5b8fe5c56d4b11c84f795c102ac9b8a7b08325ea
[openssl.git] / ssl / s3_pkt.c
1 /* ssl/s3_pkt.c */
2 /* Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com)
3  * All rights reserved.
4  *
5  * This package is an SSL implementation written
6  * by Eric Young (eay@cryptsoft.com).
7  * The implementation was written so as to conform with Netscapes SSL.
8  *
9  * This library is free for commercial and non-commercial use as long as
10  * the following conditions are aheared to.  The following conditions
11  * apply to all code found in this distribution, be it the RC4, RSA,
12  * lhash, DES, etc., code; not just the SSL code.  The SSL documentation
13  * included with this distribution is covered by the same copyright terms
14  * except that the holder is Tim Hudson (tjh@cryptsoft.com).
15  *
16  * Copyright remains Eric Young's, and as such any Copyright notices in
17  * the code are not to be removed.
18  * If this package is used in a product, Eric Young should be given attribution
19  * as the author of the parts of the library used.
20  * This can be in the form of a textual message at program startup or
21  * in documentation (online or textual) provided with the package.
22  *
23  * Redistribution and use in source and binary forms, with or without
24  * modification, are permitted provided that the following conditions
25  * are met:
26  * 1. Redistributions of source code must retain the copyright
27  *    notice, this list of conditions and the following disclaimer.
28  * 2. Redistributions in binary form must reproduce the above copyright
29  *    notice, this list of conditions and the following disclaimer in the
30  *    documentation and/or other materials provided with the distribution.
31  * 3. All advertising materials mentioning features or use of this software
32  *    must display the following acknowledgement:
33  *    "This product includes cryptographic software written by
34  *     Eric Young (eay@cryptsoft.com)"
35  *    The word 'cryptographic' can be left out if the rouines from the library
36  *    being used are not cryptographic related :-).
37  * 4. If you include any Windows specific code (or a derivative thereof) from
38  *    the apps directory (application code) you must include an acknowledgement:
39  *    "This product includes software written by Tim Hudson (tjh@cryptsoft.com)"
40  *
41  * THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND
42  * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
43  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
44  * ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
45  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
46  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
47  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
48  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
49  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
50  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
51  * SUCH DAMAGE.
52  *
53  * The licence and distribution terms for any publically available version or
54  * derivative of this code cannot be changed.  i.e. this code cannot simply be
55  * copied and put under another distribution licence
56  * [including the GNU Public Licence.]
57  */
58 /* ====================================================================
59  * Copyright (c) 1998-2002 The OpenSSL Project.  All rights reserved.
60  *
61  * Redistribution and use in source and binary forms, with or without
62  * modification, are permitted provided that the following conditions
63  * are met:
64  *
65  * 1. Redistributions of source code must retain the above copyright
66  *    notice, this list of conditions and the following disclaimer.
67  *
68  * 2. Redistributions in binary form must reproduce the above copyright
69  *    notice, this list of conditions and the following disclaimer in
70  *    the documentation and/or other materials provided with the
71  *    distribution.
72  *
73  * 3. All advertising materials mentioning features or use of this
74  *    software must display the following acknowledgment:
75  *    "This product includes software developed by the OpenSSL Project
76  *    for use in the OpenSSL Toolkit. (http://www.openssl.org/)"
77  *
78  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
79  *    endorse or promote products derived from this software without
80  *    prior written permission. For written permission, please contact
81  *    openssl-core@openssl.org.
82  *
83  * 5. Products derived from this software may not be called "OpenSSL"
84  *    nor may "OpenSSL" appear in their names without prior written
85  *    permission of the OpenSSL Project.
86  *
87  * 6. Redistributions of any form whatsoever must retain the following
88  *    acknowledgment:
89  *    "This product includes software developed by the OpenSSL Project
90  *    for use in the OpenSSL Toolkit (http://www.openssl.org/)"
91  *
92  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
93  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
94  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
95  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
96  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
97  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
98  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
99  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
100  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
101  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
102  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
103  * OF THE POSSIBILITY OF SUCH DAMAGE.
104  * ====================================================================
105  *
106  * This product includes cryptographic software written by Eric Young
107  * (eay@cryptsoft.com).  This product includes software written by Tim
108  * Hudson (tjh@cryptsoft.com).
109  *
110  */
111
112 #include <stdio.h>
113 #include <limits.h>
114 #include <errno.h>
115 #define USE_SOCKETS
116 #include "ssl_locl.h"
117 #include <openssl/evp.h>
118 #include <openssl/buffer.h>
119 #include <openssl/rand.h>
120
121 #ifndef  EVP_CIPH_FLAG_TLS1_1_MULTIBLOCK
122 # define EVP_CIPH_FLAG_TLS1_1_MULTIBLOCK 0
123 #endif
124
125 #if     defined(OPENSSL_SMALL_FOOTPRINT) || \
126         !(      defined(AES_ASM) &&     ( \
127                 defined(__x86_64)       || defined(__x86_64__)  || \
128                 defined(_M_AMD64)       || defined(_M_X64)      || \
129                 defined(__INTEL__)      ) \
130         )
131 # undef EVP_CIPH_FLAG_TLS1_1_MULTIBLOCK
132 # define EVP_CIPH_FLAG_TLS1_1_MULTIBLOCK 0
133 #endif
134
135 static int do_ssl3_write(SSL *s, int type, const unsigned char *buf,
136                          unsigned int len, int create_empty_fragment);
137 static int ssl3_get_record(SSL *s);
138
139 int ssl3_read_n(SSL *s, int n, int max, int extend)
140 {
141     /*
142      * If extend == 0, obtain new n-byte packet; if extend == 1, increase
143      * packet by another n bytes. The packet will be in the sub-array of
144      * s->s3->rbuf.buf specified by s->packet and s->packet_length. (If
145      * s->read_ahead is set, 'max' bytes may be stored in rbuf [plus
146      * s->packet_length bytes if extend == 1].)
147      */
148     int i, len, left;
149     long align = 0;
150     unsigned char *pkt;
151     SSL3_BUFFER *rb;
152
153     if (n <= 0)
154         return n;
155
156     rb = &(s->s3->rbuf);
157     if (rb->buf == NULL)
158         if (!ssl3_setup_read_buffer(s))
159             return -1;
160
161     left = rb->left;
162 #if defined(SSL3_ALIGN_PAYLOAD) && SSL3_ALIGN_PAYLOAD!=0
163     align = (long)rb->buf + SSL3_RT_HEADER_LENGTH;
164     align = (-align) & (SSL3_ALIGN_PAYLOAD - 1);
165 #endif
166
167     if (!extend) {
168         /* start with empty packet ... */
169         if (left == 0)
170             rb->offset = align;
171         else if (align != 0 && left >= SSL3_RT_HEADER_LENGTH) {
172             /*
173              * check if next packet length is large enough to justify payload
174              * alignment...
175              */
176             pkt = rb->buf + rb->offset;
177             if (pkt[0] == SSL3_RT_APPLICATION_DATA
178                 && (pkt[3] << 8 | pkt[4]) >= 128) {
179                 /*
180                  * Note that even if packet is corrupted and its length field
181                  * is insane, we can only be led to wrong decision about
182                  * whether memmove will occur or not. Header values has no
183                  * effect on memmove arguments and therefore no buffer
184                  * overrun can be triggered.
185                  */
186                 memmove(rb->buf + align, pkt, left);
187                 rb->offset = align;
188             }
189         }
190         s->packet = rb->buf + rb->offset;
191         s->packet_length = 0;
192         /* ... now we can act as if 'extend' was set */
193     }
194
195     /*
196      * For DTLS/UDP reads should not span multiple packets because the read
197      * operation returns the whole packet at once (as long as it fits into
198      * the buffer).
199      */
200     if (SSL_IS_DTLS(s)) {
201         if (left == 0 && extend)
202             return 0;
203         if (left > 0 && n > left)
204             n = left;
205     }
206
207     /* if there is enough in the buffer from a previous read, take some */
208     if (left >= n) {
209         s->packet_length += n;
210         rb->left = left - n;
211         rb->offset += n;
212         return (n);
213     }
214
215     /* else we need to read more data */
216
217     len = s->packet_length;
218     pkt = rb->buf + align;
219     /*
220      * Move any available bytes to front of buffer: 'len' bytes already
221      * pointed to by 'packet', 'left' extra ones at the end
222      */
223     if (s->packet != pkt) {     /* len > 0 */
224         memmove(pkt, s->packet, len + left);
225         s->packet = pkt;
226         rb->offset = len + align;
227     }
228
229     if (n > (int)(rb->len - rb->offset)) { /* does not happen */
230         SSLerr(SSL_F_SSL3_READ_N, ERR_R_INTERNAL_ERROR);
231         return -1;
232     }
233
234     /* We always act like read_ahead is set for DTLS */
235     if (!s->read_ahead && !SSL_IS_DTLS(s))
236         /* ignore max parameter */
237         max = n;
238     else {
239         if (max < n)
240             max = n;
241         if (max > (int)(rb->len - rb->offset))
242             max = rb->len - rb->offset;
243     }
244
245     while (left < n) {
246         /*
247          * Now we have len+left bytes at the front of s->s3->rbuf.buf and
248          * need to read in more until we have len+n (up to len+max if
249          * possible)
250          */
251
252         clear_sys_error();
253         if (s->rbio != NULL) {
254             s->rwstate = SSL_READING;
255             i = BIO_read(s->rbio, pkt + len + left, max - left);
256         } else {
257             SSLerr(SSL_F_SSL3_READ_N, SSL_R_READ_BIO_NOT_SET);
258             i = -1;
259         }
260
261         if (i <= 0) {
262             rb->left = left;
263             if (s->mode & SSL_MODE_RELEASE_BUFFERS && !SSL_IS_DTLS(s))
264                 if (len + left == 0)
265                     ssl3_release_read_buffer(s);
266             return (i);
267         }
268         left += i;
269         /*
270          * reads should *never* span multiple packets for DTLS because the
271          * underlying transport protocol is message oriented as opposed to
272          * byte oriented as in the TLS case.
273          */
274         if (SSL_IS_DTLS(s)) {
275             if (n > left)
276                 n = left;       /* makes the while condition false */
277         }
278     }
279
280     /* done reading, now the book-keeping */
281     rb->offset += n;
282     rb->left = left - n;
283     s->packet_length += n;
284     s->rwstate = SSL_NOTHING;
285     return (n);
286 }
287
288 /*
289  * MAX_EMPTY_RECORDS defines the number of consecutive, empty records that
290  * will be processed per call to ssl3_get_record. Without this limit an
291  * attacker could send empty records at a faster rate than we can process and
292  * cause ssl3_get_record to loop forever.
293  */
294 #define MAX_EMPTY_RECORDS 32
295
296 /*-
297  * Call this to get a new input record.
298  * It will return <= 0 if more data is needed, normally due to an error
299  * or non-blocking IO.
300  * When it finishes, one packet has been decoded and can be found in
301  * ssl->s3->rrec.type    - is the type of record
302  * ssl->s3->rrec.data,   - data
303  * ssl->s3->rrec.length, - number of bytes
304  */
305 /* used only by ssl3_read_bytes */
306 static int ssl3_get_record(SSL *s)
307 {
308     int ssl_major, ssl_minor, al;
309     int enc_err, n, i, ret = -1;
310     SSL3_RECORD *rr;
311     SSL_SESSION *sess;
312     unsigned char *p;
313     unsigned char md[EVP_MAX_MD_SIZE];
314     short version;
315     unsigned mac_size;
316     size_t extra;
317     unsigned empty_record_count = 0;
318
319     rr = &(s->s3->rrec);
320     sess = s->session;
321
322     if (s->options & SSL_OP_MICROSOFT_BIG_SSLV3_BUFFER)
323         extra = SSL3_RT_MAX_EXTRA;
324     else
325         extra = 0;
326     if (extra && !s->s3->init_extra) {
327         /*
328          * An application error: SLS_OP_MICROSOFT_BIG_SSLV3_BUFFER set after
329          * ssl3_setup_buffers() was done
330          */
331         SSLerr(SSL_F_SSL3_GET_RECORD, ERR_R_INTERNAL_ERROR);
332         return -1;
333     }
334
335  again:
336     /* check if we have the header */
337     if ((s->rstate != SSL_ST_READ_BODY) ||
338         (s->packet_length < SSL3_RT_HEADER_LENGTH)) {
339         n = ssl3_read_n(s, SSL3_RT_HEADER_LENGTH, s->s3->rbuf.len, 0);
340         if (n <= 0)
341             return (n);         /* error or non-blocking */
342         s->rstate = SSL_ST_READ_BODY;
343
344         p = s->packet;
345         if (s->msg_callback)
346             s->msg_callback(0, 0, SSL3_RT_HEADER, p, 5, s,
347                             s->msg_callback_arg);
348
349         /* Pull apart the header into the SSL3_RECORD */
350         rr->type = *(p++);
351         ssl_major = *(p++);
352         ssl_minor = *(p++);
353         version = (ssl_major << 8) | ssl_minor;
354         n2s(p, rr->length);
355 #if 0
356         fprintf(stderr, "Record type=%d, Length=%d\n", rr->type, rr->length);
357 #endif
358
359         /* Lets check version */
360         if (!s->first_packet) {
361             if (version != s->version) {
362                 SSLerr(SSL_F_SSL3_GET_RECORD, SSL_R_WRONG_VERSION_NUMBER);
363                 if ((s->version & 0xFF00) == (version & 0xFF00)
364                     && !s->enc_write_ctx && !s->write_hash)
365                     /*
366                      * Send back error using their minor version number :-)
367                      */
368                     s->version = (unsigned short)version;
369                 al = SSL_AD_PROTOCOL_VERSION;
370                 goto f_err;
371             }
372         }
373
374         if ((version >> 8) != SSL3_VERSION_MAJOR) {
375             SSLerr(SSL_F_SSL3_GET_RECORD, SSL_R_WRONG_VERSION_NUMBER);
376             goto err;
377         }
378
379         if (rr->length > s->s3->rbuf.len - SSL3_RT_HEADER_LENGTH) {
380             al = SSL_AD_RECORD_OVERFLOW;
381             SSLerr(SSL_F_SSL3_GET_RECORD, SSL_R_PACKET_LENGTH_TOO_LONG);
382             goto f_err;
383         }
384
385         /* now s->rstate == SSL_ST_READ_BODY */
386     }
387
388     /* s->rstate == SSL_ST_READ_BODY, get and decode the data */
389
390     if (rr->length > s->packet_length - SSL3_RT_HEADER_LENGTH) {
391         /* now s->packet_length == SSL3_RT_HEADER_LENGTH */
392         i = rr->length;
393         n = ssl3_read_n(s, i, i, 1);
394         if (n <= 0)
395             return (n);         /* error or non-blocking io */
396         /*
397          * now n == rr->length, and s->packet_length == SSL3_RT_HEADER_LENGTH
398          * + rr->length
399          */
400     }
401
402     s->rstate = SSL_ST_READ_HEADER; /* set state for later operations */
403
404     /*
405      * At this point, s->packet_length == SSL3_RT_HEADER_LNGTH + rr->length,
406      * and we have that many bytes in s->packet
407      */
408     rr->input = &(s->packet[SSL3_RT_HEADER_LENGTH]);
409
410     /*
411      * ok, we can now read from 's->packet' data into 'rr' rr->input points
412      * at rr->length bytes, which need to be copied into rr->data by either
413      * the decryption or by the decompression When the data is 'copied' into
414      * the rr->data buffer, rr->input will be pointed at the new buffer
415      */
416
417     /*
418      * We now have - encrypted [ MAC [ compressed [ plain ] ] ] rr->length
419      * bytes of encrypted compressed stuff.
420      */
421
422     /* check is not needed I believe */
423     if (rr->length > SSL3_RT_MAX_ENCRYPTED_LENGTH + extra) {
424         al = SSL_AD_RECORD_OVERFLOW;
425         SSLerr(SSL_F_SSL3_GET_RECORD, SSL_R_ENCRYPTED_LENGTH_TOO_LONG);
426         goto f_err;
427     }
428
429     /* decrypt in place in 'rr->input' */
430     rr->data = rr->input;
431     rr->orig_len = rr->length;
432     /*
433      * If in encrypt-then-mac mode calculate mac from encrypted record. All
434      * the details below are public so no timing details can leak.
435      */
436     if (SSL_USE_ETM(s) && s->read_hash) {
437         unsigned char *mac;
438         mac_size = EVP_MD_CTX_size(s->read_hash);
439         OPENSSL_assert(mac_size <= EVP_MAX_MD_SIZE);
440         if (rr->length < mac_size) {
441             al = SSL_AD_DECODE_ERROR;
442             SSLerr(SSL_F_SSL3_GET_RECORD, SSL_R_LENGTH_TOO_SHORT);
443             goto f_err;
444         }
445         rr->length -= mac_size;
446         mac = rr->data + rr->length;
447         i = s->method->ssl3_enc->mac(s, md, 0 /* not send */ );
448         if (i < 0 || CRYPTO_memcmp(md, mac, (size_t)mac_size) != 0) {
449             al = SSL_AD_BAD_RECORD_MAC;
450             SSLerr(SSL_F_SSL3_GET_RECORD,
451                    SSL_R_DECRYPTION_FAILED_OR_BAD_RECORD_MAC);
452             goto f_err;
453         }
454     }
455
456     enc_err = s->method->ssl3_enc->enc(s, 0);
457     /*-
458      * enc_err is:
459      *    0: (in non-constant time) if the record is publically invalid.
460      *    1: if the padding is valid
461      *    -1: if the padding is invalid
462      */
463     if (enc_err == 0) {
464         al = SSL_AD_DECRYPTION_FAILED;
465         SSLerr(SSL_F_SSL3_GET_RECORD, SSL_R_BLOCK_CIPHER_PAD_IS_WRONG);
466         goto f_err;
467     }
468 #ifdef TLS_DEBUG
469     printf("dec %d\n", rr->length);
470     {
471         unsigned int z;
472         for (z = 0; z < rr->length; z++)
473             printf("%02X%c", rr->data[z], ((z + 1) % 16) ? ' ' : '\n');
474     }
475     printf("\n");
476 #endif
477
478     /* r->length is now the compressed data plus mac */
479     if ((sess != NULL) &&
480         (s->enc_read_ctx != NULL) &&
481         (EVP_MD_CTX_md(s->read_hash) != NULL) && !SSL_USE_ETM(s)) {
482         /* s->read_hash != NULL => mac_size != -1 */
483         unsigned char *mac = NULL;
484         unsigned char mac_tmp[EVP_MAX_MD_SIZE];
485         mac_size = EVP_MD_CTX_size(s->read_hash);
486         OPENSSL_assert(mac_size <= EVP_MAX_MD_SIZE);
487
488         /*
489          * orig_len is the length of the record before any padding was
490          * removed. This is public information, as is the MAC in use,
491          * therefore we can safely process the record in a different amount
492          * of time if it's too short to possibly contain a MAC.
493          */
494         if (rr->orig_len < mac_size ||
495             /* CBC records must have a padding length byte too. */
496             (EVP_CIPHER_CTX_mode(s->enc_read_ctx) == EVP_CIPH_CBC_MODE &&
497              rr->orig_len < mac_size + 1)) {
498             al = SSL_AD_DECODE_ERROR;
499             SSLerr(SSL_F_SSL3_GET_RECORD, SSL_R_LENGTH_TOO_SHORT);
500             goto f_err;
501         }
502
503         if (EVP_CIPHER_CTX_mode(s->enc_read_ctx) == EVP_CIPH_CBC_MODE) {
504             /*
505              * We update the length so that the TLS header bytes can be
506              * constructed correctly but we need to extract the MAC in
507              * constant time from within the record, without leaking the
508              * contents of the padding bytes.
509              */
510             mac = mac_tmp;
511             ssl3_cbc_copy_mac(mac_tmp, rr, mac_size);
512             rr->length -= mac_size;
513         } else {
514             /*
515              * In this case there's no padding, so |rec->orig_len| equals
516              * |rec->length| and we checked that there's enough bytes for
517              * |mac_size| above.
518              */
519             rr->length -= mac_size;
520             mac = &rr->data[rr->length];
521         }
522
523         i = s->method->ssl3_enc->mac(s, md, 0 /* not send */ );
524         if (i < 0 || mac == NULL
525             || CRYPTO_memcmp(md, mac, (size_t)mac_size) != 0)
526             enc_err = -1;
527         if (rr->length > SSL3_RT_MAX_COMPRESSED_LENGTH + extra + mac_size)
528             enc_err = -1;
529     }
530
531     if (enc_err < 0) {
532         /*
533          * A separate 'decryption_failed' alert was introduced with TLS 1.0,
534          * SSL 3.0 only has 'bad_record_mac'.  But unless a decryption
535          * failure is directly visible from the ciphertext anyway, we should
536          * not reveal which kind of error occurred -- this might become
537          * visible to an attacker (e.g. via a logfile)
538          */
539         al = SSL_AD_BAD_RECORD_MAC;
540         SSLerr(SSL_F_SSL3_GET_RECORD,
541                SSL_R_DECRYPTION_FAILED_OR_BAD_RECORD_MAC);
542         goto f_err;
543     }
544
545     /* r->length is now just compressed */
546     if (s->expand != NULL) {
547         if (rr->length > SSL3_RT_MAX_COMPRESSED_LENGTH + extra) {
548             al = SSL_AD_RECORD_OVERFLOW;
549             SSLerr(SSL_F_SSL3_GET_RECORD, SSL_R_COMPRESSED_LENGTH_TOO_LONG);
550             goto f_err;
551         }
552         if (!ssl3_do_uncompress(s)) {
553             al = SSL_AD_DECOMPRESSION_FAILURE;
554             SSLerr(SSL_F_SSL3_GET_RECORD, SSL_R_BAD_DECOMPRESSION);
555             goto f_err;
556         }
557     }
558
559     if (rr->length > SSL3_RT_MAX_PLAIN_LENGTH + extra) {
560         al = SSL_AD_RECORD_OVERFLOW;
561         SSLerr(SSL_F_SSL3_GET_RECORD, SSL_R_DATA_LENGTH_TOO_LONG);
562         goto f_err;
563     }
564
565     rr->off = 0;
566     /*-
567      * So at this point the following is true
568      * ssl->s3->rrec.type   is the type of record
569      * ssl->s3->rrec.length == number of bytes in record
570      * ssl->s3->rrec.off    == offset to first valid byte
571      * ssl->s3->rrec.data   == where to take bytes from, increment
572      *                         after use :-).
573      */
574
575     /* we have pulled in a full packet so zero things */
576     s->packet_length = 0;
577
578     /* just read a 0 length packet */
579     if (rr->length == 0) {
580         empty_record_count++;
581         if (empty_record_count > MAX_EMPTY_RECORDS) {
582             al = SSL_AD_UNEXPECTED_MESSAGE;
583             SSLerr(SSL_F_SSL3_GET_RECORD, SSL_R_RECORD_TOO_SMALL);
584             goto f_err;
585         }
586         goto again;
587     }
588 #if 0
589     fprintf(stderr, "Ultimate Record type=%d, Length=%d\n", rr->type,
590             rr->length);
591 #endif
592
593     return (1);
594
595  f_err:
596     ssl3_send_alert(s, SSL3_AL_FATAL, al);
597  err:
598     return (ret);
599 }
600
601 int ssl3_do_uncompress(SSL *ssl)
602 {
603 #ifndef OPENSSL_NO_COMP
604     int i;
605     SSL3_RECORD *rr;
606
607     rr = &(ssl->s3->rrec);
608     i = COMP_expand_block(ssl->expand, rr->comp,
609                           SSL3_RT_MAX_PLAIN_LENGTH, rr->data,
610                           (int)rr->length);
611     if (i < 0)
612         return (0);
613     else
614         rr->length = i;
615     rr->data = rr->comp;
616 #endif
617     return (1);
618 }
619
620 int ssl3_do_compress(SSL *ssl)
621 {
622 #ifndef OPENSSL_NO_COMP
623     int i;
624     SSL3_RECORD *wr;
625
626     wr = &(ssl->s3->wrec);
627     i = COMP_compress_block(ssl->compress, wr->data,
628                             SSL3_RT_MAX_COMPRESSED_LENGTH,
629                             wr->input, (int)wr->length);
630     if (i < 0)
631         return (0);
632     else
633         wr->length = i;
634
635     wr->input = wr->data;
636 #endif
637     return (1);
638 }
639
640 /*
641  * Call this to write data in records of type 'type' It will return <= 0 if
642  * not all data has been sent or non-blocking IO.
643  */
644 int ssl3_write_bytes(SSL *s, int type, const void *buf_, int len)
645 {
646     const unsigned char *buf = buf_;
647     int tot;
648     unsigned int n, nw;
649 #if !defined(OPENSSL_NO_MULTIBLOCK) && EVP_CIPH_FLAG_TLS1_1_MULTIBLOCK
650     unsigned int max_send_fragment;
651 #endif
652     SSL3_BUFFER *wb = &(s->s3->wbuf);
653     int i;
654     unsigned int u_len = (unsigned int)len;
655
656     if (len < 0) {
657         SSLerr(SSL_F_SSL3_WRITE_BYTES, SSL_R_SSL_NEGATIVE_LENGTH);
658         return -1;
659     }
660
661     s->rwstate = SSL_NOTHING;
662     OPENSSL_assert(s->s3->wnum <= INT_MAX);
663     tot = s->s3->wnum;
664     s->s3->wnum = 0;
665
666     if (SSL_in_init(s) && !s->in_handshake) {
667         i = s->handshake_func(s);
668         if (i < 0)
669             return (i);
670         if (i == 0) {
671             SSLerr(SSL_F_SSL3_WRITE_BYTES, SSL_R_SSL_HANDSHAKE_FAILURE);
672             return -1;
673         }
674     }
675
676     /*
677      * ensure that if we end up with a smaller value of data to write out
678      * than the the original len from a write which didn't complete for
679      * non-blocking I/O and also somehow ended up avoiding the check for
680      * this in ssl3_write_pending/SSL_R_BAD_WRITE_RETRY as it must never be
681      * possible to end up with (len-tot) as a large number that will then
682      * promptly send beyond the end of the users buffer ... so we trap and
683      * report the error in a way the user will notice
684      */
685     if (len < tot) {
686         SSLerr(SSL_F_SSL3_WRITE_BYTES, SSL_R_BAD_LENGTH);
687         return (-1);
688     }
689
690     /*
691      * first check if there is a SSL3_BUFFER still being written out.  This
692      * will happen with non blocking IO
693      */
694     if (wb->left != 0) {
695         i = ssl3_write_pending(s, type, &buf[tot], s->s3->wpend_tot);
696         if (i <= 0) {
697             /* XXX should we ssl3_release_write_buffer if i<0? */
698             s->s3->wnum = tot;
699             return i;
700         }
701         tot += i;               /* this might be last fragment */
702     }
703 #if !defined(OPENSSL_NO_MULTIBLOCK) && EVP_CIPH_FLAG_TLS1_1_MULTIBLOCK
704     /*
705      * Depending on platform multi-block can deliver several *times*
706      * better performance. Downside is that it has to allocate
707      * jumbo buffer to accomodate up to 8 records, but the
708      * compromise is considered worthy.
709      */
710     if (type == SSL3_RT_APPLICATION_DATA &&
711         u_len >= 4 * (max_send_fragment = s->max_send_fragment) &&
712         s->compress == NULL && s->msg_callback == NULL &&
713         !SSL_USE_ETM(s) && SSL_USE_EXPLICIT_IV(s) &&
714         EVP_CIPHER_flags(s->enc_write_ctx->cipher) &
715         EVP_CIPH_FLAG_TLS1_1_MULTIBLOCK) {
716         unsigned char aad[13];
717         EVP_CTRL_TLS1_1_MULTIBLOCK_PARAM mb_param;
718         int packlen;
719
720         /* minimize address aliasing conflicts */
721         if ((max_send_fragment & 0xfff) == 0)
722             max_send_fragment -= 512;
723
724         if (tot == 0 || wb->buf == NULL) { /* allocate jumbo buffer */
725             ssl3_release_write_buffer(s);
726
727             packlen = EVP_CIPHER_CTX_ctrl(s->enc_write_ctx,
728                                           EVP_CTRL_TLS1_1_MULTIBLOCK_MAX_BUFSIZE,
729                                           max_send_fragment, NULL);
730
731             if (u_len >= 8 * max_send_fragment)
732                 packlen *= 8;
733             else
734                 packlen *= 4;
735
736             wb->buf = OPENSSL_malloc(packlen);
737             wb->len = packlen;
738         } else if (tot == len) { /* done? */
739             OPENSSL_free(wb->buf); /* free jumbo buffer */
740             wb->buf = NULL;
741             return tot;
742         }
743
744         n = (len - tot);
745         for (;;) {
746             if (n < 4 * max_send_fragment) {
747                 OPENSSL_free(wb->buf); /* free jumbo buffer */
748                 wb->buf = NULL;
749                 break;
750             }
751
752             if (s->s3->alert_dispatch) {
753                 i = s->method->ssl_dispatch_alert(s);
754                 if (i <= 0) {
755                     s->s3->wnum = tot;
756                     return i;
757                 }
758             }
759
760             if (n >= 8 * max_send_fragment)
761                 nw = max_send_fragment * (mb_param.interleave = 8);
762             else
763                 nw = max_send_fragment * (mb_param.interleave = 4);
764
765             memcpy(aad, s->s3->write_sequence, 8);
766             aad[8] = type;
767             aad[9] = (unsigned char)(s->version >> 8);
768             aad[10] = (unsigned char)(s->version);
769             aad[11] = 0;
770             aad[12] = 0;
771             mb_param.out = NULL;
772             mb_param.inp = aad;
773             mb_param.len = nw;
774
775             packlen = EVP_CIPHER_CTX_ctrl(s->enc_write_ctx,
776                                           EVP_CTRL_TLS1_1_MULTIBLOCK_AAD,
777                                           sizeof(mb_param), &mb_param);
778
779             if (packlen <= 0 || packlen > (int)wb->len) { /* never happens */
780                 OPENSSL_free(wb->buf); /* free jumbo buffer */
781                 wb->buf = NULL;
782                 break;
783             }
784
785             mb_param.out = wb->buf;
786             mb_param.inp = &buf[tot];
787             mb_param.len = nw;
788
789             if (EVP_CIPHER_CTX_ctrl(s->enc_write_ctx,
790                                     EVP_CTRL_TLS1_1_MULTIBLOCK_ENCRYPT,
791                                     sizeof(mb_param), &mb_param) <= 0)
792                 return -1;
793
794             s->s3->write_sequence[7] += mb_param.interleave;
795             if (s->s3->write_sequence[7] < mb_param.interleave) {
796                 int j = 6;
797                 while (j >= 0 && (++s->s3->write_sequence[j--]) == 0) ;
798             }
799
800             wb->offset = 0;
801             wb->left = packlen;
802
803             s->s3->wpend_tot = nw;
804             s->s3->wpend_buf = &buf[tot];
805             s->s3->wpend_type = type;
806             s->s3->wpend_ret = nw;
807
808             i = ssl3_write_pending(s, type, &buf[tot], nw);
809             if (i <= 0) {
810                 if (i < 0) {
811                     OPENSSL_free(wb->buf);
812                     wb->buf = NULL;
813                 }
814                 s->s3->wnum = tot;
815                 return i;
816             }
817             if (i == (int)n) {
818                 OPENSSL_free(wb->buf); /* free jumbo buffer */
819                 wb->buf = NULL;
820                 return tot + i;
821             }
822             n -= i;
823             tot += i;
824         }
825     } else
826 #endif
827     if (tot == len) {           /* done? */
828         if (s->mode & SSL_MODE_RELEASE_BUFFERS && !SSL_IS_DTLS(s))
829             ssl3_release_write_buffer(s);
830
831         return tot;
832     }
833
834     n = (len - tot);
835     for (;;) {
836         if (n > s->max_send_fragment)
837             nw = s->max_send_fragment;
838         else
839             nw = n;
840
841         i = do_ssl3_write(s, type, &(buf[tot]), nw, 0);
842         if (i <= 0) {
843             /* XXX should we ssl3_release_write_buffer if i<0? */
844             s->s3->wnum = tot;
845             return i;
846         }
847
848         if ((i == (int)n) ||
849             (type == SSL3_RT_APPLICATION_DATA &&
850              (s->mode & SSL_MODE_ENABLE_PARTIAL_WRITE))) {
851             /*
852              * next chunk of data should get another prepended empty fragment
853              * in ciphersuites with known-IV weakness:
854              */
855             s->s3->empty_fragment_done = 0;
856
857             if ((i == (int)n) && s->mode & SSL_MODE_RELEASE_BUFFERS &&
858                 !SSL_IS_DTLS(s))
859                 ssl3_release_write_buffer(s);
860
861             return tot + i;
862         }
863
864         n -= i;
865         tot += i;
866     }
867 }
868
869 static int do_ssl3_write(SSL *s, int type, const unsigned char *buf,
870                          unsigned int len, int create_empty_fragment)
871 {
872     unsigned char *p, *plen;
873     int i, mac_size, clear = 0;
874     int prefix_len = 0;
875     int eivlen;
876     long align = 0;
877     SSL3_RECORD *wr;
878     SSL3_BUFFER *wb = &(s->s3->wbuf);
879     SSL_SESSION *sess;
880
881     /*
882      * first check if there is a SSL3_BUFFER still being written out.  This
883      * will happen with non blocking IO
884      */
885     if (wb->left != 0)
886         return (ssl3_write_pending(s, type, buf, len));
887
888     /* If we have an alert to send, lets send it */
889     if (s->s3->alert_dispatch) {
890         i = s->method->ssl_dispatch_alert(s);
891         if (i <= 0)
892             return (i);
893         /* if it went, fall through and send more stuff */
894     }
895
896     if (wb->buf == NULL)
897         if (!ssl3_setup_write_buffer(s))
898             return -1;
899
900     if (len == 0 && !create_empty_fragment)
901         return 0;
902
903     wr = &(s->s3->wrec);
904     sess = s->session;
905
906     if ((sess == NULL) ||
907         (s->enc_write_ctx == NULL) ||
908         (EVP_MD_CTX_md(s->write_hash) == NULL)) {
909         clear = s->enc_write_ctx ? 0 : 1; /* must be AEAD cipher */
910         mac_size = 0;
911     } else {
912         mac_size = EVP_MD_CTX_size(s->write_hash);
913         if (mac_size < 0)
914             goto err;
915     }
916
917 #if 0 && !defined(OPENSSL_NO_MULTIBLOCK) && EVP_CIPH_FLAG_TLS1_1_MULTIBLOCK
918     if (type == SSL3_RT_APPLICATION_DATA && s->compress == NULL &&
919         !SSL_USE_ETM(s) && SSL_USE_EXPLICIT_IV(s) &&
920         EVP_CIPHER_flags(s->enc_write_ctx->cipher) &
921         EVP_CIPH_FLAG_TLS1_1_MULTIBLOCK)
922         do {
923             unsigned char aad[13];
924             EVP_CTRL_TLS1_1_MULTIBLOCK_PARAM mb_param =
925                 { NULL, aad, sizeof(aad), 0 };
926             int packlen;
927
928             memcpy(aad, s->s3->write_sequence, 8);
929             aad[8] = type;
930             aad[9] = (unsigned char)(s->version >> 8);
931             aad[10] = (unsigned char)(s->version);
932             aad[11] = (unsigned char)(len >> 8);
933             aad[12] = (unsigned char)len;
934             packlen = EVP_CIPHER_CTX_ctrl(s->enc_write_ctx,
935                                           EVP_CTRL_TLS1_1_MULTIBLOCK_AAD,
936                                           sizeof(mb_param), &mb_param);
937
938             if (packlen == 0 || packlen > wb->len)
939                 break;
940
941             mb_param.out = wb->buf;
942             mb_param.inp = buf;
943             mb_param.len = len;
944             EVP_CIPHER_CTX_ctrl(s->enc_write_ctx,
945                                 EVP_CTRL_TLS1_1_MULTIBLOCK_ENCRYPT,
946                                 sizeof(mb_param), &mb_param);
947
948             s->s3->write_sequence[7] += mb_param.interleave;
949             if (s->s3->write_sequence[7] < mb_param.interleave) {
950                 int j = 6;
951                 while (j >= 0 && (++s->s3->write_sequence[j--]) == 0) ;
952             }
953
954             wb->offset = 0;
955             wb->left = packlen;
956
957             /*
958              * memorize arguments so that ssl3_write_pending can detect bad
959              * write retries later
960              */
961             s->s3->wpend_tot = len;
962             s->s3->wpend_buf = buf;
963             s->s3->wpend_type = type;
964             s->s3->wpend_ret = len;
965
966             /* we now just need to write the buffer */
967             return ssl3_write_pending(s, type, buf, len);
968         } while (0);
969 #endif
970
971     /*
972      * 'create_empty_fragment' is true only when this function calls itself
973      */
974     if (!clear && !create_empty_fragment && !s->s3->empty_fragment_done) {
975         /*
976          * countermeasure against known-IV weakness in CBC ciphersuites (see
977          * http://www.openssl.org/~bodo/tls-cbc.txt)
978          */
979
980         if (s->s3->need_empty_fragments && type == SSL3_RT_APPLICATION_DATA) {
981             /*
982              * recursive function call with 'create_empty_fragment' set; this
983              * prepares and buffers the data for an empty fragment (these
984              * 'prefix_len' bytes are sent out later together with the actual
985              * payload)
986              */
987             prefix_len = do_ssl3_write(s, type, buf, 0, 1);
988             if (prefix_len <= 0)
989                 goto err;
990
991             if (prefix_len >
992                 (SSL3_RT_HEADER_LENGTH + SSL3_RT_SEND_MAX_ENCRYPTED_OVERHEAD))
993             {
994                 /* insufficient space */
995                 SSLerr(SSL_F_DO_SSL3_WRITE, ERR_R_INTERNAL_ERROR);
996                 goto err;
997             }
998         }
999
1000         s->s3->empty_fragment_done = 1;
1001     }
1002
1003     if (create_empty_fragment) {
1004 #if defined(SSL3_ALIGN_PAYLOAD) && SSL3_ALIGN_PAYLOAD!=0
1005         /*
1006          * extra fragment would be couple of cipher blocks, which would be
1007          * multiple of SSL3_ALIGN_PAYLOAD, so if we want to align the real
1008          * payload, then we can just pretent we simply have two headers.
1009          */
1010         align = (long)wb->buf + 2 * SSL3_RT_HEADER_LENGTH;
1011         align = (-align) & (SSL3_ALIGN_PAYLOAD - 1);
1012 #endif
1013         p = wb->buf + align;
1014         wb->offset = align;
1015     } else if (prefix_len) {
1016         p = wb->buf + wb->offset + prefix_len;
1017     } else {
1018 #if defined(SSL3_ALIGN_PAYLOAD) && SSL3_ALIGN_PAYLOAD!=0
1019         align = (long)wb->buf + SSL3_RT_HEADER_LENGTH;
1020         align = (-align) & (SSL3_ALIGN_PAYLOAD - 1);
1021 #endif
1022         p = wb->buf + align;
1023         wb->offset = align;
1024     }
1025
1026     /* write the header */
1027
1028     *(p++) = type & 0xff;
1029     wr->type = type;
1030
1031     *(p++) = (s->version >> 8);
1032     /*
1033      * Some servers hang if iniatial client hello is larger than 256 bytes
1034      * and record version number > TLS 1.0
1035      */
1036     if (s->state == SSL3_ST_CW_CLNT_HELLO_B
1037         && !s->renegotiate && TLS1_get_version(s) > TLS1_VERSION)
1038         *(p++) = 0x1;
1039     else
1040         *(p++) = s->version & 0xff;
1041
1042     /* field where we are to write out packet length */
1043     plen = p;
1044     p += 2;
1045     /* Explicit IV length, block ciphers appropriate version flag */
1046     if (s->enc_write_ctx && SSL_USE_EXPLICIT_IV(s)) {
1047         int mode = EVP_CIPHER_CTX_mode(s->enc_write_ctx);
1048         if (mode == EVP_CIPH_CBC_MODE) {
1049             eivlen = EVP_CIPHER_CTX_iv_length(s->enc_write_ctx);
1050             if (eivlen <= 1)
1051                 eivlen = 0;
1052         }
1053         /* Need explicit part of IV for GCM mode */
1054         else if (mode == EVP_CIPH_GCM_MODE)
1055             eivlen = EVP_GCM_TLS_EXPLICIT_IV_LEN;
1056         else
1057             eivlen = 0;
1058     } else
1059         eivlen = 0;
1060
1061     /* lets setup the record stuff. */
1062     wr->data = p + eivlen;
1063     wr->length = (int)len;
1064     wr->input = (unsigned char *)buf;
1065
1066     /*
1067      * we now 'read' from wr->input, wr->length bytes into wr->data
1068      */
1069
1070     /* first we compress */
1071     if (s->compress != NULL) {
1072         if (!ssl3_do_compress(s)) {
1073             SSLerr(SSL_F_DO_SSL3_WRITE, SSL_R_COMPRESSION_FAILURE);
1074             goto err;
1075         }
1076     } else {
1077         memcpy(wr->data, wr->input, wr->length);
1078         wr->input = wr->data;
1079     }
1080
1081     /*
1082      * we should still have the output to wr->data and the input from
1083      * wr->input.  Length should be wr->length. wr->data still points in the
1084      * wb->buf
1085      */
1086
1087     if (!SSL_USE_ETM(s) && mac_size != 0) {
1088         if (s->method->ssl3_enc->mac(s, &(p[wr->length + eivlen]), 1) < 0)
1089             goto err;
1090         wr->length += mac_size;
1091     }
1092
1093     wr->input = p;
1094     wr->data = p;
1095
1096     if (eivlen) {
1097         /*
1098          * if (RAND_pseudo_bytes(p, eivlen) <= 0) goto err;
1099          */
1100         wr->length += eivlen;
1101     }
1102
1103     if (s->method->ssl3_enc->enc(s, 1) < 1)
1104         goto err;
1105
1106     if (SSL_USE_ETM(s) && mac_size != 0) {
1107         if (s->method->ssl3_enc->mac(s, p + wr->length, 1) < 0)
1108             goto err;
1109         wr->length += mac_size;
1110     }
1111
1112     /* record length after mac and block padding */
1113     s2n(wr->length, plen);
1114
1115     if (s->msg_callback)
1116         s->msg_callback(1, 0, SSL3_RT_HEADER, plen - 5, 5, s,
1117                         s->msg_callback_arg);
1118
1119     /*
1120      * we should now have wr->data pointing to the encrypted data, which is
1121      * wr->length long
1122      */
1123     wr->type = type;            /* not needed but helps for debugging */
1124     wr->length += SSL3_RT_HEADER_LENGTH;
1125
1126     if (create_empty_fragment) {
1127         /*
1128          * we are in a recursive call; just return the length, don't write
1129          * out anything here
1130          */
1131         return wr->length;
1132     }
1133
1134     /* now let's set up wb */
1135     wb->left = prefix_len + wr->length;
1136
1137     /*
1138      * memorize arguments so that ssl3_write_pending can detect bad write
1139      * retries later
1140      */
1141     s->s3->wpend_tot = len;
1142     s->s3->wpend_buf = buf;
1143     s->s3->wpend_type = type;
1144     s->s3->wpend_ret = len;
1145
1146     /* we now just need to write the buffer */
1147     return ssl3_write_pending(s, type, buf, len);
1148  err:
1149     return -1;
1150 }
1151
1152 /* if s->s3->wbuf.left != 0, we need to call this */
1153 int ssl3_write_pending(SSL *s, int type, const unsigned char *buf,
1154                        unsigned int len)
1155 {
1156     int i;
1157     SSL3_BUFFER *wb = &(s->s3->wbuf);
1158
1159 /* XXXX */
1160     if ((s->s3->wpend_tot > (int)len)
1161         || ((s->s3->wpend_buf != buf) &&
1162             !(s->mode & SSL_MODE_ACCEPT_MOVING_WRITE_BUFFER))
1163         || (s->s3->wpend_type != type)) {
1164         SSLerr(SSL_F_SSL3_WRITE_PENDING, SSL_R_BAD_WRITE_RETRY);
1165         return (-1);
1166     }
1167
1168     for (;;) {
1169         clear_sys_error();
1170         if (s->wbio != NULL) {
1171             s->rwstate = SSL_WRITING;
1172             i = BIO_write(s->wbio,
1173                           (char *)&(wb->buf[wb->offset]),
1174                           (unsigned int)wb->left);
1175         } else {
1176             SSLerr(SSL_F_SSL3_WRITE_PENDING, SSL_R_BIO_NOT_SET);
1177             i = -1;
1178         }
1179         if (i == wb->left) {
1180             wb->left = 0;
1181             wb->offset += i;
1182             s->rwstate = SSL_NOTHING;
1183             return (s->s3->wpend_ret);
1184         } else if (i <= 0) {
1185             if (s->version == DTLS1_VERSION || s->version == DTLS1_BAD_VER) {
1186                 /*
1187                  * For DTLS, just drop it. That's kind of the whole point in
1188                  * using a datagram service
1189                  */
1190                 wb->left = 0;
1191             }
1192             return (i);
1193         }
1194         wb->offset += i;
1195         wb->left -= i;
1196     }
1197 }
1198
1199 /*-
1200  * Return up to 'len' payload bytes received in 'type' records.
1201  * 'type' is one of the following:
1202  *
1203  *   -  SSL3_RT_HANDSHAKE (when ssl3_get_message calls us)
1204  *   -  SSL3_RT_APPLICATION_DATA (when ssl3_read calls us)
1205  *   -  0 (during a shutdown, no data has to be returned)
1206  *
1207  * If we don't have stored data to work from, read a SSL/TLS record first
1208  * (possibly multiple records if we still don't have anything to return).
1209  *
1210  * This function must handle any surprises the peer may have for us, such as
1211  * Alert records (e.g. close_notify), ChangeCipherSpec records (not really
1212  * a surprise, but handled as if it were), or renegotiation requests.
1213  * Also if record payloads contain fragments too small to process, we store
1214  * them until there is enough for the respective protocol (the record protocol
1215  * may use arbitrary fragmentation and even interleaving):
1216  *     Change cipher spec protocol
1217  *             just 1 byte needed, no need for keeping anything stored
1218  *     Alert protocol
1219  *             2 bytes needed (AlertLevel, AlertDescription)
1220  *     Handshake protocol
1221  *             4 bytes needed (HandshakeType, uint24 length) -- we just have
1222  *             to detect unexpected Client Hello and Hello Request messages
1223  *             here, anything else is handled by higher layers
1224  *     Application data protocol
1225  *             none of our business
1226  */
1227 int ssl3_read_bytes(SSL *s, int type, unsigned char *buf, int len, int peek)
1228 {
1229     int al, i, j, ret;
1230     unsigned int n;
1231     SSL3_RECORD *rr;
1232     void (*cb) (const SSL *ssl, int type2, int val) = NULL;
1233
1234     if (s->s3->rbuf.buf == NULL) /* Not initialized yet */
1235         if (!ssl3_setup_read_buffer(s))
1236             return (-1);
1237
1238     if ((type && (type != SSL3_RT_APPLICATION_DATA)
1239          && (type != SSL3_RT_HANDSHAKE)) || (peek
1240                                              && (type !=
1241                                                  SSL3_RT_APPLICATION_DATA))) {
1242         SSLerr(SSL_F_SSL3_READ_BYTES, ERR_R_INTERNAL_ERROR);
1243         return -1;
1244     }
1245
1246     if ((type == SSL3_RT_HANDSHAKE) && (s->s3->handshake_fragment_len > 0))
1247         /* (partially) satisfy request from storage */
1248     {
1249         unsigned char *src = s->s3->handshake_fragment;
1250         unsigned char *dst = buf;
1251         unsigned int k;
1252
1253         /* peek == 0 */
1254         n = 0;
1255         while ((len > 0) && (s->s3->handshake_fragment_len > 0)) {
1256             *dst++ = *src++;
1257             len--;
1258             s->s3->handshake_fragment_len--;
1259             n++;
1260         }
1261         /* move any remaining fragment bytes: */
1262         for (k = 0; k < s->s3->handshake_fragment_len; k++)
1263             s->s3->handshake_fragment[k] = *src++;
1264         return n;
1265     }
1266
1267     /*
1268      * Now s->s3->handshake_fragment_len == 0 if type == SSL3_RT_HANDSHAKE.
1269      */
1270
1271     if (!s->in_handshake && SSL_in_init(s)) {
1272         /* type == SSL3_RT_APPLICATION_DATA */
1273         i = s->handshake_func(s);
1274         if (i < 0)
1275             return (i);
1276         if (i == 0) {
1277             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_SSL_HANDSHAKE_FAILURE);
1278             return (-1);
1279         }
1280     }
1281  start:
1282     s->rwstate = SSL_NOTHING;
1283
1284     /*-
1285      * s->s3->rrec.type         - is the type of record
1286      * s->s3->rrec.data,    - data
1287      * s->s3->rrec.off,     - offset into 'data' for next read
1288      * s->s3->rrec.length,  - number of bytes.
1289      */
1290     rr = &(s->s3->rrec);
1291
1292     /* get new packet if necessary */
1293     if ((rr->length == 0) || (s->rstate == SSL_ST_READ_BODY)) {
1294         ret = ssl3_get_record(s);
1295         if (ret <= 0)
1296             return (ret);
1297     }
1298
1299     /* we now have a packet which can be read and processed */
1300
1301     if (s->s3->change_cipher_spec /* set when we receive ChangeCipherSpec,
1302                                    * reset by ssl3_get_finished */
1303         && (rr->type != SSL3_RT_HANDSHAKE)) {
1304         al = SSL_AD_UNEXPECTED_MESSAGE;
1305         SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_DATA_BETWEEN_CCS_AND_FINISHED);
1306         goto f_err;
1307     }
1308
1309     /*
1310      * If the other end has shut down, throw anything we read away (even in
1311      * 'peek' mode)
1312      */
1313     if (s->shutdown & SSL_RECEIVED_SHUTDOWN) {
1314         rr->length = 0;
1315         s->rwstate = SSL_NOTHING;
1316         return (0);
1317     }
1318
1319     if (type == rr->type) {     /* SSL3_RT_APPLICATION_DATA or
1320                                  * SSL3_RT_HANDSHAKE */
1321         /*
1322          * make sure that we are not getting application data when we are
1323          * doing a handshake for the first time
1324          */
1325         if (SSL_in_init(s) && (type == SSL3_RT_APPLICATION_DATA) &&
1326             (s->enc_read_ctx == NULL)) {
1327             al = SSL_AD_UNEXPECTED_MESSAGE;
1328             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_APP_DATA_IN_HANDSHAKE);
1329             goto f_err;
1330         }
1331
1332         if (len <= 0)
1333             return (len);
1334
1335         if ((unsigned int)len > rr->length)
1336             n = rr->length;
1337         else
1338             n = (unsigned int)len;
1339
1340         memcpy(buf, &(rr->data[rr->off]), n);
1341         if (!peek) {
1342             rr->length -= n;
1343             rr->off += n;
1344             if (rr->length == 0) {
1345                 s->rstate = SSL_ST_READ_HEADER;
1346                 rr->off = 0;
1347                 if (s->mode & SSL_MODE_RELEASE_BUFFERS
1348                     && s->s3->rbuf.left == 0)
1349                     ssl3_release_read_buffer(s);
1350             }
1351         }
1352         return (n);
1353     }
1354
1355     /*
1356      * If we get here, then type != rr->type; if we have a handshake message,
1357      * then it was unexpected (Hello Request or Client Hello).
1358      */
1359
1360     /*
1361      * In case of record types for which we have 'fragment' storage, fill
1362      * that so that we can process the data at a fixed place.
1363      */
1364     {
1365         unsigned int dest_maxlen = 0;
1366         unsigned char *dest = NULL;
1367         unsigned int *dest_len = NULL;
1368
1369         if (rr->type == SSL3_RT_HANDSHAKE) {
1370             dest_maxlen = sizeof s->s3->handshake_fragment;
1371             dest = s->s3->handshake_fragment;
1372             dest_len = &s->s3->handshake_fragment_len;
1373         } else if (rr->type == SSL3_RT_ALERT) {
1374             dest_maxlen = sizeof s->s3->alert_fragment;
1375             dest = s->s3->alert_fragment;
1376             dest_len = &s->s3->alert_fragment_len;
1377         }
1378 #ifndef OPENSSL_NO_HEARTBEATS
1379         else if (rr->type == TLS1_RT_HEARTBEAT) {
1380             tls1_process_heartbeat(s);
1381
1382             /* Exit and notify application to read again */
1383             rr->length = 0;
1384             s->rwstate = SSL_READING;
1385             BIO_clear_retry_flags(SSL_get_rbio(s));
1386             BIO_set_retry_read(SSL_get_rbio(s));
1387             return (-1);
1388         }
1389 #endif
1390
1391         if (dest_maxlen > 0) {
1392             n = dest_maxlen - *dest_len; /* available space in 'dest' */
1393             if (rr->length < n)
1394                 n = rr->length; /* available bytes */
1395
1396             /* now move 'n' bytes: */
1397             while (n-- > 0) {
1398                 dest[(*dest_len)++] = rr->data[rr->off++];
1399                 rr->length--;
1400             }
1401
1402             if (*dest_len < dest_maxlen)
1403                 goto start;     /* fragment was too small */
1404         }
1405     }
1406
1407     /*-
1408      * s->s3->handshake_fragment_len == 4  iff  rr->type == SSL3_RT_HANDSHAKE;
1409      * s->s3->alert_fragment_len == 2      iff  rr->type == SSL3_RT_ALERT.
1410      * (Possibly rr is 'empty' now, i.e. rr->length may be 0.)
1411      */
1412
1413     /* If we are a client, check for an incoming 'Hello Request': */
1414     if ((!s->server) &&
1415         (s->s3->handshake_fragment_len >= 4) &&
1416         (s->s3->handshake_fragment[0] == SSL3_MT_HELLO_REQUEST) &&
1417         (s->session != NULL) && (s->session->cipher != NULL)) {
1418         s->s3->handshake_fragment_len = 0;
1419
1420         if ((s->s3->handshake_fragment[1] != 0) ||
1421             (s->s3->handshake_fragment[2] != 0) ||
1422             (s->s3->handshake_fragment[3] != 0)) {
1423             al = SSL_AD_DECODE_ERROR;
1424             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_BAD_HELLO_REQUEST);
1425             goto f_err;
1426         }
1427
1428         if (s->msg_callback)
1429             s->msg_callback(0, s->version, SSL3_RT_HANDSHAKE,
1430                             s->s3->handshake_fragment, 4, s,
1431                             s->msg_callback_arg);
1432
1433         if (SSL_is_init_finished(s) &&
1434             !(s->s3->flags & SSL3_FLAGS_NO_RENEGOTIATE_CIPHERS) &&
1435             !s->s3->renegotiate) {
1436             ssl3_renegotiate(s);
1437             if (ssl3_renegotiate_check(s)) {
1438                 i = s->handshake_func(s);
1439                 if (i < 0)
1440                     return (i);
1441                 if (i == 0) {
1442                     SSLerr(SSL_F_SSL3_READ_BYTES,
1443                            SSL_R_SSL_HANDSHAKE_FAILURE);
1444                     return (-1);
1445                 }
1446
1447                 if (!(s->mode & SSL_MODE_AUTO_RETRY)) {
1448                     if (s->s3->rbuf.left == 0) { /* no read-ahead left? */
1449                         BIO *bio;
1450                         /*
1451                          * In the case where we try to read application data,
1452                          * but we trigger an SSL handshake, we return -1 with
1453                          * the retry option set.  Otherwise renegotiation may
1454                          * cause nasty problems in the blocking world
1455                          */
1456                         s->rwstate = SSL_READING;
1457                         bio = SSL_get_rbio(s);
1458                         BIO_clear_retry_flags(bio);
1459                         BIO_set_retry_read(bio);
1460                         return (-1);
1461                     }
1462                 }
1463             }
1464         }
1465         /*
1466          * we either finished a handshake or ignored the request, now try
1467          * again to obtain the (application) data we were asked for
1468          */
1469         goto start;
1470     }
1471     /*
1472      * If we are a server and get a client hello when renegotiation isn't
1473      * allowed send back a no renegotiation alert and carry on. WARNING:
1474      * experimental code, needs reviewing (steve)
1475      */
1476     if (s->server &&
1477         SSL_is_init_finished(s) &&
1478         !s->s3->send_connection_binding &&
1479         (s->version > SSL3_VERSION) &&
1480         (s->s3->handshake_fragment_len >= 4) &&
1481         (s->s3->handshake_fragment[0] == SSL3_MT_CLIENT_HELLO) &&
1482         (s->session != NULL) && (s->session->cipher != NULL) &&
1483         !(s->ctx->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
1484         /*
1485          * s->s3->handshake_fragment_len = 0;
1486          */
1487         rr->length = 0;
1488         ssl3_send_alert(s, SSL3_AL_WARNING, SSL_AD_NO_RENEGOTIATION);
1489         goto start;
1490     }
1491     if (s->s3->alert_fragment_len >= 2) {
1492         int alert_level = s->s3->alert_fragment[0];
1493         int alert_descr = s->s3->alert_fragment[1];
1494
1495         s->s3->alert_fragment_len = 0;
1496
1497         if (s->msg_callback)
1498             s->msg_callback(0, s->version, SSL3_RT_ALERT,
1499                             s->s3->alert_fragment, 2, s, s->msg_callback_arg);
1500
1501         if (s->info_callback != NULL)
1502             cb = s->info_callback;
1503         else if (s->ctx->info_callback != NULL)
1504             cb = s->ctx->info_callback;
1505
1506         if (cb != NULL) {
1507             j = (alert_level << 8) | alert_descr;
1508             cb(s, SSL_CB_READ_ALERT, j);
1509         }
1510
1511         if (alert_level == 1) { /* warning */
1512             s->s3->warn_alert = alert_descr;
1513             if (alert_descr == SSL_AD_CLOSE_NOTIFY) {
1514                 s->shutdown |= SSL_RECEIVED_SHUTDOWN;
1515                 return (0);
1516             }
1517             /*
1518              * This is a warning but we receive it if we requested
1519              * renegotiation and the peer denied it. Terminate with a fatal
1520              * alert because if application tried to renegotiatie it
1521              * presumably had a good reason and expects it to succeed. In
1522              * future we might have a renegotiation where we don't care if
1523              * the peer refused it where we carry on.
1524              */
1525             else if (alert_descr == SSL_AD_NO_RENEGOTIATION) {
1526                 al = SSL_AD_HANDSHAKE_FAILURE;
1527                 SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_NO_RENEGOTIATION);
1528                 goto f_err;
1529             }
1530 #ifdef SSL_AD_MISSING_SRP_USERNAME
1531             else if (alert_descr == SSL_AD_MISSING_SRP_USERNAME)
1532                 return (0);
1533 #endif
1534         } else if (alert_level == 2) { /* fatal */
1535             char tmp[16];
1536
1537             s->rwstate = SSL_NOTHING;
1538             s->s3->fatal_alert = alert_descr;
1539             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_AD_REASON_OFFSET + alert_descr);
1540             BIO_snprintf(tmp, sizeof tmp, "%d", alert_descr);
1541             ERR_add_error_data(2, "SSL alert number ", tmp);
1542             s->shutdown |= SSL_RECEIVED_SHUTDOWN;
1543             SSL_CTX_remove_session(s->ctx, s->session);
1544             return (0);
1545         } else {
1546             al = SSL_AD_ILLEGAL_PARAMETER;
1547             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_UNKNOWN_ALERT_TYPE);
1548             goto f_err;
1549         }
1550
1551         goto start;
1552     }
1553
1554     if (s->shutdown & SSL_SENT_SHUTDOWN) { /* but we have not received a
1555                                             * shutdown */
1556         s->rwstate = SSL_NOTHING;
1557         rr->length = 0;
1558         return (0);
1559     }
1560
1561     if (rr->type == SSL3_RT_CHANGE_CIPHER_SPEC) {
1562         /*
1563          * 'Change Cipher Spec' is just a single byte, so we know exactly
1564          * what the record payload has to look like
1565          */
1566         if ((rr->length != 1) || (rr->off != 0) ||
1567             (rr->data[0] != SSL3_MT_CCS)) {
1568             al = SSL_AD_ILLEGAL_PARAMETER;
1569             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_BAD_CHANGE_CIPHER_SPEC);
1570             goto f_err;
1571         }
1572
1573         /* Check we have a cipher to change to */
1574         if (s->s3->tmp.new_cipher == NULL) {
1575             al = SSL_AD_UNEXPECTED_MESSAGE;
1576             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_CCS_RECEIVED_EARLY);
1577             goto f_err;
1578         }
1579
1580         if (!(s->s3->flags & SSL3_FLAGS_CCS_OK)) {
1581             al = SSL_AD_UNEXPECTED_MESSAGE;
1582             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_CCS_RECEIVED_EARLY);
1583             goto f_err;
1584         }
1585
1586         s->s3->flags &= ~SSL3_FLAGS_CCS_OK;
1587
1588         rr->length = 0;
1589
1590         if (s->msg_callback)
1591             s->msg_callback(0, s->version, SSL3_RT_CHANGE_CIPHER_SPEC,
1592                             rr->data, 1, s, s->msg_callback_arg);
1593
1594         s->s3->change_cipher_spec = 1;
1595         if (!ssl3_do_change_cipher_spec(s))
1596             goto err;
1597         else
1598             goto start;
1599     }
1600
1601     /*
1602      * Unexpected handshake message (Client Hello, or protocol violation)
1603      */
1604     if ((s->s3->handshake_fragment_len >= 4) && !s->in_handshake) {
1605         if (((s->state & SSL_ST_MASK) == SSL_ST_OK) &&
1606             !(s->s3->flags & SSL3_FLAGS_NO_RENEGOTIATE_CIPHERS)) {
1607 #if 0                           /* worked only because C operator preferences
1608                                  * are not as expected (and because this is
1609                                  * not really needed for clients except for
1610                                  * detecting protocol violations): */
1611             s->state = SSL_ST_BEFORE | (s->server)
1612                 ? SSL_ST_ACCEPT : SSL_ST_CONNECT;
1613 #else
1614             s->state = s->server ? SSL_ST_ACCEPT : SSL_ST_CONNECT;
1615 #endif
1616             s->renegotiate = 1;
1617             s->new_session = 1;
1618         }
1619         i = s->handshake_func(s);
1620         if (i < 0)
1621             return (i);
1622         if (i == 0) {
1623             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_SSL_HANDSHAKE_FAILURE);
1624             return (-1);
1625         }
1626
1627         if (!(s->mode & SSL_MODE_AUTO_RETRY)) {
1628             if (s->s3->rbuf.left == 0) { /* no read-ahead left? */
1629                 BIO *bio;
1630                 /*
1631                  * In the case where we try to read application data, but we
1632                  * trigger an SSL handshake, we return -1 with the retry
1633                  * option set.  Otherwise renegotiation may cause nasty
1634                  * problems in the blocking world
1635                  */
1636                 s->rwstate = SSL_READING;
1637                 bio = SSL_get_rbio(s);
1638                 BIO_clear_retry_flags(bio);
1639                 BIO_set_retry_read(bio);
1640                 return (-1);
1641             }
1642         }
1643         goto start;
1644     }
1645
1646     switch (rr->type) {
1647     default:
1648         /*
1649          * TLS up to v1.1 just ignores unknown message types: TLS v1.2 give
1650          * an unexpected message alert.
1651          */
1652         if (s->version >= TLS1_VERSION && s->version <= TLS1_1_VERSION) {
1653             rr->length = 0;
1654             goto start;
1655         }
1656         al = SSL_AD_UNEXPECTED_MESSAGE;
1657         SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_UNEXPECTED_RECORD);
1658         goto f_err;
1659     case SSL3_RT_CHANGE_CIPHER_SPEC:
1660     case SSL3_RT_ALERT:
1661     case SSL3_RT_HANDSHAKE:
1662         /*
1663          * we already handled all of these, with the possible exception of
1664          * SSL3_RT_HANDSHAKE when s->in_handshake is set, but that should not
1665          * happen when type != rr->type
1666          */
1667         al = SSL_AD_UNEXPECTED_MESSAGE;
1668         SSLerr(SSL_F_SSL3_READ_BYTES, ERR_R_INTERNAL_ERROR);
1669         goto f_err;
1670     case SSL3_RT_APPLICATION_DATA:
1671         /*
1672          * At this point, we were expecting handshake data, but have
1673          * application data.  If the library was running inside ssl3_read()
1674          * (i.e. in_read_app_data is set) and it makes sense to read
1675          * application data at this point (session renegotiation not yet
1676          * started), we will indulge it.
1677          */
1678         if (s->s3->in_read_app_data &&
1679             (s->s3->total_renegotiations != 0) &&
1680             (((s->state & SSL_ST_CONNECT) &&
1681               (s->state >= SSL3_ST_CW_CLNT_HELLO_A) &&
1682               (s->state <= SSL3_ST_CR_SRVR_HELLO_A)
1683              ) || ((s->state & SSL_ST_ACCEPT) &&
1684                    (s->state <= SSL3_ST_SW_HELLO_REQ_A) &&
1685                    (s->state >= SSL3_ST_SR_CLNT_HELLO_A)
1686              )
1687             )) {
1688             s->s3->in_read_app_data = 2;
1689             return (-1);
1690         } else {
1691             al = SSL_AD_UNEXPECTED_MESSAGE;
1692             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_UNEXPECTED_RECORD);
1693             goto f_err;
1694         }
1695     }
1696     /* not reached */
1697
1698  f_err:
1699     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1700  err:
1701     return (-1);
1702 }
1703
1704 int ssl3_do_change_cipher_spec(SSL *s)
1705 {
1706     int i;
1707     const char *sender;
1708     int slen;
1709
1710     if (s->state & SSL_ST_ACCEPT)
1711         i = SSL3_CHANGE_CIPHER_SERVER_READ;
1712     else
1713         i = SSL3_CHANGE_CIPHER_CLIENT_READ;
1714
1715     if (s->s3->tmp.key_block == NULL) {
1716         if (s->session == NULL || s->session->master_key_length == 0) {
1717             /* might happen if dtls1_read_bytes() calls this */
1718             SSLerr(SSL_F_SSL3_DO_CHANGE_CIPHER_SPEC,
1719                    SSL_R_CCS_RECEIVED_EARLY);
1720             return (0);
1721         }
1722
1723         s->session->cipher = s->s3->tmp.new_cipher;
1724         if (!s->method->ssl3_enc->setup_key_block(s))
1725             return (0);
1726     }
1727
1728     if (!s->method->ssl3_enc->change_cipher_state(s, i))
1729         return (0);
1730
1731     /*
1732      * we have to record the message digest at this point so we can get it
1733      * before we read the finished message
1734      */
1735     if (s->state & SSL_ST_CONNECT) {
1736         sender = s->method->ssl3_enc->server_finished_label;
1737         slen = s->method->ssl3_enc->server_finished_label_len;
1738     } else {
1739         sender = s->method->ssl3_enc->client_finished_label;
1740         slen = s->method->ssl3_enc->client_finished_label_len;
1741     }
1742
1743     i = s->method->ssl3_enc->final_finish_mac(s,
1744                                               sender, slen,
1745                                               s->s3->tmp.peer_finish_md);
1746     if (i == 0) {
1747         SSLerr(SSL_F_SSL3_DO_CHANGE_CIPHER_SPEC, ERR_R_INTERNAL_ERROR);
1748         return 0;
1749     }
1750     s->s3->tmp.peer_finish_md_len = i;
1751
1752     return (1);
1753 }
1754
1755 int ssl3_send_alert(SSL *s, int level, int desc)
1756 {
1757     /* Map tls/ssl alert value to correct one */
1758     desc = s->method->ssl3_enc->alert_value(desc);
1759     if (s->version == SSL3_VERSION && desc == SSL_AD_PROTOCOL_VERSION)
1760         desc = SSL_AD_HANDSHAKE_FAILURE; /* SSL 3.0 does not have
1761                                           * protocol_version alerts */
1762     if (desc < 0)
1763         return -1;
1764     /* If a fatal one, remove from cache */
1765     if ((level == SSL3_AL_FATAL) && (s->session != NULL))
1766         SSL_CTX_remove_session(s->ctx, s->session);
1767
1768     s->s3->alert_dispatch = 1;
1769     s->s3->send_alert[0] = level;
1770     s->s3->send_alert[1] = desc;
1771     if (s->s3->wbuf.left == 0)  /* data still being written out? */
1772         return s->method->ssl_dispatch_alert(s);
1773     /*
1774      * else data is still being written out, we will get written some time in
1775      * the future
1776      */
1777     return -1;
1778 }
1779
1780 int ssl3_dispatch_alert(SSL *s)
1781 {
1782     int i, j;
1783     void (*cb) (const SSL *ssl, int type, int val) = NULL;
1784
1785     s->s3->alert_dispatch = 0;
1786     i = do_ssl3_write(s, SSL3_RT_ALERT, &s->s3->send_alert[0], 2, 0);
1787     if (i <= 0) {
1788         s->s3->alert_dispatch = 1;
1789     } else {
1790         /*
1791          * Alert sent to BIO.  If it is important, flush it now. If the
1792          * message does not get sent due to non-blocking IO, we will not
1793          * worry too much.
1794          */
1795         if (s->s3->send_alert[0] == SSL3_AL_FATAL)
1796             (void)BIO_flush(s->wbio);
1797
1798         if (s->msg_callback)
1799             s->msg_callback(1, s->version, SSL3_RT_ALERT, s->s3->send_alert,
1800                             2, s, s->msg_callback_arg);
1801
1802         if (s->info_callback != NULL)
1803             cb = s->info_callback;
1804         else if (s->ctx->info_callback != NULL)
1805             cb = s->ctx->info_callback;
1806
1807         if (cb != NULL) {
1808             j = (s->s3->send_alert[0] << 8) | s->s3->send_alert[1];
1809             cb(s, SSL_CB_WRITE_ALERT, j);
1810         }
1811     }
1812     return (i);
1813 }