Bug 618919 - SELinux hindert /var/lib/boinc/projects/climateprediction.net/famous_6.11_i686-pc-linux-gnu am Laden von /var/lib/boinc/projects/climateprediction.net/famous_se_6.11_i686-pc-linux-gnu.so, welches Textverschiebung benötigt.
Summary: SELinux hindert /var/lib/boinc/projects/climateprediction.net/famous_6.11_i68...
Keywords:
Status: CLOSED ERRATA
Alias: None
Product: Fedora
Classification: Fedora
Component: selinux-policy
Version: 13
Hardware: i386
OS: Linux
low
medium
Target Milestone: ---
Assignee: Miroslav Grepl
QA Contact: Fedora Extras Quality Assurance
URL:
Whiteboard: setroubleshoot_trace_hash:e0318f0aec0...
Depends On:
Blocks:
TreeView+ depends on / blocked
 
Reported: 2010-07-28 04:28 UTC by Rupert Roth
Modified: 2010-08-10 21:42 UTC (History)
3 users (show)

Fixed In Version: selinux-policy-3.7.19-44.fc13
Doc Type: Bug Fix
Doc Text:
Clone Of:
Environment:
Last Closed: 2010-08-10 21:42:14 UTC
Type: ---
Embargoed:

Attachments (Terms of Use)

Description Rupert Roth 2010-07-28 04:28:35 UTC 
Zusammenfassung:

SELinux hindert
/var/lib/boinc/projects/climateprediction.net/famous_6.11_i686-pc-linux-gnu am
Laden von
/var/lib/boinc/projects/climateprediction.net/famous_se_6.11_i686-pc-linux-gnu.so,
welches Textverschiebung benötigt.

Detaillierte Beschreibung:

[famous_6.11_i68 hat einen zugelassenen Typ (boinc_t). Dieser Zugriff wurde
nicht verweigert.]

Die Anwendung famous_6.11_i68 versuchte
/var/lib/boinc/projects/climateprediction.net/famous_se_6.11_i686-pc-linux-gnu.so
zu laden, welches Textverschiebung benötigt. Dies ist ein mögliches
Sicherheitsproblem. Die meisten Bibliotheken benötigen diese Erlaubnis nicht,
einige sind ggf. fehlerhaft programmiert und fordern diese Erlaubnis an. Die
Webseite SELinux Memory Protection Tests
(http://people.redhat.com/drepper/selinux-mem.html) erklärt, wie diese
Anforderung entfernt werden kann. Als Workaround können Sie SELinux temporär
so konfigurieren, dass
/var/lib/boinc/projects/climateprediction.net/famous_se_6.11_i686-pc-linux-gnu.so
Textverschiebung verwendet, bis die Bibliothek gefixt ist. Bitte reichen Sie
einen Fehlerbericht für dieses Paket ei

Zugriff erlauben:

Wenn Sie darauf vertrauen, dass
/var/lib/boinc/projects/climateprediction.net/famous_se_6.11_i686-pc-linux-gnu.so
korrekt läuft, können Sie den Dateikontext miitels "chcon -t textrel_shlib_t
'/var/lib/boinc/projects/climateprediction.net/famous_se_6.11_i686-pc-linux-gnu.so'"
in textrel_shlib_t ändern. Sie müssen auf dem System auch die Standarddatei
mit dem Dateikontext ändern, um sie von einer kompletten Neubezeichnung
auszunehmen: "semanage fcontext -a -t textrel_shlib_t
'/var/lib/boinc/projects/climateprediction.net/famous_se_6.11_i686-pc-linux-gnu.so'"

Befehl berichtigen:

chcon -t textrel_shlib_t
'/var/lib/boinc/projects/climateprediction.net/famous_se_6.11_i686-pc-linux-gnu.so'

Zusätzliche Informationen:

Quellkontext                  system_u:system_r:boinc_t:s0
Zielkontext                   system_u:object_r:boinc_var_lib_t:s0
Zielobjekte                   /var/lib/boinc/projects/climateprediction.net/famo
                              us_se_6.11_i686-pc-linux-gnu.so [ file ]
Quelle                        famous_6.11_i68
Quellpfad                     /var/lib/boinc/projects/climateprediction.net/famo
                              us_6.11_i686-pc-linux-gnu
Port                          <Unbekannt>
Host                          (entfernt)
RPM-Pakete der Quelle         
RPM-Pakete des Ziels          
Richtlinien-RPM               selinux-policy-3.7.19-39.fc13
SELinux aktiviert             True
Richtlinientyp                targeted
Enforcing-Modus               Enforcing
Plugin-Name                   allow_execmod
Rechnername                   (entfernt)
Plattform                     Linux (entfernt) 2.6.33.6-147.fc13.i686.PAE #1 SMP
                              Tue Jul 6 22:24:44 UTC 2010 i686 i686
Anzahl der Alarme             11
Zuerst gesehen                Di 27 Jul 2010 15:00:07 CEST
Zuletzt gesehen               Mi 28 Jul 2010 06:06:57 CEST
Lokale ID                     7606a339-c063-4632-94a4-4e22ea5add73
Zeilennummern                 

Raw-Audit-Meldungen           

node=(entfernt) type=AVC msg=audit(1280290017.158:28769): avc:  denied  { execmod } for  pid=16836 comm="famous_6.11_i68" path="/var/lib/boinc/projects/climateprediction.net/famous_se_6.11_i686-pc-linux-gnu.so" dev=sda6 ino=1326104 scontext=system_u:system_r:boinc_t:s0 tcontext=system_u:object_r:boinc_var_lib_t:s0 tclass=file

node=(entfernt) type=SYSCALL msg=audit(1280290017.158:28769): arch=40000003 syscall=125 success=yes exit=0 a0=1fd000 a1=76000 a2=5 a3=bfd40690 items=0 ppid=1770 pid=16836 auid=4294967295 uid=489 gid=476 euid=489 suid=489 fsuid=489 egid=476 sgid=476 fsgid=476 tty=(none) ses=4294967295 comm="famous_6.11_i68" exe="/var/lib/boinc/projects/climateprediction.net/famous_6.11_i686-pc-linux-gnu" subj=system_u:system_r:boinc_t:s0 key=(null)



Hash String generated from  allow_execmod,famous_6.11_i68,boinc_t,boinc_var_lib_t,file,execmod
audit2allow suggests:

#============= boinc_t ==============
allow boinc_t boinc_var_lib_t:file execmod;
Comment 1 Miroslav Grepl 2010-07-28 06:14:54 UTC 
Fixed in selinux-policy-3.7.19-42.fc13
Comment 2 Fedora Update System 2010-08-06 13:42:10 UTC 
selinux-policy-3.7.19-44.fc13 has been submitted as an update for Fedora 13.
http://admin.fedoraproject.org/updates/selinux-policy-3.7.19-44.fc13
Comment 3 Fedora Update System 2010-08-06 21:01:22 UTC 
selinux-policy-3.7.19-44.fc13 has been pushed to the Fedora 13 testing repository.  If problems still persist, please make note of it in this bug report.
 If you want to test the update, you can install it with 
 su -c 'yum --enablerepo=updates-testing update selinux-policy'.  You can provide feedback for this update here: http://admin.fedoraproject.org/updates/selinux-policy-3.7.19-44.fc13
Comment 4 Fedora Update System 2010-08-10 21:40:37 UTC 
selinux-policy-3.7.19-44.fc13 has been pushed to the Fedora 13 stable repository.  If problems still persist, please make note of it in this bug report.
Note You need to log in before you can comment on or make changes to this bug.