<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Jan 30, 2020 at 8:29 AM Michal Privoznik <<a href="mailto:mprivozn@redhat.com" target="_blank">mprivozn@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 1/30/20 8:21 AM, Christian Ehrhardt wrote:<br>
> Since a3ab6d42 "apparmor: convert libvirtd profile to a named profile"<br>
> the detection of the subelement for qemu_bridge_helper is wrong.<br>
> <br>
> In combination with the older 123cc3e1 "apparmor: allow<br>
> /usr/lib/qemu/qemu-bridge-helper" it now detects qemu-bridge-helper no<br>
> more with its path, but instead as a proper subelement of the named profile<br>
> like: label=libvirtd//qemu_bridge_helper<br>
> <br>
> In the same fashion the reverse rule in the qemu_bridge_helper<br>
> sub-profile still uses the path and not the named profile label.<br>
> <br>
> Triggering denies like:<br>
> apparmor="DENIED" operation="file_inherit"<br>
>    profile="libvirtd//qemu_bridge_helper" pid=5629 comm="qemu-bridge-hel"<br>
>    family="unix" sock_type="stream" protocol=0 requested_mask="send receive"<br>
>    denied_mask="send receive" addr=none peer_addr=none peer="libvirtd"<br>
> <br>
> This patch fixes the unix socket rules for the communication between<br>
> libvirtd and qemu-bridge-helper to match that.<br>
> <br>
> Fixes: a3ab6d42d825499af44b8f19f9299e150d9687bc<br>
> Fixes: <a href="https://bugs.launchpad.net/ubuntu/+source/libvirt/+bug/1655111" rel="noreferrer" target="_blank">https://bugs.launchpad.net/ubuntu/+source/libvirt/+bug/1655111</a><br>
> <br>
> Signed-off-by: Christian Ehrhardt <<a href="mailto:christian.ehrhardt@canonical.com" target="_blank">christian.ehrhardt@canonical.com</a>><br>
> ---<br>
>   src/security/apparmor/usr.sbin.libvirtd | 6 +++---<br>
>   1 file changed, 3 insertions(+), 3 deletions(-)<br>
<br>
Reviewed-by: Michal Privoznik <<a href="mailto:mprivozn@redhat.com" target="_blank">mprivozn@redhat.com</a>><br></blockquote><div><br></div><div>Thanks for the review!</div><div><br></div><div>Nothing else came up in discussions here and in local tests it seems to work fine as well.</div><div>Pushed to the repository</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Michal<br>
<br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr">Christian Ehrhardt<br>Staff Engineer, Ubuntu Server<br>Canonical Ltd</div></div>