Fix buffer overrun in RSA signing
authorMatt Caswell <matt@openssl.org>
Wed, 29 Apr 2015 12:22:18 +0000 (13:22 +0100)
committerMatt Caswell <matt@openssl.org>
Thu, 30 Apr 2015 22:27:07 +0000 (23:27 +0100)
commit017f695f2ca06ba45f6d9dd7be508934fb2a37e3
tree1964cb9513198796ac7f520393eb1161316d3738
parentee900ed1f7865d12682f5dd640d7554655cb4255
Fix buffer overrun in RSA signing

The problem occurs in EVP_PKEY_sign() when using RSA with X931 padding.
It is only triggered if the RSA key size is smaller than the digest length.
So with SHA512 you can trigger the overflow with anything less than an RSA
512 bit key. I managed to trigger a 62 byte overflow when using a 16 bit RSA
key. This wasn't sufficient to cause a crash, although your mileage may
vary.

In practice RSA keys of this length are never used and X931 padding is very
rare. Even if someone did use an excessively short RSA key, the chances of
them combining that with a longer digest and X931 padding is very
small. For these reasons I do not believe there is a security implication to
this. Thanks to Kevin Wojtysiak (Int3 Solutions) and Paramjot Oberoi (Int3
Solutions) for reporting this issue.

Reviewed-by: Andy Polyakov <appro@openssl.org>
(cherry picked from commit 34166d41892643a36ad2d1f53cc0025e2edc2a39)
crypto/rsa/rsa_pmeth.c