6248043beceb6dd4cf9c64a205160f8a90dcbdf6
[openssl.git] / ssl / s3_pkt.c
1 /* ssl/s3_pkt.c */
2 /* Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com)
3  * All rights reserved.
4  *
5  * This package is an SSL implementation written
6  * by Eric Young (eay@cryptsoft.com).
7  * The implementation was written so as to conform with Netscapes SSL.
8  *
9  * This library is free for commercial and non-commercial use as long as
10  * the following conditions are aheared to.  The following conditions
11  * apply to all code found in this distribution, be it the RC4, RSA,
12  * lhash, DES, etc., code; not just the SSL code.  The SSL documentation
13  * included with this distribution is covered by the same copyright terms
14  * except that the holder is Tim Hudson (tjh@cryptsoft.com).
15  *
16  * Copyright remains Eric Young's, and as such any Copyright notices in
17  * the code are not to be removed.
18  * If this package is used in a product, Eric Young should be given attribution
19  * as the author of the parts of the library used.
20  * This can be in the form of a textual message at program startup or
21  * in documentation (online or textual) provided with the package.
22  *
23  * Redistribution and use in source and binary forms, with or without
24  * modification, are permitted provided that the following conditions
25  * are met:
26  * 1. Redistributions of source code must retain the copyright
27  *    notice, this list of conditions and the following disclaimer.
28  * 2. Redistributions in binary form must reproduce the above copyright
29  *    notice, this list of conditions and the following disclaimer in the
30  *    documentation and/or other materials provided with the distribution.
31  * 3. All advertising materials mentioning features or use of this software
32  *    must display the following acknowledgement:
33  *    "This product includes cryptographic software written by
34  *     Eric Young (eay@cryptsoft.com)"
35  *    The word 'cryptographic' can be left out if the rouines from the library
36  *    being used are not cryptographic related :-).
37  * 4. If you include any Windows specific code (or a derivative thereof) from
38  *    the apps directory (application code) you must include an acknowledgement:
39  *    "This product includes software written by Tim Hudson (tjh@cryptsoft.com)"
40  *
41  * THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND
42  * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
43  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
44  * ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
45  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
46  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
47  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
48  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
49  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
50  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
51  * SUCH DAMAGE.
52  *
53  * The licence and distribution terms for any publically available version or
54  * derivative of this code cannot be changed.  i.e. this code cannot simply be
55  * copied and put under another distribution licence
56  * [including the GNU Public Licence.]
57  */
58 /* ====================================================================
59  * Copyright (c) 1998-2002 The OpenSSL Project.  All rights reserved.
60  *
61  * Redistribution and use in source and binary forms, with or without
62  * modification, are permitted provided that the following conditions
63  * are met:
64  *
65  * 1. Redistributions of source code must retain the above copyright
66  *    notice, this list of conditions and the following disclaimer.
67  *
68  * 2. Redistributions in binary form must reproduce the above copyright
69  *    notice, this list of conditions and the following disclaimer in
70  *    the documentation and/or other materials provided with the
71  *    distribution.
72  *
73  * 3. All advertising materials mentioning features or use of this
74  *    software must display the following acknowledgment:
75  *    "This product includes software developed by the OpenSSL Project
76  *    for use in the OpenSSL Toolkit. (http://www.openssl.org/)"
77  *
78  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
79  *    endorse or promote products derived from this software without
80  *    prior written permission. For written permission, please contact
81  *    openssl-core@openssl.org.
82  *
83  * 5. Products derived from this software may not be called "OpenSSL"
84  *    nor may "OpenSSL" appear in their names without prior written
85  *    permission of the OpenSSL Project.
86  *
87  * 6. Redistributions of any form whatsoever must retain the following
88  *    acknowledgment:
89  *    "This product includes software developed by the OpenSSL Project
90  *    for use in the OpenSSL Toolkit (http://www.openssl.org/)"
91  *
92  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
93  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
94  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
95  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
96  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
97  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
98  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
99  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
100  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
101  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
102  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
103  * OF THE POSSIBILITY OF SUCH DAMAGE.
104  * ====================================================================
105  *
106  * This product includes cryptographic software written by Eric Young
107  * (eay@cryptsoft.com).  This product includes software written by Tim
108  * Hudson (tjh@cryptsoft.com).
109  *
110  */
111
112 #include <stdio.h>
113 #include <limits.h>
114 #include <errno.h>
115 #define USE_SOCKETS
116 #include "ssl_locl.h"
117 #include <openssl/evp.h>
118 #include <openssl/buffer.h>
119 #include <openssl/rand.h>
120
121 #ifndef  EVP_CIPH_FLAG_TLS1_1_MULTIBLOCK
122 # define EVP_CIPH_FLAG_TLS1_1_MULTIBLOCK 0
123 #endif
124
125 #if     defined(OPENSSL_SMALL_FOOTPRINT) || \
126         !(      defined(AES_ASM) &&     ( \
127                 defined(__x86_64)       || defined(__x86_64__)  || \
128                 defined(_M_AMD64)       || defined(_M_X64)      || \
129                 defined(__INTEL__)      ) \
130         )
131 # undef EVP_CIPH_FLAG_TLS1_1_MULTIBLOCK
132 # define EVP_CIPH_FLAG_TLS1_1_MULTIBLOCK 0
133 #endif
134
135 static int do_ssl3_write(SSL *s, int type, const unsigned char *buf,
136                          unsigned int len, int create_empty_fragment);
137
138 int ssl3_read_n(SSL *s, int n, int max, int extend)
139 {
140     /*
141      * If extend == 0, obtain new n-byte packet; if extend == 1, increase
142      * packet by another n bytes. The packet will be in the sub-array of
143      * s->s3->rbuf.buf specified by s->packet and s->packet_length. (If
144      * s->rlayer.read_ahead is set, 'max' bytes may be stored in rbuf [plus
145      * s->packet_length bytes if extend == 1].)
146      */
147     int i, len, left;
148     long align = 0;
149     unsigned char *pkt;
150     SSL3_BUFFER *rb;
151
152     if (n <= 0)
153         return n;
154
155     rb = RECORD_LAYER_get_rbuf(&s->rlayer);
156     if (rb->buf == NULL)
157         if (!ssl3_setup_read_buffer(s))
158             return -1;
159
160     left = rb->left;
161 #if defined(SSL3_ALIGN_PAYLOAD) && SSL3_ALIGN_PAYLOAD!=0
162     align = (long)rb->buf + SSL3_RT_HEADER_LENGTH;
163     align = (-align) & (SSL3_ALIGN_PAYLOAD - 1);
164 #endif
165
166     if (!extend) {
167         /* start with empty packet ... */
168         if (left == 0)
169             rb->offset = align;
170         else if (align != 0 && left >= SSL3_RT_HEADER_LENGTH) {
171             /*
172              * check if next packet length is large enough to justify payload
173              * alignment...
174              */
175             pkt = rb->buf + rb->offset;
176             if (pkt[0] == SSL3_RT_APPLICATION_DATA
177                 && (pkt[3] << 8 | pkt[4]) >= 128) {
178                 /*
179                  * Note that even if packet is corrupted and its length field
180                  * is insane, we can only be led to wrong decision about
181                  * whether memmove will occur or not. Header values has no
182                  * effect on memmove arguments and therefore no buffer
183                  * overrun can be triggered.
184                  */
185                 memmove(rb->buf + align, pkt, left);
186                 rb->offset = align;
187             }
188         }
189         s->packet = rb->buf + rb->offset;
190         s->packet_length = 0;
191         /* ... now we can act as if 'extend' was set */
192     }
193
194     /*
195      * For DTLS/UDP reads should not span multiple packets because the read
196      * operation returns the whole packet at once (as long as it fits into
197      * the buffer).
198      */
199     if (SSL_IS_DTLS(s)) {
200         if (left == 0 && extend)
201             return 0;
202         if (left > 0 && n > left)
203             n = left;
204     }
205
206     /* if there is enough in the buffer from a previous read, take some */
207     if (left >= n) {
208         s->packet_length += n;
209         rb->left = left - n;
210         rb->offset += n;
211         return (n);
212     }
213
214     /* else we need to read more data */
215
216     len = s->packet_length;
217     pkt = rb->buf + align;
218     /*
219      * Move any available bytes to front of buffer: 'len' bytes already
220      * pointed to by 'packet', 'left' extra ones at the end
221      */
222     if (s->packet != pkt) {     /* len > 0 */
223         memmove(pkt, s->packet, len + left);
224         s->packet = pkt;
225         rb->offset = len + align;
226     }
227
228     if (n > (int)(rb->len - rb->offset)) { /* does not happen */
229         SSLerr(SSL_F_SSL3_READ_N, ERR_R_INTERNAL_ERROR);
230         return -1;
231     }
232
233     /* We always act like read_ahead is set for DTLS */
234     if (!RECORD_LAYER_get_read_ahead(&s->rlayer) && !SSL_IS_DTLS(s))
235         /* ignore max parameter */
236         max = n;
237     else {
238         if (max < n)
239             max = n;
240         if (max > (int)(rb->len - rb->offset))
241             max = rb->len - rb->offset;
242     }
243
244     while (left < n) {
245         /*
246          * Now we have len+left bytes at the front of s->s3->rbuf.buf and
247          * need to read in more until we have len+n (up to len+max if
248          * possible)
249          */
250
251         clear_sys_error();
252         if (s->rbio != NULL) {
253             s->rwstate = SSL_READING;
254             i = BIO_read(s->rbio, pkt + len + left, max - left);
255         } else {
256             SSLerr(SSL_F_SSL3_READ_N, SSL_R_READ_BIO_NOT_SET);
257             i = -1;
258         }
259
260         if (i <= 0) {
261             rb->left = left;
262             if (s->mode & SSL_MODE_RELEASE_BUFFERS && !SSL_IS_DTLS(s))
263                 if (len + left == 0)
264                     ssl3_release_read_buffer(s);
265             return (i);
266         }
267         left += i;
268         /*
269          * reads should *never* span multiple packets for DTLS because the
270          * underlying transport protocol is message oriented as opposed to
271          * byte oriented as in the TLS case.
272          */
273         if (SSL_IS_DTLS(s)) {
274             if (n > left)
275                 n = left;       /* makes the while condition false */
276         }
277     }
278
279     /* done reading, now the book-keeping */
280     rb->offset += n;
281     rb->left = left - n;
282     s->packet_length += n;
283     s->rwstate = SSL_NOTHING;
284     return (n);
285 }
286
287
288 /*
289  * Call this to write data in records of type 'type' It will return <= 0 if
290  * not all data has been sent or non-blocking IO.
291  */
292 int ssl3_write_bytes(SSL *s, int type, const void *buf_, int len)
293 {
294     const unsigned char *buf = buf_;
295     int tot;
296     unsigned int n, nw;
297 #if !defined(OPENSSL_NO_MULTIBLOCK) && EVP_CIPH_FLAG_TLS1_1_MULTIBLOCK
298     unsigned int max_send_fragment;
299 #endif
300     SSL3_BUFFER *wb = RECORD_LAYER_get_wbuf(&s->rlayer);
301     int i;
302     unsigned int u_len = (unsigned int)len;
303
304     if (len < 0) {
305         SSLerr(SSL_F_SSL3_WRITE_BYTES, SSL_R_SSL_NEGATIVE_LENGTH);
306         return -1;
307     }
308
309     s->rwstate = SSL_NOTHING;
310     OPENSSL_assert(s->s3->wnum <= INT_MAX);
311     tot = s->s3->wnum;
312     s->s3->wnum = 0;
313
314     if (SSL_in_init(s) && !s->in_handshake) {
315         i = s->handshake_func(s);
316         if (i < 0)
317             return (i);
318         if (i == 0) {
319             SSLerr(SSL_F_SSL3_WRITE_BYTES, SSL_R_SSL_HANDSHAKE_FAILURE);
320             return -1;
321         }
322     }
323
324     /*
325      * ensure that if we end up with a smaller value of data to write out
326      * than the the original len from a write which didn't complete for
327      * non-blocking I/O and also somehow ended up avoiding the check for
328      * this in ssl3_write_pending/SSL_R_BAD_WRITE_RETRY as it must never be
329      * possible to end up with (len-tot) as a large number that will then
330      * promptly send beyond the end of the users buffer ... so we trap and
331      * report the error in a way the user will notice
332      */
333     if (len < tot) {
334         SSLerr(SSL_F_SSL3_WRITE_BYTES, SSL_R_BAD_LENGTH);
335         return (-1);
336     }
337
338     /*
339      * first check if there is a SSL3_BUFFER still being written out.  This
340      * will happen with non blocking IO
341      */
342     if (wb->left != 0) {
343         i = ssl3_write_pending(s, type, &buf[tot], s->s3->wpend_tot);
344         if (i <= 0) {
345             /* XXX should we ssl3_release_write_buffer if i<0? */
346             s->s3->wnum = tot;
347             return i;
348         }
349         tot += i;               /* this might be last fragment */
350     }
351 #if !defined(OPENSSL_NO_MULTIBLOCK) && EVP_CIPH_FLAG_TLS1_1_MULTIBLOCK
352     /*
353      * Depending on platform multi-block can deliver several *times*
354      * better performance. Downside is that it has to allocate
355      * jumbo buffer to accomodate up to 8 records, but the
356      * compromise is considered worthy.
357      */
358     if (type == SSL3_RT_APPLICATION_DATA &&
359         u_len >= 4 * (max_send_fragment = s->max_send_fragment) &&
360         s->compress == NULL && s->msg_callback == NULL &&
361         !SSL_USE_ETM(s) && SSL_USE_EXPLICIT_IV(s) &&
362         EVP_CIPHER_flags(s->enc_write_ctx->cipher) &
363         EVP_CIPH_FLAG_TLS1_1_MULTIBLOCK) {
364         unsigned char aad[13];
365         EVP_CTRL_TLS1_1_MULTIBLOCK_PARAM mb_param;
366         int packlen;
367
368         /* minimize address aliasing conflicts */
369         if ((max_send_fragment & 0xfff) == 0)
370             max_send_fragment -= 512;
371
372         if (tot == 0 || wb->buf == NULL) { /* allocate jumbo buffer */
373             ssl3_release_write_buffer(s);
374
375             packlen = EVP_CIPHER_CTX_ctrl(s->enc_write_ctx,
376                                           EVP_CTRL_TLS1_1_MULTIBLOCK_MAX_BUFSIZE,
377                                           max_send_fragment, NULL);
378
379             if (u_len >= 8 * max_send_fragment)
380                 packlen *= 8;
381             else
382                 packlen *= 4;
383
384             wb->buf = OPENSSL_malloc(packlen);
385             if(!wb->buf) {
386                 SSLerr(SSL_F_SSL3_WRITE_BYTES, ERR_R_MALLOC_FAILURE);
387                 return -1;
388             }
389             wb->len = packlen;
390         } else if (tot == len) { /* done? */
391             OPENSSL_free(wb->buf); /* free jumbo buffer */
392             wb->buf = NULL;
393             return tot;
394         }
395
396         n = (len - tot);
397         for (;;) {
398             if (n < 4 * max_send_fragment) {
399                 OPENSSL_free(wb->buf); /* free jumbo buffer */
400                 wb->buf = NULL;
401                 break;
402             }
403
404             if (s->s3->alert_dispatch) {
405                 i = s->method->ssl_dispatch_alert(s);
406                 if (i <= 0) {
407                     s->s3->wnum = tot;
408                     return i;
409                 }
410             }
411
412             if (n >= 8 * max_send_fragment)
413                 nw = max_send_fragment * (mb_param.interleave = 8);
414             else
415                 nw = max_send_fragment * (mb_param.interleave = 4);
416
417             memcpy(aad, s->s3->write_sequence, 8);
418             aad[8] = type;
419             aad[9] = (unsigned char)(s->version >> 8);
420             aad[10] = (unsigned char)(s->version);
421             aad[11] = 0;
422             aad[12] = 0;
423             mb_param.out = NULL;
424             mb_param.inp = aad;
425             mb_param.len = nw;
426
427             packlen = EVP_CIPHER_CTX_ctrl(s->enc_write_ctx,
428                                           EVP_CTRL_TLS1_1_MULTIBLOCK_AAD,
429                                           sizeof(mb_param), &mb_param);
430
431             if (packlen <= 0 || packlen > (int)wb->len) { /* never happens */
432                 OPENSSL_free(wb->buf); /* free jumbo buffer */
433                 wb->buf = NULL;
434                 break;
435             }
436
437             mb_param.out = wb->buf;
438             mb_param.inp = &buf[tot];
439             mb_param.len = nw;
440
441             if (EVP_CIPHER_CTX_ctrl(s->enc_write_ctx,
442                                     EVP_CTRL_TLS1_1_MULTIBLOCK_ENCRYPT,
443                                     sizeof(mb_param), &mb_param) <= 0)
444                 return -1;
445
446             s->s3->write_sequence[7] += mb_param.interleave;
447             if (s->s3->write_sequence[7] < mb_param.interleave) {
448                 int j = 6;
449                 while (j >= 0 && (++s->s3->write_sequence[j--]) == 0) ;
450             }
451
452             wb->offset = 0;
453             wb->left = packlen;
454
455             s->s3->wpend_tot = nw;
456             s->s3->wpend_buf = &buf[tot];
457             s->s3->wpend_type = type;
458             s->s3->wpend_ret = nw;
459
460             i = ssl3_write_pending(s, type, &buf[tot], nw);
461             if (i <= 0) {
462                 if (i < 0 && (!s->wbio || !BIO_should_retry(s->wbio))) {
463                     OPENSSL_free(wb->buf);
464                     wb->buf = NULL;
465                 }
466                 s->s3->wnum = tot;
467                 return i;
468             }
469             if (i == (int)n) {
470                 OPENSSL_free(wb->buf); /* free jumbo buffer */
471                 wb->buf = NULL;
472                 return tot + i;
473             }
474             n -= i;
475             tot += i;
476         }
477     } else
478 #endif
479     if (tot == len) {           /* done? */
480         if (s->mode & SSL_MODE_RELEASE_BUFFERS && !SSL_IS_DTLS(s))
481             ssl3_release_write_buffer(s);
482
483         return tot;
484     }
485
486     n = (len - tot);
487     for (;;) {
488         if (n > s->max_send_fragment)
489             nw = s->max_send_fragment;
490         else
491             nw = n;
492
493         i = do_ssl3_write(s, type, &(buf[tot]), nw, 0);
494         if (i <= 0) {
495             /* XXX should we ssl3_release_write_buffer if i<0? */
496             s->s3->wnum = tot;
497             return i;
498         }
499
500         if ((i == (int)n) ||
501             (type == SSL3_RT_APPLICATION_DATA &&
502              (s->mode & SSL_MODE_ENABLE_PARTIAL_WRITE))) {
503             /*
504              * next chunk of data should get another prepended empty fragment
505              * in ciphersuites with known-IV weakness:
506              */
507             s->s3->empty_fragment_done = 0;
508
509             if ((i == (int)n) && s->mode & SSL_MODE_RELEASE_BUFFERS &&
510                 !SSL_IS_DTLS(s))
511                 ssl3_release_write_buffer(s);
512
513             return tot + i;
514         }
515
516         n -= i;
517         tot += i;
518     }
519 }
520
521 static int do_ssl3_write(SSL *s, int type, const unsigned char *buf,
522                          unsigned int len, int create_empty_fragment)
523 {
524     unsigned char *p, *plen;
525     int i, mac_size, clear = 0;
526     int prefix_len = 0;
527     int eivlen;
528     long align = 0;
529     SSL3_RECORD *wr;
530     SSL3_BUFFER *wb = RECORD_LAYER_get_wbuf(&s->rlayer);
531     SSL_SESSION *sess;
532
533     /*
534      * first check if there is a SSL3_BUFFER still being written out.  This
535      * will happen with non blocking IO
536      */
537     if (wb->left != 0)
538         return (ssl3_write_pending(s, type, buf, len));
539
540     /* If we have an alert to send, lets send it */
541     if (s->s3->alert_dispatch) {
542         i = s->method->ssl_dispatch_alert(s);
543         if (i <= 0)
544             return (i);
545         /* if it went, fall through and send more stuff */
546     }
547
548     if (wb->buf == NULL)
549         if (!ssl3_setup_write_buffer(s))
550             return -1;
551
552     if (len == 0 && !create_empty_fragment)
553         return 0;
554
555     wr = RECORD_LAYER_get_wrec(&s->rlayer);
556     sess = s->session;
557
558     if ((sess == NULL) ||
559         (s->enc_write_ctx == NULL) ||
560         (EVP_MD_CTX_md(s->write_hash) == NULL)) {
561         clear = s->enc_write_ctx ? 0 : 1; /* must be AEAD cipher */
562         mac_size = 0;
563     } else {
564         mac_size = EVP_MD_CTX_size(s->write_hash);
565         if (mac_size < 0)
566             goto err;
567     }
568
569     /*
570      * 'create_empty_fragment' is true only when this function calls itself
571      */
572     if (!clear && !create_empty_fragment && !s->s3->empty_fragment_done) {
573         /*
574          * countermeasure against known-IV weakness in CBC ciphersuites (see
575          * http://www.openssl.org/~bodo/tls-cbc.txt)
576          */
577
578         if (s->s3->need_empty_fragments && type == SSL3_RT_APPLICATION_DATA) {
579             /*
580              * recursive function call with 'create_empty_fragment' set; this
581              * prepares and buffers the data for an empty fragment (these
582              * 'prefix_len' bytes are sent out later together with the actual
583              * payload)
584              */
585             prefix_len = do_ssl3_write(s, type, buf, 0, 1);
586             if (prefix_len <= 0)
587                 goto err;
588
589             if (prefix_len >
590                 (SSL3_RT_HEADER_LENGTH + SSL3_RT_SEND_MAX_ENCRYPTED_OVERHEAD))
591             {
592                 /* insufficient space */
593                 SSLerr(SSL_F_DO_SSL3_WRITE, ERR_R_INTERNAL_ERROR);
594                 goto err;
595             }
596         }
597
598         s->s3->empty_fragment_done = 1;
599     }
600
601     if (create_empty_fragment) {
602 #if defined(SSL3_ALIGN_PAYLOAD) && SSL3_ALIGN_PAYLOAD!=0
603         /*
604          * extra fragment would be couple of cipher blocks, which would be
605          * multiple of SSL3_ALIGN_PAYLOAD, so if we want to align the real
606          * payload, then we can just pretent we simply have two headers.
607          */
608         align = (long)wb->buf + 2 * SSL3_RT_HEADER_LENGTH;
609         align = (-align) & (SSL3_ALIGN_PAYLOAD - 1);
610 #endif
611         p = wb->buf + align;
612         wb->offset = align;
613     } else if (prefix_len) {
614         p = wb->buf + wb->offset + prefix_len;
615     } else {
616 #if defined(SSL3_ALIGN_PAYLOAD) && SSL3_ALIGN_PAYLOAD!=0
617         align = (long)wb->buf + SSL3_RT_HEADER_LENGTH;
618         align = (-align) & (SSL3_ALIGN_PAYLOAD - 1);
619 #endif
620         p = wb->buf + align;
621         wb->offset = align;
622     }
623
624     /* write the header */
625
626     *(p++) = type & 0xff;
627     wr->type = type;
628
629     *(p++) = (s->version >> 8);
630     /*
631      * Some servers hang if iniatial client hello is larger than 256 bytes
632      * and record version number > TLS 1.0
633      */
634     if (s->state == SSL3_ST_CW_CLNT_HELLO_B
635         && !s->renegotiate && TLS1_get_version(s) > TLS1_VERSION)
636         *(p++) = 0x1;
637     else
638         *(p++) = s->version & 0xff;
639
640     /* field where we are to write out packet length */
641     plen = p;
642     p += 2;
643     /* Explicit IV length, block ciphers appropriate version flag */
644     if (s->enc_write_ctx && SSL_USE_EXPLICIT_IV(s)) {
645         int mode = EVP_CIPHER_CTX_mode(s->enc_write_ctx);
646         if (mode == EVP_CIPH_CBC_MODE) {
647             eivlen = EVP_CIPHER_CTX_iv_length(s->enc_write_ctx);
648             if (eivlen <= 1)
649                 eivlen = 0;
650         }
651         /* Need explicit part of IV for GCM mode */
652         else if (mode == EVP_CIPH_GCM_MODE)
653             eivlen = EVP_GCM_TLS_EXPLICIT_IV_LEN;
654         else
655             eivlen = 0;
656     } else
657         eivlen = 0;
658
659     /* lets setup the record stuff. */
660     wr->data = p + eivlen;
661     wr->length = (int)len;
662     wr->input = (unsigned char *)buf;
663
664     /*
665      * we now 'read' from wr->input, wr->length bytes into wr->data
666      */
667
668     /* first we compress */
669     if (s->compress != NULL) {
670         if (!ssl3_do_compress(s)) {
671             SSLerr(SSL_F_DO_SSL3_WRITE, SSL_R_COMPRESSION_FAILURE);
672             goto err;
673         }
674     } else {
675         memcpy(wr->data, wr->input, wr->length);
676         wr->input = wr->data;
677     }
678
679     /*
680      * we should still have the output to wr->data and the input from
681      * wr->input.  Length should be wr->length. wr->data still points in the
682      * wb->buf
683      */
684
685     if (!SSL_USE_ETM(s) && mac_size != 0) {
686         if (s->method->ssl3_enc->mac(s, &(p[wr->length + eivlen]), 1) < 0)
687             goto err;
688         wr->length += mac_size;
689     }
690
691     wr->input = p;
692     wr->data = p;
693
694     if (eivlen) {
695         /*
696          * if (RAND_pseudo_bytes(p, eivlen) <= 0) goto err;
697          */
698         wr->length += eivlen;
699     }
700
701     if (s->method->ssl3_enc->enc(s, 1) < 1)
702         goto err;
703
704     if (SSL_USE_ETM(s) && mac_size != 0) {
705         if (s->method->ssl3_enc->mac(s, p + wr->length, 1) < 0)
706             goto err;
707         wr->length += mac_size;
708     }
709
710     /* record length after mac and block padding */
711     s2n(wr->length, plen);
712
713     if (s->msg_callback)
714         s->msg_callback(1, 0, SSL3_RT_HEADER, plen - 5, 5, s,
715                         s->msg_callback_arg);
716
717     /*
718      * we should now have wr->data pointing to the encrypted data, which is
719      * wr->length long
720      */
721     wr->type = type;            /* not needed but helps for debugging */
722     wr->length += SSL3_RT_HEADER_LENGTH;
723
724     if (create_empty_fragment) {
725         /*
726          * we are in a recursive call; just return the length, don't write
727          * out anything here
728          */
729         return wr->length;
730     }
731
732     /* now let's set up wb */
733     wb->left = prefix_len + wr->length;
734
735     /*
736      * memorize arguments so that ssl3_write_pending can detect bad write
737      * retries later
738      */
739     s->s3->wpend_tot = len;
740     s->s3->wpend_buf = buf;
741     s->s3->wpend_type = type;
742     s->s3->wpend_ret = len;
743
744     /* we now just need to write the buffer */
745     return ssl3_write_pending(s, type, buf, len);
746  err:
747     return -1;
748 }
749
750 /* if s->s3->wbuf.left != 0, we need to call this */
751 int ssl3_write_pending(SSL *s, int type, const unsigned char *buf,
752                        unsigned int len)
753 {
754     int i;
755     SSL3_BUFFER *wb = RECORD_LAYER_get_wbuf(&s->rlayer);
756
757 /* XXXX */
758     if ((s->s3->wpend_tot > (int)len)
759         || ((s->s3->wpend_buf != buf) &&
760             !(s->mode & SSL_MODE_ACCEPT_MOVING_WRITE_BUFFER))
761         || (s->s3->wpend_type != type)) {
762         SSLerr(SSL_F_SSL3_WRITE_PENDING, SSL_R_BAD_WRITE_RETRY);
763         return (-1);
764     }
765
766     for (;;) {
767         clear_sys_error();
768         if (s->wbio != NULL) {
769             s->rwstate = SSL_WRITING;
770             i = BIO_write(s->wbio,
771                           (char *)&(wb->buf[wb->offset]),
772                           (unsigned int)wb->left);
773         } else {
774             SSLerr(SSL_F_SSL3_WRITE_PENDING, SSL_R_BIO_NOT_SET);
775             i = -1;
776         }
777         if (i == wb->left) {
778             wb->left = 0;
779             wb->offset += i;
780             s->rwstate = SSL_NOTHING;
781             return (s->s3->wpend_ret);
782         } else if (i <= 0) {
783             if (s->version == DTLS1_VERSION || s->version == DTLS1_BAD_VER) {
784                 /*
785                  * For DTLS, just drop it. That's kind of the whole point in
786                  * using a datagram service
787                  */
788                 wb->left = 0;
789             }
790             return (i);
791         }
792         wb->offset += i;
793         wb->left -= i;
794     }
795 }
796
797 /*-
798  * Return up to 'len' payload bytes received in 'type' records.
799  * 'type' is one of the following:
800  *
801  *   -  SSL3_RT_HANDSHAKE (when ssl3_get_message calls us)
802  *   -  SSL3_RT_APPLICATION_DATA (when ssl3_read calls us)
803  *   -  0 (during a shutdown, no data has to be returned)
804  *
805  * If we don't have stored data to work from, read a SSL/TLS record first
806  * (possibly multiple records if we still don't have anything to return).
807  *
808  * This function must handle any surprises the peer may have for us, such as
809  * Alert records (e.g. close_notify), ChangeCipherSpec records (not really
810  * a surprise, but handled as if it were), or renegotiation requests.
811  * Also if record payloads contain fragments too small to process, we store
812  * them until there is enough for the respective protocol (the record protocol
813  * may use arbitrary fragmentation and even interleaving):
814  *     Change cipher spec protocol
815  *             just 1 byte needed, no need for keeping anything stored
816  *     Alert protocol
817  *             2 bytes needed (AlertLevel, AlertDescription)
818  *     Handshake protocol
819  *             4 bytes needed (HandshakeType, uint24 length) -- we just have
820  *             to detect unexpected Client Hello and Hello Request messages
821  *             here, anything else is handled by higher layers
822  *     Application data protocol
823  *             none of our business
824  */
825 int ssl3_read_bytes(SSL *s, int type, unsigned char *buf, int len, int peek)
826 {
827     int al, i, j, ret;
828     unsigned int n;
829     SSL3_RECORD *rr;
830     void (*cb) (const SSL *ssl, int type2, int val) = NULL;
831
832     if (!SSL3_BUFFER_is_initialised(RECORD_LAYER_get_rbuf(&s->rlayer))) {
833         /* Not initialized yet */
834         if (!ssl3_setup_read_buffer(s))
835             return (-1);
836     }
837
838     if ((type && (type != SSL3_RT_APPLICATION_DATA)
839          && (type != SSL3_RT_HANDSHAKE)) || (peek
840                                              && (type !=
841                                                  SSL3_RT_APPLICATION_DATA))) {
842         SSLerr(SSL_F_SSL3_READ_BYTES, ERR_R_INTERNAL_ERROR);
843         return -1;
844     }
845
846     if ((type == SSL3_RT_HANDSHAKE) && (s->s3->handshake_fragment_len > 0))
847         /* (partially) satisfy request from storage */
848     {
849         unsigned char *src = s->s3->handshake_fragment;
850         unsigned char *dst = buf;
851         unsigned int k;
852
853         /* peek == 0 */
854         n = 0;
855         while ((len > 0) && (s->s3->handshake_fragment_len > 0)) {
856             *dst++ = *src++;
857             len--;
858             s->s3->handshake_fragment_len--;
859             n++;
860         }
861         /* move any remaining fragment bytes: */
862         for (k = 0; k < s->s3->handshake_fragment_len; k++)
863             s->s3->handshake_fragment[k] = *src++;
864         return n;
865     }
866
867     /*
868      * Now s->s3->handshake_fragment_len == 0 if type == SSL3_RT_HANDSHAKE.
869      */
870
871     if (!s->in_handshake && SSL_in_init(s)) {
872         /* type == SSL3_RT_APPLICATION_DATA */
873         i = s->handshake_func(s);
874         if (i < 0)
875             return (i);
876         if (i == 0) {
877             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_SSL_HANDSHAKE_FAILURE);
878             return (-1);
879         }
880     }
881  start:
882     s->rwstate = SSL_NOTHING;
883
884     /*-
885      * s->s3->rrec.type         - is the type of record
886      * s->s3->rrec.data,    - data
887      * s->s3->rrec.off,     - offset into 'data' for next read
888      * s->s3->rrec.length,  - number of bytes.
889      */
890     rr = RECORD_LAYER_get_rrec(&s->rlayer);
891
892     /* get new packet if necessary */
893     if ((rr->length == 0) || (s->rstate == SSL_ST_READ_BODY)) {
894         ret = ssl3_get_record(s);
895         if (ret <= 0)
896             return (ret);
897     }
898
899     /* we now have a packet which can be read and processed */
900
901     if (s->s3->change_cipher_spec /* set when we receive ChangeCipherSpec,
902                                    * reset by ssl3_get_finished */
903         && (rr->type != SSL3_RT_HANDSHAKE)) {
904         al = SSL_AD_UNEXPECTED_MESSAGE;
905         SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_DATA_BETWEEN_CCS_AND_FINISHED);
906         goto f_err;
907     }
908
909     /*
910      * If the other end has shut down, throw anything we read away (even in
911      * 'peek' mode)
912      */
913     if (s->shutdown & SSL_RECEIVED_SHUTDOWN) {
914         rr->length = 0;
915         s->rwstate = SSL_NOTHING;
916         return (0);
917     }
918
919     if (type == rr->type) {     /* SSL3_RT_APPLICATION_DATA or
920                                  * SSL3_RT_HANDSHAKE */
921         /*
922          * make sure that we are not getting application data when we are
923          * doing a handshake for the first time
924          */
925         if (SSL_in_init(s) && (type == SSL3_RT_APPLICATION_DATA) &&
926             (s->enc_read_ctx == NULL)) {
927             al = SSL_AD_UNEXPECTED_MESSAGE;
928             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_APP_DATA_IN_HANDSHAKE);
929             goto f_err;
930         }
931
932         if (len <= 0)
933             return (len);
934
935         if ((unsigned int)len > rr->length)
936             n = rr->length;
937         else
938             n = (unsigned int)len;
939
940         memcpy(buf, &(rr->data[rr->off]), n);
941         if (!peek) {
942             rr->length -= n;
943             rr->off += n;
944             if (rr->length == 0) {
945                 s->rstate = SSL_ST_READ_HEADER;
946                 rr->off = 0;
947                 if (s->mode & SSL_MODE_RELEASE_BUFFERS
948                     && SSL3_BUFFER_get_left(
949                         RECORD_LAYER_get_rbuf(&s->rlayer)) == 0)
950                     ssl3_release_read_buffer(s);
951             }
952         }
953         return (n);
954     }
955
956     /*
957      * If we get here, then type != rr->type; if we have a handshake message,
958      * then it was unexpected (Hello Request or Client Hello).
959      */
960
961     /*
962      * In case of record types for which we have 'fragment' storage, fill
963      * that so that we can process the data at a fixed place.
964      */
965     {
966         unsigned int dest_maxlen = 0;
967         unsigned char *dest = NULL;
968         unsigned int *dest_len = NULL;
969
970         if (rr->type == SSL3_RT_HANDSHAKE) {
971             dest_maxlen = sizeof s->s3->handshake_fragment;
972             dest = s->s3->handshake_fragment;
973             dest_len = &s->s3->handshake_fragment_len;
974         } else if (rr->type == SSL3_RT_ALERT) {
975             dest_maxlen = sizeof s->s3->alert_fragment;
976             dest = s->s3->alert_fragment;
977             dest_len = &s->s3->alert_fragment_len;
978         }
979 #ifndef OPENSSL_NO_HEARTBEATS
980         else if (rr->type == TLS1_RT_HEARTBEAT) {
981             /* We can ignore 0 return values */
982             if(tls1_process_heartbeat(s) < 0) {
983                 return -1;
984             }
985
986             /* Exit and notify application to read again */
987             rr->length = 0;
988             s->rwstate = SSL_READING;
989             BIO_clear_retry_flags(SSL_get_rbio(s));
990             BIO_set_retry_read(SSL_get_rbio(s));
991             return (-1);
992         }
993 #endif
994
995         if (dest_maxlen > 0) {
996             n = dest_maxlen - *dest_len; /* available space in 'dest' */
997             if (rr->length < n)
998                 n = rr->length; /* available bytes */
999
1000             /* now move 'n' bytes: */
1001             while (n-- > 0) {
1002                 dest[(*dest_len)++] = rr->data[rr->off++];
1003                 rr->length--;
1004             }
1005
1006             if (*dest_len < dest_maxlen)
1007                 goto start;     /* fragment was too small */
1008         }
1009     }
1010
1011     /*-
1012      * s->s3->handshake_fragment_len == 4  iff  rr->type == SSL3_RT_HANDSHAKE;
1013      * s->s3->alert_fragment_len == 2      iff  rr->type == SSL3_RT_ALERT.
1014      * (Possibly rr is 'empty' now, i.e. rr->length may be 0.)
1015      */
1016
1017     /* If we are a client, check for an incoming 'Hello Request': */
1018     if ((!s->server) &&
1019         (s->s3->handshake_fragment_len >= 4) &&
1020         (s->s3->handshake_fragment[0] == SSL3_MT_HELLO_REQUEST) &&
1021         (s->session != NULL) && (s->session->cipher != NULL)) {
1022         s->s3->handshake_fragment_len = 0;
1023
1024         if ((s->s3->handshake_fragment[1] != 0) ||
1025             (s->s3->handshake_fragment[2] != 0) ||
1026             (s->s3->handshake_fragment[3] != 0)) {
1027             al = SSL_AD_DECODE_ERROR;
1028             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_BAD_HELLO_REQUEST);
1029             goto f_err;
1030         }
1031
1032         if (s->msg_callback)
1033             s->msg_callback(0, s->version, SSL3_RT_HANDSHAKE,
1034                             s->s3->handshake_fragment, 4, s,
1035                             s->msg_callback_arg);
1036
1037         if (SSL_is_init_finished(s) &&
1038             !(s->s3->flags & SSL3_FLAGS_NO_RENEGOTIATE_CIPHERS) &&
1039             !s->s3->renegotiate) {
1040             ssl3_renegotiate(s);
1041             if (ssl3_renegotiate_check(s)) {
1042                 i = s->handshake_func(s);
1043                 if (i < 0)
1044                     return (i);
1045                 if (i == 0) {
1046                     SSLerr(SSL_F_SSL3_READ_BYTES,
1047                            SSL_R_SSL_HANDSHAKE_FAILURE);
1048                     return (-1);
1049                 }
1050
1051                 if (!(s->mode & SSL_MODE_AUTO_RETRY)) {
1052                     if (SSL3_BUFFER_get_left(
1053                         RECORD_LAYER_get_rbuf(&s->rlayer)) == 0) {
1054                         /* no read-ahead left? */
1055                         BIO *bio;
1056                         /*
1057                          * In the case where we try to read application data,
1058                          * but we trigger an SSL handshake, we return -1 with
1059                          * the retry option set.  Otherwise renegotiation may
1060                          * cause nasty problems in the blocking world
1061                          */
1062                         s->rwstate = SSL_READING;
1063                         bio = SSL_get_rbio(s);
1064                         BIO_clear_retry_flags(bio);
1065                         BIO_set_retry_read(bio);
1066                         return (-1);
1067                     }
1068                 }
1069             }
1070         }
1071         /*
1072          * we either finished a handshake or ignored the request, now try
1073          * again to obtain the (application) data we were asked for
1074          */
1075         goto start;
1076     }
1077     /*
1078      * If we are a server and get a client hello when renegotiation isn't
1079      * allowed send back a no renegotiation alert and carry on. WARNING:
1080      * experimental code, needs reviewing (steve)
1081      */
1082     if (s->server &&
1083         SSL_is_init_finished(s) &&
1084         !s->s3->send_connection_binding &&
1085         (s->version > SSL3_VERSION) &&
1086         (s->s3->handshake_fragment_len >= 4) &&
1087         (s->s3->handshake_fragment[0] == SSL3_MT_CLIENT_HELLO) &&
1088         (s->session != NULL) && (s->session->cipher != NULL) &&
1089         !(s->ctx->options & SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION)) {
1090         /*
1091          * s->s3->handshake_fragment_len = 0;
1092          */
1093         rr->length = 0;
1094         ssl3_send_alert(s, SSL3_AL_WARNING, SSL_AD_NO_RENEGOTIATION);
1095         goto start;
1096     }
1097     if (s->s3->alert_fragment_len >= 2) {
1098         int alert_level = s->s3->alert_fragment[0];
1099         int alert_descr = s->s3->alert_fragment[1];
1100
1101         s->s3->alert_fragment_len = 0;
1102
1103         if (s->msg_callback)
1104             s->msg_callback(0, s->version, SSL3_RT_ALERT,
1105                             s->s3->alert_fragment, 2, s, s->msg_callback_arg);
1106
1107         if (s->info_callback != NULL)
1108             cb = s->info_callback;
1109         else if (s->ctx->info_callback != NULL)
1110             cb = s->ctx->info_callback;
1111
1112         if (cb != NULL) {
1113             j = (alert_level << 8) | alert_descr;
1114             cb(s, SSL_CB_READ_ALERT, j);
1115         }
1116
1117         if (alert_level == SSL3_AL_WARNING) {
1118             s->s3->warn_alert = alert_descr;
1119             if (alert_descr == SSL_AD_CLOSE_NOTIFY) {
1120                 s->shutdown |= SSL_RECEIVED_SHUTDOWN;
1121                 return (0);
1122             }
1123             /*
1124              * This is a warning but we receive it if we requested
1125              * renegotiation and the peer denied it. Terminate with a fatal
1126              * alert because if application tried to renegotiatie it
1127              * presumably had a good reason and expects it to succeed. In
1128              * future we might have a renegotiation where we don't care if
1129              * the peer refused it where we carry on.
1130              */
1131             else if (alert_descr == SSL_AD_NO_RENEGOTIATION) {
1132                 al = SSL_AD_HANDSHAKE_FAILURE;
1133                 SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_NO_RENEGOTIATION);
1134                 goto f_err;
1135             }
1136 #ifdef SSL_AD_MISSING_SRP_USERNAME
1137             else if (alert_descr == SSL_AD_MISSING_SRP_USERNAME)
1138                 return (0);
1139 #endif
1140         } else if (alert_level == SSL3_AL_FATAL) {
1141             char tmp[16];
1142
1143             s->rwstate = SSL_NOTHING;
1144             s->s3->fatal_alert = alert_descr;
1145             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_AD_REASON_OFFSET + alert_descr);
1146             BIO_snprintf(tmp, sizeof tmp, "%d", alert_descr);
1147             ERR_add_error_data(2, "SSL alert number ", tmp);
1148             s->shutdown |= SSL_RECEIVED_SHUTDOWN;
1149             SSL_CTX_remove_session(s->ctx, s->session);
1150             return (0);
1151         } else {
1152             al = SSL_AD_ILLEGAL_PARAMETER;
1153             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_UNKNOWN_ALERT_TYPE);
1154             goto f_err;
1155         }
1156
1157         goto start;
1158     }
1159
1160     if (s->shutdown & SSL_SENT_SHUTDOWN) { /* but we have not received a
1161                                             * shutdown */
1162         s->rwstate = SSL_NOTHING;
1163         rr->length = 0;
1164         return (0);
1165     }
1166
1167     if (rr->type == SSL3_RT_CHANGE_CIPHER_SPEC) {
1168         /*
1169          * 'Change Cipher Spec' is just a single byte, so we know exactly
1170          * what the record payload has to look like
1171          */
1172         if ((rr->length != 1) || (rr->off != 0) ||
1173             (rr->data[0] != SSL3_MT_CCS)) {
1174             al = SSL_AD_ILLEGAL_PARAMETER;
1175             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_BAD_CHANGE_CIPHER_SPEC);
1176             goto f_err;
1177         }
1178
1179         /* Check we have a cipher to change to */
1180         if (s->s3->tmp.new_cipher == NULL) {
1181             al = SSL_AD_UNEXPECTED_MESSAGE;
1182             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_CCS_RECEIVED_EARLY);
1183             goto f_err;
1184         }
1185
1186         if (!(s->s3->flags & SSL3_FLAGS_CCS_OK)) {
1187             al = SSL_AD_UNEXPECTED_MESSAGE;
1188             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_CCS_RECEIVED_EARLY);
1189             goto f_err;
1190         }
1191
1192         s->s3->flags &= ~SSL3_FLAGS_CCS_OK;
1193
1194         rr->length = 0;
1195
1196         if (s->msg_callback)
1197             s->msg_callback(0, s->version, SSL3_RT_CHANGE_CIPHER_SPEC,
1198                             rr->data, 1, s, s->msg_callback_arg);
1199
1200         s->s3->change_cipher_spec = 1;
1201         if (!ssl3_do_change_cipher_spec(s))
1202             goto err;
1203         else
1204             goto start;
1205     }
1206
1207     /*
1208      * Unexpected handshake message (Client Hello, or protocol violation)
1209      */
1210     if ((s->s3->handshake_fragment_len >= 4) && !s->in_handshake) {
1211         if (((s->state & SSL_ST_MASK) == SSL_ST_OK) &&
1212             !(s->s3->flags & SSL3_FLAGS_NO_RENEGOTIATE_CIPHERS)) {
1213             s->state = s->server ? SSL_ST_ACCEPT : SSL_ST_CONNECT;
1214             s->renegotiate = 1;
1215             s->new_session = 1;
1216         }
1217         i = s->handshake_func(s);
1218         if (i < 0)
1219             return (i);
1220         if (i == 0) {
1221             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_SSL_HANDSHAKE_FAILURE);
1222             return (-1);
1223         }
1224
1225         if (!(s->mode & SSL_MODE_AUTO_RETRY)) {
1226             if (SSL3_BUFFER_get_left(RECORD_LAYER_get_rbuf(&s->rlayer)) == 0) {
1227                 /* no read-ahead left? */
1228                 BIO *bio;
1229                 /*
1230                  * In the case where we try to read application data, but we
1231                  * trigger an SSL handshake, we return -1 with the retry
1232                  * option set.  Otherwise renegotiation may cause nasty
1233                  * problems in the blocking world
1234                  */
1235                 s->rwstate = SSL_READING;
1236                 bio = SSL_get_rbio(s);
1237                 BIO_clear_retry_flags(bio);
1238                 BIO_set_retry_read(bio);
1239                 return (-1);
1240             }
1241         }
1242         goto start;
1243     }
1244
1245     switch (rr->type) {
1246     default:
1247         /*
1248          * TLS up to v1.1 just ignores unknown message types: TLS v1.2 give
1249          * an unexpected message alert.
1250          */
1251         if (s->version >= TLS1_VERSION && s->version <= TLS1_1_VERSION) {
1252             rr->length = 0;
1253             goto start;
1254         }
1255         al = SSL_AD_UNEXPECTED_MESSAGE;
1256         SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_UNEXPECTED_RECORD);
1257         goto f_err;
1258     case SSL3_RT_CHANGE_CIPHER_SPEC:
1259     case SSL3_RT_ALERT:
1260     case SSL3_RT_HANDSHAKE:
1261         /*
1262          * we already handled all of these, with the possible exception of
1263          * SSL3_RT_HANDSHAKE when s->in_handshake is set, but that should not
1264          * happen when type != rr->type
1265          */
1266         al = SSL_AD_UNEXPECTED_MESSAGE;
1267         SSLerr(SSL_F_SSL3_READ_BYTES, ERR_R_INTERNAL_ERROR);
1268         goto f_err;
1269     case SSL3_RT_APPLICATION_DATA:
1270         /*
1271          * At this point, we were expecting handshake data, but have
1272          * application data.  If the library was running inside ssl3_read()
1273          * (i.e. in_read_app_data is set) and it makes sense to read
1274          * application data at this point (session renegotiation not yet
1275          * started), we will indulge it.
1276          */
1277         if (s->s3->in_read_app_data &&
1278             (s->s3->total_renegotiations != 0) &&
1279             (((s->state & SSL_ST_CONNECT) &&
1280               (s->state >= SSL3_ST_CW_CLNT_HELLO_A) &&
1281               (s->state <= SSL3_ST_CR_SRVR_HELLO_A)
1282              ) || ((s->state & SSL_ST_ACCEPT) &&
1283                    (s->state <= SSL3_ST_SW_HELLO_REQ_A) &&
1284                    (s->state >= SSL3_ST_SR_CLNT_HELLO_A)
1285              )
1286             )) {
1287             s->s3->in_read_app_data = 2;
1288             return (-1);
1289         } else {
1290             al = SSL_AD_UNEXPECTED_MESSAGE;
1291             SSLerr(SSL_F_SSL3_READ_BYTES, SSL_R_UNEXPECTED_RECORD);
1292             goto f_err;
1293         }
1294     }
1295     /* not reached */
1296
1297  f_err:
1298     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1299  err:
1300     return (-1);
1301 }
1302
1303 int ssl3_do_change_cipher_spec(SSL *s)
1304 {
1305     int i;
1306     const char *sender;
1307     int slen;
1308
1309     if (s->state & SSL_ST_ACCEPT)
1310         i = SSL3_CHANGE_CIPHER_SERVER_READ;
1311     else
1312         i = SSL3_CHANGE_CIPHER_CLIENT_READ;
1313
1314     if (s->s3->tmp.key_block == NULL) {
1315         if (s->session == NULL || s->session->master_key_length == 0) {
1316             /* might happen if dtls1_read_bytes() calls this */
1317             SSLerr(SSL_F_SSL3_DO_CHANGE_CIPHER_SPEC,
1318                    SSL_R_CCS_RECEIVED_EARLY);
1319             return (0);
1320         }
1321
1322         s->session->cipher = s->s3->tmp.new_cipher;
1323         if (!s->method->ssl3_enc->setup_key_block(s))
1324             return (0);
1325     }
1326
1327     if (!s->method->ssl3_enc->change_cipher_state(s, i))
1328         return (0);
1329
1330     /*
1331      * we have to record the message digest at this point so we can get it
1332      * before we read the finished message
1333      */
1334     if (s->state & SSL_ST_CONNECT) {
1335         sender = s->method->ssl3_enc->server_finished_label;
1336         slen = s->method->ssl3_enc->server_finished_label_len;
1337     } else {
1338         sender = s->method->ssl3_enc->client_finished_label;
1339         slen = s->method->ssl3_enc->client_finished_label_len;
1340     }
1341
1342     i = s->method->ssl3_enc->final_finish_mac(s,
1343                                               sender, slen,
1344                                               s->s3->tmp.peer_finish_md);
1345     if (i == 0) {
1346         SSLerr(SSL_F_SSL3_DO_CHANGE_CIPHER_SPEC, ERR_R_INTERNAL_ERROR);
1347         return 0;
1348     }
1349     s->s3->tmp.peer_finish_md_len = i;
1350
1351     return (1);
1352 }
1353
1354 int ssl3_send_alert(SSL *s, int level, int desc)
1355 {
1356     /* Map tls/ssl alert value to correct one */
1357     desc = s->method->ssl3_enc->alert_value(desc);
1358     if (s->version == SSL3_VERSION && desc == SSL_AD_PROTOCOL_VERSION)
1359         desc = SSL_AD_HANDSHAKE_FAILURE; /* SSL 3.0 does not have
1360                                           * protocol_version alerts */
1361     if (desc < 0)
1362         return -1;
1363     /* If a fatal one, remove from cache */
1364     if ((level == SSL3_AL_FATAL) && (s->session != NULL))
1365         SSL_CTX_remove_session(s->ctx, s->session);
1366
1367     s->s3->alert_dispatch = 1;
1368     s->s3->send_alert[0] = level;
1369     s->s3->send_alert[1] = desc;
1370     if (SSL3_BUFFER_get_left(RECORD_LAYER_get_wbuf(&s->rlayer)) == 0) {
1371         /* data still being written out? */
1372         return s->method->ssl_dispatch_alert(s);
1373     }
1374     /*
1375      * else data is still being written out, we will get written some time in
1376      * the future
1377      */
1378     return -1;
1379 }
1380
1381 int ssl3_dispatch_alert(SSL *s)
1382 {
1383     int i, j;
1384     void (*cb) (const SSL *ssl, int type, int val) = NULL;
1385
1386     s->s3->alert_dispatch = 0;
1387     i = do_ssl3_write(s, SSL3_RT_ALERT, &s->s3->send_alert[0], 2, 0);
1388     if (i <= 0) {
1389         s->s3->alert_dispatch = 1;
1390     } else {
1391         /*
1392          * Alert sent to BIO.  If it is important, flush it now. If the
1393          * message does not get sent due to non-blocking IO, we will not
1394          * worry too much.
1395          */
1396         if (s->s3->send_alert[0] == SSL3_AL_FATAL)
1397             (void)BIO_flush(s->wbio);
1398
1399         if (s->msg_callback)
1400             s->msg_callback(1, s->version, SSL3_RT_ALERT, s->s3->send_alert,
1401                             2, s, s->msg_callback_arg);
1402
1403         if (s->info_callback != NULL)
1404             cb = s->info_callback;
1405         else if (s->ctx->info_callback != NULL)
1406             cb = s->ctx->info_callback;
1407
1408         if (cb != NULL) {
1409             j = (s->s3->send_alert[0] << 8) | s->s3->send_alert[1];
1410             cb(s, SSL_CB_WRITE_ALERT, j);
1411         }
1412     }
1413     return (i);
1414 }