Warning/Fehler SELinux is preventing kitinerary-extractor from 'write, open' accesses on the file memfd:JSVMStack

mueller · May 5, 2020, 8:39am

OS Centos7, Apache/2.4.41 (codeit), PHP 7.3.12(php-fpm)

Ich habe in meiner audit.log jede Menge Fehlermeldungen dieser Art:

May 5 10:03:45 tplkdesk setroubleshoot: failed to retrieve rpm info for /var/www/html/nextcloud/apps/mail/vendor/christophwurst/kitinerary-bin/bin/kitinerary-extractor
May 5 10:03:45 tplkdesk setroubleshoot: SELinux is preventing /var/www/html/nextcloud/apps/mail/vendor/christophwurst/kitinerary-bin/bin/kitinerary-extractor from ‘write, open’ accesses on the file memfd:JSVMStack:/var/www/html/nextcloud/apps/mail/vendor/christophwurst/kitinerary-bin/src/…/bin/kitinerary-extractor.

Der vorgeschlagene Weg dies durch eine lokale policy zu reparieren funktioniert leider nicht:
sealert -l 8cd8325f-9412-40a3-a075-8633e90f84b2
SELinux hindert /var/www/html/nextcloud/apps/mail/vendor/christophwurst/kitinerary-bin/bin/kitinerary-extractor daran, mit »write, open«-Zugriffen auf Datei memfd:JSVMStack:/var/www/html/nextcloud/apps/mail/vendor/christophwurst/kitinerary-bin/src/…/bin/kitinerary-extractor zuzugreifen.

***** Plugin catchall (100. Wahrscheinlichkeit) schlägt vor **************

Wenn Sie denken, dass es kitinerary-extractor standardmäßig erlaubt sein sollte, write open Zugriff auf kitinerary-extractor file zu erhalten.
Dann sie sollten dies als Fehler melden.
Um diesen Zugriff zu erlauben, können Sie ein lokales Richtlinien-Modul erstellen.
Ausführen
allow this access for now by executing:

ausearch -c ‘kitinerary-extr’ --raw | audit2allow -M my-kitineraryextr

semodule -i my-kitineraryextr.pp

zusätzliche Information:
Quellkontext system_u:system_r:httpd_sys_script_t:s0
Zielkontext system_u:object_r:tmpfs_t:s0
Zielobjekte memfd:JSVMStack:/var/www/html/nextcloud/apps/mail/
vendor/christophwurst/kitinerary-bin/src/…/bin
/kitinerary-extractor [ file ]
Quelle kitinerary-extr
Quellpfad /var/www/html/nextcloud/apps/mail/vendor/christoph
wurst/kitinerary-bin/bin/kitinerary-extractor
Port
Host tplkdesk.tplk.loc
RPM-Pakete der Quelle
RPM-Pakete des Ziels
Richtlinien-RPM selinux-policy-3.13.1-252.el7_7.6.noarch
SELinux aktiviert True
Richtlinientyp targeted
Enforcing-Modus Enforcing
Rechnername tplkdesk.tplk.loc
Plattform Linux tplkdesk.tplk.loc 3.10.0-1062.9.1.el7.x86_64
#1 SMP Fri Dec 6 15:49:49 UTC 2019 x86_64 x86_64
Anzahl der Alarme 7
Zuerst gesehen 2020-05-05 09:36:02 CEST
Zuletzt gesehen 2020-05-05 10:03:39 CEST
Lokale ID 8cd8325f-9412-40a3-a075-8633e90f84b2

Raw-Audit-Meldungen
type=AVC msg=audit(1588665819.855:21941): avc: denied { write open } for pid=22168 comm=“kitinerary-extr” name=“memfd:JSVMStack:/var/www/html/nextcloud/apps/mail/vendor/christophwurst/kitinerary-bin/src/…/bin/kitinerary-extractor” dev=“tmpfs” ino=12509468 scontext=system_u:system_r:httpd_sys_script_t:s0 tcontext=system_u:object_r:tmpfs_t:s0 tclass=file permissive=1

type=SYSCALL msg=audit(1588665819.855:21941): arch=x86_64 syscall=ftruncate success=yes exit=0 a0=5 a1=440000 a2=7f6be3f70ae0 a3=7ffda8b8f260 items=0 ppid=7651 pid=22168 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 comm=kitinerary-extr exe=/var/www/html/nextcloud/apps/mail/vendor/christophwurst/kitinerary-bin/bin/kitinerary-extractor subj=system_u:system_r:httpd_sys_script_t:s0 key=(null)

Hash: kitinerary-extr,httpd_sys_script_t,tmpfs_t,file,write,open

Hat jemand eine Idee wie ich den Zugriff auf memfd:JSVMStack über selinux hinkriege?

nextfrank · June 7, 2022, 5:07pm

Hi, I am seeing similar error messages on RHEL 8.6 with NC 23.0.5, httpd 2.4.37 and PHP 7.4.30

type=AVC msg=audit(1654204307.841:5219): avc: denied { unlink } for pid=1332 comm="php-fpm" name="kitinerary-extractor" dev="dm-4" ino=7341594 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:bin_t:s0 tclass=file permissive=0
type=SYSCALL msg=audit(1654204307.841:5219): arch=c000003e syscall=87 success=no exit=-13 a0=7f5d08c3ac18 a1=1 a2=7f5d08c3ac1f a3=0 items=2 ppid=1062 pid=1332 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 comm="php-fpm" exe="/usr/sbin/php-fpm" subj=system_u:system_r:httpd_t:s0 key=(null)
type=CWD msg=audit(1654204307.841:5219): cwd="/var/www/nextcloud"
type=PATH msg=audit(1654204307.841:5219): item=0 name="/var/www/nextcloud/apps/mail/vendor/christophwurst/kitinerary-bin/bin/" inode=7341593 dev=fd:04 mode=040755 ouid=48 ogid=48 rdev=00:00 obj=system_u:object_r:httpd_sys_rw_content_t:s0 nametype=PARENT cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=PATH msg=audit(1654204307.841:5219): item=1 name="/var/www/nextcloud/apps/mail/vendor/christophwurst/kitinerary-bin/bin/kitinerary-extractor" inode=7341594 dev=fd:04 mode=0100744 ouid=48 ogid=48 rdev=00:00 obj=system_u:object_r:bin_t:s0 nametype=DELETE cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0

However I am not aware of any consequences of that message in daily use with the Mail app that seems to be related to that error …