Podsumowanie: SELinux powstrzymuje npviewer.bin dostęp do deskryptora pliku /tmp/icedteaplugin-tomek/2159-icedteanp-plugin-to-appletviewer, który wyciekł. Szczegółowy opis: [npviewer.bin posiada typ zezwalania (nsplugin_t). Ten dostęp nie został odmówiony.] SELinux odmówił dostęp żądany przez polecenie npviewer.bin. Wygląda na to, że wyciekł deskryptor lub wyjście npviewer.bin zostało przekierowane do pliku, do którego nie ma dostępu. Wycieki zwykle mogą być ignorowane, ponieważ SELinux po prostu zamyka wyciek i zgłasza błąd. Aplikacja nie używa deskryptora, więc będzie działała poprawnie. Jeśli jest to przekierowanie, wyjście nie zostanie uzyskane w /tmp/icedteaplugin-tomek/2159-icedteanp-plugin-to-appletviewer. Powinno się utworzyć raport na Bugzilli o selinux-policy, a zostanie on przekierowany do właściwego pakietu. Można bezpi Zezwalanie na dostęp: Można utworzyć moduł polityki lokalnej, aby umożliwić ten dostęp - proszę zobaczyć FAQ< Dodatkowe informacje: Kontekst źródłowy unconfined_u:unconfined_r:nsplugin_t:s0-s0:c0.c102 3 Kontekst docelowy unconfined_u:object_r:user_tmp_t:s0 Obiekty docelowe /tmp/icedteaplugin-tomek/2159-icedteanp-plugin-to- appletviewer [ fifo_file ] Źródło npviewer.bin Ścieżka źródłowa /usr/lib64/nspluginwrapper/npviewer.bin Port <Nieznane> Komputer (usunięto) Źródłowe pakiety RPM nspluginwrapper-1.3.0-11.fc13 Docelowe pakiety RPM Pakiet RPM polityki selinux-policy-3.8.1-5.fc14 SELinux jest włączony True Typ polityki targeted Tryb wymuszania Enforcing Nazwa wtyczki leaks Nazwa komputera (usunięto) Platforma Linux (usunięto) 2.6.34-20.fc14.x86_64 #1 SMP Wed Jun 2 12:36:51 UTC 2010 x86_64 x86_64 Liczba alarmów 4 Po raz pierwszy nie, 6 cze 2010, 16:22:46 Po raz ostatni nie, 6 cze 2010, 18:39:29 Lokalny identyfikator 982c11c8-c178-4915-b6ed-2c6ca13e52d4 Liczba wierszy Surowe komunikaty audytu node=(usunięto) type=AVC msg=audit(1275842369.398:23601): avc: denied { write } for pid=16682 comm="npviewer.bin" path="/tmp/icedteaplugin-tomek/2159-icedteanp-plugin-to-appletviewer" dev=dm-0 ino=2495057 scontext=unconfined_u:unconfined_r:nsplugin_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:user_tmp_t:s0 tclass=fifo_file node=(usunięto) type=AVC msg=audit(1275842369.398:23601): avc: denied { read } for pid=16682 comm="npviewer.bin" path="/tmp/icedteaplugin-tomek/2159-icedteanp-appletviewer-to-plugin" dev=dm-0 ino=2495056 scontext=unconfined_u:unconfined_r:nsplugin_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:user_tmp_t:s0 tclass=fifo_file node=(usunięto) type=SYSCALL msg=audit(1275842369.398:23601): arch=c000003e syscall=59 success=yes exit=0 a0=27e05a0 a1=27e08f0 a2=27e1a90 a3=8 items=0 ppid=2159 pid=16682 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=(none) ses=1 comm="npviewer.bin" exe="/usr/lib64/nspluginwrapper/npviewer.bin" subj=unconfined_u:unconfined_r:nsplugin_t:s0-s0:c0.c1023 key=(null) Hash String generated from leaks,npviewer.bin,nsplugin_t,user_tmp_t,fifo_file,write audit2allow suggests: #============= nsplugin_t ============== allow nsplugin_t user_tmp_t:fifo_file { write read };
Fixed in selinux-policy-3.8.2-1.fc14