]> CyberLeo.Net >> Repos - FreeBSD/releng/9.3.git/blob - crypto/openssl/ssl/d1_lib.c
projects / FreeBSD / releng / 9.3.git / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
Fix multiple OpenSSL vulnerabilities.
[FreeBSD/releng/9.3.git] / crypto / openssl / ssl / d1_lib.c
1 /* ssl/d1_lib.c */
2 /*
3  * DTLS implementation written by Nagendra Modadugu
4  * (nagendra@cs.stanford.edu) for the OpenSSL project 2005.
5  */
6 /* ====================================================================
7  * Copyright (c) 1999-2005 The OpenSSL Project.  All rights reserved.
8  *
9  * Redistribution and use in source and binary forms, with or without
10  * modification, are permitted provided that the following conditions
11  * are met:
12  *
13  * 1. Redistributions of source code must retain the above copyright
14  *    notice, this list of conditions and the following disclaimer.
15  *
16  * 2. Redistributions in binary form must reproduce the above copyright
17  *    notice, this list of conditions and the following disclaimer in
18  *    the documentation and/or other materials provided with the
19  *    distribution.
20  *
21  * 3. All advertising materials mentioning features or use of this
22  *    software must display the following acknowledgment:
23  *    "This product includes software developed by the OpenSSL Project
24  *    for use in the OpenSSL Toolkit. (http://www.OpenSSL.org/)"
25  *
26  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
27  *    endorse or promote products derived from this software without
28  *    prior written permission. For written permission, please contact
29  *    openssl-core@OpenSSL.org.
30  *
31  * 5. Products derived from this software may not be called "OpenSSL"
32  *    nor may "OpenSSL" appear in their names without prior written
33  *    permission of the OpenSSL Project.
34  *
35  * 6. Redistributions of any form whatsoever must retain the following
36  *    acknowledgment:
37  *    "This product includes software developed by the OpenSSL Project
38  *    for use in the OpenSSL Toolkit (http://www.OpenSSL.org/)"
39  *
40  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
41  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
42  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
43  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
44  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
45  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
46  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
47  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
48  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
49  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
50  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
51  * OF THE POSSIBILITY OF SUCH DAMAGE.
52  * ====================================================================
53  *
54  * This product includes cryptographic software written by Eric Young
55  * (eay@cryptsoft.com).  This product includes software written by Tim
56  * Hudson (tjh@cryptsoft.com).
57  *
58  */
59
60 #include <stdio.h>
61 #define USE_SOCKETS
62 #include <openssl/objects.h>
63 #include "ssl_locl.h"
64
65 #if defined(OPENSSL_SYS_WIN32) || defined(OPENSSL_SYS_VMS)
66 # include <sys/timeb.h>
67 #endif
68
69 static void get_current_time(struct timeval *t);
70 const char dtls1_version_str[] = "DTLSv1" OPENSSL_VERSION_PTEXT;
71 int dtls1_listen(SSL *s, struct sockaddr *client);
72
73 SSL3_ENC_METHOD DTLSv1_enc_data = {
74     dtls1_enc,
75     tls1_mac,
76     tls1_setup_key_block,
77     tls1_generate_master_secret,
78     tls1_change_cipher_state,
79     tls1_final_finish_mac,
80     TLS1_FINISH_MAC_LENGTH,
81     tls1_cert_verify_mac,
82     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
83     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
84     tls1_alert_code,
85 };
86
87 long dtls1_default_timeout(void)
88 {
89     /*
90      * 2 hours, the 24 hours mentioned in the DTLSv1 spec is way too long for
91      * http, the cache would over fill
92      */
93     return (60 * 60 * 2);
94 }
95
96 IMPLEMENT_dtls1_meth_func(dtlsv1_base_method,
97                           ssl_undefined_function,
98                           ssl_undefined_function, ssl_bad_method)
99
100 int dtls1_new(SSL *s)
101 {
102     DTLS1_STATE *d1;
103
104     if (!ssl3_new(s))
105         return (0);
106     if ((d1 = OPENSSL_malloc(sizeof *d1)) == NULL)
107         return (0);
108     memset(d1, 0, sizeof *d1);
109
110     /* d1->handshake_epoch=0; */
111 #if defined(OPENSSL_SYS_VMS) || defined(VMS_TEST)
112     d1->bitmap.length = 64;
113 #else
114     d1->bitmap.length = sizeof(d1->bitmap.map) * 8;
115 #endif
116     pq_64bit_init(&(d1->bitmap.map));
117     pq_64bit_init(&(d1->bitmap.max_seq_num));
118
119     d1->next_bitmap.length = d1->bitmap.length;
120     pq_64bit_init(&(d1->next_bitmap.map));
121     pq_64bit_init(&(d1->next_bitmap.max_seq_num));
122
123     d1->unprocessed_rcds.q = pqueue_new();
124     d1->processed_rcds.q = pqueue_new();
125     d1->buffered_messages = pqueue_new();
126     d1->sent_messages = pqueue_new();
127     d1->buffered_app_data.q = pqueue_new();
128
129     if (s->server) {
130         d1->cookie_len = sizeof(s->d1->cookie);
131     }
132
133     if (!d1->unprocessed_rcds.q || !d1->processed_rcds.q
134         || !d1->buffered_messages || !d1->sent_messages
135         || !d1->buffered_app_data.q) {
136         if (d1->unprocessed_rcds.q)
137             pqueue_free(d1->unprocessed_rcds.q);
138         if (d1->processed_rcds.q)
139             pqueue_free(d1->processed_rcds.q);
140         if (d1->buffered_messages)
141             pqueue_free(d1->buffered_messages);
142         if (d1->sent_messages)
143             pqueue_free(d1->sent_messages);
144         if (d1->buffered_app_data.q)
145             pqueue_free(d1->buffered_app_data.q);
146         OPENSSL_free(d1);
147         return (0);
148     }
149
150     s->d1 = d1;
151     s->method->ssl_clear(s);
152     return (1);
153 }
154
155 static void dtls1_clear_queues(SSL *s)
156 {
157     pitem *item = NULL;
158     hm_fragment *frag = NULL;
159     DTLS1_RECORD_DATA *rdata;
160
161     while ((item = pqueue_pop(s->d1->unprocessed_rcds.q)) != NULL) {
162         rdata = (DTLS1_RECORD_DATA *)item->data;
163         if (rdata->rbuf.buf) {
164             OPENSSL_free(rdata->rbuf.buf);
165         }
166         OPENSSL_free(item->data);
167         pitem_free(item);
168     }
169
170     while ((item = pqueue_pop(s->d1->processed_rcds.q)) != NULL) {
171         rdata = (DTLS1_RECORD_DATA *)item->data;
172         if (rdata->rbuf.buf) {
173             OPENSSL_free(rdata->rbuf.buf);
174         }
175         OPENSSL_free(item->data);
176         pitem_free(item);
177     }
178
179     while ((item = pqueue_pop(s->d1->buffered_messages)) != NULL) {
180         frag = (hm_fragment *)item->data;
181         OPENSSL_free(frag->fragment);
182         OPENSSL_free(frag);
183         pitem_free(item);
184     }
185
186     while ((item = pqueue_pop(s->d1->sent_messages)) != NULL) {
187         frag = (hm_fragment *)item->data;
188         OPENSSL_free(frag->fragment);
189         OPENSSL_free(frag);
190         pitem_free(item);
191     }
192
193     while ((item = pqueue_pop(s->d1->buffered_app_data.q)) != NULL) {
194         rdata = (DTLS1_RECORD_DATA *)item->data;
195         if (rdata->rbuf.buf) {
196             OPENSSL_free(rdata->rbuf.buf);
197         }
198         OPENSSL_free(item->data);
199         pitem_free(item);
200     }
201 }
202
203 void dtls1_free(SSL *s)
204 {
205     ssl3_free(s);
206
207     dtls1_clear_queues(s);
208
209     pqueue_free(s->d1->unprocessed_rcds.q);
210     pqueue_free(s->d1->processed_rcds.q);
211     pqueue_free(s->d1->buffered_messages);
212     pqueue_free(s->d1->sent_messages);
213     pqueue_free(s->d1->buffered_app_data.q);
214
215     pq_64bit_free(&(s->d1->bitmap.map));
216     pq_64bit_free(&(s->d1->bitmap.max_seq_num));
217
218     pq_64bit_free(&(s->d1->next_bitmap.map));
219     pq_64bit_free(&(s->d1->next_bitmap.max_seq_num));
220
221     OPENSSL_free(s->d1);
222     s->d1 = NULL;
223 }
224
225 void dtls1_clear(SSL *s)
226 {
227     pqueue unprocessed_rcds;
228     pqueue processed_rcds;
229     pqueue buffered_messages;
230     pqueue sent_messages;
231     pqueue buffered_app_data;
232     unsigned int mtu;
233
234     if (s->d1) {
235         unprocessed_rcds = s->d1->unprocessed_rcds.q;
236         processed_rcds = s->d1->processed_rcds.q;
237         buffered_messages = s->d1->buffered_messages;
238         sent_messages = s->d1->sent_messages;
239         buffered_app_data = s->d1->buffered_app_data.q;
240         mtu = s->d1->mtu;
241
242         dtls1_clear_queues(s);
243
244         pq_64bit_free(&(s->d1->bitmap.map));
245         pq_64bit_free(&(s->d1->bitmap.max_seq_num));
246
247         pq_64bit_free(&(s->d1->next_bitmap.map));
248         pq_64bit_free(&(s->d1->next_bitmap.max_seq_num));
249
250         memset(s->d1, 0, sizeof(*(s->d1)));
251
252         if (s->server) {
253             s->d1->cookie_len = sizeof(s->d1->cookie);
254         }
255
256         if (SSL_get_options(s) & SSL_OP_NO_QUERY_MTU) {
257             s->d1->mtu = mtu;
258         }
259
260         s->d1->unprocessed_rcds.q = unprocessed_rcds;
261         s->d1->processed_rcds.q = processed_rcds;
262         s->d1->buffered_messages = buffered_messages;
263         s->d1->sent_messages = sent_messages;
264         s->d1->buffered_app_data.q = buffered_app_data;
265
266 #if defined(OPENSSL_SYS_VMS) || defined(VMS_TEST)
267         s->d1->bitmap.length = 64;
268 #else
269         s->d1->bitmap.length = sizeof(s->d1->bitmap.map) * 8;
270 #endif
271         pq_64bit_init(&(s->d1->bitmap.map));
272         pq_64bit_init(&(s->d1->bitmap.max_seq_num));
273
274         s->d1->next_bitmap.length = s->d1->bitmap.length;
275         pq_64bit_init(&(s->d1->next_bitmap.map));
276         pq_64bit_init(&(s->d1->next_bitmap.max_seq_num));
277     }
278
279     ssl3_clear(s);
280     if (s->options & SSL_OP_CISCO_ANYCONNECT)
281         s->version = DTLS1_BAD_VER;
282     else
283         s->version = DTLS1_VERSION;
284 }
285
286 long dtls1_ctrl(SSL *s, int cmd, long larg, void *parg)
287 {
288     int ret = 0;
289
290     switch (cmd) {
291     case DTLS_CTRL_GET_TIMEOUT:
292         if (dtls1_get_timeout(s, (struct timeval *)parg) != NULL) {
293             ret = 1;
294         }
295         break;
296     case DTLS_CTRL_HANDLE_TIMEOUT:
297         ret = dtls1_handle_timeout(s);
298         break;
299     case DTLS_CTRL_LISTEN:
300         ret = dtls1_listen(s, parg);
301         break;
302     case SSL_CTRL_CHECK_PROTO_VERSION:
303         /*
304          * For library-internal use; checks that the current protocol is the
305          * highest enabled version (according to s->ctx->method, as version
306          * negotiation may have changed s->method).
307          */
308 #if DTLS_MAX_VERSION != DTLS1_VERSION
309 # error Code needs update for DTLS_method() support beyond DTLS1_VERSION.
310 #endif
311         /*
312          * Just one protocol version is supported so far; fail closed if the
313          * version is not as expected.
314          */
315         return s->version == DTLS_MAX_VERSION;
316
317     default:
318         ret = ssl3_ctrl(s, cmd, larg, parg);
319         break;
320     }
321     return (ret);
322 }
323
324 /*
325  * As it's impossible to use stream ciphers in "datagram" mode, this
326  * simple filter is designed to disengage them in DTLS. Unfortunately
327  * there is no universal way to identify stream SSL_CIPHER, so we have
328  * to explicitly list their SSL_* codes. Currently RC4 is the only one
329  * available, but if new ones emerge, they will have to be added...
330  */
331 SSL_CIPHER *dtls1_get_cipher(unsigned int u)
332 {
333     SSL_CIPHER *ciph = ssl3_get_cipher(u);
334
335     if (ciph != NULL) {
336         if ((ciph->algorithms & SSL_ENC_MASK) == SSL_RC4)
337             return NULL;
338     }
339
340     return ciph;
341 }
342
343 void dtls1_start_timer(SSL *s)
344 {
345     /* If timer is not set, initialize duration with 1 second */
346     if (s->d1->next_timeout.tv_sec == 0 && s->d1->next_timeout.tv_usec == 0) {
347         s->d1->timeout_duration = 1;
348     }
349
350     /* Set timeout to current time */
351     get_current_time(&(s->d1->next_timeout));
352
353     /* Add duration to current time */
354     s->d1->next_timeout.tv_sec += s->d1->timeout_duration;
355     BIO_ctrl(SSL_get_rbio(s), BIO_CTRL_DGRAM_SET_NEXT_TIMEOUT, 0,
356              &(s->d1->next_timeout));
357 }
358
359 struct timeval *dtls1_get_timeout(SSL *s, struct timeval *timeleft)
360 {
361     struct timeval timenow;
362
363     /* If no timeout is set, just return NULL */
364     if (s->d1->next_timeout.tv_sec == 0 && s->d1->next_timeout.tv_usec == 0) {
365         return NULL;
366     }
367
368     /* Get current time */
369     get_current_time(&timenow);
370
371     /* If timer already expired, set remaining time to 0 */
372     if (s->d1->next_timeout.tv_sec < timenow.tv_sec ||
373         (s->d1->next_timeout.tv_sec == timenow.tv_sec &&
374          s->d1->next_timeout.tv_usec <= timenow.tv_usec)) {
375         memset(timeleft, 0, sizeof(struct timeval));
376         return timeleft;
377     }
378
379     /* Calculate time left until timer expires */
380     memcpy(timeleft, &(s->d1->next_timeout), sizeof(struct timeval));
381     timeleft->tv_sec -= timenow.tv_sec;
382     timeleft->tv_usec -= timenow.tv_usec;
383     if (timeleft->tv_usec < 0) {
384         timeleft->tv_sec--;
385         timeleft->tv_usec += 1000000;
386     }
387
388     /*
389      * If remaining time is less than 15 ms, set it to 0 to prevent issues
390      * because of small devergences with socket timeouts.
391      */
392     if (timeleft->tv_sec == 0 && timeleft->tv_usec < 15000) {
393         memset(timeleft, 0, sizeof(struct timeval));
394     }
395
396     return timeleft;
397 }
398
399 int dtls1_is_timer_expired(SSL *s)
400 {
401     struct timeval timeleft;
402
403     /* Get time left until timeout, return false if no timer running */
404     if (dtls1_get_timeout(s, &timeleft) == NULL) {
405         return 0;
406     }
407
408     /* Return false if timer is not expired yet */
409     if (timeleft.tv_sec > 0 || timeleft.tv_usec > 0) {
410         return 0;
411     }
412
413     /* Timer expired, so return true */
414     return 1;
415 }
416
417 void dtls1_double_timeout(SSL *s)
418 {
419     s->d1->timeout_duration *= 2;
420     if (s->d1->timeout_duration > 60)
421         s->d1->timeout_duration = 60;
422     dtls1_start_timer(s);
423 }
424
425 void dtls1_stop_timer(SSL *s)
426 {
427     /* Reset everything */
428     memset(&(s->d1->timeout), 0, sizeof(struct dtls1_timeout_st));
429     memset(&(s->d1->next_timeout), 0, sizeof(struct timeval));
430     s->d1->timeout_duration = 1;
431     BIO_ctrl(SSL_get_rbio(s), BIO_CTRL_DGRAM_SET_NEXT_TIMEOUT, 0,
432              &(s->d1->next_timeout));
433     /* Clear retransmission buffer */
434     dtls1_clear_record_buffer(s);
435 }
436
437 int dtls1_check_timeout_num(SSL *s)
438 {
439     s->d1->timeout.num_alerts++;
440
441     /* Reduce MTU after 2 unsuccessful retransmissions */
442     if (s->d1->timeout.num_alerts > 2) {
443         s->d1->mtu =
444             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_GET_FALLBACK_MTU, 0,
445                      NULL);
446     }
447
448     if (s->d1->timeout.num_alerts > DTLS1_TMO_ALERT_COUNT) {
449         /* fail the connection, enough alerts have been sent */
450         SSLerr(SSL_F_DTLS1_CHECK_TIMEOUT_NUM, SSL_R_READ_TIMEOUT_EXPIRED);
451         return -1;
452     }
453
454     return 0;
455 }
456
457 int dtls1_handle_timeout(SSL *s)
458 {
459     /* if no timer is expired, don't do anything */
460     if (!dtls1_is_timer_expired(s)) {
461         return 0;
462     }
463
464     dtls1_double_timeout(s);
465
466     if (dtls1_check_timeout_num(s) < 0)
467         return -1;
468
469     s->d1->timeout.read_timeouts++;
470     if (s->d1->timeout.read_timeouts > DTLS1_TMO_READ_COUNT) {
471         s->d1->timeout.read_timeouts = 1;
472     }
473
474     dtls1_start_timer(s);
475     return dtls1_retransmit_buffered_messages(s);
476 }
477
478 static void get_current_time(struct timeval *t)
479 {
480 #ifdef OPENSSL_SYS_WIN32
481     struct _timeb tb;
482     _ftime(&tb);
483     t->tv_sec = (long)tb.time;
484     t->tv_usec = (long)tb.millitm * 1000;
485 #elif defined(OPENSSL_SYS_VMS)
486     struct timeb tb;
487     ftime(&tb);
488     t->tv_sec = (long)tb.time;
489     t->tv_usec = (long)tb.millitm * 1000;
490 #else
491     gettimeofday(t, NULL);
492 #endif
493 }
494
495 int dtls1_listen(SSL *s, struct sockaddr *client)
496 {
497     int ret;
498
499     /* Ensure there is no state left over from a previous invocation */
500     SSL_clear(s);
501
502     SSL_set_options(s, SSL_OP_COOKIE_EXCHANGE);
503     s->d1->listen = 1;
504
505     ret = SSL_accept(s);
506     if (ret <= 0)
507         return ret;
508
509     (void)BIO_dgram_get_peer(SSL_get_rbio(s), client);
510     return 1;
511 }
9.3-RELEASE