URL ne s'ouvrent plus depuis thunberbird Le sujet est résolu

[piratebab]

Bonjour,
depuis quelques temps lorsque je clique sur un lien url reçu via email, il ne se passe rien.
et j'ai ça dans les logs:

Code : Tout sélectionner

audit: type=1400 audit(1515352831.290:140): apparmor="DENIED" operation="file_inherit" profile="thunderbird//gpg" name="/usr/share/thunderbird/omni.ja" pid=14484 comm="gpg2" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

A part des personnes se plaignant du me problème, je n'ai rien trouvé comme explication.
Auriez vous une idée ?

[--gilles--]

Bonjour,
depuis quelques temps lorsque je clique sur un lien url reçu via email, il ne se passe rien.
et j'ai ça dans les logs:

Code : Tout sélectionner

audit: type=1400 audit(1515352831.290:140): apparmor="DENIED" operation="file_inherit" profile="thunderbird//gpg" name="/usr/share/thunderbird/omni.ja" pid=14484 comm="gpg2" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

A part des personnes se plaignant du me problème, je n'ai rien trouvé comme explication.
Auriez vous une idée ?

Apparmor s'est installé de manière obligatoire récemment dans ma machine lors d'une mise à jour et comme je le vois dans tes logs ... Par contre je n'utilise plus thunderbird, j'accède directement aux webmails et je n'ai pas le phénomène que tu décris avec l'accès direct.

[--gilles--]

Apparmor s'était installé le 26 décembre :

Aptitude 0.8.10: log report
Tue, Dec 26 2017 14:52:46 +0100

IMPORTANT: this log only lists intended actions; actions which fail
due to dpkg problems may not be completed.

Will install 12 packages, and remove 0 packages.
199 MB of disk space will be used
========================================
[INSTALL, DEPENDENCIES] apparmor:amd64 2.11.1-4
[INSTALL, DEPENDENCIES] linux-image-4.14.0-2-amd64:amd64 4.14.7-1
[UPGRADE] libc-bin:amd64 2.25-3 -> 2.25-5
[UPGRADE] libc-dev-bin:amd64 2.25-3 -> 2.25-5
[UPGRADE] libc-l10n:amd64 2.25-3 -> 2.25-5
[UPGRADE] libc6:amd64 2.25-3 -> 2.25-5
[UPGRADE] libc6-dbg:amd64 2.25-3 -> 2.25-5
[UPGRADE] libc6-dev:amd64 2.25-3 -> 2.25-5
[UPGRADE] linux-image-amd64:amd64 4.13+86 -> 4.14+88
[UPGRADE] linux-libc-dev:amd64 4.13.13-1 -> 4.14.7-1
[UPGRADE] locales:amd64 2.25-3 -> 2.25-5
[UPGRADE] multiarch-support:amd64 2.25-3 -> 2.25-5
========================================

Log complete.

===============================================================================

Peut-être qu'une configuration d'apparmor résoudra ton problème.

[marcastro]

j'avais aussi ce problème et pour d'autres raisons je suis passé à thunderbird installé depuis le site thunderbird en récuperant le tar.bz2 et tout fonctionne correctement. Avec le thunderbird des dépôts pas moyen d'avoir un ~.thunderbird commun pour stable, sid et testing, le lien symbolique refusait de fonctionner, peut être parce que les versions n'étaient pas identiques.

[wetaskiwin]

Je ne sais pas si ça peut servir mais, lors de l'installation d'apparmor et de la mise à jour de thunderbird (le 4 décembre 2017), j'ai vu passer ce message :

thunderbird (1:52.5.0-1) unstable; urgency=high

The profile for AppArmor within Thunderbird is now disabled by default.
Since the activated Recommends for the apparmor package in recent
kernel-image packages it turns out there are to many things that simply not
working like before if Thunderbird is using the current AppArmor profile.

Please read README.apparmor for getting more information about the
re-enabling of the AppArmor profile.
People who wants to help to improve the AppAprmor profile are appreciated.

Take also a look at #882048 for the reason behind that decision.

https://bugs.debian.org/882048

-- Carsten Schoenert <c.schoenert@t-online.de> Sun, 26 Nov 2017 12:45:00 +0200

Lors du démarrage de ma machine, il était aussi question d'apparmor.

Depuis que thunderbird est passé à la version 1:52.5.2-2 (le 27 décembre 2017), je ne vois plus rien lors du défilé des messages de boot et je peux ouvrir les liens dans les mails. Si ça n'a pas fontionné à un moment, je ne m'en suis pas rendu compte.

[piratebab]

oui, c'est un problème de profil appArmor, mais je ne sais pas comment ça se moifie, et quels sont les risques.
TH à un profil très contraignant.

6 processes are in enforce mode.
/usr/bin/freshclam (808)
/usr/lib/telepathy/mission-control-5 (2163)
/usr/sbin/cups-browsed (19257)
/usr/sbin/cupsd (19256)
/usr/sbin/cupsd (19272)
thunderbird (13419)

[Mimoza]

J'ai eu le même soucis et j'ai pas fait dans la dentelle … j'ai désinstallé apparmor. Depuis plus de soucis

[--gilles--]

oui, c'est un problème de profil appArmor, mais je ne sais pas comment ça se modifie, et quels sont les risques.
TH à un profil très contraignant.

6 processes are in enforce mode.
/usr/bin/freshclam (808)
/usr/lib/telepathy/mission-control-5 (2163)
/usr/sbin/cups-browsed (19257)
/usr/sbin/cupsd (19256)
/usr/sbin/cupsd (19272)
thunderbird (13419)

Les dev ont du vouloir bétonner la sécurité sachant les failles en cours et éviter que des personnes se fassent piéger avec des courriers malveillants qui exploiteraient ces failles. J'ai cherché un peu et je n'ai pas vu de tuto qui m'ait vraiment emballé concernant apparmor. Peut-être celui-ci a l'air mieux car il explique comment créer un profil :

https://help.ubuntu.com/community/AppArmor

[piratebab]

Je dois passer le profil de TH de "enforce" à "complain", c'est à dire qu'il ne fera plus que logguer les actions, sans les interdires.
Plus facile à dire qu'a faire.
J'ai déja regardé
https://wiki.debian.org/AppArmor/HowToUse
et installé apparmor-utilis, et je continue ma quéte

[piratebab]

#aa-complain thunderbird
Setting /usr/bin/thunderbird to complain mode.

ERROR: /etc/apparmor.d/usr.bin.thunderbird contains no profile

TH fourni lui même son profile, je n'ai rien dans /etc/apparmor.d
Il faudrait que j'installe le paquet apparmor-profiles. Mais j'ai peur qu'il me mette de nouvelles restrictions
Mais j'ai une database à cet endroit, les profils doivent étre là dedans

[piratebab]

TADAAAAAA

Code : Tout sélectionner

# aa-complain usr.bin.thunderbird
Setting /etc/apparmor.d/usr.bin.thunderbird to complain mode

Moins bourrin que de virer apparmor

[--gilles--]

Bravo ! :041:

[PengouinPdt]

Oui, mais non, ce n'est pas la bonne méthode. On ne diminue pas la sécurité !

Alors, on reste en mode enforce.
On modifie le fichier /etc/apparmor.d/usr.bin.thunderbird avec son éditeur texte préféré.

Ligne 39, pour la Xebian, j'ai modifié ainsi le profil :

Code : Tout sélectionner

  /etc/xdg/xdg-{xubuntu,xebian}/xfce4/helpers.rc r,

Puis en ligne 41, j'ai ajouté la ligne suivante - qui permet l'exécution de Firefox :

Code : Tout sélectionner

  # For Firefox
  /usr/lib/firefox/firefox ixr,

----

Ensuite, on ferme thunderbird, puis on recharge le profil :

apparmor_parser -r /etc/apparmor.d/usr.bin.thunderbird

qui va vérifier que le fichier est correctement écrit, et si et si seulement c'est le cas, le chargera, sinon émettra une erreur ! ;)

Puis on relance thunderbird ! :D

----

Le mieux, dans l'histoire, est d'utiliser l'utilitaire aa-logprof - il faut donc avoir installer le package 'apparmor-utils'...
Qui permet de modifier correctement à la volée, les fichiers sensibles, de le faire de manière propre.

[PengouinPdt]

Bon, je corrige le post ci-dessus !

Il y a vraiment plus simple à faire encore - on ne touche pas le fichier principal !!!

Avec les droits admins, on crée/édite le fichier /etc/apparmor.d/local/usr.bin.thunderbird - attention au nom de fichier, car on n'est bien dans le sous-répertoire 'local/' - , pour y ajouter la ligne d'exécution relative à Firefox :

Code : Tout sélectionner

# For Firefox
/usr/lib/firefox/firefox ixr,

Et, on relance la vérification par apparmor du profil :

apparmor_parser -r /etc/apparmor.d/usr.bin.thunderbird

Même pas besoin de fermer/ouvrir TB ! ;)

[piratebab]

et ensuite il faut aussi autoriser l'ouverture des piéces jointes avec le logiciel préféré, puis aprés ce sera encore autre chose.
Je suis toujours prudent avec les liens et les PJ. Ce n'est pas en bloquant tout qu'on augmente la sécurité. L'utilisateur va rapidement se facher contre ce fonctionnement et va tout désactiver.

[PengouinPdt]

Je préfère me taire !