Fix IV check and padding removal.

Fix the calculation that checks there is enough room in a record
after removing padding and optional explicit IV. (by Steve)

For AEAD remove the correct number of padding bytes (by Andy)
(cherry picked from commit 32cc2479b473c49ce869e57fded7e9a77b695c0d)

Resolved conflicts:

ssl/s3_cbc.c

ssl/*: remove SSL3_RECORD->orig_len to restore binary compatibility.

Kludge alert. This is arranged by passing padding length in unused
bits of SSL3_RECORD->type, so that orig_len can be reconstructed.
(cherry picked from commit 8bfd4c659f180a6ce34f21c0e62956b362067fba)

Fix for EXP-RC2-CBC-MD5

MD5 should use little endian order. Fortunately the only ciphersuite
affected is EXP-RC2-CBC-MD5 (TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5) which
is a rarely used export grade ciphersuite.

prepare for next version

prepare for release

make update

Add ordinal for CRYPTO_memcmp: since this will affect multiple
branches it needs to be in a "gap".
(cherry picked from commit 81ce0e14e72e8e255ad1bd9c7cfaa47a6291919c)

Fix error codes.
(cherry picked from commit 35d732fc2e1badce13be22a044187ebd4d769552)

Update CHANGES and NEWS

bn_word.c: fix overflow bug in BN_add_word.
(cherry picked from commit 134c00659a1bc67ad35a1e4620e16bc4315e6e37)

x86_64 assembly pack: keep making Windows build more robust.

PR: 2963 and a number of others
(cherry picked from commit 4568182a8b8cbfd15cbc175189029ac547bd1762)

update NEWS

s3/s3_cbc.c: allow for compilations with NO_SHA256|512.
(cherry picked from commit d5371324d978e4096bf99b9d0fe71b2cb65d9dc8)

ssl/s3_cbc.c: md_state alignment portability fix.

RISCs are picky and alignment granted by compiler for md_state can be
insufficient for SHA512.
(cherry picked from commit 36260233e7e3396feed884d3f501283e0453c04f)

ssl/s3_cbc.c: uint64_t portability fix.

Break dependency on uint64_t. It's possible to declare bits as
unsigned int, because TLS packets are limited in size and 32-bit
value can't overflow.
(cherry picked from commit cab13fc8473856a43556d41d8dac5605f4ba1f91)

Update DTLS code to match CBC decoding in TLS.

This change updates the DTLS code to match the constant-time CBC
behaviour in the TLS.
(cherry picked from commit 9f27de170d1b7bef3d46d41382dc4dafde8b3900)

Don't crash when processing a zero-length, TLS >= 1.1 record.

The previous CBC patch was bugged in that there was a path through enc()
in s3_pkt.c/d1_pkt.c which didn't set orig_len. orig_len would be left
at the previous value which could suggest that the packet was a
sufficient length when it wasn't.
(cherry picked from commit 6cb19b7681f600b2f165e4adc57547b097b475fd)

Fixups from previous commit.

Oops. Add missing file.
(cherry picked from commit 014265eb02e26f35c8db58e2ccbf100b0b2f0072)

Add a target so I can build this.

Make CBC decoding constant time.

This patch makes the decoding of SSLv3 and TLS CBC records constant
time. Without this, a timing side-channel can be used to build a padding
oracle and mount Vaudenay's attack.

This patch also disables the stitched AESNI+SHA mode pending a similar
fix to that code.

In order to be easy to backport, this change is implemented in ssl/,
rather than as a generic AEAD mode. In the future this should be changed
around so that HMAC isn't in ssl/, but crypto/ as FIPS expects.
(cherry picked from commit e130841bccfc0bb9da254dc84e23bc6a1c78a64e)

Conflicts:
crypto/evp/c_allc.c
ssl/ssl_algs.c
ssl/ssl_locl.h
ssl/t1_enc.c

Add and use a constant-time memcmp.

This change adds CRYPTO_memcmp, which compares two vectors of bytes in
an amount of time that's independent of their contents. It also changes
several MAC compares in the code to use this over the standard memcmp,
which may leak information about the size of a matching prefix.
(cherry picked from commit 2ee798880a246d648ecddadc5b91367bee4a5d98)

Conflicts:
crypto/crypto.h
ssl/t1_lib.c

Don't try and verify signatures if key is NULL (CVE-2013-0166)
Add additional check to catch this in ASN1_item_verify too.

Don't include comp.h in cmd_cd.c if OPENSSL_NO_COMP set

x86_64 assembly pack: make Windows build more robust [from master].

PR: 2963 and a number of others

Don't include comp.h if no-comp set.

engines/ccgost: GOST fixes [from master].

Submitted by: Dmitry Belyavsky, Seguei Leontiev
PR: 2821

.gitignore adjustments

Correct EVP_PKEY_verifyrecover to EVP_PKEY_verify_recover (RT 2955).

Add .gitignore

make no-comp compile

add missing \n

PR: 2888
Reported by: Daniel Black <daniel.black@openquery.com>

Support renewing session tickets (backport from HEAD).

Fix two bugs which affect delta CRL handling:

Use -1 to check all extensions in CRLs.
Always set flag for freshest CRL.

check mval for NULL too

fix leak

PR: 2803
Submitted by: jean-etienne.schwartz@bull.net

In OCSP_basic_varify return an error if X509_STORE_CTX_init fails.

reject zero length point format list or supported curves extensions

PR: 2908
Submitted by: Dmitry Belyavsky <beldmit@gmail.com>

Fix DH double free if parameter generation fails.

fix leaks

correct docs

PR: 2880
Submitted by: "Florian Rüchel" <florian.ruechel@ruhr-uni-bochum.de>

Correctly handle local machine keys in the capi ENGINE.

aix[64]-cc: get MT support right [from HEAD].

PR: 2896

Fix EC_KEY initialization race.

Submitted by: Adam Langley

backport OCSP fix enhancement

Backport OCSP Stapling fix.

Fix warning.

Fix warning (hope this doesn't break other platforms, there's a twisty
little maze of #ifs, all different).

Fix Valgrind warning.

Submitted by: Adam Langley

* Configure: make the debug-levitte-linux{elf,noasm} less extreme.

* ssl/t1_enc.c (tls1_change_cipher_state): Stupid bug.  Fortunately in
  debugging code that's seldom used.

Fix warning.

Submitted by: Chromium Authors

fix memory leak

Don't load GOST ENGINE if it is already loaded.

Multiple copies of the ENGINE will cause problems when it is cleaned up as
the methods are stored in static structures which will be overwritten and
freed up more than once.

Set static methods to NULL when the ENGINE is freed so it can be reloaded.

sha1-armv4-large.pl: comply with ABI [from HEAD].

gosthash.c: use memmove in circle_xor8, as input pointers can be equal
[from HEAD].

PR: 2858

./Configure: libcrypto.a can grow to many GB on Solaris 10, because of ar bug
[from HEAD].

PR: 2838

Cosmetics: remove duplicate symbol in crypto/symhacks.h

Cosmetic: Reorder so it's more similar to the Unixly build.

bss_dgram.c: fix typos in Windows code.

x86_64 assembly pack: make it possible to compile with Perl located
on path with spaces [from HEAD].

PR: 2835

oops, add -debug_decrypt option which was accidenatally left out

bss_dgram.c: fix bugs [from HEAD].

PR: 2833

s2_clnt.c: compensate for compiler bug [from HEAD].

PR: 2813
Reported by: Constantine Sapuntzakis <csapuntz@gmail.com>

Fix possible deadlock when decoding public keys.

prepare for next version

prepare for 1.0.0j release

update NEWS

Sanity check record length before skipping explicit IV in DTLS
to fix DoS attack.

Thanks to Codenomicon for discovering this issue using Fuzz-o-Matic
fuzzing as a service testing platform.
(CVE-2012-2333)

Reported by: Solar Designer of Openwall

Make sure tkeylen is initialised properly when encrypting CMS messages.

Correct environment variable is OPENSSL_ALLOW_PROXY_CERTS.

ppccpuid.pl: branch hints in OPENSSL_cleanse impact small block performance
of digest algorithms, mosty SHA, on Power7. Mystery of century, why SHA,
why slower algorithm are affected more... [from HEAD].
PR: 2794
Submitted by: Ashley Lai

correct error code

correct old FAQ answers, sync with HEAD

prepare for next version

prepare for 1.0.0i release

update NEWS

Check for potentially exploitable overflows in asn1_d2i_read_bio
BUF_mem_grow and BUF_mem_grow_clean. Refuse attempts to shrink buffer
in CRYPTO_realloc_clean.

Thanks to Tavis Ormandy, Google Security Team, for discovering this
issue and to Adam Langley <agl@chromium.org> for fixing it. (CVE-2012-2110)

Makefile.org: clear yet another environment variable [from HEAD].
PR: 2793

OPENSSL_NO_SOCK fixes [from HEAD].
PR: 2791
Submitted by: Ben Noordhuis

Minor compatibility fixes [from HEAD].
PR: 2790
Submitted by: Alexei Khlebnikov

s3_srvr.c: fix typo [from HEAD].
PR: 2538

update rather ancient EVP digest documentation

PR: 2778(part)
Submitted by: John Fitzgibbon <john_fitzgibbon@yahoo.com>

Time is always encoded as 4 bytes, not sizeof(Time).

ans1/tasn_prn.c: avoid bool in variable names [from HEAD].
PR: 2776

Submitted by: Markus Friedl <mfriedl@gmail.com>

Fix memory leaks in 'goto err' cases.

Always use SSLv23_{client,server}_method in s_client.c and s_server.c,
the old code came from SSLeay days before TLS was even supported.

cipher should only be set to PSK if JPAKE is used.

config: compensate for bug in Solaris cc drivers, which can remove /dev/null
[from HEAD,1.0.1]

x86_64-xlate.pl: remove old kludge.
PR: 2435,2440

prepare for next version

corrected fix to PR#2711 and also cover mime_param_cmp

correct NEWS

fix error code

prepare for release

update NEWS

Fix for CMS/PKCS7 MMA. If RSA decryption fails use a random key and
continue with symmetric decryption process to avoid leaking timing
information to an attacker.

Thanks to Ivan Nestlerode <inestlerode@us.ibm.com> for discovering
this issue. (CVE-2012-0884)

PR: 2756
Submitted by: Robin Seggelmann <seggelmann@fh-muenster.de>

Fix DTLS timeout handling.

check return value of BIO_write in PKCS7_decrypt

PR: 2755
Submitted by: Robin Seggelmann <seggelmann@fh-muenster.de>

Reduce MTU after failed transmissions.