Don't use strcasecmp and strncasecmp for IA5 strings
authorMatt Caswell <matt@openssl.org>
Fri, 20 Oct 2017 16:11:03 +0000 (17:11 +0100)
committerMatt Caswell <matt@openssl.org>
Thu, 26 Oct 2017 13:57:01 +0000 (14:57 +0100)
commit44cbf6a9fe7db112ae2ed189412ab9e5205028b1
treed7312bfa9765bfb14eda437cce2500ac857fb937
parent1aa0fcfb0a2bae287c2f26fe82d5b792fcc0cf3f
Don't use strcasecmp and strncasecmp for IA5 strings

The functions strcasecmp() and strncasecmp() will use locale specific rules
when performing comparison. This could cause some problems in certain
locales. For example in the Turkish locale an 'I' character is not the
uppercase version of 'i'. However IA5 strings should not use locale specific
rules, i.e. for an IA5 string 'I' is uppercase 'i' even if using the
Turkish locale.

This fixes a bug in name constraints checking reported by Thomas Pornin
(NCCGroup).

This is not considered a security issue because it would require both a
Turkish locale (or other locale with similar issues) and malfeasance by
a trusted name-constrained CA for a certificate to pass name constraints
in error. The constraints also have to be for excluded sub-trees which are
extremely rare. Failure to match permitted subtrees is a bug, not a
vulnerability.

Reviewed-by: Richard Levitte <levitte@openssl.org>
(Merged from https://github.com/openssl/openssl/pull/4570)
crypto/x509v3/v3_ncons.c