Check DTLS_BAD_VER for version number.
authorDavid Woodhouse <dwmw2@infradead.org>
Tue, 12 Feb 2013 14:55:32 +0000 (14:55 +0000)
committerDr. Stephen Henson <steve@openssl.org>
Tue, 12 Feb 2013 15:16:05 +0000 (15:16 +0000)
The version check for DTLS1_VERSION was redundant as
DTLS1_VERSION > TLS1_1_VERSION, however we do need to
check for DTLS1_BAD_VER for compatibility.

PR:2984
(cherry picked from commit d980abb22e22661e98e5cee33d760ab0c7584ecc)

ssl/s3_cbc.c

index 02edf3f9189e3888df67e7074b0b88c3d45fc576..443a31e74627bb27c619dca5b568630df0dab82b 100644 (file)
@@ -148,7 +148,7 @@ int tls1_cbc_remove_padding(const SSL* s,
        unsigned padding_length, good, to_check, i;
        const unsigned overhead = 1 /* padding length byte */ + mac_size;
        /* Check if version requires explicit IV */
-       if (s->version >= TLS1_1_VERSION || s->version == DTLS1_VERSION)
+       if (s->version >= TLS1_1_VERSION || s->version == DTLS1_BAD_VER)
                {
                /* These lengths are all public so we can test them in
                 * non-constant time.