Fix the ECDSA timing attack mentioned in the paper at:
authorDr. Stephen Henson <steve@openssl.org>
Wed, 25 May 2011 14:52:33 +0000 (14:52 +0000)
committerDr. Stephen Henson <steve@openssl.org>
Wed, 25 May 2011 14:52:33 +0000 (14:52 +0000)
http://eprint.iacr.org/2011/232.pdf

Thanks to the original authors Billy Bob Brumley and Nicola Tuveri for
bringing this to our attention.

crypto/ocsp/ocsp_lib.c

index 36905d76cd4249b8838f90683eb7548535b6a8f6..e92b86c060966eeb9cba64ee8ffc4392463cf3ae 100644 (file)
@@ -170,14 +170,14 @@ int OCSP_parse_url(char *url, char **phost, char **pport, char **ppath, int *pss
 
        char *host, *port;
 
-       /* dup the buffer since we are going to mess with it */
-       buf = BUF_strdup(url);
-       if (!buf) goto mem_err;
-
        *phost = NULL;
        *pport = NULL;
        *ppath = NULL;
 
+       /* dup the buffer since we are going to mess with it */
+       buf = BUF_strdup(url);
+       if (!buf) goto mem_err;
+
        /* Check for initial colon */
        p = strchr(buf, ':');