bio_b64.c: prevent base64 filter BIO from decoding out-of-bound data
[openssl.git] / crypto / evp / bio_b64.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 #include <stdio.h>
11 #include <errno.h>
12 #include "internal/cryptlib.h"
13 #include <openssl/buffer.h>
14 #include <openssl/evp.h>
15 #include "internal/bio.h"
16
17 static int b64_write(BIO *h, const char *buf, int num);
18 static int b64_read(BIO *h, char *buf, int size);
19 static int b64_puts(BIO *h, const char *str);
20 static long b64_ctrl(BIO *h, int cmd, long arg1, void *arg2);
21 static int b64_new(BIO *h);
22 static int b64_free(BIO *data);
23 static long b64_callback_ctrl(BIO *h, int cmd, BIO_info_cb *fp);
24 #define B64_BLOCK_SIZE  1024
25 #define B64_BLOCK_SIZE2 768
26 #define B64_NONE        0
27 #define B64_ENCODE      1
28 #define B64_DECODE      2
29
30 typedef struct b64_struct {
31     /*
32      * BIO *bio; moved to the BIO structure
33      */
34     int buf_len;
35     int buf_off;
36     int tmp_len;                /* used to find the start when decoding */
37     int tmp_nl;                 /* If true, scan until '\n' */
38     int encode;
39     int start;                  /* have we started decoding yet? */
40     int cont;                   /* <= 0 when finished */
41     EVP_ENCODE_CTX *base64;
42     char buf[EVP_ENCODE_LENGTH(B64_BLOCK_SIZE) + 10];
43     char tmp[B64_BLOCK_SIZE];
44 } BIO_B64_CTX;
45
46 static const BIO_METHOD methods_b64 = {
47     BIO_TYPE_BASE64,
48     "base64 encoding",
49     /* TODO: Convert to new style write function */
50     bwrite_conv,
51     b64_write,
52     /* TODO: Convert to new style read function */
53     bread_conv,
54     b64_read,
55     b64_puts,
56     NULL,                       /* b64_gets, */
57     b64_ctrl,
58     b64_new,
59     b64_free,
60     b64_callback_ctrl,
61 };
62
63
64 const BIO_METHOD *BIO_f_base64(void)
65 {
66     return &methods_b64;
67 }
68
69 static int b64_new(BIO *bi)
70 {
71     BIO_B64_CTX *ctx;
72
73     ctx = OPENSSL_zalloc(sizeof(*ctx));
74     if (ctx == NULL)
75         return 0;
76
77     ctx->cont = 1;
78     ctx->start = 1;
79     ctx->base64 = EVP_ENCODE_CTX_new();
80     if (ctx->base64 == NULL) {
81         OPENSSL_free(ctx);
82         return 0;
83     }
84
85     BIO_set_data(bi, ctx);
86     BIO_set_init(bi, 1);
87
88     return 1;
89 }
90
91 static int b64_free(BIO *a)
92 {
93     BIO_B64_CTX *ctx;
94     if (a == NULL)
95         return 0;
96
97     ctx = BIO_get_data(a);
98     if (ctx == NULL)
99         return 0;
100
101     EVP_ENCODE_CTX_free(ctx->base64);
102     OPENSSL_free(ctx);
103     BIO_set_data(a, NULL);
104     BIO_set_init(a, 0);
105
106     return 1;
107 }
108
109 static int b64_read(BIO *b, char *out, int outl)
110 {
111     int ret = 0, i, ii, j, k, x, n, num, ret_code = 0;
112     BIO_B64_CTX *ctx;
113     unsigned char *p, *q;
114     BIO *next;
115
116     if (out == NULL)
117         return 0;
118     ctx = (BIO_B64_CTX *)BIO_get_data(b);
119
120     next = BIO_next(b);
121     if ((ctx == NULL) || (next == NULL))
122         return 0;
123
124     BIO_clear_retry_flags(b);
125
126     if (ctx->encode != B64_DECODE) {
127         ctx->encode = B64_DECODE;
128         ctx->buf_len = 0;
129         ctx->buf_off = 0;
130         ctx->tmp_len = 0;
131         EVP_DecodeInit(ctx->base64);
132     }
133
134     /* First check if there are bytes decoded/encoded */
135     if (ctx->buf_len > 0) {
136         OPENSSL_assert(ctx->buf_len >= ctx->buf_off);
137         i = ctx->buf_len - ctx->buf_off;
138         if (i > outl)
139             i = outl;
140         OPENSSL_assert(ctx->buf_off + i < (int)sizeof(ctx->buf));
141         memcpy(out, &(ctx->buf[ctx->buf_off]), i);
142         ret = i;
143         out += i;
144         outl -= i;
145         ctx->buf_off += i;
146         if (ctx->buf_len == ctx->buf_off) {
147             ctx->buf_len = 0;
148             ctx->buf_off = 0;
149         }
150     }
151
152     /*
153      * At this point, we have room of outl bytes and an empty buffer, so we
154      * should read in some more.
155      */
156
157     ret_code = 0;
158     while (outl > 0) {
159         if (ctx->cont <= 0)
160             break;
161
162         i = BIO_read(next, &(ctx->tmp[ctx->tmp_len]),
163                      B64_BLOCK_SIZE - ctx->tmp_len);
164
165         if (i <= 0) {
166             ret_code = i;
167
168             /* Should we continue next time we are called? */
169             if (!BIO_should_retry(next)) {
170                 ctx->cont = i;
171                 /* If buffer empty break */
172                 if (ctx->tmp_len == 0)
173                     break;
174                 /* Fall through and process what we have */
175                 else
176                     i = 0;
177             }
178             /* else we retry and add more data to buffer */
179             else
180                 break;
181         }
182         i += ctx->tmp_len;
183         ctx->tmp_len = i;
184
185         /*
186          * We need to scan, a line at a time until we have a valid line if we
187          * are starting.
188          */
189         if (ctx->start && (BIO_get_flags(b) & BIO_FLAGS_BASE64_NO_NL)) {
190             /* ctx->start=1; */
191             ctx->tmp_len = 0;
192         } else if (ctx->start) {
193             q = p = (unsigned char *)ctx->tmp;
194             num = 0;
195             for (j = 0; j < i; j++) {
196                 if (*(q++) != '\n')
197                     continue;
198
199                 /*
200                  * due to a previous very long line, we need to keep on
201                  * scanning for a '\n' before we even start looking for
202                  * base64 encoded stuff.
203                  */
204                 if (ctx->tmp_nl) {
205                     p = q;
206                     ctx->tmp_nl = 0;
207                     continue;
208                 }
209
210                 k = EVP_DecodeUpdate(ctx->base64,
211                                      (unsigned char *)ctx->buf,
212                                      &num, p, q - p);
213                 if ((k <= 0) && (num == 0) && (ctx->start))
214                     EVP_DecodeInit(ctx->base64);
215                 else {
216                     if (p != (unsigned char *)
217                         &(ctx->tmp[0])) {
218                         i -= (p - (unsigned char *)
219                               &(ctx->tmp[0]));
220                         for (x = 0; x < i; x++)
221                             ctx->tmp[x] = p[x];
222                     }
223                     EVP_DecodeInit(ctx->base64);
224                     ctx->start = 0;
225                     break;
226                 }
227                 p = q;
228             }
229
230             /* we fell off the end without starting */
231             if ((j == i) && (num == 0)) {
232                 /*
233                  * Is this is one long chunk?, if so, keep on reading until a
234                  * new line.
235                  */
236                 if (p == (unsigned char *)&(ctx->tmp[0])) {
237                     /* Check buffer full */
238                     if (i == B64_BLOCK_SIZE) {
239                         ctx->tmp_nl = 1;
240                         ctx->tmp_len = 0;
241                     }
242                 } else if (p != q) { /* finished on a '\n' */
243                     n = q - p;
244                     for (ii = 0; ii < n; ii++)
245                         ctx->tmp[ii] = p[ii];
246                     ctx->tmp_len = n;
247                 }
248                 /* else finished on a '\n' */
249                 continue;
250             } else {
251                 ctx->tmp_len = 0;
252             }
253         } else if ((i < B64_BLOCK_SIZE) && (ctx->cont > 0)) {
254             /*
255              * If buffer isn't full and we can retry then restart to read in
256              * more data.
257              */
258             continue;
259         }
260
261         if (BIO_get_flags(b) & BIO_FLAGS_BASE64_NO_NL) {
262             int z, jj;
263
264             jj = i & ~3;        /* process per 4 */
265             z = EVP_DecodeBlock((unsigned char *)ctx->buf,
266                                 (unsigned char *)ctx->tmp, jj);
267             if (jj > 2) {
268                 if (ctx->tmp[jj - 1] == '=') {
269                     z--;
270                     if (ctx->tmp[jj - 2] == '=')
271                         z--;
272                 }
273             }
274             /*
275              * z is now number of output bytes and jj is the number consumed
276              */
277             if (jj != i) {
278                 memmove(ctx->tmp, &ctx->tmp[jj], i - jj);
279                 ctx->tmp_len = i - jj;
280             }
281             ctx->buf_len = 0;
282             if (z > 0) {
283                 ctx->buf_len = z;
284             }
285             i = z;
286         } else {
287             i = EVP_DecodeUpdate(ctx->base64,
288                                  (unsigned char *)ctx->buf, &ctx->buf_len,
289                                  (unsigned char *)ctx->tmp, i);
290             ctx->tmp_len = 0;
291         }
292         /*
293          * If eof or an error was signalled, then the condition
294          * 'ctx->cont <= 0' will prevent b64_read() from reading
295          * more data on subsequent calls. This assignment was
296          * deleted accidentally in commit 5562cfaca4f3.
297          */
298         ctx->cont = i;
299
300         ctx->buf_off = 0;
301         if (i < 0) {
302             ret_code = 0;
303             ctx->buf_len = 0;
304             break;
305         }
306
307         if (ctx->buf_len <= outl)
308             i = ctx->buf_len;
309         else
310             i = outl;
311
312         memcpy(out, ctx->buf, i);
313         ret += i;
314         ctx->buf_off = i;
315         if (ctx->buf_off == ctx->buf_len) {
316             ctx->buf_len = 0;
317             ctx->buf_off = 0;
318         }
319         outl -= i;
320         out += i;
321     }
322     /* BIO_clear_retry_flags(b); */
323     BIO_copy_next_retry(b);
324     return ((ret == 0) ? ret_code : ret);
325 }
326
327 static int b64_write(BIO *b, const char *in, int inl)
328 {
329     int ret = 0;
330     int n;
331     int i;
332     BIO_B64_CTX *ctx;
333     BIO *next;
334
335     ctx = (BIO_B64_CTX *)BIO_get_data(b);
336     next = BIO_next(b);
337     if ((ctx == NULL) || (next == NULL))
338         return 0;
339
340     BIO_clear_retry_flags(b);
341
342     if (ctx->encode != B64_ENCODE) {
343         ctx->encode = B64_ENCODE;
344         ctx->buf_len = 0;
345         ctx->buf_off = 0;
346         ctx->tmp_len = 0;
347         EVP_EncodeInit(ctx->base64);
348     }
349
350     OPENSSL_assert(ctx->buf_off < (int)sizeof(ctx->buf));
351     OPENSSL_assert(ctx->buf_len <= (int)sizeof(ctx->buf));
352     OPENSSL_assert(ctx->buf_len >= ctx->buf_off);
353     n = ctx->buf_len - ctx->buf_off;
354     while (n > 0) {
355         i = BIO_write(next, &(ctx->buf[ctx->buf_off]), n);
356         if (i <= 0) {
357             BIO_copy_next_retry(b);
358             return i;
359         }
360         OPENSSL_assert(i <= n);
361         ctx->buf_off += i;
362         OPENSSL_assert(ctx->buf_off <= (int)sizeof(ctx->buf));
363         OPENSSL_assert(ctx->buf_len >= ctx->buf_off);
364         n -= i;
365     }
366     /* at this point all pending data has been written */
367     ctx->buf_off = 0;
368     ctx->buf_len = 0;
369
370     if ((in == NULL) || (inl <= 0))
371         return 0;
372
373     while (inl > 0) {
374         n = (inl > B64_BLOCK_SIZE) ? B64_BLOCK_SIZE : inl;
375
376         if (BIO_get_flags(b) & BIO_FLAGS_BASE64_NO_NL) {
377             if (ctx->tmp_len > 0) {
378                 OPENSSL_assert(ctx->tmp_len <= 3);
379                 n = 3 - ctx->tmp_len;
380                 /*
381                  * There's a theoretical possibility for this
382                  */
383                 if (n > inl)
384                     n = inl;
385                 memcpy(&(ctx->tmp[ctx->tmp_len]), in, n);
386                 ctx->tmp_len += n;
387                 ret += n;
388                 if (ctx->tmp_len < 3)
389                     break;
390                 ctx->buf_len =
391                     EVP_EncodeBlock((unsigned char *)ctx->buf,
392                                     (unsigned char *)ctx->tmp, ctx->tmp_len);
393                 OPENSSL_assert(ctx->buf_len <= (int)sizeof(ctx->buf));
394                 OPENSSL_assert(ctx->buf_len >= ctx->buf_off);
395                 /*
396                  * Since we're now done using the temporary buffer, the
397                  * length should be 0'd
398                  */
399                 ctx->tmp_len = 0;
400             } else {
401                 if (n < 3) {
402                     memcpy(ctx->tmp, in, n);
403                     ctx->tmp_len = n;
404                     ret += n;
405                     break;
406                 }
407                 n -= n % 3;
408                 ctx->buf_len =
409                     EVP_EncodeBlock((unsigned char *)ctx->buf,
410                                     (const unsigned char *)in, n);
411                 OPENSSL_assert(ctx->buf_len <= (int)sizeof(ctx->buf));
412                 OPENSSL_assert(ctx->buf_len >= ctx->buf_off);
413                 ret += n;
414             }
415         } else {
416             if (!EVP_EncodeUpdate(ctx->base64,
417                                  (unsigned char *)ctx->buf, &ctx->buf_len,
418                                  (unsigned char *)in, n))
419                 return ((ret == 0) ? -1 : ret);
420             OPENSSL_assert(ctx->buf_len <= (int)sizeof(ctx->buf));
421             OPENSSL_assert(ctx->buf_len >= ctx->buf_off);
422             ret += n;
423         }
424         inl -= n;
425         in += n;
426
427         ctx->buf_off = 0;
428         n = ctx->buf_len;
429         while (n > 0) {
430             i = BIO_write(next, &(ctx->buf[ctx->buf_off]), n);
431             if (i <= 0) {
432                 BIO_copy_next_retry(b);
433                 return ((ret == 0) ? i : ret);
434             }
435             OPENSSL_assert(i <= n);
436             n -= i;
437             ctx->buf_off += i;
438             OPENSSL_assert(ctx->buf_off <= (int)sizeof(ctx->buf));
439             OPENSSL_assert(ctx->buf_len >= ctx->buf_off);
440         }
441         ctx->buf_len = 0;
442         ctx->buf_off = 0;
443     }
444     return ret;
445 }
446
447 static long b64_ctrl(BIO *b, int cmd, long num, void *ptr)
448 {
449     BIO_B64_CTX *ctx;
450     long ret = 1;
451     int i;
452     BIO *next;
453
454     ctx = (BIO_B64_CTX *)BIO_get_data(b);
455     next = BIO_next(b);
456     if ((ctx == NULL) || (next == NULL))
457         return 0;
458
459     switch (cmd) {
460     case BIO_CTRL_RESET:
461         ctx->cont = 1;
462         ctx->start = 1;
463         ctx->encode = B64_NONE;
464         ret = BIO_ctrl(next, cmd, num, ptr);
465         break;
466     case BIO_CTRL_EOF:         /* More to read */
467         if (ctx->cont <= 0)
468             ret = 1;
469         else
470             ret = BIO_ctrl(next, cmd, num, ptr);
471         break;
472     case BIO_CTRL_WPENDING:    /* More to write in buffer */
473         OPENSSL_assert(ctx->buf_len >= ctx->buf_off);
474         ret = ctx->buf_len - ctx->buf_off;
475         if ((ret == 0) && (ctx->encode != B64_NONE)
476             && (EVP_ENCODE_CTX_num(ctx->base64) != 0))
477             ret = 1;
478         else if (ret <= 0)
479             ret = BIO_ctrl(next, cmd, num, ptr);
480         break;
481     case BIO_CTRL_PENDING:     /* More to read in buffer */
482         OPENSSL_assert(ctx->buf_len >= ctx->buf_off);
483         ret = ctx->buf_len - ctx->buf_off;
484         if (ret <= 0)
485             ret = BIO_ctrl(next, cmd, num, ptr);
486         break;
487     case BIO_CTRL_FLUSH:
488         /* do a final write */
489  again:
490         while (ctx->buf_len != ctx->buf_off) {
491             i = b64_write(b, NULL, 0);
492             if (i < 0)
493                 return i;
494         }
495         if (BIO_get_flags(b) & BIO_FLAGS_BASE64_NO_NL) {
496             if (ctx->tmp_len != 0) {
497                 ctx->buf_len = EVP_EncodeBlock((unsigned char *)ctx->buf,
498                                                (unsigned char *)ctx->tmp,
499                                                ctx->tmp_len);
500                 ctx->buf_off = 0;
501                 ctx->tmp_len = 0;
502                 goto again;
503             }
504         } else if (ctx->encode != B64_NONE
505                    && EVP_ENCODE_CTX_num(ctx->base64) != 0) {
506             ctx->buf_off = 0;
507             EVP_EncodeFinal(ctx->base64,
508                             (unsigned char *)ctx->buf, &(ctx->buf_len));
509             /* push out the bytes */
510             goto again;
511         }
512         /* Finally flush the underlying BIO */
513         ret = BIO_ctrl(next, cmd, num, ptr);
514         break;
515
516     case BIO_C_DO_STATE_MACHINE:
517         BIO_clear_retry_flags(b);
518         ret = BIO_ctrl(next, cmd, num, ptr);
519         BIO_copy_next_retry(b);
520         break;
521
522     case BIO_CTRL_DUP:
523         break;
524     case BIO_CTRL_INFO:
525     case BIO_CTRL_GET:
526     case BIO_CTRL_SET:
527     default:
528         ret = BIO_ctrl(next, cmd, num, ptr);
529         break;
530     }
531     return ret;
532 }
533
534 static long b64_callback_ctrl(BIO *b, int cmd, BIO_info_cb *fp)
535 {
536     long ret = 1;
537     BIO *next = BIO_next(b);
538
539     if (next == NULL)
540         return 0;
541     switch (cmd) {
542     default:
543         ret = BIO_callback_ctrl(next, cmd, fp);
544         break;
545     }
546     return ret;
547 }
548
549 static int b64_puts(BIO *b, const char *str)
550 {
551     return b64_write(b, str, strlen(str));
552 }