make update
[oweals/openssl.git] / crypto / x509v3 / v3_utl.c
1 /* v3_utl.c */
2 /*
3  * Written by Dr Stephen N Henson (steve@openssl.org) for the OpenSSL
4  * project.
5  */
6 /* ====================================================================
7  * Copyright (c) 1999-2003 The OpenSSL Project.  All rights reserved.
8  *
9  * Redistribution and use in source and binary forms, with or without
10  * modification, are permitted provided that the following conditions
11  * are met:
12  *
13  * 1. Redistributions of source code must retain the above copyright
14  *    notice, this list of conditions and the following disclaimer.
15  *
16  * 2. Redistributions in binary form must reproduce the above copyright
17  *    notice, this list of conditions and the following disclaimer in
18  *    the documentation and/or other materials provided with the
19  *    distribution.
20  *
21  * 3. All advertising materials mentioning features or use of this
22  *    software must display the following acknowledgment:
23  *    "This product includes software developed by the OpenSSL Project
24  *    for use in the OpenSSL Toolkit. (http://www.OpenSSL.org/)"
25  *
26  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
27  *    endorse or promote products derived from this software without
28  *    prior written permission. For written permission, please contact
29  *    licensing@OpenSSL.org.
30  *
31  * 5. Products derived from this software may not be called "OpenSSL"
32  *    nor may "OpenSSL" appear in their names without prior written
33  *    permission of the OpenSSL Project.
34  *
35  * 6. Redistributions of any form whatsoever must retain the following
36  *    acknowledgment:
37  *    "This product includes software developed by the OpenSSL Project
38  *    for use in the OpenSSL Toolkit (http://www.OpenSSL.org/)"
39  *
40  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
41  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
42  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
43  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
44  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
45  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
46  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
47  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
48  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
49  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
50  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
51  * OF THE POSSIBILITY OF SUCH DAMAGE.
52  * ====================================================================
53  *
54  * This product includes cryptographic software written by Eric Young
55  * (eay@cryptsoft.com).  This product includes software written by Tim
56  * Hudson (tjh@cryptsoft.com).
57  *
58  */
59 /* X509 v3 extension utilities */
60
61 #include <stdio.h>
62 #include <ctype.h>
63 #include "cryptlib.h"
64 #include <openssl/conf.h>
65 #include <openssl/x509v3.h>
66 #include <openssl/bn.h>
67
68 static char *strip_spaces(char *name);
69 static int sk_strcmp(const char *const *a, const char *const *b);
70 static STACK_OF(OPENSSL_STRING) *get_email(X509_NAME *name,
71                                            GENERAL_NAMES *gens);
72 static void str_free(OPENSSL_STRING str);
73 static int append_ia5(STACK_OF(OPENSSL_STRING) **sk, ASN1_IA5STRING *email);
74
75 static int ipv4_from_asc(unsigned char *v4, const char *in);
76 static int ipv6_from_asc(unsigned char *v6, const char *in);
77 static int ipv6_cb(const char *elem, int len, void *usr);
78 static int ipv6_hex(unsigned char *out, const char *in, int inlen);
79
80 /* Add a CONF_VALUE name value pair to stack */
81
82 int X509V3_add_value(const char *name, const char *value,
83                      STACK_OF(CONF_VALUE) **extlist)
84 {
85     CONF_VALUE *vtmp = NULL;
86     char *tname = NULL, *tvalue = NULL;
87     if (name && !(tname = BUF_strdup(name)))
88         goto err;
89     if (value && !(tvalue = BUF_strdup(value)))
90         goto err;
91     if (!(vtmp = (CONF_VALUE *)OPENSSL_malloc(sizeof(CONF_VALUE))))
92         goto err;
93     if (!*extlist && !(*extlist = sk_CONF_VALUE_new_null()))
94         goto err;
95     vtmp->section = NULL;
96     vtmp->name = tname;
97     vtmp->value = tvalue;
98     if (!sk_CONF_VALUE_push(*extlist, vtmp))
99         goto err;
100     return 1;
101  err:
102     X509V3err(X509V3_F_X509V3_ADD_VALUE, ERR_R_MALLOC_FAILURE);
103     if (vtmp)
104         OPENSSL_free(vtmp);
105     if (tname)
106         OPENSSL_free(tname);
107     if (tvalue)
108         OPENSSL_free(tvalue);
109     return 0;
110 }
111
112 int X509V3_add_value_uchar(const char *name, const unsigned char *value,
113                            STACK_OF(CONF_VALUE) **extlist)
114 {
115     return X509V3_add_value(name, (const char *)value, extlist);
116 }
117
118 /* Free function for STACK_OF(CONF_VALUE) */
119
120 void X509V3_conf_free(CONF_VALUE *conf)
121 {
122     if (!conf)
123         return;
124     if (conf->name)
125         OPENSSL_free(conf->name);
126     if (conf->value)
127         OPENSSL_free(conf->value);
128     if (conf->section)
129         OPENSSL_free(conf->section);
130     OPENSSL_free(conf);
131 }
132
133 int X509V3_add_value_bool(const char *name, int asn1_bool,
134                           STACK_OF(CONF_VALUE) **extlist)
135 {
136     if (asn1_bool)
137         return X509V3_add_value(name, "TRUE", extlist);
138     return X509V3_add_value(name, "FALSE", extlist);
139 }
140
141 int X509V3_add_value_bool_nf(char *name, int asn1_bool,
142                              STACK_OF(CONF_VALUE) **extlist)
143 {
144     if (asn1_bool)
145         return X509V3_add_value(name, "TRUE", extlist);
146     return 1;
147 }
148
149 char *i2s_ASN1_ENUMERATED(X509V3_EXT_METHOD *method, ASN1_ENUMERATED *a)
150 {
151     BIGNUM *bntmp = NULL;
152     char *strtmp = NULL;
153     if (!a)
154         return NULL;
155     if (!(bntmp = ASN1_ENUMERATED_to_BN(a, NULL)) ||
156         !(strtmp = BN_bn2dec(bntmp)))
157         X509V3err(X509V3_F_I2S_ASN1_ENUMERATED, ERR_R_MALLOC_FAILURE);
158     BN_free(bntmp);
159     return strtmp;
160 }
161
162 char *i2s_ASN1_INTEGER(X509V3_EXT_METHOD *method, ASN1_INTEGER *a)
163 {
164     BIGNUM *bntmp = NULL;
165     char *strtmp = NULL;
166     if (!a)
167         return NULL;
168     if (!(bntmp = ASN1_INTEGER_to_BN(a, NULL)) ||
169         !(strtmp = BN_bn2dec(bntmp)))
170         X509V3err(X509V3_F_I2S_ASN1_INTEGER, ERR_R_MALLOC_FAILURE);
171     BN_free(bntmp);
172     return strtmp;
173 }
174
175 ASN1_INTEGER *s2i_ASN1_INTEGER(X509V3_EXT_METHOD *method, char *value)
176 {
177     BIGNUM *bn = NULL;
178     ASN1_INTEGER *aint;
179     int isneg, ishex;
180     int ret;
181     if (!value) {
182         X509V3err(X509V3_F_S2I_ASN1_INTEGER, X509V3_R_INVALID_NULL_VALUE);
183         return 0;
184     }
185     bn = BN_new();
186     if (value[0] == '-') {
187         value++;
188         isneg = 1;
189     } else
190         isneg = 0;
191
192     if (value[0] == '0' && ((value[1] == 'x') || (value[1] == 'X'))) {
193         value += 2;
194         ishex = 1;
195     } else
196         ishex = 0;
197
198     if (ishex)
199         ret = BN_hex2bn(&bn, value);
200     else
201         ret = BN_dec2bn(&bn, value);
202
203     if (!ret || value[ret]) {
204         BN_free(bn);
205         X509V3err(X509V3_F_S2I_ASN1_INTEGER, X509V3_R_BN_DEC2BN_ERROR);
206         return 0;
207     }
208
209     if (isneg && BN_is_zero(bn))
210         isneg = 0;
211
212     aint = BN_to_ASN1_INTEGER(bn, NULL);
213     BN_free(bn);
214     if (!aint) {
215         X509V3err(X509V3_F_S2I_ASN1_INTEGER,
216                   X509V3_R_BN_TO_ASN1_INTEGER_ERROR);
217         return 0;
218     }
219     if (isneg)
220         aint->type |= V_ASN1_NEG;
221     return aint;
222 }
223
224 int X509V3_add_value_int(const char *name, ASN1_INTEGER *aint,
225                          STACK_OF(CONF_VALUE) **extlist)
226 {
227     char *strtmp;
228     int ret;
229     if (!aint)
230         return 1;
231     if (!(strtmp = i2s_ASN1_INTEGER(NULL, aint)))
232         return 0;
233     ret = X509V3_add_value(name, strtmp, extlist);
234     OPENSSL_free(strtmp);
235     return ret;
236 }
237
238 int X509V3_get_value_bool(CONF_VALUE *value, int *asn1_bool)
239 {
240     char *btmp;
241     if (!(btmp = value->value))
242         goto err;
243     if (!strcmp(btmp, "TRUE") || !strcmp(btmp, "true")
244         || !strcmp(btmp, "Y") || !strcmp(btmp, "y")
245         || !strcmp(btmp, "YES") || !strcmp(btmp, "yes")) {
246         *asn1_bool = 0xff;
247         return 1;
248     } else if (!strcmp(btmp, "FALSE") || !strcmp(btmp, "false")
249                || !strcmp(btmp, "N") || !strcmp(btmp, "n")
250                || !strcmp(btmp, "NO") || !strcmp(btmp, "no")) {
251         *asn1_bool = 0;
252         return 1;
253     }
254  err:
255     X509V3err(X509V3_F_X509V3_GET_VALUE_BOOL,
256               X509V3_R_INVALID_BOOLEAN_STRING);
257     X509V3_conf_err(value);
258     return 0;
259 }
260
261 int X509V3_get_value_int(CONF_VALUE *value, ASN1_INTEGER **aint)
262 {
263     ASN1_INTEGER *itmp;
264     if (!(itmp = s2i_ASN1_INTEGER(NULL, value->value))) {
265         X509V3_conf_err(value);
266         return 0;
267     }
268     *aint = itmp;
269     return 1;
270 }
271
272 #define HDR_NAME        1
273 #define HDR_VALUE       2
274
275 /*
276  * #define DEBUG
277  */
278
279 STACK_OF(CONF_VALUE) *X509V3_parse_list(const char *line)
280 {
281     char *p, *q, c;
282     char *ntmp, *vtmp;
283     STACK_OF(CONF_VALUE) *values = NULL;
284     char *linebuf;
285     int state;
286     /* We are going to modify the line so copy it first */
287     linebuf = BUF_strdup(line);
288     state = HDR_NAME;
289     ntmp = NULL;
290     /* Go through all characters */
291     for (p = linebuf, q = linebuf; (c = *p) && (c != '\r') && (c != '\n');
292          p++) {
293
294         switch (state) {
295         case HDR_NAME:
296             if (c == ':') {
297                 state = HDR_VALUE;
298                 *p = 0;
299                 ntmp = strip_spaces(q);
300                 if (!ntmp) {
301                     X509V3err(X509V3_F_X509V3_PARSE_LIST,
302                               X509V3_R_INVALID_NULL_NAME);
303                     goto err;
304                 }
305                 q = p + 1;
306             } else if (c == ',') {
307                 *p = 0;
308                 ntmp = strip_spaces(q);
309                 q = p + 1;
310 #if 0
311                 printf("%s\n", ntmp);
312 #endif
313                 if (!ntmp) {
314                     X509V3err(X509V3_F_X509V3_PARSE_LIST,
315                               X509V3_R_INVALID_NULL_NAME);
316                     goto err;
317                 }
318                 X509V3_add_value(ntmp, NULL, &values);
319             }
320             break;
321
322         case HDR_VALUE:
323             if (c == ',') {
324                 state = HDR_NAME;
325                 *p = 0;
326                 vtmp = strip_spaces(q);
327 #if 0
328                 printf("%s\n", ntmp);
329 #endif
330                 if (!vtmp) {
331                     X509V3err(X509V3_F_X509V3_PARSE_LIST,
332                               X509V3_R_INVALID_NULL_VALUE);
333                     goto err;
334                 }
335                 X509V3_add_value(ntmp, vtmp, &values);
336                 ntmp = NULL;
337                 q = p + 1;
338             }
339
340         }
341     }
342
343     if (state == HDR_VALUE) {
344         vtmp = strip_spaces(q);
345 #if 0
346         printf("%s=%s\n", ntmp, vtmp);
347 #endif
348         if (!vtmp) {
349             X509V3err(X509V3_F_X509V3_PARSE_LIST,
350                       X509V3_R_INVALID_NULL_VALUE);
351             goto err;
352         }
353         X509V3_add_value(ntmp, vtmp, &values);
354     } else {
355         ntmp = strip_spaces(q);
356 #if 0
357         printf("%s\n", ntmp);
358 #endif
359         if (!ntmp) {
360             X509V3err(X509V3_F_X509V3_PARSE_LIST, X509V3_R_INVALID_NULL_NAME);
361             goto err;
362         }
363         X509V3_add_value(ntmp, NULL, &values);
364     }
365     OPENSSL_free(linebuf);
366     return values;
367
368  err:
369     OPENSSL_free(linebuf);
370     sk_CONF_VALUE_pop_free(values, X509V3_conf_free);
371     return NULL;
372
373 }
374
375 /* Delete leading and trailing spaces from a string */
376 static char *strip_spaces(char *name)
377 {
378     char *p, *q;
379     /* Skip over leading spaces */
380     p = name;
381     while (*p && isspace((unsigned char)*p))
382         p++;
383     if (!*p)
384         return NULL;
385     q = p + strlen(p) - 1;
386     while ((q != p) && isspace((unsigned char)*q))
387         q--;
388     if (p != q)
389         q[1] = 0;
390     if (!*p)
391         return NULL;
392     return p;
393 }
394
395 /* hex string utilities */
396
397 /*
398  * Given a buffer of length 'len' return a OPENSSL_malloc'ed string with its
399  * hex representation @@@ (Contents of buffer are always kept in ASCII, also
400  * on EBCDIC machines)
401  */
402
403 char *hex_to_string(const unsigned char *buffer, long len)
404 {
405     char *tmp, *q;
406     const unsigned char *p;
407     int i;
408     const static char hexdig[] = "0123456789ABCDEF";
409     if (!buffer || !len)
410         return NULL;
411     if (!(tmp = OPENSSL_malloc(len * 3 + 1))) {
412         X509V3err(X509V3_F_HEX_TO_STRING, ERR_R_MALLOC_FAILURE);
413         return NULL;
414     }
415     q = tmp;
416     for (i = 0, p = buffer; i < len; i++, p++) {
417         *q++ = hexdig[(*p >> 4) & 0xf];
418         *q++ = hexdig[*p & 0xf];
419         *q++ = ':';
420     }
421     q[-1] = 0;
422 #ifdef CHARSET_EBCDIC
423     ebcdic2ascii(tmp, tmp, q - tmp - 1);
424 #endif
425
426     return tmp;
427 }
428
429 /*
430  * Give a string of hex digits convert to a buffer
431  */
432
433 unsigned char *string_to_hex(const char *str, long *len)
434 {
435     unsigned char *hexbuf, *q;
436     unsigned char ch, cl, *p;
437     if (!str) {
438         X509V3err(X509V3_F_STRING_TO_HEX, X509V3_R_INVALID_NULL_ARGUMENT);
439         return NULL;
440     }
441     if (!(hexbuf = OPENSSL_malloc(strlen(str) >> 1)))
442         goto err;
443     for (p = (unsigned char *)str, q = hexbuf; *p;) {
444         ch = *p++;
445 #ifdef CHARSET_EBCDIC
446         ch = os_toebcdic[ch];
447 #endif
448         if (ch == ':')
449             continue;
450         cl = *p++;
451 #ifdef CHARSET_EBCDIC
452         cl = os_toebcdic[cl];
453 #endif
454         if (!cl) {
455             X509V3err(X509V3_F_STRING_TO_HEX, X509V3_R_ODD_NUMBER_OF_DIGITS);
456             OPENSSL_free(hexbuf);
457             return NULL;
458         }
459         if (isupper(ch))
460             ch = tolower(ch);
461         if (isupper(cl))
462             cl = tolower(cl);
463
464         if ((ch >= '0') && (ch <= '9'))
465             ch -= '0';
466         else if ((ch >= 'a') && (ch <= 'f'))
467             ch -= 'a' - 10;
468         else
469             goto badhex;
470
471         if ((cl >= '0') && (cl <= '9'))
472             cl -= '0';
473         else if ((cl >= 'a') && (cl <= 'f'))
474             cl -= 'a' - 10;
475         else
476             goto badhex;
477
478         *q++ = (ch << 4) | cl;
479     }
480
481     if (len)
482         *len = q - hexbuf;
483
484     return hexbuf;
485
486  err:
487     if (hexbuf)
488         OPENSSL_free(hexbuf);
489     X509V3err(X509V3_F_STRING_TO_HEX, ERR_R_MALLOC_FAILURE);
490     return NULL;
491
492  badhex:
493     OPENSSL_free(hexbuf);
494     X509V3err(X509V3_F_STRING_TO_HEX, X509V3_R_ILLEGAL_HEX_DIGIT);
495     return NULL;
496
497 }
498
499 /*
500  * V2I name comparison function: returns zero if 'name' matches cmp or cmp.*
501  */
502
503 int name_cmp(const char *name, const char *cmp)
504 {
505     int len, ret;
506     char c;
507     len = strlen(cmp);
508     if ((ret = strncmp(name, cmp, len)))
509         return ret;
510     c = name[len];
511     if (!c || (c == '.'))
512         return 0;
513     return 1;
514 }
515
516 static int sk_strcmp(const char *const *a, const char *const *b)
517 {
518     return strcmp(*a, *b);
519 }
520
521 STACK_OF(OPENSSL_STRING) *X509_get1_email(X509 *x)
522 {
523     GENERAL_NAMES *gens;
524     STACK_OF(OPENSSL_STRING) *ret;
525
526     gens = X509_get_ext_d2i(x, NID_subject_alt_name, NULL, NULL);
527     ret = get_email(X509_get_subject_name(x), gens);
528     sk_GENERAL_NAME_pop_free(gens, GENERAL_NAME_free);
529     return ret;
530 }
531
532 STACK_OF(OPENSSL_STRING) *X509_get1_ocsp(X509 *x)
533 {
534     AUTHORITY_INFO_ACCESS *info;
535     STACK_OF(OPENSSL_STRING) *ret = NULL;
536     int i;
537
538     info = X509_get_ext_d2i(x, NID_info_access, NULL, NULL);
539     if (!info)
540         return NULL;
541     for (i = 0; i < sk_ACCESS_DESCRIPTION_num(info); i++) {
542         ACCESS_DESCRIPTION *ad = sk_ACCESS_DESCRIPTION_value(info, i);
543         if (OBJ_obj2nid(ad->method) == NID_ad_OCSP) {
544             if (ad->location->type == GEN_URI) {
545                 if (!append_ia5
546                     (&ret, ad->location->d.uniformResourceIdentifier))
547                     break;
548             }
549         }
550     }
551     AUTHORITY_INFO_ACCESS_free(info);
552     return ret;
553 }
554
555 STACK_OF(OPENSSL_STRING) *X509_REQ_get1_email(X509_REQ *x)
556 {
557     GENERAL_NAMES *gens;
558     STACK_OF(X509_EXTENSION) *exts;
559     STACK_OF(OPENSSL_STRING) *ret;
560
561     exts = X509_REQ_get_extensions(x);
562     gens = X509V3_get_d2i(exts, NID_subject_alt_name, NULL, NULL);
563     ret = get_email(X509_REQ_get_subject_name(x), gens);
564     sk_GENERAL_NAME_pop_free(gens, GENERAL_NAME_free);
565     sk_X509_EXTENSION_pop_free(exts, X509_EXTENSION_free);
566     return ret;
567 }
568
569 static STACK_OF(OPENSSL_STRING) *get_email(X509_NAME *name,
570                                            GENERAL_NAMES *gens)
571 {
572     STACK_OF(OPENSSL_STRING) *ret = NULL;
573     X509_NAME_ENTRY *ne;
574     ASN1_IA5STRING *email;
575     GENERAL_NAME *gen;
576     int i;
577     /* Now add any email address(es) to STACK */
578     i = -1;
579     /* First supplied X509_NAME */
580     while ((i = X509_NAME_get_index_by_NID(name,
581                                            NID_pkcs9_emailAddress, i)) >= 0) {
582         ne = X509_NAME_get_entry(name, i);
583         email = X509_NAME_ENTRY_get_data(ne);
584         if (!append_ia5(&ret, email))
585             return NULL;
586     }
587     for (i = 0; i < sk_GENERAL_NAME_num(gens); i++) {
588         gen = sk_GENERAL_NAME_value(gens, i);
589         if (gen->type != GEN_EMAIL)
590             continue;
591         if (!append_ia5(&ret, gen->d.ia5))
592             return NULL;
593     }
594     return ret;
595 }
596
597 static void str_free(OPENSSL_STRING str)
598 {
599     OPENSSL_free(str);
600 }
601
602 static int append_ia5(STACK_OF(OPENSSL_STRING) **sk, ASN1_IA5STRING *email)
603 {
604     char *emtmp;
605     /* First some sanity checks */
606     if (email->type != V_ASN1_IA5STRING)
607         return 1;
608     if (!email->data || !email->length)
609         return 1;
610     if (!*sk)
611         *sk = sk_OPENSSL_STRING_new(sk_strcmp);
612     if (!*sk)
613         return 0;
614     /* Don't add duplicates */
615     if (sk_OPENSSL_STRING_find(*sk, (char *)email->data) != -1)
616         return 1;
617     emtmp = BUF_strdup((char *)email->data);
618     if (!emtmp || !sk_OPENSSL_STRING_push(*sk, emtmp)) {
619         X509_email_free(*sk);
620         *sk = NULL;
621         return 0;
622     }
623     return 1;
624 }
625
626 void X509_email_free(STACK_OF(OPENSSL_STRING) *sk)
627 {
628     sk_OPENSSL_STRING_pop_free(sk, str_free);
629 }
630
631 typedef int (*equal_fn) (const unsigned char *pattern, size_t pattern_len,
632                          const unsigned char *subject, size_t subject_len,
633                          unsigned int flags);
634
635 /* Skip pattern prefix to match "wildcard" subject */
636 static void skip_prefix(const unsigned char **p, size_t *plen,
637                         const unsigned char *subject, size_t subject_len,
638                         unsigned int flags)
639 {
640     const unsigned char *pattern = *p;
641     size_t pattern_len = *plen;
642
643     /*
644      * If subject starts with a leading '.' followed by more octets, and
645      * pattern is longer, compare just an equal-length suffix with the
646      * full subject (starting at the '.'), provided the prefix contains
647      * no NULs.
648      */
649     if ((flags & _X509_CHECK_FLAG_DOT_SUBDOMAINS) == 0)
650         return;
651
652     while (pattern_len > subject_len && *pattern) {
653         if ((flags & X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS) &&
654             *pattern == '.')
655             break;
656         ++pattern;
657         --pattern_len;
658     }
659
660     /* Skip if entire prefix acceptable */
661     if (pattern_len == subject_len) {
662         *p = pattern;
663         *plen = pattern_len;
664     }
665 }
666
667 /* Compare while ASCII ignoring case. */
668 static int equal_nocase(const unsigned char *pattern, size_t pattern_len,
669                         const unsigned char *subject, size_t subject_len,
670                         unsigned int flags)
671 {
672     skip_prefix(&pattern, &pattern_len, subject, subject_len, flags);
673     if (pattern_len != subject_len)
674         return 0;
675     while (pattern_len) {
676         unsigned char l = *pattern;
677         unsigned char r = *subject;
678         /* The pattern must not contain NUL characters. */
679         if (l == 0)
680             return 0;
681         if (l != r) {
682             if ('A' <= l && l <= 'Z')
683                 l = (l - 'A') + 'a';
684             if ('A' <= r && r <= 'Z')
685                 r = (r - 'A') + 'a';
686             if (l != r)
687                 return 0;
688         }
689         ++pattern;
690         ++subject;
691         --pattern_len;
692     }
693     return 1;
694 }
695
696 /* Compare using memcmp. */
697 static int equal_case(const unsigned char *pattern, size_t pattern_len,
698                       const unsigned char *subject, size_t subject_len,
699                       unsigned int flags)
700 {
701     skip_prefix(&pattern, &pattern_len, subject, subject_len, flags);
702     if (pattern_len != subject_len)
703         return 0;
704     return !memcmp(pattern, subject, pattern_len);
705 }
706
707 /*
708  * RFC 5280, section 7.5, requires that only the domain is compared in a
709  * case-insensitive manner.
710  */
711 static int equal_email(const unsigned char *a, size_t a_len,
712                        const unsigned char *b, size_t b_len,
713                        unsigned int unused_flags)
714 {
715     size_t i = a_len;
716     if (a_len != b_len)
717         return 0;
718     /*
719      * We search backwards for the '@' character, so that we do not have to
720      * deal with quoted local-parts.  The domain part is compared in a
721      * case-insensitive manner.
722      */
723     while (i > 0) {
724         --i;
725         if (a[i] == '@' || b[i] == '@') {
726             if (!equal_nocase(a + i, a_len - i, b + i, a_len - i, 0))
727                 return 0;
728             break;
729         }
730     }
731     if (i == 0)
732         i = a_len;
733     return equal_case(a, i, b, i, 0);
734 }
735
736 /*
737  * Compare the prefix and suffix with the subject, and check that the
738  * characters in-between are valid.
739  */
740 static int wildcard_match(const unsigned char *prefix, size_t prefix_len,
741                           const unsigned char *suffix, size_t suffix_len,
742                           const unsigned char *subject, size_t subject_len,
743                           unsigned int flags)
744 {
745     const unsigned char *wildcard_start;
746     const unsigned char *wildcard_end;
747     const unsigned char *p;
748     int allow_multi = 0;
749     int allow_idna = 0;
750
751     if (subject_len < prefix_len + suffix_len)
752         return 0;
753     if (!equal_nocase(prefix, prefix_len, subject, prefix_len, flags))
754         return 0;
755     wildcard_start = subject + prefix_len;
756     wildcard_end = subject + (subject_len - suffix_len);
757     if (!equal_nocase(wildcard_end, suffix_len, suffix, suffix_len, flags))
758         return 0;
759     /*
760      * If the wildcard makes up the entire first label, it must match at
761      * least one character.
762      */
763     if (prefix_len == 0 && *suffix == '.') {
764         if (wildcard_start == wildcard_end)
765             return 0;
766         allow_idna = 1;
767         if (flags & X509_CHECK_FLAG_MULTI_LABEL_WILDCARDS)
768             allow_multi = 1;
769     }
770     /* IDNA labels cannot match partial wildcards */
771     if (!allow_idna &&
772         subject_len >= 4 && strncasecmp((char *)subject, "xn--", 4) == 0)
773         return 0;
774     /* The wildcard may match a literal '*' */
775     if (wildcard_end == wildcard_start + 1 && *wildcard_start == '*')
776         return 1;
777     /*
778      * Check that the part matched by the wildcard contains only
779      * permitted characters and only matches a single label unless
780      * allow_multi is set.
781      */
782     for (p = wildcard_start; p != wildcard_end; ++p)
783         if (!(('0' <= *p && *p <= '9') ||
784               ('A' <= *p && *p <= 'Z') ||
785               ('a' <= *p && *p <= 'z') ||
786               *p == '-' || (allow_multi && *p == '.')))
787             return 0;
788     return 1;
789 }
790
791 #define LABEL_START     (1 << 0)
792 #define LABEL_END       (1 << 1)
793 #define LABEL_HYPHEN    (1 << 2)
794 #define LABEL_IDNA      (1 << 3)
795
796 static const unsigned char *valid_star(const unsigned char *p, size_t len,
797                                        unsigned int flags)
798 {
799     const unsigned char *star = 0;
800     size_t i;
801     int state = LABEL_START;
802     int dots = 0;
803     for (i = 0; i < len; ++i) {
804         /*
805          * Locate first and only legal wildcard, either at the start
806          * or end of a non-IDNA first and not final label.
807          */
808         if (p[i] == '*') {
809             int atstart = (state & LABEL_START);
810             int atend = (i == len - 1 || p[i + i] == '.');
811             /*-
812              * At most one wildcard per pattern.
813              * No wildcards in IDNA labels.
814              * No wildcards after the first label.
815              */
816             if (star != NULL || (state & LABEL_IDNA) != 0 || dots)
817                 return NULL;
818             /* Only full-label '*.example.com' wildcards? */
819             if ((flags & X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS)
820                 && (!atstart || !atend))
821                 return NULL;
822             /* No 'foo*bar' wildcards */
823             if (!atstart && !atend)
824                 return NULL;
825             star = &p[i];
826             state &= ~LABEL_START;
827         } else if (('a' <= p[i] && p[i] <= 'z')
828                    || ('A' <= p[i] && p[i] <= 'Z')
829                    || ('0' <= p[i] && p[i] <= '9')) {
830             if ((state & LABEL_START) != 0
831                 && len - i >= 4 && strncasecmp((char *)&p[i], "xn--", 4) == 0)
832                 state |= LABEL_IDNA;
833             state &= ~(LABEL_HYPHEN | LABEL_START);
834         } else if (p[i] == '.') {
835             if ((state & (LABEL_HYPHEN | LABEL_START)) != 0)
836                 return NULL;
837             state = LABEL_START;
838             ++dots;
839         } else if (p[i] == '-') {
840             if ((state & LABEL_HYPHEN) != 0)
841                 return NULL;
842             state |= LABEL_HYPHEN;
843         } else
844             return NULL;
845     }
846
847     /*
848      * The final label must not end in a hyphen or ".", and
849      * there must be at least two dots after the star.
850      */
851     if ((state & (LABEL_START | LABEL_HYPHEN)) != 0 || dots < 2)
852         return NULL;
853     return star;
854 }
855
856 /* Compare using wildcards. */
857 static int equal_wildcard(const unsigned char *pattern, size_t pattern_len,
858                           const unsigned char *subject, size_t subject_len,
859                           unsigned int flags)
860 {
861     const unsigned char *star = NULL;
862
863     /*
864      * Subject names starting with '.' can only match a wildcard pattern
865      * via a subject sub-domain pattern suffix match.
866      */
867     if (!(subject_len > 1 && subject[0] == '.'))
868         star = valid_star(pattern, pattern_len, flags);
869     if (star == NULL)
870         return equal_nocase(pattern, pattern_len,
871                             subject, subject_len, flags);
872     return wildcard_match(pattern, star - pattern,
873                           star + 1, (pattern + pattern_len) - star - 1,
874                           subject, subject_len, flags);
875 }
876
877 /*
878  * Compare an ASN1_STRING to a supplied string. If they match return 1. If
879  * cmp_type > 0 only compare if string matches the type, otherwise convert it
880  * to UTF8.
881  */
882
883 static int do_check_string(ASN1_STRING *a, int cmp_type, equal_fn equal,
884                            unsigned int flags, const char *b, size_t blen,
885                            char **peername)
886 {
887     int rv = 0;
888
889     if (!a->data || !a->length)
890         return 0;
891     if (cmp_type > 0) {
892         if (cmp_type != a->type)
893             return 0;
894         if (cmp_type == V_ASN1_IA5STRING)
895             rv = equal(a->data, a->length, (unsigned char *)b, blen, flags);
896         else if (a->length == (int)blen && !memcmp(a->data, b, blen))
897             rv = 1;
898         if (rv > 0 && peername)
899             *peername = BUF_strndup((char *)a->data, a->length);
900     } else {
901         int astrlen;
902         unsigned char *astr;
903         astrlen = ASN1_STRING_to_UTF8(&astr, a);
904         if (astrlen < 0) {
905             /*
906              * -1 could be an internal malloc failure or a decoding error from
907              * malformed input; we can't distinguish.
908              */
909             return -1;
910         }
911         rv = equal(astr, astrlen, (unsigned char *)b, blen, flags);
912         if (rv > 0 && peername)
913             *peername = BUF_strndup((char *)astr, astrlen);
914         OPENSSL_free(astr);
915     }
916     return rv;
917 }
918
919 static int do_x509_check(X509 *x, const char *chk, size_t chklen,
920                          unsigned int flags, int check_type, char **peername)
921 {
922     GENERAL_NAMES *gens = NULL;
923     X509_NAME *name = NULL;
924     int i;
925     int cnid;
926     int alt_type;
927     int san_present = 0;
928     int rv = 0;
929     equal_fn equal;
930
931     /* See below, this flag is internal-only */
932     flags &= ~_X509_CHECK_FLAG_DOT_SUBDOMAINS;
933     if (check_type == GEN_EMAIL) {
934         cnid = NID_pkcs9_emailAddress;
935         alt_type = V_ASN1_IA5STRING;
936         equal = equal_email;
937     } else if (check_type == GEN_DNS) {
938         cnid = NID_commonName;
939         /* Implicit client-side DNS sub-domain pattern */
940         if (chklen > 1 && chk[0] == '.')
941             flags |= _X509_CHECK_FLAG_DOT_SUBDOMAINS;
942         alt_type = V_ASN1_IA5STRING;
943         if (flags & X509_CHECK_FLAG_NO_WILDCARDS)
944             equal = equal_nocase;
945         else
946             equal = equal_wildcard;
947     } else {
948         cnid = 0;
949         alt_type = V_ASN1_OCTET_STRING;
950         equal = equal_case;
951     }
952
953     if (chklen == 0)
954         chklen = strlen(chk);
955
956     gens = X509_get_ext_d2i(x, NID_subject_alt_name, NULL, NULL);
957     if (gens) {
958         for (i = 0; i < sk_GENERAL_NAME_num(gens); i++) {
959             GENERAL_NAME *gen;
960             ASN1_STRING *cstr;
961             gen = sk_GENERAL_NAME_value(gens, i);
962             if (gen->type != check_type)
963                 continue;
964             san_present = 1;
965             if (check_type == GEN_EMAIL)
966                 cstr = gen->d.rfc822Name;
967             else if (check_type == GEN_DNS)
968                 cstr = gen->d.dNSName;
969             else
970                 cstr = gen->d.iPAddress;
971             /* Positive on success, negative on error! */
972             if ((rv = do_check_string(cstr, alt_type, equal, flags,
973                                       chk, chklen, peername)) != 0)
974                 break;
975         }
976         GENERAL_NAMES_free(gens);
977         if (rv != 0)
978             return rv;
979         if (!cnid
980             || (san_present
981                 && !(flags & X509_CHECK_FLAG_ALWAYS_CHECK_SUBJECT)))
982             return 0;
983     }
984     i = -1;
985     name = X509_get_subject_name(x);
986     while ((i = X509_NAME_get_index_by_NID(name, cnid, i)) >= 0) {
987         X509_NAME_ENTRY *ne;
988         ASN1_STRING *str;
989         ne = X509_NAME_get_entry(name, i);
990         str = X509_NAME_ENTRY_get_data(ne);
991         /* Positive on success, negative on error! */
992         if ((rv = do_check_string(str, -1, equal, flags,
993                                   chk, chklen, peername)) != 0)
994             return rv;
995     }
996     return 0;
997 }
998
999 int X509_check_host(X509 *x, const char *chk, size_t chklen,
1000                     unsigned int flags, char **peername)
1001 {
1002     if (chk == NULL)
1003         return -2;
1004     /*
1005      * Embedded NULs are disallowed, except as the last character of a
1006      * string of length 2 or more (tolerate caller including terminating
1007      * NUL in string length).
1008      */
1009     if (chklen == 0)
1010         chklen = strlen(chk);
1011     else if (memchr(chk, '\0', chklen > 1 ? chklen - 1 : chklen))
1012         return -2;
1013     if (chklen > 1 && chk[chklen - 1] == '\0')
1014         --chklen;
1015     return do_x509_check(x, chk, chklen, flags, GEN_DNS, peername);
1016 }
1017
1018 int X509_check_email(X509 *x, const char *chk, size_t chklen,
1019                      unsigned int flags)
1020 {
1021     if (chk == NULL)
1022         return -2;
1023     /*
1024      * Embedded NULs are disallowed, except as the last character of a
1025      * string of length 2 or more (tolerate caller including terminating
1026      * NUL in string length).
1027      */
1028     if (chklen == 0)
1029         chklen = strlen((char *)chk);
1030     else if (memchr(chk, '\0', chklen > 1 ? chklen - 1 : chklen))
1031         return -2;
1032     if (chklen > 1 && chk[chklen - 1] == '\0')
1033         --chklen;
1034     return do_x509_check(x, chk, chklen, flags, GEN_EMAIL, NULL);
1035 }
1036
1037 int X509_check_ip(X509 *x, const unsigned char *chk, size_t chklen,
1038                   unsigned int flags)
1039 {
1040     if (chk == NULL)
1041         return -2;
1042     return do_x509_check(x, (char *)chk, chklen, flags, GEN_IPADD, NULL);
1043 }
1044
1045 int X509_check_ip_asc(X509 *x, const char *ipasc, unsigned int flags)
1046 {
1047     unsigned char ipout[16];
1048     size_t iplen;
1049
1050     if (ipasc == NULL)
1051         return -2;
1052     iplen = (size_t)a2i_ipadd(ipout, ipasc);
1053     if (iplen == 0)
1054         return -2;
1055     return do_x509_check(x, (char *)ipout, iplen, flags, GEN_IPADD, NULL);
1056 }
1057
1058 /*
1059  * Convert IP addresses both IPv4 and IPv6 into an OCTET STRING compatible
1060  * with RFC3280.
1061  */
1062
1063 ASN1_OCTET_STRING *a2i_IPADDRESS(const char *ipasc)
1064 {
1065     unsigned char ipout[16];
1066     ASN1_OCTET_STRING *ret;
1067     int iplen;
1068
1069     /* If string contains a ':' assume IPv6 */
1070
1071     iplen = a2i_ipadd(ipout, ipasc);
1072
1073     if (!iplen)
1074         return NULL;
1075
1076     ret = ASN1_OCTET_STRING_new();
1077     if (!ret)
1078         return NULL;
1079     if (!ASN1_OCTET_STRING_set(ret, ipout, iplen)) {
1080         ASN1_OCTET_STRING_free(ret);
1081         return NULL;
1082     }
1083     return ret;
1084 }
1085
1086 ASN1_OCTET_STRING *a2i_IPADDRESS_NC(const char *ipasc)
1087 {
1088     ASN1_OCTET_STRING *ret = NULL;
1089     unsigned char ipout[32];
1090     char *iptmp = NULL, *p;
1091     int iplen1, iplen2;
1092     p = strchr(ipasc, '/');
1093     if (!p)
1094         return NULL;
1095     iptmp = BUF_strdup(ipasc);
1096     if (!iptmp)
1097         return NULL;
1098     p = iptmp + (p - ipasc);
1099     *p++ = 0;
1100
1101     iplen1 = a2i_ipadd(ipout, iptmp);
1102
1103     if (!iplen1)
1104         goto err;
1105
1106     iplen2 = a2i_ipadd(ipout + iplen1, p);
1107
1108     OPENSSL_free(iptmp);
1109     iptmp = NULL;
1110
1111     if (!iplen2 || (iplen1 != iplen2))
1112         goto err;
1113
1114     ret = ASN1_OCTET_STRING_new();
1115     if (!ret)
1116         goto err;
1117     if (!ASN1_OCTET_STRING_set(ret, ipout, iplen1 + iplen2))
1118         goto err;
1119
1120     return ret;
1121
1122  err:
1123     if (iptmp)
1124         OPENSSL_free(iptmp);
1125     if (ret)
1126         ASN1_OCTET_STRING_free(ret);
1127     return NULL;
1128 }
1129
1130 int a2i_ipadd(unsigned char *ipout, const char *ipasc)
1131 {
1132     /* If string contains a ':' assume IPv6 */
1133
1134     if (strchr(ipasc, ':')) {
1135         if (!ipv6_from_asc(ipout, ipasc))
1136             return 0;
1137         return 16;
1138     } else {
1139         if (!ipv4_from_asc(ipout, ipasc))
1140             return 0;
1141         return 4;
1142     }
1143 }
1144
1145 static int ipv4_from_asc(unsigned char *v4, const char *in)
1146 {
1147     int a0, a1, a2, a3;
1148     if (sscanf(in, "%d.%d.%d.%d", &a0, &a1, &a2, &a3) != 4)
1149         return 0;
1150     if ((a0 < 0) || (a0 > 255) || (a1 < 0) || (a1 > 255)
1151         || (a2 < 0) || (a2 > 255) || (a3 < 0) || (a3 > 255))
1152         return 0;
1153     v4[0] = a0;
1154     v4[1] = a1;
1155     v4[2] = a2;
1156     v4[3] = a3;
1157     return 1;
1158 }
1159
1160 typedef struct {
1161     /* Temporary store for IPV6 output */
1162     unsigned char tmp[16];
1163     /* Total number of bytes in tmp */
1164     int total;
1165     /* The position of a zero (corresponding to '::') */
1166     int zero_pos;
1167     /* Number of zeroes */
1168     int zero_cnt;
1169 } IPV6_STAT;
1170
1171 static int ipv6_from_asc(unsigned char *v6, const char *in)
1172 {
1173     IPV6_STAT v6stat;
1174     v6stat.total = 0;
1175     v6stat.zero_pos = -1;
1176     v6stat.zero_cnt = 0;
1177     /*
1178      * Treat the IPv6 representation as a list of values separated by ':'.
1179      * The presence of a '::' will parse as one, two or three zero length
1180      * elements.
1181      */
1182     if (!CONF_parse_list(in, ':', 0, ipv6_cb, &v6stat))
1183         return 0;
1184
1185     /* Now for some sanity checks */
1186
1187     if (v6stat.zero_pos == -1) {
1188         /* If no '::' must have exactly 16 bytes */
1189         if (v6stat.total != 16)
1190             return 0;
1191     } else {
1192         /* If '::' must have less than 16 bytes */
1193         if (v6stat.total == 16)
1194             return 0;
1195         /* More than three zeroes is an error */
1196         if (v6stat.zero_cnt > 3)
1197             return 0;
1198         /* Can only have three zeroes if nothing else present */
1199         else if (v6stat.zero_cnt == 3) {
1200             if (v6stat.total > 0)
1201                 return 0;
1202         }
1203         /* Can only have two zeroes if at start or end */
1204         else if (v6stat.zero_cnt == 2) {
1205             if ((v6stat.zero_pos != 0)
1206                 && (v6stat.zero_pos != v6stat.total))
1207                 return 0;
1208         } else
1209             /* Can only have one zero if *not* start or end */
1210         {
1211             if ((v6stat.zero_pos == 0)
1212                 || (v6stat.zero_pos == v6stat.total))
1213                 return 0;
1214         }
1215     }
1216
1217     /* Format result */
1218
1219     if (v6stat.zero_pos >= 0) {
1220         /* Copy initial part */
1221         memcpy(v6, v6stat.tmp, v6stat.zero_pos);
1222         /* Zero middle */
1223         memset(v6 + v6stat.zero_pos, 0, 16 - v6stat.total);
1224         /* Copy final part */
1225         if (v6stat.total != v6stat.zero_pos)
1226             memcpy(v6 + v6stat.zero_pos + 16 - v6stat.total,
1227                    v6stat.tmp + v6stat.zero_pos,
1228                    v6stat.total - v6stat.zero_pos);
1229     } else
1230         memcpy(v6, v6stat.tmp, 16);
1231
1232     return 1;
1233 }
1234
1235 static int ipv6_cb(const char *elem, int len, void *usr)
1236 {
1237     IPV6_STAT *s = usr;
1238     /* Error if 16 bytes written */
1239     if (s->total == 16)
1240         return 0;
1241     if (len == 0) {
1242         /* Zero length element, corresponds to '::' */
1243         if (s->zero_pos == -1)
1244             s->zero_pos = s->total;
1245         /* If we've already got a :: its an error */
1246         else if (s->zero_pos != s->total)
1247             return 0;
1248         s->zero_cnt++;
1249     } else {
1250         /* If more than 4 characters could be final a.b.c.d form */
1251         if (len > 4) {
1252             /* Need at least 4 bytes left */
1253             if (s->total > 12)
1254                 return 0;
1255             /* Must be end of string */
1256             if (elem[len])
1257                 return 0;
1258             if (!ipv4_from_asc(s->tmp + s->total, elem))
1259                 return 0;
1260             s->total += 4;
1261         } else {
1262             if (!ipv6_hex(s->tmp + s->total, elem, len))
1263                 return 0;
1264             s->total += 2;
1265         }
1266     }
1267     return 1;
1268 }
1269
1270 /*
1271  * Convert a string of up to 4 hex digits into the corresponding IPv6 form.
1272  */
1273
1274 static int ipv6_hex(unsigned char *out, const char *in, int inlen)
1275 {
1276     unsigned char c;
1277     unsigned int num = 0;
1278     if (inlen > 4)
1279         return 0;
1280     while (inlen--) {
1281         c = *in++;
1282         num <<= 4;
1283         if ((c >= '0') && (c <= '9'))
1284             num |= c - '0';
1285         else if ((c >= 'A') && (c <= 'F'))
1286             num |= c - 'A' + 10;
1287         else if ((c >= 'a') && (c <= 'f'))
1288             num |= c - 'a' + 10;
1289         else
1290             return 0;
1291     }
1292     out[0] = num >> 8;
1293     out[1] = num & 0xff;
1294     return 1;
1295 }
1296
1297 int X509V3_NAME_from_section(X509_NAME *nm, STACK_OF(CONF_VALUE) *dn_sk,
1298                              unsigned long chtype)
1299 {
1300     CONF_VALUE *v;
1301     int i, mval;
1302     char *p, *type;
1303     if (!nm)
1304         return 0;
1305
1306     for (i = 0; i < sk_CONF_VALUE_num(dn_sk); i++) {
1307         v = sk_CONF_VALUE_value(dn_sk, i);
1308         type = v->name;
1309         /*
1310          * Skip past any leading X. X: X, etc to allow for multiple instances
1311          */
1312         for (p = type; *p; p++)
1313 #ifndef CHARSET_EBCDIC
1314             if ((*p == ':') || (*p == ',') || (*p == '.'))
1315 #else
1316             if ((*p == os_toascii[':']) || (*p == os_toascii[','])
1317                 || (*p == os_toascii['.']))
1318 #endif
1319             {
1320                 p++;
1321                 if (*p)
1322                     type = p;
1323                 break;
1324             }
1325 #ifndef CHARSET_EBCDIC
1326         if (*type == '+')
1327 #else
1328         if (*type == os_toascii['+'])
1329 #endif
1330         {
1331             mval = -1;
1332             type++;
1333         } else
1334             mval = 0;
1335         if (!X509_NAME_add_entry_by_txt(nm, type, chtype,
1336                                         (unsigned char *)v->value, -1, -1,
1337                                         mval))
1338             return 0;
1339
1340     }
1341     return 1;
1342 }