kernel/audit.c control character detection is off-by-one
authorVesa-Matti J Kari <vmkari@cc.helsinki.fi>
Tue, 22 Jul 2008 21:06:13 +0000 (00:06 +0300)
committerAl Viro <viro@zeniv.linux.org.uk>
Fri, 1 Aug 2008 16:05:35 +0000 (12:05 -0400)
Hello,

According to my understanding there is an off-by-one bug in the
function:

   audit_string_contains_control()

in:

  kernel/audit.c

Patch is included.

I do not know from how many places the function is called from, but for
example, SELinux Access Vector Cache tries to log untrusted filenames via
call path:

avc_audit()
     audit_log_untrustedstring()
         audit_log_n_untrustedstring()
             audit_string_contains_control()

If audit_string_contains_control() detects control characters, then the
string is hex-encoded. But the hex=0x7f dec=127, DEL-character, is not
detected.

I guess this could have at least some minor security implications, since a
user can create a filename with 0x7f in it, causing logged filename to
possibly look different when someone reads it on the terminal.

Signed-off-by: Vesa-Matti Kari <vmkari@cc.helsinki.fi>
Signed-off-by: Al Viro <viro@zeniv.linux.org.uk>
kernel/audit.c

index e092f1c0ce3030916d9ad4c3af2b90fd64082f15..6d903182c6b7b6543b8e4732dceb2b7e4ae6ec26 100644 (file)
@@ -1366,7 +1366,7 @@ int audit_string_contains_control(const char *string, size_t len)
 {
        const unsigned char *p;
        for (p = string; p < (const unsigned char *)string + len && *p; p++) {
-               if (*p == '"' || *p < 0x21 || *p > 0x7f)
+               if (*p == '"' || *p < 0x21 || *p > 0x7e)
                        return 1;
        }
        return 0;