Integer overflow in ASN1_STRING_set.
authorPauli <paul.dale@oracle.com>
Sun, 5 Apr 2020 23:23:00 +0000 (09:23 +1000)
committerPauli <paul.dale@oracle.com>
Tue, 7 Apr 2020 23:20:23 +0000 (09:20 +1000)
Addressing a potential integer overflow condition.

Reviewed-by: Tomas Mraz <tmraz@fedoraproject.org>
(Merged from https://github.com/openssl/openssl/pull/11473)

crypto/asn1/asn1_lib.c

index fc4462eb8fe2a6ba053b85225cd5cd98cca05a17..d8844eab65217487ff2f3f2a88b3d5bd229b638c 100644 (file)
@@ -275,18 +275,29 @@ ASN1_STRING *ASN1_STRING_dup(const ASN1_STRING *str)
     return ret;
 }
 
-int ASN1_STRING_set(ASN1_STRING *str, const void *_data, int len)
+int ASN1_STRING_set(ASN1_STRING *str, const void *_data, int len_in)
 {
     unsigned char *c;
     const char *data = _data;
+    size_t len;
 
-    if (len < 0) {
+    if (len_in < 0) {
         if (data == NULL)
             return 0;
-        else
-            len = strlen(data);
+        len = strlen(data);
+    } else {
+        len = (size_t)len_in;
+    }
+    /*
+     * Verify that the length fits within an integer for assignment to
+     * str->length below.  The additional 1 is subtracted to allow for the
+     * '\0' terminator even though this isn't strictly necessary.
+     */
+    if (len > INT_MAX - 1) {
+        ASN1err(0, ASN1_R_TOO_LARGE);
+        return 0;
     }
-    if ((str->length <= len) || (str->data == NULL)) {
+    if ((size_t)str->length <= len || str->data == NULL) {
         c = str->data;
         str->data = OPENSSL_realloc(c, len + 1);
         if (str->data == NULL) {