Bug 657075 - SELinux está previniendo acerca de la intención de $SOURCE_PATHde hacer la pila del programa ejecutable.
Summary: SELinux está previniendo acerca de la intención de $SOURCE_PATHde hacer la pi...
Keywords:
Status: CLOSED NOTABUG
Alias: None
Product: Fedora
Classification: Fedora
Component: selinux-policy
Version: 14
Hardware: i386
OS: Linux
low
medium
Target Milestone: ---
Assignee: Miroslav Grepl
QA Contact: Fedora Extras Quality Assurance
URL:
Whiteboard: setroubleshoot_trace_hash:efb313114e7...
Depends On:
Blocks:
TreeView+ depends on / blocked
 
Reported: 2010-11-24 20:30 UTC by Santiago Lunar
Modified: 2010-11-26 13:29 UTC (History)
3 users (show)

Fixed In Version:
Doc Type: Bug Fix
Doc Text:
Clone Of:
Environment:
Last Closed: 2010-11-25 08:25:20 UTC


Attachments (Terms of Use)

Description Santiago Lunar 2010-11-24 20:30:59 UTC
Resúmen:

SELinux está previniendo acerca de la intención de $SOURCE_PATHde hacer la pila
del programa ejecutable.

Descripción Detallada:

The firefox application attempted to make its stack executable. This is a
potential security problem. This should never ever be necessary. Stack memory is
not executable on most OSes these days and this will not change. Executable
stack memory is one of the biggest security problems. An execstack error might
in fact be most likely raised by malicious code. Applications are sometimes
coded incorrectly and request this permission. The SELinux Memory Protection
Tests (http://www.akkadia.org/drepper/selinux-mem.html) web page explains how to
remove this requirement. If firefox does not work and you need it to work, you
can configure SELinux temporarily to allow this access until the application is
fixed. Please file a bug report.

Permitiendo Acceso:

A veces una biblioteca es marcada accidentalmente con la bandera execstack; si
encuentra una biblioteca con esta bandera, la puede limpiar con execstack -c
LIBRARY_PATH. Entonces reintente con su aplicación. Si aún así no fucniona,
puede volverla a activar con execstac -s LIBRARY_PATH. Sino, si Ud. confía en
que firefox se ejecutará correctamente, puede cambiar el contexto del ejecutable
a execmem_exec_t. "chcon -t execmem_exec_t '/usr/lib/firefox-3.6/firefox'"
También debe cambiar el archivo predeterminado de contexto de archivos en el
sistema, a los efectos de preservarlos en caso de un reetiquetado completo.
"semanage fcontext -a -t execmem_exec_t '/usr/lib/firefox-3.6/firefox'"

Comando para Corregir:

chcon -t execmem_exec_t '/usr/lib/firefox-3.6/firefox'

Información Adicional:

Contexto Fuente               unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1
                              023
Contexto Destino              unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1
                              023
Objetos Destino               None [ process ]
Fuente                        536565736D6963204465736B746F70
Dirección de Fuente           /opt/Seesmic Desktop/bin/Seesmic Desktop
Puerto                        <Desconocido>
Nombre de Equipo              (eliminado)
Paquetes RPM Fuentes          firefox-3.6.12-1.fc14
Paquetes RPM Destinos         
RPM de Políticas              selinux-policy-3.9.7-12.fc14
SELinux Activado              True
Tipo de Política              targeted
Modo Obediente                Enforcing
Nombre de Plugin              allow_execstack
Nombre de Equipo              (eliminado)
Plataforma                    Linux (eliminado) 2.6.35.6-48.fc14.i686 #1 SMP Fri
                              Oct 22 15:34:36 UTC 2010 i686 i686
Cantidad de Alertas           17
Visto por Primera Vez         sáb 06 nov 2010 08:00:11 VET
Visto por Última Vez          mié 24 nov 2010 15:17:01 VET
ID Local                      75124ee4-869c-4002-85e1-c7803752a499
Números de Línea              

Mensajes de Auditoría Crudos  

node=(eliminado) type=AVC msg=audit(1290628021.492:55): avc:  denied  { execstack } for  pid=4840 comm="firefox" scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=process

node=(eliminado) type=SYSCALL msg=audit(1290628021.492:55): arch=40000003 syscall=125 success=no exit=-13 a0=bfda8000 a1=1000 a2=1000007 a3=bfda0824 items=0 ppid=4821 pid=4840 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=(none) ses=1 comm="firefox" exe="/usr/lib/firefox-3.6/firefox" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)



Hash String generated from  allow_execstack,536565736D6963204465736B746F70,unconfined_t,unconfined_t,process,execstack
audit2allow suggests:

#============= unconfined_t ==============
#!!!! This avc can be allowed using the boolean 'allow_execstack'

allow unconfined_t self:process execstack;

Comment 1 Miroslav Grepl 2010-11-25 08:25:20 UTC
Either execute the chcon command or turn on allow_execstack boolean

# setsebool -P allow_execstack 1


Note You need to log in before you can comment on or make changes to this bug.