Netutils patch from Dan Walsh.

ping gets leaked log descriptor from nagios.

Label send_arp as ping_exec_t

policy/modules/admin/netutils.fc

@@ -11,4 +11,5 @@
 /usr/sbin/fping 	--	gen_context(system_u:object_r:ping_exec_t,s0)
 /usr/sbin/traceroute.*	--	gen_context(system_u:object_r:traceroute_exec_t,s0)
 /usr/sbin/hping2	--	gen_context(system_u:object_r:ping_exec_t,s0)
+/usr/sbin/send_arp	--	gen_context(system_u:object_r:ping_exec_t,s0)
 /usr/sbin/tcpdump	--	gen_context(system_u:object_r:netutils_exec_t,s0)

policy/modules/admin/netutils.te

@@ -1,4 +1,4 @@
-policy_module(netutils, 1.10.0)
+policy_module(netutils, 1.10.1)
 
 ########################################
 #
@@ -143,6 +143,7 @@ ifdef(`hide_broken_symptoms',`
 	init_dontaudit_use_fds(ping_t)
 
 	optional_policy(`
+		nagios_dontaudit_rw_log(ping_t)
 		nagios_dontaudit_rw_pipes(ping_t)
 	')
 ')

policy/modules/services/nagios.if

@@ -100,6 +100,24 @@ interface(`nagios_read_log',`
 	read_files_pattern($1, nagios_log_t, nagios_log_t)
 ')
 
+########################################
+## <summary>
+##	Do not audit attempts to read or write nagios logs.
+## </summary>
+## <param name="domain">
+##	<summary>
+##	Domain to not audit.
+##	</summary>
+## </param>
+#
+interface(`nagios_dontaudit_rw_log',`
+	gen_require(`
+		type nagios_log_t;
+	')
+
+	dontaudit $1 nagios_log_t:file rw_file_perms;
+')
+
 ########################################
 ## <summary>
 ##	Search nagios spool directories.

policy/modules/services/nagios.te

@@ -1,4 +1,4 @@
-policy_module(nagios, 1.9.0)
+policy_module(nagios, 1.9.1)
 
 ########################################
 #