Fix Use After Free for large message sizes
authorMatt Caswell <matt@openssl.org>
Fri, 23 Sep 2016 15:58:11 +0000 (16:58 +0100)
committerMatt Caswell <matt@openssl.org>
Mon, 26 Sep 2016 07:52:48 +0000 (08:52 +0100)
commit0d698f6696e114a6e47f8b75ff88ec81f9e30175
tree10e900792ae8a30a2411ee7ce39cab408f511b21
parentf789b04f407c2003da62d2b91b587629f1a781d0
Fix Use After Free for large message sizes

The buffer to receive messages is initialised to 16k. If a message is
received that is larger than that then the buffer is "realloc'd". This can
cause the location of the underlying buffer to change. Anything that is
referring to the old location will be referring to free'd data. In the
recent commit c1ef7c97 (master) and 4b390b6c (1.1.0) the point in the code
where the message buffer is grown was changed. However s->init_msg was not
updated to point at the new location.

CVE-2016-6309

Reviewed-by: Emilia Käsper <emilia@openssl.org>
ssl/statem/statem.c