Bug 611470 - SELinux empêche /opt/REALSoftware/REALStudio2010r2.1/REAL Studio 2010 de charger /home/ranim/.tmpRBData/0SSLSocket.so qui exige une réinstallation du texte.
SELinux empêche /opt/REALSoftware/REALStudio2010r2.1/REAL Studio 2010 de char...
Status: CLOSED CANTFIX
Product: Fedora
Classification: Fedora
Component: selinux-policy (Show other bugs)
13
i386 Linux
low Severity medium
: ---
: ---
Assigned To: Daniel Walsh
Fedora Extras Quality Assurance
setroubleshoot_trace_hash:781dca5588b...
:
Depends On:
Blocks:
  Show dependency treegraph
 
Reported: 2010-07-05 07:56 EDT by Ranim
Modified: 2010-07-07 04:22 EDT (History)
3 users (show)

See Also:
Fixed In Version:
Doc Type: Bug Fix
Doc Text:
Story Points: ---
Clone Of:
Environment:
Last Closed: 2010-07-07 04:22:27 EDT
Type: ---
Regression: ---
Mount Type: ---
Documentation: ---
CRM:
Verified Versions:
Category: ---
oVirt Team: ---
RHEL 7.3 requirements from Atomic Host:
Cloudforms Team: ---


Attachments (Terms of Use)

  None (edit)
Description Ranim 2010-07-05 07:56:53 EDT
Résumé:

SELinux empêche /opt/REALSoftware/REALStudio2010r2.1/REAL Studio 2010 de
charger /home/ranim/.tmpRBData/0SSLSocket.so qui exige une réinstallation du
texte.

Description détaillée:

[SELinux est en mode permissif. Cet accès n'a pas été refusé.]

L'application 5245414C2053747564696F20323031 a essayé de charger
/home/ranim/.tmpRBData/0SSLSocket.so qui exige une réinstallation du texte.
C'est un problème potentiel de sécurité . La plupart des bibliothèques n'ont
pas besoin de cette permission. Les bibliothèques sont parfois programmées
incorrectement et demandent cette permission. La page web Essais de protection
mémoire de SELinux (http://people.redhat.com/drepper/selinux-mem.html) explique
comment retirer ces exigences. Vous pouvez configurer temporairement SELinux
pour permettre à /home/ranim/.tmpRBData/0SSLSocket.so d'utiliser le
ré-adressage et contourner cette protection, jusqu'à ce que la bibliothèque
soit corrigée. Merci de remplir un rapport de bogue
(http://bugzilla.redhat.com/bugzilla/enter_bug.cgi) pour c

Autoriser l'accès:

Si vous autorisez /home/ranim/.tmpRBData/0SSLSocket.so à fonctionner
correctement, vous pouvez changer le contexte du fichier à textrel_shlib_t.
"chcon -t textrel_shlib_t /home/ranim/.tmpRBData/0SSLSocket.so" Vous devez aussi
changer le dossier par défaut des fichiers de contexte de votre système, même
lors d'un réétiquetage complet, de manière à les préserver. "semanage
fcontext -a -t textrel_shlib_t '/home/ranim/.tmpRBData/0SSLSocket.so'"

Commande de correction:

chcon -t textrel_shlib_t '/home/ranim/.tmpRBData/0SSLSocket.so'

Informations complémentaires:

Contexte source               unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1
                              023
Contexte cible                unconfined_u:object_r:user_home_t:s0
Objets du contexte            /home/ranim/.tmpRBData/0SSLSocket.so [ file ]
source                        5245414C2053747564696F20323031
Chemin de la source           /opt/REALSoftware/REALStudio2010r2.1/REAL Studio
                              2010
Port                          <Inconnu>
Hôte                         (supprimé)
Paquetages RPM source         REALStudio-2010-2.1
Paquetages RPM cible          
Politique RPM                 selinux-policy-3.7.19-28.fc13
Selinux activé               True
Type de politique             targeted
Mode strict                   Permissive
Nom du plugin                 allow_execmod
Nom de l'hôte                (supprimé)
Plateforme                    Linux (supprimé) 2.6.33.5-124.fc13.i686.PAE #1
                              SMP Fri Jun 11 09:42:24 UTC 2010 i686 i686
Compteur d'alertes            3
Première alerte              lun. 05 juil. 2010 11:37:14 CET
Dernière alerte              lun. 05 juil. 2010 12:55:01 CET
ID local                      b6554732-0153-415c-b3f5-623eaddba1d9
Numéros des lignes           

Messages d'audit bruts        

node=(supprimé) type=AVC msg=audit(1278330901.702:21561): avc:  denied  { execmod } for  pid=2102 comm=5245414C2053747564696F20323031 path="/home/ranim/.tmpRBData/0SSLSocket.so" dev=sda1 ino=1444180 scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=file

node=(supprimé) type=SYSCALL msg=audit(1278330901.702:21561): arch=40000003 syscall=125 success=yes exit=0 a0=1f09000 a1=121000 a2=5 a3=bff33780 items=0 ppid=1 pid=2102 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=(none) ses=1 comm=5245414C2053747564696F20323031 exe=2F6F70742F5245414C536F6674776172652F5245414C53747564696F3230313072322E312F5245414C2053747564696F2032303130 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)



Hash String generated from  allow_execmod,5245414C2053747564696F20323031,unconfined_t,user_home_t,file,execmod
audit2allow suggests:

#============= unconfined_t ==============
#!!!! This avc can be allowed using the boolean 'allow_execmod'

allow unconfined_t user_home_t:file execmod;
Comment 1 Miroslav Grepl 2010-07-07 04:22:27 EDT
If you want to this to work in your homedir, it is probably best to turn the
check off.

# setsebool -P allow_execmod 1

These failures are caused by badly created libraries.

Note You need to log in before you can comment on or make changes to this bug.