Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Fedora 34 n'est plus maintenu

#1 06/12/2010 13:59:19

tankey
Membre
Inscription : 19/11/2006
Messages : 70

[rpm remi] firefox4 execmem

Bonjour,

Je ne sais pas si c'est le bon endroit pour poster cela ... ? Car c'est à propos d'un rpm du dépôt communautaire de Mr Collet (au passage, merci !) de Firefox4 (0.b7). Et d'ailleurs je ne sais pas s'il s'agit d'un problème avec le paquetage... ou avec le programme lui même... Firefox4 segfault si on passe le booléen execmem stack sur denied pour les programmes non confinés... bool=allow_execmem val=0 old_val=1 et PAF le firefox4 qui tourne :p selinux c'est efficace ;)

audit a écrit :

avc:  denied  { execmem } for  pid=10975 comm="firefox-bin" scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=process

system-config-selinux a écrit :

very bad behaviour, dangerous, please report this program on bugzilla

U.Drepper a écrit :

If the program really needs this behavior there is no really easy way out. One possibility is to create an anonymous file (just unlink it after creation), size the file using ftrunctate, and then map the file in two places. In one place map it with MAP_SHARED and write permission but without execution. For the second mapping use execution permissions but no write permissions. This might be a bit confusing at first but can be handled. The program must be adjusted to write to one location and expect to execute code in another one. This is reasonably safe in case the two mappings are allowed to be randomied. The example code in the next section illustrates how this should work.
In the case of an anonymous mapping the best thing to do is to explicitly copy the file into an anonymous file and then proceed as described in the previous paragraph.

Cette solution, au dessus, est ancienne, et un poil pas simple pour firefox :p
j'ai préféré plus simplement faire cela :

[root@munymouse ~]# chcon -t execmem_exec_t '/usr/lib64/firefox-4.0/firefox'
[root@munymouse ~]# chcon -t execmem_exec_t '/usr/lib64/firefox-4.0/firefox-bin'
[root@munymouse ~]# semanage fcontext -a -t execmem_exec_t /usr/lib64/firefox-4.0/firefox
[root@munymouse ~]# semanage fcontext -a -t execmem_exec_t /usr/lib64/firefox-4.0/firefox-bin

Mais ce n'est qu'une solution temporaire : celle ci évite de "tout re-labeller" d'une part, et bien sûr de ne pas "autoriser tout prog a execmem", mais seulement firefox4.

Donc, question :
Mr Collet a t il un bugzilla ? Ou bien un canal de communication préféré ?
Quelqu'un a t il la vraie bonne solution ?

Dernière modification par tankey (06/12/2010 15:00:22)

Hors ligne

#2 06/12/2010 20:25:22

pingoomax
Retraité
Lieu : Paris
Inscription : 24/09/2004
Messages : 1 833
Site Web

Re : [rpm remi] firefox4 execmem

Et M. tankey a-t-il pris la peine d'aller sur le site de Remi?
Surement que non, sinon il aurait surement trouvé la page suivante et pu lire le message suivant :

5. Support

Utilisez les Forums : http://forums.famillecollet.com/


Evidemment, trouver le site de Remi n'est pas évident.
(On peut toujours se demander comment tu as découvert son nom de famille, mais c'est une autre histoire)

Néanmoins, puisque ce n'est pas évident, il aurait été logique que cela apparaisse dans la documentation du dépôt sur fedora-fr. C'est par chance (ou pas) le cas : http://doc.fedora-fr.org/wiki/D%C3%A9p%C3%B4t_remi.


bouton-april-80x15.png Je suis membre de l'APRIL, et vous?
Vous aussi adhérez.

Hors ligne

#3 06/12/2010 20:33:28

tankey
Membre
Inscription : 19/11/2006
Messages : 70

Re : [rpm remi] firefox4 execmem

extra!
merci

Dernière modification par tankey (06/12/2010 20:33:55)

Hors ligne

#4 06/12/2010 20:35:54

tankey
Membre
Inscription : 19/11/2006
Messages : 70

Re : [rpm remi] firefox4 execmem

le nom de famille, c'est de mémoire.
je ne savais pas qu'il avait mis en place un forum spécifique.

ps : y a pas de topic sur le sujet. ni rien à ce propos sur le wiki. zarb.

Hors ligne

#5 06/12/2010 20:47:14

remi
Crazy PHP packages monkey... !
Rédacteur Wiki
Lieu : Champagne...
Inscription : 16/10/2004
Messages : 5 597
Site Web

Re : [rpm remi] firefox4 execmem

pingoomax a écrit :

C'est par chance (ou pas) le cas .

smile

Qui a bien pu avoir cette idée saugrenue d'avoir un lien support sur chaque page de description d'un dépôt... wink


+

Dernière modification par remi (06/12/2010 20:47:52)

Hors ligne

#6 06/12/2010 20:49:56

tankey
Membre
Inscription : 19/11/2006
Messages : 70

Re : [rpm remi] firefox4 execmem

Ca se fait de proposer en postinstall une règle selinux ? ou bien c'est sale ? (j'étais en train de voir comment récupérer le srpm ) Si je pose la question c'est que ça parait sale de modifier des règles selinux comme cela, sans prevenir. En même temps j'en sais rien. Et puis c'est tjs mieux que de dire "desactiver selinux". Bref, je suppose que vous connaissiez déjà le problème, non ?

Dernière modification par tankey (06/12/2010 20:58:28)

Hors ligne

Pied de page des forums