Bug 615659 - SELinux está previniendo acerca de la intención de $SOURCE_PATHde hacer la pila del programa ejecutable.
Summary: SELinux está previniendo acerca de la intención de $SOURCE_PATHde hacer la pi...
Keywords:
Status: CLOSED RAWHIDE
Alias: None
Product: Fedora
Classification: Fedora
Component: selinux-policy
Version: rawhide
Hardware: x86_64
OS: Linux
low
medium
Target Milestone: ---
Assignee: Daniel Walsh
QA Contact: Fedora Extras Quality Assurance
URL:
Whiteboard: setroubleshoot_trace_hash:c9ee7ff1e75...
: 615661 (view as bug list)
Depends On:
Blocks:
TreeView+ depends on / blocked
 
Reported: 2010-07-17 20:11 UTC by Francisco Hauva
Modified: 2010-12-01 12:28 UTC (History)
7 users (show)

Fixed In Version:
Clone Of:
Environment:
Last Closed: 2010-07-19 15:24:26 UTC
Type: ---
Embargoed:

Attachments (Terms of Use)

Description Francisco Hauva 2010-07-17 20:11:50 UTC 
Resúmen:

SELinux está previniendo acerca de la intención de $SOURCE_PATHde hacer la
pila del programa ejecutable.

Descripción Detallada:

[SELinux esta en modo permisivo. Este acceso no fue denegado.]

La aplicación eclipse intentó hacer su pila ejecutable. Este es un problema de
seguridad potencial. Nunca debe ser necesario. La memoria de la pila no es
ejecutable en la mayoría de los sistemas operativos actuales y esto no
cambiará. Una memoria de pila ejecutable es uno de los mayores problemas de
seguridad. Un error de ejecución en pila puede en realidad ser generado a
propósito por código malicioso. Las aplicaciones son a a veces codificadas
incorrectamente y requieren este permiso. La página web de Pruebas de
Protección de Memoria en SELinux
(http://people.redhat.com/drepper/selinux-mem.html) explica cómo eliminar este
requerimiento. Si eclipse no funciona y necesita que lo haga, puede configurar
SELinux para que permita temporalmente este acceso hasta que se corrija la
aplicación. Por favor, haga un informe de error
(http://bugzilla.redhat.com/bugzilla/enter_bug.cgi) contra este pa

Permitiendo Acceso:

A veces una biblioteca es marcada accidentalmente con la bandera execstack; si
encuentra una biblioteca con esta bandera, la puede limpiar con execstack -c
LIBRARY_PATH. Entonces reintente con su aplicación. Si aún así no fucniona,
puede volverla a activar con execstac -s LIBRARY_PATH. Sino, si Ud. confía en
que eclipse se ejecutará correctamente, puede cambiar el contexto del
ejecutable a execmem_exec_t. "chcon -t execmem_exec_t
'/opt/ibm/IBMSupportAssistant_41/rcp/eclipse/plugins/com.ibm.rcp.base_6.2.0.20090330-1321/linux/x86/eclipse'"
También debe cambiar el archivo predeterminado de contexto de archivos en el
sistema, a los efectos de preservarlos en caso de un reetiquetado completo.
"semanage fcontext -a -t execmem_exec_t
'/opt/ibm/IBMSupportAssistant_41/rcp/eclipse/plugins/com.ibm.rcp.base_6.2.0.20090330-1321/linux/x86/eclipse'"

Comando para Corregir:

chcon -t execmem_exec_t
'/opt/ibm/IBMSupportAssistant_41/rcp/eclipse/plugins/com.ibm.rcp.base_6.2.0.20090330-1321/linux/x86/eclipse'

Información Adicional:

Contexto Fuente               unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1
                              023
Contexto Destino              unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1
                              023
Objetos Destino               None [ process ]
Fuente                        eclipse
Dirección de Fuente          /opt/ibm/IBMSupportAssistant_41/rcp/eclipse/plugin
                              s/com.ibm.rcp.base_6.2.0.20090330-1321/linux/x86/e
                              clipse
Puerto                        <Desconocido>
Nombre de Equipo              (eliminado)
Paquetes RPM Fuentes          support-assistant-4.1.0.00-20090505_1211
Paquetes RPM Destinos         
RPM de Políticas             selinux-policy-3.8.6-3.fc14
SELinux Activado              True
Tipo de Política             targeted
Modo Obediente                Permissive
Nombre de Plugin              allow_execstack
Nombre de Equipo              (eliminado)
Plataforma                    Linux (eliminado) 2.6.35-0.36.rc4.git5.fc14.x86_64 #1
                              SMP Tue Jul 13 05:25:30 UTC 2010 x86_64 x86_64
Cantidad de Alertas           5
Visto por Primera Vez         vie 16 jul 2010 15:23:23 CST
Visto por Última Vez         vie 16 jul 2010 17:00:34 CST
ID Local                      8ec79c69-d3c3-4568-8102-4f96a2969a97
Números de Línea            

Mensajes de Auditoría Crudos 

node=(eliminado) type=AVC msg=audit(1279321234.322:511): avc:  denied  { execstack } for  pid=15050 comm="eclipse" scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=process

node=(eliminado) type=SYSCALL msg=audit(1279321234.322:511): arch=40000003 syscall=125 success=yes exit=0 a0=ff92a000 a1=1000 a2=1000007 a3=ff92a040 items=0 ppid=1 pid=15050 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=(none) ses=1 comm="eclipse" exe="/opt/ibm/IBMSupportAssistant_41/rcp/eclipse/plugins/com.ibm.rcp.base_6.2.0.20090330-1321/linux/x86/eclipse" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)



Hash String generated from  allow_execstack,eclipse,unconfined_t,unconfined_t,process,execstack
audit2allow suggests:

#============= unconfined_t ==============
#!!!! This avc can be allowed using the boolean 'allow_execstack'

allow unconfined_t self:process execstack;
Comment 1 Daniel Walsh 2010-07-19 15:19:02 UTC 
*** Bug 615660 has been marked as a duplicate of this bug. ***
Comment 2 Daniel Walsh 2010-07-19 15:19:08 UTC 
*** Bug 615661 has been marked as a duplicate of this bug. ***
Comment 3 Daniel Walsh 2010-07-19 15:24:26 UTC 
chcon -t java_exec_t /opt/ibm/IBMSupportAssistant_41/rcp/eclipse/plugins/com.ibm.rcp.base_6.2.0.20090330-1321/linux/x86/eclipse

Should fix the problem.

Fixed in selinux-policy-3.8.7-3.fc14
Note You need to log in before you can comment on or make changes to this bug.