<div dir="ltr">Package: syslog-ng-core<br>X-Debbugs-Cc: <a href="mailto:baptiste.camia@synacktiv.com">baptiste.camia@synacktiv.com</a><br>Version: 3.38.1-5<br>Severity: minor<br><br>Dear Maintainer,<br><br>* What led up to the situation?<br><br>Having the line `destination d_console_all { getvirtconsole(); };` in my /etc/syslog-ng/syslog-ng.conf configuration file.<br><br>If I understand it correctly, this config calls, somehow, /usr/share/syslog-ng/include/scl/getvirtconsole/plugin.conf which contains 'exec("`scl-root`/getvirtconsole/tty10.sh")' and therefore executes the /usr/share/syslog-ng/include/scl/getvirtconsole/tty10.sh script.<br><br>* What exactly did you do (or not do) that was effective (or ineffective)?<br><br>I installed the syslog-ng-core package on a server with an auditd rule that catches unusual execve errors, this rule triggered on the execution of /usr/share/syslog-ng/include/scl/getvirtconsole/tty10.sh as shown in the logs below:<br><div><br></div><div>```</div>type=PROCTITLE msg=audit(05/15/2024 00:00:15.740:644853) : proctitle=sh -c /usr/share/syslog-ng/include/scl/getvirtconsole/tty10.sh <br>type=PATH msg=audit(05/15/2024 00:00:15.740:644853) : item=1 name=/usr/share/syslog-ng/include/scl/getvirtconsole/tty10.sh inode=53505901 dev=fe:02 mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 cap_frootid=0 <br>type=PATH msg=audit(05/15/2024 00:00:15.740:644853) : item=0 name=/usr/share/syslog-ng/include/scl/getvirtconsole/tty10.sh inode=XXX dev=fe:02 mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 cap_frootid=0 <br>type=CWD msg=audit(05/15/2024 00:00:15.740:644853) : cwd=/ <br>type=SYSCALL msg=audit(05/15/2024 00:00:15.740:644853) : arch=x86_64 syscall=execve success=no exit=ENOEXEC(Exec format error) a0=XXX a1=XXX a2=XXX a3=XXX items=2 ppid=XXX pid=XXX auid=unset uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=(none) ses=unset comm=sh exe=/usr/bin/dash subj=unconfined key=hids_execve_anormal_error<br><div>```</div><div><br></div>* What was the outcome of this action?<br><br>The execution returns a ENOEXEC code<br><br>* What outcome did you expect instead?<br><br>The execution should not fail<br><br>* Fix<br><br>Simply patch the shebang as shown below:<br><div><br></div><div>```<br></div># diff <a href="http://tty10.orig.sh">tty10.orig.sh</a> tty10.sh <br>1c1<br>< #/bin/sh<br>---<br>> #!/bin/sh<br><div>```<br></div><div><br></div>-- System Information:<br>Debian Release: 12.4<br>  APT prefers stable-updates<br>  APT policy: (500, 'stable-updates'), (500, 'stable-security'), (500, 'stable')<br>Architecture: amd64 (x86_64)<br><br>Kernel: Linux 6.1.0-17-amd64 (SMP w/1 CPU thread; PREEMPT)<br>Kernel taint flags: TAINT_SOFTLOCKUP<br>Locale: LANG=en_US, LC_CTYPE=en_US (charmap=ISO-8859-1), LANGUAGE not set<br>Shell: /bin/sh linked to /usr/bin/dash<br>Init: systemd (via /run/systemd/system)<br>LSM: AppArmor: enabled<br><br>Versions of packages syslog-ng-core depends on:<br>ii  libc6                      2.36-9+deb12u3<br>ii  libcap2                    1:2.66-4<br>ii  libglib2.0-0               2.74.6-2<br>ii  libivykis0                 0.42.4-1<br>ii  libjson-c5                 0.16-2<br>ii  libnet1                    1.1.6+dfsg-3.2<br>ii  libpcre3                   2:8.39-15<br>ii  libssl3                    3.0.11-1~deb12u2<br>ii  libsystemd0                252.19-1~deb12u1<br>ii  libwrap0                   7.6.q-32<br>ii  sysvinit-utils [lsb-base]  3.06-4<br><br>Versions of packages syslog-ng-core recommends:<br>ii  logrotate  3.21.0-1<br><br>Versions of packages syslog-ng-core suggests:<br>pn  syslog-ng-mod-add-contextual-data  <none><br>pn  syslog-ng-mod-amqp                 <none><br>pn  syslog-ng-mod-examples             <none><br>pn  syslog-ng-mod-geoip2               <none><br>pn  syslog-ng-mod-graphite             <none><br>pn  syslog-ng-mod-http                 <none><br>ii  syslog-ng-mod-mongodb              3.38.1-5<br>pn  syslog-ng-mod-python               <none><br>pn  syslog-ng-mod-rdkafka              <none><br>pn  syslog-ng-mod-redis                <none><br>pn  syslog-ng-mod-riemann              <none><br>pn  syslog-ng-mod-slog                 <none><br>pn  syslog-ng-mod-smtp                 <none><br>pn  syslog-ng-mod-snmp                 <none><br>ii  syslog-ng-mod-sql                  3.38.1-5<br>pn  syslog-ng-mod-stardate             <none><br>pn  syslog-ng-mod-stomp                <none><br>pn  syslog-ng-mod-xml-parser           <none><br><div><br></div><div>Thank you.</div></div>