[CentOS-de] SELinux und aktuelle Firefox Lücke
Markus Frei
markus.frei at h-net.ch
Di Aug 11 10:28:21 UTC 2015
Das ist für Desktop-Anwendungen (GNOME, KDE etc.) nicht so einfach,
wie es auf den ersten Blick scheint. Die feingranulare
SELinux-Konfiguration ist für eine Desktop-Anwendung schlicht zu
aufwendig und damit fehleranfällig, weswegen man Firefox (bei Bedarf)
einfach in eine Sandbox packt, und diese dann mit SELinux härtet.
Schau mal hier:
http://www.admin-magazin.de/Das-Heft/2010/01/Programme-mit-SELinux-Sandbox-absichern
Gruss
Markus
On Die, Aug 11, 2015 at 11:29 , Kai Bojens <kb at kbojens.de> wrote:
> Moin.
> Ich habe da ein grundsätzliches Verständnisproblem zu SELinux und
> Firefox.
> Letzte Woche wurde die Firefox Lücke bekannt, mit der Dritte ohne
> Probleme
> sensible Daten abgreifen konnten und ohne, dass dies überhaupt
> bemerkt
> werden konnte [1]
>
> Was mich nun wundert, ist folgender Satz in dem RedHat Advisory:
>
> „Note: SELinux does not mitigate this issue.”
>
> Dabei wird doch gerade Firefox gerne als Beispiel dafür angeführt,
> dass
> SELinux genau solche Probleme verhindere, wie etwa hier:
>
> „Processes inherit user's rights: Firefox, if compromised by a
> trojaned version,
> could read a user's private ssh keys even though it has no reason to
> do so.” [2]
>
> Nun habe ich CentOS leider nur im Serverbetrieb, jedoch nutze ich
> Fedora
> als Desktop, was ja zumindest die gleiche Familie ist. Dort konnte
> ich nicht
> beobachten, dass Firefox irgendwie eingeschränkt wäre, wie es
> eigentlich in
> mozilla_selinux(8) beschrieben wird. Weder zeigt „ls -alZ”
> besondere Rechte,
> noch deutet „ps auxwZ” auf Einschränkungen hin.
>
> Daher die Frage: Warum hat SELinux laut RedHat diesen Fall nicht
> verhindert? Ist
> nicht genau das der häufig behauptete Anwendungsfall?
>
> [1] https://access.redhat.com/articles/1563163
> [2] http://wiki.centos.org/HowTos/SELinux
> --
> _______________________________________________
> CentOS-de mailing list
> CentOS-de at centos.org
> http://lists.centos.org/mailman/listinfo/centos-de
Mehr Informationen über die Mailingliste CentOS-de