diff --git a/0026-Use-SHA-2-instead-of-SHA-1.patch b/0026-Use-SHA-2-instead-of-SHA-1.patch deleted file mode 100644 index c34d2d2..0000000 --- a/0026-Use-SHA-2-instead-of-SHA-1.patch +++ /dev/null @@ -1,297 +0,0 @@ -From 23337de69ad667d909964ba82f47f5166903ff50 Mon Sep 17 00:00:00 2001 -From: Petr Lautrbach -Date: Fri, 30 Jul 2021 14:14:37 +0200 -Subject: [PATCH] Use SHA-2 instead of SHA-1 - -The use of SHA-1 in RHEL9 is deprecated ---- - policycoreutils/setfiles/restorecon.8 | 10 +++++----- - policycoreutils/setfiles/restorecon_xattr.8 | 8 ++++---- - policycoreutils/setfiles/restorecon_xattr.c | 12 ++++++------ - policycoreutils/setfiles/ru/restorecon.8 | 8 ++++---- - policycoreutils/setfiles/ru/restorecon_xattr.8 | 10 +++++----- - policycoreutils/setfiles/ru/setfiles.8 | 8 ++++---- - policycoreutils/setfiles/setfiles.8 | 10 +++++----- - 7 files changed, 33 insertions(+), 33 deletions(-) - -diff --git a/policycoreutils/setfiles/restorecon.8 b/policycoreutils/setfiles/restorecon.8 -index 668486f66113..a8900f02b3f3 100644 ---- a/policycoreutils/setfiles/restorecon.8 -+++ b/policycoreutils/setfiles/restorecon.8 -@@ -93,14 +93,14 @@ display usage information and exit. - ignore files that do not exist. - .TP - .B \-I --ignore digest to force checking of labels even if the stored SHA1 digest --matches the specfiles SHA1 digest. The digest will then be updated provided -+ignore digest to force checking of labels even if the stored SHA256 digest -+matches the specfiles SHA256 digest. The digest will then be updated provided - there are no errors. See the - .B NOTES - section for further details. - .TP - .B \-D --Set or update any directory SHA1 digests. Use this option to -+Set or update any directory SHA256 digests. Use this option to - enable usage of the - .IR security.sehash - extended attribute. -@@ -191,7 +191,7 @@ the - .B \-D - option to - .B restorecon --will cause it to store a SHA1 digest of the default specfiles set in an extended -+will cause it to store a SHA256 digest of the default specfiles set in an extended - attribute named - .IR security.sehash - on each directory specified in -@@ -208,7 +208,7 @@ for further details. - .sp - The - .B \-I --option will ignore the SHA1 digest from each directory specified in -+option will ignore the SHA256 digest from each directory specified in - .IR pathname \ ... - and provided the - .B \-n -diff --git a/policycoreutils/setfiles/restorecon_xattr.8 b/policycoreutils/setfiles/restorecon_xattr.8 -index e04528e60824..4b1ce304d995 100644 ---- a/policycoreutils/setfiles/restorecon_xattr.8 -+++ b/policycoreutils/setfiles/restorecon_xattr.8 -@@ -23,7 +23,7 @@ or - - .SH "DESCRIPTION" - .B restorecon_xattr --will display the SHA1 digests added to extended attributes -+will display the SHA256 digests added to extended attributes - .I security.sehash - or delete the attribute completely. These attributes are set by - .BR restorecon (8) -@@ -48,12 +48,12 @@ extended attribute and are automatically excluded from searches. - .sp - By default - .B restorecon_xattr --will display the SHA1 digests with "Match" appended if they match the default -+will display the SHA256 digests with "Match" appended if they match the default - specfile set or the - .I specfile - set used with the - .B \-f --option. Non-matching SHA1 digests will be displayed with "No Match" appended. -+option. Non-matching SHA256 digests will be displayed with "No Match" appended. - This feature can be disabled by the - .B \-n - option. -@@ -87,7 +87,7 @@ Do not append "Match" or "No Match" to displayed digests. - recursively descend directories. - .TP - .B \-v --display SHA1 digest generated by specfile set (Note that this digest is not -+display SHA256 digest generated by specfile set (Note that this digest is not - used to match the - .I security.sehash - directory digest entries, and is shown for reference only). -diff --git a/policycoreutils/setfiles/restorecon_xattr.c b/policycoreutils/setfiles/restorecon_xattr.c -index 31fb82fd2099..bc22d3fd4560 100644 ---- a/policycoreutils/setfiles/restorecon_xattr.c -+++ b/policycoreutils/setfiles/restorecon_xattr.c -@@ -38,7 +38,7 @@ int main(int argc, char **argv) - unsigned int xattr_flags = 0, delete_digest = 0, recurse = 0; - unsigned int delete_all_digests = 0, ignore_mounts = 0; - bool display_digest = false; -- char *sha1_buf, **specfiles, *fc_file = NULL, *pathname = NULL; -+ char *sha256_buf, **specfiles, *fc_file = NULL, *pathname = NULL; - unsigned char *fc_digest = NULL; - size_t i, fc_digest_len = 0, num_specfiles; - -@@ -133,8 +133,8 @@ int main(int argc, char **argv) - exit(-1); - } - -- sha1_buf = malloc(fc_digest_len * 2 + 1); -- if (!sha1_buf) { -+ sha256_buf = malloc(fc_digest_len * 2 + 1); -+ if (!sha256_buf) { - fprintf(stderr, - "Error allocating digest buffer: %s\n", - strerror(errno)); -@@ -143,16 +143,16 @@ int main(int argc, char **argv) - } - - for (i = 0; i < fc_digest_len; i++) -- sprintf((&sha1_buf[i * 2]), "%02x", fc_digest[i]); -+ sprintf((&sha256_buf[i * 2]), "%02x", fc_digest[i]); - -- printf("specfiles SHA1 digest: %s\n", sha1_buf); -+ printf("specfiles SHA256 digest: %s\n", sha256_buf); - - printf("calculated using the following specfile(s):\n"); - if (specfiles) { - for (i = 0; i < num_specfiles; i++) - printf("%s\n", specfiles[i]); - } -- free(sha1_buf); -+ free(sha256_buf); - printf("\n"); - } - -diff --git a/policycoreutils/setfiles/ru/restorecon.8 b/policycoreutils/setfiles/ru/restorecon.8 -index 9be3a63db356..745135020f4b 100644 ---- a/policycoreutils/setfiles/ru/restorecon.8 -+++ b/policycoreutils/setfiles/ru/restorecon.8 -@@ -82,11 +82,11 @@ restorecon \- восстановить SELinux-контексты безопас - игнорировать файлы, которые не существуют. - .TP - .B \-I --игнорировать дайджест, чтобы принудительно проверить метки, даже если хранимый дайджест SHA1 соответствует дайджесту SHA1 файлов спецификации. Затем (при условии отсутствия ошибок) дайджест будет обновлён. Более подробные сведения доступны в разделе -+игнорировать дайджест, чтобы принудительно проверить метки, даже если хранимый дайджест SHA256 соответствует дайджесту SHA256 файлов спецификации. Затем (при условии отсутствия ошибок) дайджест будет обновлён. Более подробные сведения доступны в разделе - .B ПРИМЕЧАНИЯ. - .TP - .B \-D --установить или обновить дайджесты SHA1 для любых каталогов. Используйте этот параметр, чтобы включить использование расширенного атрибута -+установить или обновить дайджесты SHA256 для любых каталогов. Используйте этот параметр, чтобы включить использование расширенного атрибута - .IR security.restorecon_last. - .TP - .B \-m -@@ -159,7 +159,7 @@ GNU - .B \-D - команды - .B restorecon --обеспечит сохранение дайджеста SHA1 файлов спецификации по умолчанию в расширенном атрибуте с именем -+обеспечит сохранение дайджеста SHA256 файлов спецификации по умолчанию в расширенном атрибуте с именем - .IR security.restorecon_last - для каталогов, указанных в соответствующих путях - .IR pathname \ ... -@@ -173,7 +173,7 @@ GNU - .sp - Параметр - .B \-I --позволяет игнорировать дайджест SHA1 из каждого каталога, указанного в -+позволяет игнорировать дайджест SHA256 из каждого каталога, указанного в - .IR pathname \ ... - , и, при условии, что НЕ установлен параметр - .B \-n -diff --git a/policycoreutils/setfiles/ru/restorecon_xattr.8 b/policycoreutils/setfiles/ru/restorecon_xattr.8 -index 41c441b8c5c2..25c4c3033334 100644 ---- a/policycoreutils/setfiles/ru/restorecon_xattr.8 -+++ b/policycoreutils/setfiles/ru/restorecon_xattr.8 -@@ -23,7 +23,7 @@ restorecon_xattr \- управление записями расширенных - - .SH "ОПИСАНИЕ" - .B restorecon_xattr --покажет дайджесты SHA1, добавленные в расширенные атрибуты -+покажет дайджесты SHA256, добавленные в расширенные атрибуты - .I security.restorecon_last, - или полностью удалит эти атрибуты. Эти атрибуты устанавливаются командой - .BR restorecon (8) -@@ -47,11 +47,11 @@ restorecon_xattr \- управление записями расширенных - .sp - По умолчанию - .B restorecon_xattr --показывает дайджесты SHA1, добавляя в конце "Match", если они соответствуют установленному по умолчанию файлу спецификации или файлу спецификации -+показывает дайджесты SHA256, добавляя в конце "Match", если они соответствуют установленному по умолчанию файлу спецификации или файлу спецификации - .I specfile, - который установлен с помощью параметра - .B \-f. --Несоответствующие дайджесты SHA1 будут показаны с добавлением "No Match" в конце. -+Несоответствующие дайджесты SHA256 будут показаны с добавлением "No Match" в конце. - Эту возможность можно отключить с помощью параметра - .B \-n. - -@@ -81,7 +81,7 @@ restorecon_xattr \- управление записями расширенных - рекурсивно спускаться по каталогам. - .TP - .B \-v --показать дайджест SHA1, созданный установленным файлом спецификации. -+показать дайджест SHA256, созданный установленным файлом спецификации. - .TP - .B \-e - .I directory -@@ -97,7 +97,7 @@ restorecon_xattr \- управление записями расширенных - .BR file_contexts (5). - Он будет использоваться - .BR selabel_open (3) --для получения набора записей меток; получение дайджеста SHA1 выполняется с помощью -+для получения набора записей меток; получение дайджеста SHA256 выполняется с помощью - .BR selabel_digest (3). - Если этот параметр не указан, будет использоваться файл file_contexts по умолчанию. - -diff --git a/policycoreutils/setfiles/ru/setfiles.8 b/policycoreutils/setfiles/ru/setfiles.8 -index 910101452625..7f2daa09191b 100644 ---- a/policycoreutils/setfiles/ru/setfiles.8 -+++ b/policycoreutils/setfiles/ru/setfiles.8 -@@ -69,11 +69,11 @@ setfiles \- установить SELinux-контексты безопаснос - игнорировать файлы, которые не существуют. - .TP - .B \-I --игнорировать дайджест, чтобы принудительно проверить метки, даже если хранимый дайджест SHA1 соответствует дайджесту SHA1 файлов спецификации. Затем (при условии отсутствия ошибок) дайджест будет обновлён. Более подробные сведения доступны в разделе -+игнорировать дайджест, чтобы принудительно проверить метки, даже если хранимый дайджест SHA256 соответствует дайджесту SHA256 файлов спецификации. Затем (при условии отсутствия ошибок) дайджест будет обновлён. Более подробные сведения доступны в разделе - .B ПРИМЕЧАНИЯ. - .TP - .B \-D --установить или обновить дайджесты SHA1 для любых каталогов. Используйте этот параметр, чтобы включить использование расширенного атрибута -+установить или обновить дайджесты SHA256 для любых каталогов. Используйте этот параметр, чтобы включить использование расширенного атрибута - .IR security.restorecon_last. - .TP - .B \-l -@@ -186,7 +186,7 @@ GNU - .B \-D - команды - .B setfiles . --Он обеспечивает сохранение дайджеста SHA1 файла спецификации -+Он обеспечивает сохранение дайджеста SHA256 файла спецификации - .B spec_file - в расширенном атрибуте с именем - .IR security.restorecon_last -@@ -204,7 +204,7 @@ GNU - .sp - Параметр - .B \-I --позволяет игнорировать дайджест SHA1 из каждого каталога, указанного в -+позволяет игнорировать дайджест SHA256 из каждого каталога, указанного в - .IR pathname \ ... - , и, при условии, что НЕ установлен параметр - .B \-n -diff --git a/policycoreutils/setfiles/setfiles.8 b/policycoreutils/setfiles/setfiles.8 -index 8e6c4ab94841..0692121f2f4d 100644 ---- a/policycoreutils/setfiles/setfiles.8 -+++ b/policycoreutils/setfiles/setfiles.8 -@@ -85,14 +85,14 @@ display usage information and exit. - ignore files that do not exist. - .TP - .B \-I --ignore digest to force checking of labels even if the stored SHA1 digest --matches the specfiles SHA1 digest. The digest will then be updated provided -+ignore digest to force checking of labels even if the stored SHA256 digest -+matches the specfiles SHA256 digest. The digest will then be updated provided - there are no errors. See the - .B NOTES - section for further details. - .TP - .B \-D --Set or update any directory SHA1 digests. Use this option to -+Set or update any directory SHA256 digests. Use this option to - enable usage of the - .IR security.sehash - extended attribute. -@@ -230,7 +230,7 @@ the - .B \-D - option to - .B setfiles --will cause it to store a SHA1 digest of the -+will cause it to store a SHA256 digest of the - .B spec_file - set in an extended attribute named - .IR security.sehash -@@ -251,7 +251,7 @@ for further details. - .sp - The - .B \-I --option will ignore the SHA1 digest from each directory specified in -+option will ignore the SHA256 digest from each directory specified in - .IR pathname \ ... - and provided the - .B \-n --- -2.32.0 - diff --git a/0027-python-sepolicy-Fix-COPY_PASTE_ERROR-CWE-398.patch b/0027-python-sepolicy-Fix-COPY_PASTE_ERROR-CWE-398.patch deleted file mode 100644 index 2801ff6..0000000 --- a/0027-python-sepolicy-Fix-COPY_PASTE_ERROR-CWE-398.patch +++ /dev/null @@ -1,56 +0,0 @@ -From d39dacc352feb35c89b41225e142dd08e932c0c0 Mon Sep 17 00:00:00 2001 -From: Petr Lautrbach -Date: Fri, 30 Jul 2021 13:48:18 +0200 -Subject: [PATCH] python/sepolicy: Fix COPY_PASTE_ERROR (CWE-398) - -Fixes: - Error: COPY_PASTE_ERROR (CWE-398): [#def3] - selinux/python/sepolicy/sepolicy/__init__.py:1032: original: ""_key_t"" looks like the original copy. - selinux/python/sepolicy/sepolicy/__init__.py:1035: copy_paste_error: ""_key_t"" looks like a copy-paste error. - selinux/python/sepolicy/sepolicy/__init__.py:1035: remediation: Should it say ""_secret_t"" instead? - # 1033| - # 1034| if f.endswith("_secret_t"): - # 1035|-> return txt + "treat the files as %s secret data." % prettyprint(f, "_key_t") - # 1036| - # 1037| if f.endswith("_ra_t"): - - Error: COPY_PASTE_ERROR (CWE-398): [#def4] - selinux/python/sepolicy/sepolicy/__init__.py:1065: original: ""_tmp_t"" looks like the original copy. - selinux/python/sepolicy/sepolicy/__init__.py:1067: copy_paste_error: ""_tmp_t"" looks like a copy-paste error. - selinux/python/sepolicy/sepolicy/__init__.py:1067: remediation: Should it say ""_etc_t"" instead? - # 1065| return txt + "store %s temporary files in the /tmp directories." % prettyprint(f, "_tmp_t") - # 1066| if f.endswith("_etc_t"): - # 1067|-> return txt + "store %s files in the /etc directories." % prettyprint(f, "_tmp_t") - # 1068| if f.endswith("_home_t"): - # 1069| return txt + "store %s files in the users home directory." % prettyprint(f, "_home_t") - -Signed-off-by: Petr Lautrbach ---- - python/sepolicy/sepolicy/__init__.py | 4 ++-- - 1 file changed, 2 insertions(+), 2 deletions(-) - -diff --git a/python/sepolicy/sepolicy/__init__.py b/python/sepolicy/sepolicy/__init__.py -index df773a6b314e..6b6160a449df 100644 ---- a/python/sepolicy/sepolicy/__init__.py -+++ b/python/sepolicy/sepolicy/__init__.py -@@ -1039,7 +1039,7 @@ def get_description(f, markup=markup): - return txt + "treat the files as %s key data." % prettyprint(f, "_key_t") - - if f.endswith("_secret_t"): -- return txt + "treat the files as %s secret data." % prettyprint(f, "_key_t") -+ return txt + "treat the files as %s secret data." % prettyprint(f, "_secret_t") - - if f.endswith("_ra_t"): - return txt + "treat the files as %s read/append content." % prettyprint(f, "_ra_t") -@@ -1071,7 +1071,7 @@ def get_description(f, markup=markup): - if f.endswith("_tmp_t"): - return txt + "store %s temporary files in the /tmp directories." % prettyprint(f, "_tmp_t") - if f.endswith("_etc_t"): -- return txt + "store %s files in the /etc directories." % prettyprint(f, "_tmp_t") -+ return txt + "store %s files in the /etc directories." % prettyprint(f, "_etc_t") - if f.endswith("_home_t"): - return txt + "store %s files in the users home directory." % prettyprint(f, "_home_t") - if f.endswith("_tmpfs_t"): --- -2.32.0 -