Fix NULL dereference in SSL_check_chain() for TLS 1.3
authorBenjamin Kaduk <kaduk@mit.edu>
Fri, 10 Apr 2020 19:27:28 +0000 (12:27 -0700)
committerMatt Caswell <matt@openssl.org>
Tue, 21 Apr 2020 12:32:35 +0000 (13:32 +0100)
commita87f3fe01a5a894aa27ccd6a239155fd129988e4
treeab00b1ad51883e834495650f115ec2e8f9d1cc37
parent3656c08ab4b1b892730cb5e808b6f4298b08a2e6
Fix NULL dereference in SSL_check_chain() for TLS 1.3

In the tls1_check_sig_alg() helper function, we loop through the list of
"signature_algorithms_cert" values received from the client and attempt
to look up each one in turn in our internal table that maps wire
codepoint to string-form name, digest and/or signature NID, etc., in
order to compare the signature scheme from the peer's list against what
is used to sign the certificates in the certificate chain we're
checking.  Unfortunately, when the peer sends a value that we don't
support, the lookup returns NULL, but we unconditionally dereference the
lookup result for the comparison, leading to an application crash
triggerable by an unauthenticated client.

Since we will not be able to say anything about algorithms we don't
recognize, treat NULL return from lookup as "does not match".

We currently only apply the "signature_algorithm_cert" checks on TLS 1.3
connections, so previous TLS versions are unaffected.  SSL_check_chain()
is not called directly from libssl, but may be used by the application
inside a callback (e.g., client_hello or cert callback) to verify that a
candidate certificate chain will be acceptable to the client.

CVE-2020-1967

Reviewed-by: Matt Caswell <matt@openssl.org>
ssl/t1_lib.c