*** Bug corretto con le recenti versioni di Chrome e l’aggiornamento delle selinux-policy ***
Nei recenti aggiornamenti del noto browser web esisterebbe un piccolo bug che attiva l’intervento di SELinux nello stato ‘enforcing‘. Quest’ultimo impedirebbe l’avvio di Chrome creando un report de genere:
SELinux is preventing /opt/google/chrome/chrome from execmod access on the
fichier /opt/google/chrome/chrome.***** Plugin allow_execmod (91.4 confiance) suggéré**************************
Sivous souhaitez autoriser chrome à accéder à execmod sur chrome file
Alorsyou need to change the label on ‘/opt/google/chrome/chrome’
Faire
# semanage fcontext -a -t textrel_shlib_t ‘/opt/google/chrome/chrome’
# restorecon -v ‘/opt/google/chrome/chrome’***** Plugin catchall (9.59 confiance) suggéré*******************************
Siyou believe that chrome should be allowed execmod access on the chrome file
by default.
Alorsyou should report this as a bug.
You can generate a local policy module to allow this access.
Faire
allow this access for now by executing:
# grep chrome /var/log/audit/audit.log | audit2allow -M mypol
# semodule -i mypol.pp…
Hash: chrome,chrome_sandbox_t,execmem_exec_t,file,execmodaudit2allow
#============= chrome_sandbox_t ==============
allow chrome_sandbox_t execmem_exec_t:file execmod;audit2allow -R
#============= chrome_sandbox_t ==============
allow chrome_sandbox_t execmem_exec_t:file execmod;oppure
Summary:
SELinux is preventing /opt/google/chrome/chrome from loading
/opt/google/chrome/chrome which requires text relocation.Detailed Description:
The chrome application attempted to load /opt/google/chrome/chrome which
requires text relocation. This is a potential security problem. Most libraries
do not need this permission. Libraries are sometimes coded incorrectly and
request this permission. The SELinux Memory Protection Tests
(http://people.redhat.com/drepper/selinux-mem.html) web page explains how to
remove this requirement. You can configure SELinux temporarily to allow
/opt/google/chrome/chrome to use relocation as a workaround, until the library
is fixed. Please file a bug report.Allowing Access:
If you trust /opt/google/chrome/chrome to run correctly, you can change the file
context to textrel_shlib_t. “chcon -t textrel_shlib_t
‘/opt/google/chrome/chrome’” You must also change the default file context files
on the system in order to preserve them even on a full relabel. “semanage
fcontext -a -t textrel_shlib_t ‘/opt/google/chrome/chrome’”Fix Command:
chcon -t textrel_shlib_t ‘/opt/google/chrome/chrome’
…
Il problema sembra derivare da un piccolo errore di compilazione di Chrome per sistemi i686 (i 64bit non ne sono affetti); le soluzioni di cambiamento dei security context proposte non sono affidabili in quanto ridurrebbero le difese del sistema da attacchi esterni ai plugin.
Tanto meno adatto sarebbe cambiare lo stato di SELinux a permissivo che in qualunque caso è sconsigliato.
La soluzione più saggia sarebbe quindi di utilizzare un altro browser fino a che il problema non verrà risolto.
Chromium bug 87704
