In a reneg use the same client_version we used last time
authorMatt Caswell <matt@openssl.org>
Mon, 23 Apr 2018 16:14:47 +0000 (17:14 +0100)
committerMatt Caswell <matt@openssl.org>
Tue, 24 Apr 2018 08:54:31 +0000 (09:54 +0100)
In 1.0.2 and below we always send the same client_version in a reneg
ClientHello that we sent the first time around, regardless of what
version eventually gets negotiated. According to a comment in
statem_clnt.c this is a workaround for some buggy servers that choked if
we changed the version used in the RSA encrypted premaster secret.

In 1.1.0+ this behaviour no longer occurs. This restores the original
behaviour.

Fixes #1651

Reviewed-by: Rich Salz <rsalz@openssl.org>
(Merged from https://github.com/openssl/openssl/pull/6059)

ssl/statem/statem_lib.c

index 269ba859970482a30a8b269ef1638efe9b1215f1..49b44433f936eb0c9bb68adb7a2b3196b44771c3 100644 (file)
@@ -2004,6 +2004,13 @@ int ssl_set_client_hello_version(SSL *s)
 {
     int ver_min, ver_max, ret;
 
+    /*
+     * In a renegotiation we always send the same client_version that we sent
+     * last time, regardless of which version we eventually negotiated.
+     */
+    if (!SSL_IS_FIRST_HANDSHAKE(s))
+        return 0;
+
     ret = ssl_get_min_max_version(s, &ver_min, &ver_max);
 
     if (ret != 0)