Don't memcpy the contents of an empty fragment
authorMatt Caswell <matt@openssl.org>
Fri, 11 May 2018 09:28:47 +0000 (10:28 +0100)
committerMatt Caswell <matt@openssl.org>
Sat, 12 May 2018 08:59:02 +0000 (09:59 +0100)
In DTLS if we have buffered a fragment for a zero length message (e.g.
ServerHelloDone) then, when we unbuffered the fragment, we were attempting
to memcpy the contents of the fragment which is zero length and a NULL
pointer. This is undefined behaviour. We should check first whether we
have a zero length fragment.

Fixes a travis issue.

[extended tests]

Reviewed-by: Rich Salz <rsalz@openssl.org>
(Merged from https://github.com/openssl/openssl/pull/6223)

ssl/statem/statem_dtls.c

index 75ff525c32cfd9bfb30eef00cd6ada10e68d21a6..b016fa7cff74ebed9eb94d768affd7e8c7c35eb4 100644 (file)
@@ -504,7 +504,7 @@ static int dtls1_retrieve_buffered_fragment(SSL *s, size_t *len)
         /* Calls SSLfatal() as required */
         ret = dtls1_preprocess_fragment(s, &frag->msg_header);
 
-        if (ret) {
+        if (ret && frag->msg_header.frag_len > 0) {
             unsigned char *p =
                 (unsigned char *)s->init_buf->data + DTLS1_HM_HEADER_LENGTH;
             memcpy(&p[frag->msg_header.frag_off], frag->fragment,