:c0.c1023 key=(null)



Hash String generated from  leaks,npviewer.bin,nsplugin_t,user_tmp_t,fifo_file,write
audit2allow suggests:

#============= nsplugin_t ==============
allow nsplugin_t user_tmp_t:fifo_file { write read };
Comment 1 Daniel Walsh 2010-06-07 10:12:45 EDT
Fixed in selinux-policy-3.8.2-1.fc14

Note You need to log in before you can comment on or make changes to this bug.