coverity 1462581 Dereference after null check

[openssl.git] / ssl / ssl_cert.c
diff --git a/ssl/ssl_cert.c b/ssl/ssl_cert.c

index 86400ff9a05a815800acce08e4d8e919e0f599c7..408404958efb3576599487c72ffb4171e621886e 100644 (file)
--- a/ssl/ssl_cert.c
+++ b/ssl/ssl_cert.c
@@ -1,5 +1,5 @@
  /*
  /*
- * Copyright 1995-2018 The OpenSSL Project Authors. All Rights Reserved.
+ * Copyright 1995-2020 The OpenSSL Project Authors. All Rights Reserved.
   * Copyright (c) 2002, Oracle and/or its affiliates. All rights reserved
   *
   * Licensed under the Apache License 2.0 (the "License").  You may not use
   * Copyright (c) 2002, Oracle and/or its affiliates. All rights reserved
   *
   * Licensed under the Apache License 2.0 (the "License").  You may not use
@@ -15,15 +15,19 @@
  #include "internal/o_dir.h"
  #include <openssl/bio.h>
  #include <openssl/pem.h>
  #include "internal/o_dir.h"
  #include <openssl/bio.h>
  #include <openssl/pem.h>
+#include <openssl/store.h>
  #include <openssl/x509v3.h>
  #include <openssl/dh.h>
  #include <openssl/bn.h>
  #include <openssl/crypto.h>
  #include "internal/refcount.h"
  #include <openssl/x509v3.h>
  #include <openssl/dh.h>
  #include <openssl/bn.h>
  #include <openssl/crypto.h>
  #include "internal/refcount.h"
-#include "ssl_locl.h"
+#include "ssl_local.h"
  #include "ssl_cert_table.h"
  #include "internal/thread_once.h"
  
  #include "ssl_cert_table.h"
  #include "internal/thread_once.h"
  
+DEFINE_STACK_OF(X509)
+DEFINE_STACK_OF(X509_NAME)
+
  static int ssl_security_default_callback(const SSL *s, const SSL_CTX *ctx,
                                           int op, int bits, int nid, void *other,
                                           void *ex);
  static int ssl_security_default_callback(const SSL *s, const SSL_CTX *ctx,
                                           int op, int bits, int nid, void *other,
                                           void *ex);
@@ -252,11 +256,20 @@ void ssl_cert_free(CERT *c)
  int ssl_cert_set0_chain(SSL *s, SSL_CTX *ctx, STACK_OF(X509) *chain)
  {
      int i, r;
  int ssl_cert_set0_chain(SSL *s, SSL_CTX *ctx, STACK_OF(X509) *chain)
  {
      int i, r;
-    CERT_PKEY *cpk = s ? s->cert->key : ctx->cert->key;
+    CERT_PKEY *cpk = s != NULL ? s->cert->key : ctx->cert->key;
+    SSL_CTX *realctx = s != NULL ? s->ctx : ctx;
+
      if (!cpk)
          return 0;
      for (i = 0; i < sk_X509_num(chain); i++) {
      if (!cpk)
          return 0;
      for (i = 0; i < sk_X509_num(chain); i++) {
-        r = ssl_security_cert(s, ctx, sk_X509_value(chain, i), 0, 0);
+        X509 *x = sk_X509_value(chain, i);
+
+        if (!X509v3_cache_extensions(x, realctx->libctx, realctx->propq)) {
+            SSLerr(0, ERR_LIB_X509);
+            return 0;
+        }
+
+        r = ssl_security_cert(s, ctx, x, 0, 0);
          if (r != 1) {
              SSLerr(SSL_F_SSL_CERT_SET0_CHAIN, r);
              return 0;
          if (r != 1) {
              SSLerr(SSL_F_SSL_CERT_SET0_CHAIN, r);
              return 0;
@@ -376,7 +389,7 @@ int ssl_verify_cert_chain(SSL *s, STACK_OF(X509) *sk)
      else
          verify_store = s->ctx->cert_store;
  
      else
          verify_store = s->ctx->cert_store;
  
-    ctx = X509_STORE_CTX_new();
+    ctx = X509_STORE_CTX_new_with_libctx(s->ctx->libctx, s->ctx->propq);
      if (ctx == NULL) {
          SSLerr(SSL_F_SSL_VERIFY_CERT_CHAIN, ERR_R_MALLOC_FAILURE);
          return 0;
      if (ctx == NULL) {
          SSLerr(SSL_F_SSL_VERIFY_CERT_CHAIN, ERR_R_MALLOC_FAILURE);
          return 0;
@@ -601,14 +614,6 @@ static unsigned long xname_hash(const X509_NAME *a)
      return X509_NAME_hash((X509_NAME *)a);
  }
  
      return X509_NAME_hash((X509_NAME *)a);
  }
  
-/**
- * Load CA certs from a file into a ::STACK. Note that it is somewhat misnamed;
- * it doesn't really have anything to do with clients (except that a common use
- * for a stack of CAs is to send it to the client). Actually, it doesn't have
- * much to do with CAs, either, since it will load any old cert.
- * \param file the file containing one or more certs.
- * \return a ::STACK containing the certs.
- */
  STACK_OF(X509_NAME) *SSL_load_client_CA_file(const char *file)
  {
      BIO *in = BIO_new(BIO_s_file());
  STACK_OF(X509_NAME) *SSL_load_client_CA_file(const char *file)
  {
      BIO *in = BIO_new(BIO_s_file());
@@ -666,15 +671,6 @@ STACK_OF(X509_NAME) *SSL_load_client_CA_file(const char *file)
      return ret;
  }
  
      return ret;
  }
  
-/**
- * Add a file of certs to a stack.
- * \param stack the stack to add to.
- * \param file the file to add from. All certs in this file that are not
- * already in the stack will be added.
- * \return 1 for success, 0 for failure. Note that in the case of failure some
- * certs may have been added to \c stack.
- */
-
  int SSL_add_file_cert_subjects_to_stack(STACK_OF(X509_NAME) *stack,
                                          const char *file)
  {
  int SSL_add_file_cert_subjects_to_stack(STACK_OF(X509_NAME) *stack,
                                          const char *file)
  {
@@ -725,17 +721,6 @@ int SSL_add_file_cert_subjects_to_stack(STACK_OF(X509_NAME) *stack,
      return ret;
  }
  
      return ret;
  }
  
-/**
- * Add a directory of certs to a stack.
- * \param stack the stack to append to.
- * \param dir the directory to append from. All files in this directory will be
- * examined as potential certs. Any that are acceptable to
- * SSL_add_dir_cert_subjects_to_stack() that are not already in the stack will be
- * included.
- * \return 1 for success, 0 for failure. Note that in the case of failure some
- * certs may have been added to \c stack.
- */
-
  int SSL_add_dir_cert_subjects_to_stack(STACK_OF(X509_NAME) *stack,
                                         const char *dir)
  {
  int SSL_add_dir_cert_subjects_to_stack(STACK_OF(X509_NAME) *stack,
                                         const char *dir)
  {
@@ -766,8 +751,9 @@ int SSL_add_dir_cert_subjects_to_stack(STACK_OF(X509_NAME) *stack,
      }
  
      if (errno) {
      }
  
      if (errno) {
-        SYSerr("readdir", get_last_sys_error());
-        ERR_add_error_data(3, "OPENSSL_DIR_read(&ctx, '", dir, "')");
+        ERR_raise_data(ERR_LIB_SYS, get_last_sys_error(),
+                       "calling OPENSSL_dir_read(%s)",
+                       dir);
          SSLerr(SSL_F_SSL_ADD_DIR_CERT_SUBJECTS_TO_STACK, ERR_R_SYS_LIB);
          goto err;
      }
          SSLerr(SSL_F_SSL_ADD_DIR_CERT_SUBJECTS_TO_STACK, ERR_R_SYS_LIB);
          goto err;
      }
@@ -781,6 +767,71 @@ int SSL_add_dir_cert_subjects_to_stack(STACK_OF(X509_NAME) *stack,
      return ret;
  }
  
      return ret;
  }
  
+static int add_uris_recursive(STACK_OF(X509_NAME) *stack,
+                              const char *uri, int depth)
+{
+    int ok = 1;
+    OSSL_STORE_CTX *ctx = NULL;
+    X509 *x = NULL;
+    X509_NAME *xn = NULL;
+
+    if ((ctx = OSSL_STORE_open(uri, NULL, NULL, NULL, NULL)) == NULL)
+        goto err;
+
+    while (!OSSL_STORE_eof(ctx) && !OSSL_STORE_error(ctx)) {
+        OSSL_STORE_INFO *info = OSSL_STORE_load(ctx);
+        int infotype = info == 0 ? 0 : OSSL_STORE_INFO_get_type(info);
+
+        if (info == NULL)
+            continue;
+
+        if (infotype == OSSL_STORE_INFO_NAME) {
+            /*
+             * This is an entry in the "directory" represented by the current
+             * uri.  if |depth| allows, dive into it.
+             */
+            if (depth > 0)
+                ok = add_uris_recursive(stack, OSSL_STORE_INFO_get0_NAME(info),
+                                        depth - 1);
+        } else if (infotype == OSSL_STORE_INFO_CERT) {
+            if ((x = OSSL_STORE_INFO_get0_CERT(info)) == NULL
+                || (xn = X509_get_subject_name(x)) == NULL
+                || (xn = X509_NAME_dup(xn)) == NULL)
+                goto err;
+            if (sk_X509_NAME_find(stack, xn) >= 0) {
+                /* Duplicate. */
+                X509_NAME_free(xn);
+            } else if (!sk_X509_NAME_push(stack, xn)) {
+                X509_NAME_free(xn);
+                goto err;
+            }
+        }
+
+        OSSL_STORE_INFO_free(info);
+    }
+
+    ERR_clear_error();
+    goto done;
+
+ err:
+    ok = 0;
+ done:
+    OSSL_STORE_close(ctx);
+
+    return ok;
+}
+
+int SSL_add_store_cert_subjects_to_stack(STACK_OF(X509_NAME) *stack,
+                                         const char *store)
+{
+    int (*oldcmp) (const X509_NAME *const *a, const X509_NAME *const *b)
+        = sk_X509_NAME_set_cmp_func(stack, xname_sk_cmp);
+    int ret = add_uris_recursive(stack, store, 1);
+
+    (void)sk_X509_NAME_set_cmp_func(stack, oldcmp);
+    return ret;
+}
+
  /* Build a certificate chain for current certificate */
  int ssl_build_cert_chain(SSL *s, SSL_CTX *ctx, int flags)
  {
  /* Build a certificate chain for current certificate */
  int ssl_build_cert_chain(SSL *s, SSL_CTX *ctx, int flags)
  {
@@ -821,7 +872,10 @@ int ssl_build_cert_chain(SSL *s, SSL_CTX *ctx, int flags)
              untrusted = cpk->chain;
      }
  
              untrusted = cpk->chain;
      }
  
-    xs_ctx = X509_STORE_CTX_new();
+    if (s == NULL)
+        xs_ctx = X509_STORE_CTX_new_with_libctx(ctx->libctx, ctx->propq);
+    else
+        xs_ctx = X509_STORE_CTX_new_with_libctx(s->ctx->libctx, s->ctx->propq);
      if (xs_ctx == NULL) {
          SSLerr(SSL_F_SSL_BUILD_CERT_CHAIN, ERR_R_MALLOC_FAILURE);
          goto err;
      if (xs_ctx == NULL) {
          SSLerr(SSL_F_SSL_BUILD_CERT_CHAIN, ERR_R_MALLOC_FAILURE);
          goto err;