Moved s3_pkt.c, s23_pkt.c and d1_pkt.c into the record layer.
[openssl.git] / ssl / record / s3_pkt.c
1 /* ssl/s3_pkt.c */
2 /* Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com)
3  * All rights reserved.
4  *
5  * This package is an SSL implementation written
6  * by Eric Young (eay@cryptsoft.com).
7  * The implementation was written so as to conform with Netscapes SSL.
8  *
9  * This library is free for commercial and non-commercial use as long as
10  * the following conditions are aheared to.  The following conditions
11  * apply to all code found in this distribution, be it the RC4, RSA,
12  * lhash, DES, etc., code; not just the SSL code.  The SSL documentation
13  * included with this distribution is covered by the same copyright terms
14  * except that the holder is Tim Hudson (tjh@cryptsoft.com).
15  *
16  * Copyright remains Eric Young's, and as such any Copyright notices in
17  * the code are not to be removed.
18  * If this package is used in a product, Eric Young should be given attribution
19  * as the author of the parts of the library used.
20  * This can be in the form of a textual message at program startup or
21  * in documentation (online or textual) provided with the package.
22  *
23  * Redistribution and use in source and binary forms, with or without
24  * modification, are permitted provided that the following conditions
25  * are met:
26  * 1. Redistributions of source code must retain the copyright
27  *    notice, this list of conditions and the following disclaimer.
28  * 2. Redistributions in binary form must reproduce the above copyright
29  *    notice, this list of conditions and the following disclaimer in the
30  *    documentation and/or other materials provided with the distribution.
31  * 3. All advertising materials mentioning features or use of this software
32  *    must display the following acknowledgement:
33  *    "This product includes cryptographic software written by
34  *     Eric Young (eay@cryptsoft.com)"
35  *    The word 'cryptographic' can be left out if the rouines from the library
36  *    being used are not cryptographic related :-).
37  * 4. If you include any Windows specific code (or a derivative thereof) from
38  *    the apps directory (application code) you must include an acknowledgement:
39  *    "This product includes software written by Tim Hudson (tjh@cryptsoft.com)"
40  *
41  * THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND
42  * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
43  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
44  * ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
45  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
46  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
47  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
48  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
49  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
50  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
51  * SUCH DAMAGE.
52  *
53  * The licence and distribution terms for any publically available version or
54  * derivative of this code cannot be changed.  i.e. this code cannot simply be
55  * copied and put under another distribution licence
56  * [including the GNU Public Licence.]
57  */
58 /* ====================================================================
59  * Copyright (c) 1998-2002 The OpenSSL Project.  All rights reserved.
60  *
61  * Redistribution and use in source and binary forms, with or without
62  * modification, are permitted provided that the following conditions
63  * are met:
64  *
65  * 1. Redistributions of source code must retain the above copyright
66  *    notice, this list of conditions and the following disclaimer.
67  *
68  * 2. Redistributions in binary form must reproduce the above copyright
69  *    notice, this list of conditions and the following disclaimer in
70  *    the documentation and/or other materials provided with the
71  *    distribution.
72  *
73  * 3. All advertising materials mentioning features or use of this
74  *    software must display the following acknowledgment:
75  *    "This product includes software developed by the OpenSSL Project
76  *    for use in the OpenSSL Toolkit. (http://www.openssl.org/)"
77  *
78  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
79  *    endorse or promote products derived from this software without
80  *    prior written permission. For written permission, please contact
81  *    openssl-core@openssl.org.
82  *
83  * 5. Products derived from this software may not be called "OpenSSL"
84  *    nor may "OpenSSL" appear in their names without prior written
85  *    permission of the OpenSSL Project.
86  *
87  * 6. Redistributions of any form whatsoever must retain the following
88  *    acknowledgment:
89  *    "This product includes software developed by the OpenSSL Project
90  *    for use in the OpenSSL Toolkit (http://www.openssl.org/)"
91  *
92  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
93  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
94  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
95  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
96  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
97  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
98  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
99  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
100  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
101  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
102  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
103  * OF THE POSSIBILITY OF SUCH DAMAGE.
104  * ====================================================================
105  *
106  * This product includes cryptographic software written by Eric Young
107  * (eay@cryptsoft.com).  This product includes software written by Tim
108  * Hudson (tjh@cryptsoft.com).
109  *
110  */
111
112 #include <stdio.h>
113 #include <limits.h>
114 #include <errno.h>
115 #define USE_SOCKETS
116 #include "../ssl_locl.h"
117 #include <openssl/evp.h>
118 #include <openssl/buffer.h>
119 #include <openssl/rand.h>
120
121 #ifndef  EVP_CIPH_FLAG_TLS1_1_MULTIBLOCK
122 # define EVP_CIPH_FLAG_TLS1_1_MULTIBLOCK 0
123 #endif
124
125 #if     defined(OPENSSL_SMALL_FOOTPRINT) || \
126         !(      defined(AES_ASM) &&     ( \
127                 defined(__x86_64)       || defined(__x86_64__)  || \
128                 defined(_M_AMD64)       || defined(_M_X64)      || \
129                 defined(__INTEL__)      ) \
130         )
131 # undef EVP_CIPH_FLAG_TLS1_1_MULTIBLOCK
132 # define EVP_CIPH_FLAG_TLS1_1_MULTIBLOCK 0
133 #endif
134
135 int ssl3_read_n(SSL *s, int n, int max, int extend)
136 {
137     /*
138      * If extend == 0, obtain new n-byte packet; if extend == 1, increase
139      * packet by another n bytes. The packet will be in the sub-array of
140      * s->s3->rbuf.buf specified by s->packet and s->packet_length. (If
141      * s->rlayer.read_ahead is set, 'max' bytes may be stored in rbuf [plus
142      * s->packet_length bytes if extend == 1].)
143      */
144     int i, len, left;
145     long align = 0;
146     unsigned char *pkt;
147     SSL3_BUFFER *rb;
148
149     if (n <= 0)
150         return n;
151
152     rb = RECORD_LAYER_get_rbuf(&s->rlayer);
153     if (rb->buf == NULL)
154         if (!ssl3_setup_read_buffer(s))
155             return -1;
156
157     left = rb->left;
158 #if defined(SSL3_ALIGN_PAYLOAD) && SSL3_ALIGN_PAYLOAD!=0
159     align = (long)rb->buf + SSL3_RT_HEADER_LENGTH;
160     align = (-align) & (SSL3_ALIGN_PAYLOAD - 1);
161 #endif
162
163     if (!extend) {
164         /* start with empty packet ... */
165         if (left == 0)
166             rb->offset = align;
167         else if (align != 0 && left >= SSL3_RT_HEADER_LENGTH) {
168             /*
169              * check if next packet length is large enough to justify payload
170              * alignment...
171              */
172             pkt = rb->buf + rb->offset;
173             if (pkt[0] == SSL3_RT_APPLICATION_DATA
174                 && (pkt[3] << 8 | pkt[4]) >= 128) {
175                 /*
176                  * Note that even if packet is corrupted and its length field
177                  * is insane, we can only be led to wrong decision about
178                  * whether memmove will occur or not. Header values has no
179                  * effect on memmove arguments and therefore no buffer
180                  * overrun can be triggered.
181                  */
182                 memmove(rb->buf + align, pkt, left);
183                 rb->offset = align;
184             }
185         }
186         s->packet = rb->buf + rb->offset;
187         s->packet_length = 0;
188         /* ... now we can act as if 'extend' was set */
189     }
190
191     /*
192      * For DTLS/UDP reads should not span multiple packets because the read
193      * operation returns the whole packet at once (as long as it fits into
194      * the buffer).
195      */
196     if (SSL_IS_DTLS(s)) {
197         if (left == 0 && extend)
198             return 0;
199         if (left > 0 && n > left)
200             n = left;
201     }
202
203     /* if there is enough in the buffer from a previous read, take some */
204     if (left >= n) {
205         s->packet_length += n;
206         rb->left = left - n;
207         rb->offset += n;
208         return (n);
209     }
210
211     /* else we need to read more data */
212
213     len = s->packet_length;
214     pkt = rb->buf + align;
215     /*
216      * Move any available bytes to front of buffer: 'len' bytes already
217      * pointed to by 'packet', 'left' extra ones at the end
218      */
219     if (s->packet != pkt) {     /* len > 0 */
220         memmove(pkt, s->packet, len + left);
221         s->packet = pkt;
222         rb->offset = len + align;
223     }
224
225     if (n > (int)(rb->len - rb->offset)) { /* does not happen */
226         SSLerr(SSL_F_SSL3_READ_N, ERR_R_INTERNAL_ERROR);
227         return -1;
228     }
229
230     /* We always act like read_ahead is set for DTLS */
231     if (!RECORD_LAYER_get_read_ahead(&s->rlayer) && !SSL_IS_DTLS(s))
232         /* ignore max parameter */
233         max = n;
234     else {
235         if (max < n)
236             max = n;
237         if (max > (int)(rb->len - rb->offset))
238             max = rb->len - rb->offset;
239     }
240
241     while (left < n) {
242         /*
243          * Now we have len+left bytes at the front of s->s3->rbuf.buf and
244          * need to read in more until we have len+n (up to len+max if
245          * possible)
246          */
247
248         clear_sys_error();
249         if (s->rbio != NULL) {
250             s->rwstate = SSL_READING;
251             i = BIO_read(s->rbio, pkt + len + left, max - left);
252         } else {
253             SSLerr(SSL_F_SSL3_READ_N, SSL_R_READ_BIO_NOT_SET);
254             i = -1;
255         }
256
257         if (i <= 0) {
258             rb->left = left;
259             if (s->mode & SSL_MODE_RELEASE_BUFFERS && !SSL_IS_DTLS(s))
260                 if (len + left == 0)
261                     ssl3_release_read_buffer(s);
262             return (i);
263         }
264         left += i;
265         /*
266          * reads should *never* span multiple packets for DTLS because the
267          * underlying transport protocol is message oriented as opposed to
268          * byte oriented as in the TLS case.
269          */
270         if (SSL_IS_DTLS(s)) {
271             if (n > left)
272                 n = left;       /* makes the while condition false */
273         }
274     }
275
276     /* done reading, now the book-keeping */
277     rb->offset += n;
278     rb->left = left - n;
279     s->packet_length += n;
280     s->rwstate = SSL_NOTHING;
281     return (n);
282 }
283
284
285 /*
286  * Call this to write data in records of type 'type' It will return <= 0 if
287  * not all data has been sent or non-blocking IO.
288  */
289 int ssl3_write_bytes(SSL *s, int type, const void *buf_, int len)
290 {
291     const unsigned char *buf = buf_;
292     int tot;
293     unsigned int n, nw;
294 #if !defined(OPENSSL_NO_MULTIBLOCK) && EVP_CIPH_FLAG_TLS1_1_MULTIBLOCK
295     unsigned int max_send_fragment;
296 #endif
297     SSL3_BUFFER *wb = RECORD_LAYER_get_wbuf(&s->rlayer);
298     int i;
299     unsigned int u_len = (unsigned int)len;
300
301     if (len < 0) {
302         SSLerr(SSL_F_SSL3_WRITE_BYTES, SSL_R_SSL_NEGATIVE_LENGTH);
303         return -1;
304     }
305
306     s->rwstate = SSL_NOTHING;
307     OPENSSL_assert(s->s3->wnum <= INT_MAX);
308     tot = s->s3->wnum;
309     s->s3->wnum = 0;
310
311     if (SSL_in_init(s) && !s->in_handshake) {
312         i = s->handshake_func(s);
313         if (i < 0)
314             return (i);
315         if (i == 0) {
316             SSLerr(SSL_F_SSL3_WRITE_BYTES, SSL_R_SSL_HANDSHAKE_FAILURE);
317             return -1;
318         }
319     }
320
321     /*
322      * ensure that if we end up with a smaller value of data to write out
323      * than the the original len from a write which didn't complete for
324      * non-blocking I/O and also somehow ended up avoiding the check for
325      * this in ssl3_write_pending/SSL_R_BAD_WRITE_RETRY as it must never be
326      * possible to end up with (len-tot) as a large number that will then
327      * promptly send beyond the end of the users buffer ... so we trap and
328      * report the error in a way the user will notice
329      */
330     if (len < tot) {
331         SSLerr(SSL_F_SSL3_WRITE_BYTES, SSL_R_BAD_LENGTH);
332         return (-1);
333     }
334
335     /*
336      * first check if there is a SSL3_BUFFER still being written out.  This
337      * will happen with non blocking IO
338      */
339     if (wb->left != 0) {
340         i = ssl3_write_pending(s, type, &buf[tot], s->s3->wpend_tot);
341         if (i <= 0) {
342             /* XXX should we ssl3_release_write_buffer if i<0? */
343             s->s3->wnum = tot;
344             return i;
345         }
346         tot += i;               /* this might be last fragment */
347     }
348 #if !defined(OPENSSL_NO_MULTIBLOCK) && EVP_CIPH_FLAG_TLS1_1_MULTIBLOCK
349     /*
350      * Depending on platform multi-block can deliver several *times*
351      * better performance. Downside is that it has to allocate
352      * jumbo buffer to accomodate up to 8 records, but the
353      * compromise is considered worthy.
354      */
355     if (type == SSL3_RT_APPLICATION_DATA &&
356         u_len >= 4 * (max_send_fragment = s->max_send_fragment) &&
357         s->compress == NULL && s->msg_callback == NULL &&
358         !SSL_USE_ETM(s) && SSL_USE_EXPLICIT_IV(s) &&
359         EVP_CIPHER_flags(s->enc_write_ctx->cipher) &
360         EVP_CIPH_FLAG_TLS1_1_MULTIBLOCK) {
361         unsigned char aad[13];
362         EVP_CTRL_TLS1_1_MULTIBLOCK_PARAM mb_param;
363         int packlen;
364
365         /* minimize address aliasing conflicts */
366         if ((max_send_fragment & 0xfff) == 0)
367             max_send_fragment -= 512;
368
369         if (tot == 0 || wb->buf == NULL) { /* allocate jumbo buffer */
370             ssl3_release_write_buffer(s);
371
372             packlen = EVP_CIPHER_CTX_ctrl(s->enc_write_ctx,
373                                           EVP_CTRL_TLS1_1_MULTIBLOCK_MAX_BUFSIZE,
374                                           max_send_fragment, NULL);
375
376             if (u_len >= 8 * max_send_fragment)
377                 packlen *= 8;
378             else
379                 packlen *= 4;
380
381             wb->buf = OPENSSL_malloc(packlen);
382             if(!wb->buf) {
383                 SSLerr(SSL_F_SSL3_WRITE_BYTES, ERR_R_MALLOC_FAILURE);
384                 return -1;
385             }
386             wb->len = packlen;
387         } else if (tot == len) { /* done? */
388             OPENSSL_free(wb->buf); /* free jumbo buffer */
389             wb->buf = NULL;
390             return tot;
391         }
392
393         n = (len - tot);
394         for (;;) {
395             if (n < 4 * max_send_fragment) {
396                 OPENSSL_free(wb->buf); /* free jumbo buffer */
397                 wb->buf = NULL;
398                 break;
399             }
400
401             if (s->s3->alert_dispatch) {
402                 i = s->method->ssl_dispatch_alert(s);
403                 if (i <= 0) {
404                     s->s3->wnum = tot;
405                     return i;
406                 }
407             }
408
409             if (n >= 8 * max_send_fragment)
410                 nw = max_send_fragment * (mb_param.interleave = 8);
411             else
412                 nw = max_send_fragment * (mb_param.interleave = 4);
413
414             memcpy(aad, s->s3->write_sequence, 8);
415             aad[8] = type;
416             aad[9] = (unsigned char)(s->version >> 8);
417             aad[10] = (unsigned char)(s->version);
418             aad[11] = 0;
419             aad[12] = 0;
420             mb_param.out = NULL;
421             mb_param.inp = aad;
422             mb_param.len = nw;
423
424             packlen = EVP_CIPHER_CTX_ctrl(s->enc_write_ctx,
425                                           EVP_CTRL_TLS1_1_MULTIBLOCK_AAD,
426                                           sizeof(mb_param), &mb_param);
427
428             if (packlen <= 0 || packlen > (int)wb->len) { /* never happens */
429                 OPENSSL_free(wb->buf); /* free jumbo buffer */
430                 wb->buf = NULL;
431                 break;
432             }
433
434             mb_param.out = wb->buf;
435             mb_param.inp = &buf[tot];
436             mb_param.len = nw;
437
438             if (EVP_CIPHER_CTX_ctrl(s->enc_write_ctx,
439                                     EVP_CTRL_TLS1_1_MULTIBLOCK_ENCRYPT,
440                                     sizeof(mb_param), &mb_param) <= 0)
441                 return -1;
442
443             s->s3->write_sequence[7] += mb_param.interleave;
444             if (s->s3->write_sequence[7] < mb_param.interleave) {
445                 int j = 6;
446                 while (j >= 0 && (++s->s3->write_sequence[j--]) == 0) ;
447             }
448
449             wb->offset = 0;
450             wb->left = packlen;
451
452             s->s3->wpend_tot = nw;
453             s->s3->wpend_buf = &buf[tot];
454             s->s3->wpend_type = type;
455             s->s3->wpend_ret = nw;
456
457             i = ssl3_write_pending(s, type, &buf[tot], nw);
458             if (i <= 0) {
459                 if (i < 0 && (!s->wbio || !BIO_should_retry(s->wbio))) {
460                     OPENSSL_free(wb->buf);
461                     wb->buf = NULL;
462                 }
463                 s->s3->wnum = tot;
464                 return i;
465             }
466             if (i == (int)n) {
467                 OPENSSL_free(wb->buf); /* free jumbo buffer */
468                 wb->buf = NULL;
469                 return tot + i;
470             }
471             n -= i;
472             tot += i;
473         }
474     } else
475 #endif
476     if (tot == len) {           /* done? */
477         if (s->mode & SSL_MODE_RELEASE_BUFFERS && !SSL_IS_DTLS(s))
478             ssl3_release_write_buffer(s);
479
480         return tot;
481     }
482
483     n = (len - tot);
484     for (;;) {
485         if (n > s->max_send_fragment)
486             nw = s->max_send_fragment;
487         else
488             nw = n;
489
490         i = do_ssl3_write(s, type, &(buf[tot]), nw, 0);
491         if (i <= 0) {
492             /* XXX should we ssl3_release_write_buffer if i<0? */
493             s->s3->wnum = tot;
494             return i;
495         }
496
497         if ((i == (int)n) ||
498             (type == SSL3_RT_APPLICATION_DATA &&
499              (s->mode & SSL_MODE_ENABLE_PARTIAL_WRITE))) {
500             /*
501              * next chunk of data should get another prepended empty fragment
502              * in ciphersuites with known-IV weakness:
503              */
504             s->s3->empty_fragment_done = 0;
505
506             if ((i == (int)n) && s->mode & SSL_MODE_RELEASE_BUFFERS &&
507                 !SSL_IS_DTLS(s))
508                 ssl3_release_write_buffer(s);
509
510             return tot + i;
511         }
512
513         n -= i;
514         tot += i;
515     }
516 }
517
518 int do_ssl3_write(SSL *s, int type, const unsigned char *buf,
519                   unsigned int len, int create_empty_fragment)
520 {
521     unsigned char *p, *plen;
522     int i, mac_size, clear = 0;
523     int prefix_len = 0;
524     int eivlen;
525     long align = 0;
526     SSL3_RECORD *wr;
527     SSL3_BUFFER *wb = RECORD_LAYER_get_wbuf(&s->rlayer);
528     SSL_SESSION *sess;
529
530     /*
531      * first check if there is a SSL3_BUFFER still being written out.  This
532      * will happen with non blocking IO
533      */
534     if (wb->left != 0)
535         return (ssl3_write_pending(s, type, buf, len));
536
537     /* If we have an alert to send, lets send it */
538     if (s->s3->alert_dispatch) {
539         i = s->method->ssl_dispatch_alert(s);
540         if (i <= 0)
541             return (i);
542         /* if it went, fall through and send more stuff */
543     }
544
545     if (wb->buf == NULL)
546         if (!ssl3_setup_write_buffer(s))
547             return -1;
548
549     if (len == 0 && !create_empty_fragment)
550         return 0;
551
552     wr = RECORD_LAYER_get_wrec(&s->rlayer);
553     sess = s->session;
554
555     if ((sess == NULL) ||
556         (s->enc_write_ctx == NULL) ||
557         (EVP_MD_CTX_md(s->write_hash) == NULL)) {
558         clear = s->enc_write_ctx ? 0 : 1; /* must be AEAD cipher */
559         mac_size = 0;
560     } else {
561         mac_size = EVP_MD_CTX_size(s->write_hash);
562         if (mac_size < 0)
563             goto err;
564     }
565
566     /*
567      * 'create_empty_fragment' is true only when this function calls itself
568      */
569     if (!clear && !create_empty_fragment && !s->s3->empty_fragment_done) {
570         /*
571          * countermeasure against known-IV weakness in CBC ciphersuites (see
572          * http://www.openssl.org/~bodo/tls-cbc.txt)
573          */
574
575         if (s->s3->need_empty_fragments && type == SSL3_RT_APPLICATION_DATA) {
576             /*
577              * recursive function call with 'create_empty_fragment' set; this
578              * prepares and buffers the data for an empty fragment (these
579              * 'prefix_len' bytes are sent out later together with the actual
580              * payload)
581              */
582             prefix_len = do_ssl3_write(s, type, buf, 0, 1);
583             if (prefix_len <= 0)
584                 goto err;
585
586             if (prefix_len >
587                 (SSL3_RT_HEADER_LENGTH + SSL3_RT_SEND_MAX_ENCRYPTED_OVERHEAD))
588             {
589                 /* insufficient space */
590                 SSLerr(SSL_F_DO_SSL3_WRITE, ERR_R_INTERNAL_ERROR);
591                 goto err;
592             }
593         }
594
595         s->s3->empty_fragment_done = 1;
596     }
597
598     if (create_empty_fragment) {
599 #if defined(SSL3_ALIGN_PAYLOAD) && SSL3_ALIGN_PAYLOAD!=0
600         /*
601          * extra fragment would be couple of cipher blocks, which would be
602          * multiple of SSL3_ALIGN_PAYLOAD, so if we want to align the real
603          * payload, then we can just pretent we simply have two headers.
604          */
605         align = (long)wb->buf + 2 * SSL3_RT_HEADER_LENGTH;
606         align = (-align) & (SSL3_ALIGN_PAYLOAD - 1);
607 #endif
608         p = wb->buf + align;
609         wb->offset = align;
610     } else if (prefix_len) {
611         p = wb->buf + wb->offset + prefix_len;
612     } else {
613 #if defined(SSL3_ALIGN_PAYLOAD) && SSL3_ALIGN_PAYLOAD!=0
614         align = (long)wb->buf + SSL3_RT_HEADER_LENGTH;
615         align = (-align) & (SSL3_ALIGN_PAYLOAD - 1);
616 #endif
617         p = wb->buf + align;
618         wb->offset = align;
619     }
620
621     /* write the header */
622
623     *(p++) = type & 0xff;
624     wr->type = type;
625
626     *(p++) = (s->version >> 8);
627     /*
628      * Some servers hang if iniatial client hello is larger than 256 bytes
629      * and record version number > TLS 1.0
630      */
631     if (s->state == SSL3_ST_CW_CLNT_HELLO_B
632         && !s->renegotiate && TLS1_get_version(s) > TLS1_VERSION)
633         *(p++) = 0x1;
634     else
635         *(p++) = s->version & 0xff;
636
637     /* field where we are to write out packet length */
638     plen = p;
639     p += 2;
640     /* Explicit IV length, block ciphers appropriate version flag */
641     if (s->enc_write_ctx && SSL_USE_EXPLICIT_IV(s)) {
642         int mode = EVP_CIPHER_CTX_mode(s->enc_write_ctx);
643         if (mode == EVP_CIPH_CBC_MODE) {
644             eivlen = EVP_CIPHER_CTX_iv_length(s->enc_write_ctx);
645             if (eivlen <= 1)
646                 eivlen = 0;
647         }
648         /* Need explicit part of IV for GCM mode */
649         else if (mode == EVP_CIPH_GCM_MODE)
650             eivlen = EVP_GCM_TLS_EXPLICIT_IV_LEN;
651         else
652             eivlen = 0;
653     } else
654         eivlen = 0;
655
656     /* lets setup the record stuff. */
657     wr->data = p + eivlen;
658     wr->length = (int)len;
659     wr->input = (unsigned char *)buf;
660
661     /*
662      * we now 'read' from wr->input, wr->length bytes into wr->data
663      */
664
665     /* first we compress */
666     if (s->compress != NULL) {
667         if (!ssl3_do_compress(s)) {
668             SSLerr(SSL_F_DO_SSL3_WRITE, SSL_R_COMPRESSION_FAILURE);
669             goto err;
670         }
671     } else {
672         memcpy(wr->data, wr->input, wr->length);
673         wr->input = wr->data;
674     }
675
676     /*
677      * we should still have the output to wr->data and the input from
678      * wr->input.  Length should be wr->length. wr->data still points in the
679      * wb->buf
680      */
681
682     if (!SSL_USE_ETM(s) && mac_size != 0) {
683         if (s->method->ssl3_enc->mac(s, &(p[wr->length + eivlen]), 1) < 0)
684             goto err;
685         wr->length += mac_size;
686     }
687
688     wr->input = p;
689     wr->data = p;
690
691     if (eivlen) {
692         /*
693          * if (RAND_pseudo_bytes(p, eivlen) <= 0) goto err;
694          */
695         wr->length += eivlen;
696     }
697
698     if (s->method->ssl3_enc->enc(s, 1) < 1)
699         goto err;
700
701     if (SSL_USE_ETM(s) && mac_size != 0) {
702         if (s->method->ssl3_enc->mac(s, p + wr->length, 1) < 0)
703             goto err;
704         wr->length += mac_size;
705     }
706
707     /* record length after mac and block padding */
708     s2n(wr->length, plen);
709
710     if (s->msg_callback)
711         s->msg_callback(1, 0, SSL3_RT_HEADER, plen - 5, 5, s,
712                         s->msg_callback_arg);
713
714     /*
715      * we should now have wr->data pointing to the encrypted data, which is
716      * wr->length long
717      */
718     wr->type = type;            /* not needed but helps for debugging */
719     wr->length += SSL3_RT_HEADER_LENGTH;
720
721     if (create_empty_fragment) {
722         /*
723          * we are in a recursive call; just return the length, don't write
724          * out anything here
725          */
726         return wr->length;
727     }
728
729     /* now let's set up wb */
730     wb->left = prefix_len + wr->length;
731
732     /*
733      * memorize arguments so that ssl3_write_pending can detect bad write
734      * retries later
735      */
736     s->s3->wpend_tot = len;
737     s->s3->wpend_buf = buf;
738     s->s3->wpend_type = type;
739     s->s3->wpend_ret = len;
740
741     /* we now just need to write the buffer */
742     return ssl3_write_pending(s, type, buf, len);
743  err:
744     return -1;
745 }
746
747 /* if s->s3->wbuf.left != 0, we need to call this */
748 int ssl3_write_pending(SSL *s, int type, const unsigned char *buf,
749                        unsigned int len)
750 {
751     int i;
752     SSL3_BUFFER *wb = RECORD_LAYER_get_wbuf(&s->rlayer);
753
754 /* XXXX */
755     if ((s->s3->wpend_tot > (int)len)
756         || ((s->s3->wpend_buf != buf) &&
757             !(s->mode & SSL_MODE_ACCEPT_MOVING_WRITE_BUFFER))
758         || (s->s3->wpend_type != type)) {
759         SSLerr(SSL_F_SSL3_WRITE_PENDING, SSL_R_BAD_WRITE_RETRY);
760         return (-1);
761     }
762
763     for (;;) {
764         clear_sys_error();
765         if (s->wbio != NULL) {
766             s->rwstate = SSL_WRITING;
767             i = BIO_write(s->wbio,
768                           (char *)&(wb->buf[wb->offset]),
769                           (unsigned int)wb->left);
770         } else {
771             SSLerr(SSL_F_SSL3_WRITE_PENDING, SSL_R_BIO_NOT_SET);
772             i = -1;
773         }
774         if (i == wb->left) {
775             wb->left = 0;
776             wb->offset += i;
777             s->rwstate = SSL_NOTHING;
778             return (s->s3->wpend_ret);
779         } else if (i <= 0) {
780             if (s->version == DTLS1_VERSION || s->version == DTLS1_BAD_VER) {
781                 /*
782                  * For DTLS, just drop it. That's kind of the whole point in
783                  * using a datagram service
784                  */
785                 wb->left = 0;
786             }
787             return (i);
788         }
789         wb->offset += i;
790         wb->left -= i;
791     }
792 }
793
794 /*-
795  * Return up to 'len' payload bytes received in 'type' records.
796  * 'type' is one of the following:
797  *
798  *   -  SSL3_RT_HANDSHAKE (when ssl3_get_message calls us)
799  *   -  SSL3_RT_APPLICATION_DATA (when ssl3_read calls us)
800  *   -  0 (during a shutdown, no data has to be returned)
801  *
802  * If we don't have stored data to work from, read a SSL/TLS record first
803  * (possibly multiple records if we still don't have anything to return).
804  *
805  * This function must handle any surprises the peer may have for us, such as
806  * Alert records (e.g. close_notify), ChangeCipherSpec records (not really
807  * a surprise, but handled as if it were), or renegotiation requests.
808  * Also if record payloads contain fragments too small to process, we store
809  * them until there is enough for the respective protocol (the record protocol
810  * may use arbitrary fragmentation and even interleaving):
811  *     Change cipher spec protocol
812  *             just 1 byte needed, no need for keeping anything stored
813  *     Alert protocol
814  *             2 bytes needed (AlertLevel, AlertDescription)
815  *     Handshake protocol
816  *             4 bytes needed (HandshakeType, uint24 length) -- we just have
817  *             to detect unexpected Client Hello and Hello Request messages
818  *             here, anything else is handled by higher layers
819  *     Application data protocol
820  *             none of our business
821  */
822 int ssl3_read_bytes(SSL *s, int type, unsigned char *buf, int len, int peek)
823 {
824     int al, i, j, ret;
825     unsigned int n;
826     SSL3_RECORD *rr;
827     void (*cb) (const SSL *ssl, int type2, int val) = NULL;
828
829     if (!SSL3_BUFFER_is_initialised(RECORD_LAYER_get_rbuf(&s->rlayer))) {
830         /* Not initialized yet */
831         if (!ssl3_setup_read_buffer(s))
832             return (-1);
833     }
834
835     if ((type && (type != SSL3_RT_APPLICATION_DATA)
836          && (type != SSL3_RT_HANDSHAKE)) || (peek
837                                              && (type !=
838                                                  SSL3_RT_APPLICATION_DATA))) {
839         SSLerr(SSL_F_SSL3_READ_BYTES, ERR_R_INTERNAL_ERROR);
840         return -1;
841     }
842
843     if ((type == SSL3_RT_HANDSHAKE) && (s->s3->handshake_fragment_len > 0))
844         /* (partially) satisfy request from storage */
845     {
846         unsigned char *src = s->s3->handshake_fragment;
847         unsigned char *dst = buf;
848         unsigned int k;
849
850         /* peek == 0 */
851         n = 0;
852         while ((len > 0) && (s->s3->handshake_fragment_len > 0)) {
853             *dst++ = *src++;
854             len--;
855             s->s3->handshake_fragment_len--;
856             n++;
857         }
858         /* move any remaining fragment bytes: */
859         for (k = 0; k < s->s3->handshake_fragment_len; k++)
860             s->s3->handshake_fragment[k] = *src++;
861         return n;
862     }
863
864     /*
865      * Now s->s3->handshake_fragment_len == 0 if type == SSL3_RT_HANDSHAKE.
866      */
867
868     if (!s->in_handshake && SSL_in_init(s)) {
869         /* type == SSL3_RT_APPLICATION_DATA */
870         i = s->handshake_func(s);
871         if (i < 0)
872             return (i);
873         if (i == 0) {
874             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_SSL_HANDSHAKE_FAILURE);
875             return (-1);
876         }
877     }
878  start:
879     s->rwstate = SSL_NOTHING;
880
881     /*-
882      * s->s3->rrec.type         - is the type of record
883      * s->s3->rrec.data,    - data
884      * s->s3->rrec.off,     - offset into 'data' for next read
885      * s->s3->rrec.length,  - number of bytes.
886      */
887     rr = RECORD_LAYER_get_rrec(&s->rlayer);
888
889     /* get new packet if necessary */
890     if ((rr->length == 0) || (s->rstate == SSL_ST_READ_BODY)) {
891         ret = ssl3_get_record(s);
892         if (ret <= 0)
893             return (ret);
894     }
895
896     /* we now have a packet which can be read and processed */
897
898     if (s->s3->change_cipher_spec /* set when we receive ChangeCipherSpec,
899                                    * reset by ssl3_get_finished */
900         && (rr->type != SSL3_RT_HANDSHAKE)) {
901         al = SSL_AD_UNEXPECTED_MESSAGE;
902         SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_DATA_BETWEEN_CCS_AND_FINISHED);
903         goto f_err;
904     }
905
906     /*
907      * If the other end has shut down, throw anything we read away (even in
908      * 'peek' mode)
909      */
910     if (s->shutdown & SSL_RECEIVED_SHUTDOWN) {
911         rr->length = 0;
912         s->rwstate = SSL_NOTHING;
913         return (0);
914     }
915
916     if (type == rr->type) {     /* SSL3_RT_APPLICATION_DATA or
917                                  * SSL3_RT_HANDSHAKE */
918         /*
919          * make sure that we are not getting application data when we are
920          * doing a handshake for the first time
921          */
922         if (SSL_in_init(s) && (type == SSL3_RT_APPLICATION_DATA) &&
923             (s->enc_read_ctx == NULL)) {
924             al = SSL_AD_UNEXPECTED_MESSAGE;
925             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_APP_DATA_IN_HANDSHAKE);
926             goto f_err;
927         }
928
929         if (len <= 0)
930             return (len);
931
932         if ((unsigned int)len > rr->length)
933             n = rr->length;
934         else
935             n = (unsigned int)len;
936
937         memcpy(buf, &(rr->data[rr->off]), n);
938         if (!peek) {
939             rr->length -= n;
940             rr->off += n;
941             if (rr->length == 0) {
942                 s->rstate = SSL_ST_READ_HEADER;
943                 rr->off = 0;
944                 if (s->mode & SSL_MODE_RELEASE_BUFFERS
945                     && SSL3_BUFFER_get_left(
946                         RECORD_LAYER_get_rbuf(&s->rlayer)) == 0)
947                     ssl3_release_read_buffer(s);
948             }
949         }
950         return (n);
951     }
952
953     /*
954      * If we get here, then type != rr->type; if we have a handshake message,
955      * then it was unexpected (Hello Request or Client Hello).
956      */
957
958     /*
959      * In case of record types for which we have 'fragment' storage, fill
960      * that so that we can process the data at a fixed place.
961      */
962     {
963         unsigned int dest_maxlen = 0;
964         unsigned char *dest = NULL;
965         unsigned int *dest_len = NULL;
966
967         if (rr->type == SSL3_RT_HANDSHAKE) {
968             dest_maxlen = sizeof s->s3->handshake_fragment;
969             dest = s->s3->handshake_fragment;
970             dest_len = &s->s3->handshake_fragment_len;
971         } else if (rr->type == SSL3_RT_ALERT) {
972             dest_maxlen = sizeof s->s3->alert_fragment;
973             dest = s->s3->alert_fragment;
974             dest_len = &s->s3->alert_fragment_len;
975         }
976 #ifndef OPENSSL_NO_HEARTBEATS
977         else if (rr->type == TLS1_RT_HEARTBEAT) {
978             /* We can ignore 0 return values */
979             if(tls1_process_heartbeat(s) < 0) {
980                 return -1;
981             }
982
983             /* Exit and notify application to read again */
984             rr->length = 0;
985             s->rwstate = SSL_READING;
986             BIO_clear_retry_flags(SSL_get_rbio(s));
987             BIO_set_retry_read(SSL_get_rbio(s));
988             return (-1);
989         }
990 #endif
991
992         if (dest_maxlen > 0) {
993             n = dest_maxlen - *dest_len; /* available space in 'dest' */
994             if (rr->length < n)
995                 n = rr->length; /* available bytes */
996
997             /* now move 'n' bytes: */
998             while (n-- > 0) {
999                 dest[(*dest_len)++] = rr->data[rr->off++];
1000                 rr->length--;
1001             }
1002
1003             if (*dest_len < dest_maxlen)
1004                 goto start;     /* fragment was too small */
1005         }
1006     }
1007
1008     /*-
1009      * s->s3->handshake_fragment_len == 4  iff  rr->type == SSL3_RT_HANDSHAKE;
1010      * s->s3->alert_fragment_len == 2      iff  rr->type == SSL3_RT_ALERT.
1011      * (Possibly rr is 'empty' now, i.e. rr->length may be 0.)
1012      */
1013
1014     /* If we are a client, check for an incoming 'Hello Request': */
1015     if ((!s->server) &&
1016         (s->s3->handshake_fragment_len >= 4) &&
1017         (s->s3->handshake_fragment[0] == SSL3_MT_HELLO_REQUEST) &&
1018         (s->session != NULL) && (s->session->cipher != NULL)) {
1019         s->s3->handshake_fragment_len = 0;
1020
1021         if ((s->s3->handshake_fragment[1] != 0) ||
1022             (s->s3->handshake_fragment[2] != 0) ||
1023             (s->s3->handshake_fragment[3] != 0)) {
1024             al = SSL_AD_DECODE_ERROR;
1025             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_BAD_HELLO_REQUEST);
1026             goto f_err;
1027         }
1028
1029         if (s->msg_callback)
1030             s->msg_callback(0, s->version, SSL3_RT_HANDSHAKE,
1031                             s->s3->handshake_fragment, 4, s,
1032                             s->msg_callback_arg);
1033
1034         if (SSL_is_init_finished(s) &&
1035             !(s->s3->flags & SSL3_FLAGS_NO_RENEGOTIATE_CIPHERS) &&
1036             !s->s3->renegotiate) {
1037             ssl3_renegotiate(s);
1038             if (ssl3_renegotiate_check(s)) {
1039                 i = s->handshake_func(s);
1040                 if (i < 0)
1041                     return (i);
1042                 if (i == 0) {
1043                     SSLerr(SSL_F_SSL3_READ_BYTES,
1044                            SSL_R_SSL_HANDSHAKE_FAILURE);
1045                     return (-1);
1046                 }
1047
1048                 if (!(s->mode & SSL_MODE_AUTO_RETRY)) {
1049                     if (SSL3_BUFFER_get_left(
1050                         RECORD_LAYER_get_rbuf(&s->rlayer)) == 0) {
1051                         /* no read-ahead left? */
1052                         BIO *bio;
1053                         /*
1054                          * In the case where we try to read application data,
1055                          * but we trigger an SSL handshake, we return -1 with
1056                          * the retry option set.  Otherwise renegotiation may
1057                          * cause nasty problems in the blocking world
1058                          */
1059                         s->rwstate = SSL_READING;
1060                         bio = SSL_get_rbio(s);
1061                         BIO_clear_retry_flags(bio);
1062                         BIO_set_retry_read(bio);
1063                         return (-1);
1064                     }
1065                 }
1066             }
1067         }
1068         /*
1069          * we either finished a handshake or ignored the request, now try
1070          * again to obtain the (application) data we were asked for
1071          */
1072         goto start;
1073     }
1074     /*
1075      * If we are a server and get a client hello when renegotiation isn't
1076      * allowed send back a no renegotiation alert and carry on. WARNING:
1077      * experimental code, needs reviewing (steve)
1078      */
1079     if (s->server &&
1080         SSL_is_init_finished(s) &&
1081         !s->s3->send_connection_binding &&
1082         (s->version > SSL3_VERSION) &&
1083         (s->s3->handshake_fragment_len >= 4) &&
1084         (s->s3->handshake_fragment[0] == SSL3_MT_CLIENT_HELLO) &&
1085         (s->session != NULL) && (s->session->cipher != NULL) &&
1086         !(s->ctx->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
1087         /*
1088          * s->s3->handshake_fragment_len = 0;
1089          */
1090         rr->length = 0;
1091         ssl3_send_alert(s, SSL3_AL_WARNING, SSL_AD_NO_RENEGOTIATION);
1092         goto start;
1093     }
1094     if (s->s3->alert_fragment_len >= 2) {
1095         int alert_level = s->s3->alert_fragment[0];
1096         int alert_descr = s->s3->alert_fragment[1];
1097
1098         s->s3->alert_fragment_len = 0;
1099
1100         if (s->msg_callback)
1101             s->msg_callback(0, s->version, SSL3_RT_ALERT,
1102                             s->s3->alert_fragment, 2, s, s->msg_callback_arg);
1103
1104         if (s->info_callback != NULL)
1105             cb = s->info_callback;
1106         else if (s->ctx->info_callback != NULL)
1107             cb = s->ctx->info_callback;
1108
1109         if (cb != NULL) {
1110             j = (alert_level << 8) | alert_descr;
1111             cb(s, SSL_CB_READ_ALERT, j);
1112         }
1113
1114         if (alert_level == SSL3_AL_WARNING) {
1115             s->s3->warn_alert = alert_descr;
1116             if (alert_descr == SSL_AD_CLOSE_NOTIFY) {
1117                 s->shutdown |= SSL_RECEIVED_SHUTDOWN;
1118                 return (0);
1119             }
1120             /*
1121              * This is a warning but we receive it if we requested
1122              * renegotiation and the peer denied it. Terminate with a fatal
1123              * alert because if application tried to renegotiatie it
1124              * presumably had a good reason and expects it to succeed. In
1125              * future we might have a renegotiation where we don't care if
1126              * the peer refused it where we carry on.
1127              */
1128             else if (alert_descr == SSL_AD_NO_RENEGOTIATION) {
1129                 al = SSL_AD_HANDSHAKE_FAILURE;
1130                 SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_NO_RENEGOTIATION);
1131                 goto f_err;
1132             }
1133 #ifdef SSL_AD_MISSING_SRP_USERNAME
1134             else if (alert_descr == SSL_AD_MISSING_SRP_USERNAME)
1135                 return (0);
1136 #endif
1137         } else if (alert_level == SSL3_AL_FATAL) {
1138             char tmp[16];
1139
1140             s->rwstate = SSL_NOTHING;
1141             s->s3->fatal_alert = alert_descr;
1142             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_AD_REASON_OFFSET + alert_descr);
1143             BIO_snprintf(tmp, sizeof tmp, "%d", alert_descr);
1144             ERR_add_error_data(2, "SSL alert number ", tmp);
1145             s->shutdown |= SSL_RECEIVED_SHUTDOWN;
1146             SSL_CTX_remove_session(s->ctx, s->session);
1147             return (0);
1148         } else {
1149             al = SSL_AD_ILLEGAL_PARAMETER;
1150             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_UNKNOWN_ALERT_TYPE);
1151             goto f_err;
1152         }
1153
1154         goto start;
1155     }
1156
1157     if (s->shutdown & SSL_SENT_SHUTDOWN) { /* but we have not received a
1158                                             * shutdown */
1159         s->rwstate = SSL_NOTHING;
1160         rr->length = 0;
1161         return (0);
1162     }
1163
1164     if (rr->type == SSL3_RT_CHANGE_CIPHER_SPEC) {
1165         /*
1166          * 'Change Cipher Spec' is just a single byte, so we know exactly
1167          * what the record payload has to look like
1168          */
1169         if ((rr->length != 1) || (rr->off != 0) ||
1170             (rr->data[0] != SSL3_MT_CCS)) {
1171             al = SSL_AD_ILLEGAL_PARAMETER;
1172             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_BAD_CHANGE_CIPHER_SPEC);
1173             goto f_err;
1174         }
1175
1176         /* Check we have a cipher to change to */
1177         if (s->s3->tmp.new_cipher == NULL) {
1178             al = SSL_AD_UNEXPECTED_MESSAGE;
1179             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_CCS_RECEIVED_EARLY);
1180             goto f_err;
1181         }
1182
1183         if (!(s->s3->flags & SSL3_FLAGS_CCS_OK)) {
1184             al = SSL_AD_UNEXPECTED_MESSAGE;
1185             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_CCS_RECEIVED_EARLY);
1186             goto f_err;
1187         }
1188
1189         s->s3->flags &= ~SSL3_FLAGS_CCS_OK;
1190
1191         rr->length = 0;
1192
1193         if (s->msg_callback)
1194             s->msg_callback(0, s->version, SSL3_RT_CHANGE_CIPHER_SPEC,
1195                             rr->data, 1, s, s->msg_callback_arg);
1196
1197         s->s3->change_cipher_spec = 1;
1198         if (!ssl3_do_change_cipher_spec(s))
1199             goto err;
1200         else
1201             goto start;
1202     }
1203
1204     /*
1205      * Unexpected handshake message (Client Hello, or protocol violation)
1206      */
1207     if ((s->s3->handshake_fragment_len >= 4) && !s->in_handshake) {
1208         if (((s->state & SSL_ST_MASK) == SSL_ST_OK) &&
1209             !(s->s3->flags & SSL3_FLAGS_NO_RENEGOTIATE_CIPHERS)) {
1210             s->state = s->server ? SSL_ST_ACCEPT : SSL_ST_CONNECT;
1211             s->renegotiate = 1;
1212             s->new_session = 1;
1213         }
1214         i = s->handshake_func(s);
1215         if (i < 0)
1216             return (i);
1217         if (i == 0) {
1218             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_SSL_HANDSHAKE_FAILURE);
1219             return (-1);
1220         }
1221
1222         if (!(s->mode & SSL_MODE_AUTO_RETRY)) {
1223             if (SSL3_BUFFER_get_left(RECORD_LAYER_get_rbuf(&s->rlayer)) == 0) {
1224                 /* no read-ahead left? */
1225                 BIO *bio;
1226                 /*
1227                  * In the case where we try to read application data, but we
1228                  * trigger an SSL handshake, we return -1 with the retry
1229                  * option set.  Otherwise renegotiation may cause nasty
1230                  * problems in the blocking world
1231                  */
1232                 s->rwstate = SSL_READING;
1233                 bio = SSL_get_rbio(s);
1234                 BIO_clear_retry_flags(bio);
1235                 BIO_set_retry_read(bio);
1236                 return (-1);
1237             }
1238         }
1239         goto start;
1240     }
1241
1242     switch (rr->type) {
1243     default:
1244         /*
1245          * TLS up to v1.1 just ignores unknown message types: TLS v1.2 give
1246          * an unexpected message alert.
1247          */
1248         if (s->version >= TLS1_VERSION && s->version <= TLS1_1_VERSION) {
1249             rr->length = 0;
1250             goto start;
1251         }
1252         al = SSL_AD_UNEXPECTED_MESSAGE;
1253         SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_UNEXPECTED_RECORD);
1254         goto f_err;
1255     case SSL3_RT_CHANGE_CIPHER_SPEC:
1256     case SSL3_RT_ALERT:
1257     case SSL3_RT_HANDSHAKE:
1258         /*
1259          * we already handled all of these, with the possible exception of
1260          * SSL3_RT_HANDSHAKE when s->in_handshake is set, but that should not
1261          * happen when type != rr->type
1262          */
1263         al = SSL_AD_UNEXPECTED_MESSAGE;
1264         SSLerr(SSL_F_SSL3_READ_BYTES, ERR_R_INTERNAL_ERROR);
1265         goto f_err;
1266     case SSL3_RT_APPLICATION_DATA:
1267         /*
1268          * At this point, we were expecting handshake data, but have
1269          * application data.  If the library was running inside ssl3_read()
1270          * (i.e. in_read_app_data is set) and it makes sense to read
1271          * application data at this point (session renegotiation not yet
1272          * started), we will indulge it.
1273          */
1274         if (s->s3->in_read_app_data &&
1275             (s->s3->total_renegotiations != 0) &&
1276             (((s->state & SSL_ST_CONNECT) &&
1277               (s->state >= SSL3_ST_CW_CLNT_HELLO_A) &&
1278               (s->state <= SSL3_ST_CR_SRVR_HELLO_A)
1279              ) || ((s->state & SSL_ST_ACCEPT) &&
1280                    (s->state <= SSL3_ST_SW_HELLO_REQ_A) &&
1281                    (s->state >= SSL3_ST_SR_CLNT_HELLO_A)
1282              )
1283             )) {
1284             s->s3->in_read_app_data = 2;
1285             return (-1);
1286         } else {
1287             al = SSL_AD_UNEXPECTED_MESSAGE;
1288             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_UNEXPECTED_RECORD);
1289             goto f_err;
1290         }
1291     }
1292     /* not reached */
1293
1294  f_err:
1295     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1296  err:
1297     return (-1);
1298 }
1299
1300