Diff for /libraries/libldap/tls_o.c between versions 1.5.2.9 and 1.8

version 1.5.2.9, 2009/10/30 17:48:17 version 1.8, 2009/07/01 21:46:36
Line 1 Line 1
 /* tls_o.c - Handle tls/ssl using OpenSSL */  /* tls_o.c - Handle tls/ssl using OpenSSL */
 /* $OpenLDAP$ */  /* $OpenLDAP: pkg/ldap/libraries/libldap/tls_o.c,v 1.7 2009/03/02 16:43:38 hyc Exp $ */
 /* This work is part of OpenLDAP Software <http://www.openldap.org/>.  /* This work is part of OpenLDAP Software <http://www.openldap.org/>.
  *   *
  * Copyright 2008-2009 The OpenLDAP Foundation.   * Copyright 2008-2009 The OpenLDAP Foundation.
Line 398  tlso_session_upflags( Sockbuf *sb, tls_s Line 398  tlso_session_upflags( Sockbuf *sb, tls_s
 }  }
   
 static char *  static char *
 tlso_session_errmsg( tls_session *sess, int rc, char *buf, size_t len )  tlso_session_errmsg( int rc, char *buf, size_t len )
 {  {
         char err[256] = "";  
         const char *certerr=NULL;  
         tlso_session *s = (tlso_session *)sess;  
   
         rc = ERR_peek_error();          rc = ERR_peek_error();
         if ( rc ) {          if ( rc ) {
                 ERR_error_string_n( rc, err, sizeof(err) );                  ERR_error_string_n( rc, buf, len );
                 if ( ( ERR_GET_LIB(rc) == ERR_LIB_SSL ) &&   
                                 ( ERR_GET_REASON(rc) == SSL_R_CERTIFICATE_VERIFY_FAILED ) ) {  
                         int certrc = SSL_get_verify_result(s);  
                         certerr = (char *)X509_verify_cert_error_string(certrc);  
                 }  
                 snprintf(buf, len, "%s%s%s%s", err, certerr ? " (" :"",   
                                 certerr ? certerr : "", certerr ?  ")" : "" );  
                 return buf;                  return buf;
         }          }
         return NULL;          return NULL;
Line 477  tlso_session_chkhost( LDAP *ld, tls_sess Line 466  tlso_session_chkhost( LDAP *ld, tls_sess
         X509 *x;          X509 *x;
         const char *name;          const char *name;
         char *ptr;          char *ptr;
         int ntype = IS_DNS, nlen;          int ntype = IS_DNS;
 #ifdef LDAP_PF_INET6  #ifdef LDAP_PF_INET6
         struct in6_addr addr;          struct in6_addr addr;
 #else  #else
Line 491  tlso_session_chkhost( LDAP *ld, tls_sess Line 480  tlso_session_chkhost( LDAP *ld, tls_sess
         } else {          } else {
                 name = name_in;                  name = name_in;
         }          }
         nlen = strlen(name);  
   
         x = tlso_get_cert(s);          x = tlso_get_cert(s);
         if (!x) {          if (!x) {
Line 525  tlso_session_chkhost( LDAP *ld, tls_sess Line 513  tlso_session_chkhost( LDAP *ld, tls_sess
                 ex = X509_get_ext(x, i);                  ex = X509_get_ext(x, i);
                 alt = X509V3_EXT_d2i(ex);                  alt = X509V3_EXT_d2i(ex);
                 if (alt) {                  if (alt) {
                         int n, len2 = 0;                          int n, len1 = 0, len2 = 0;
                         char *domain = NULL;                          char *domain = NULL;
                         GENERAL_NAME *gn;                          GENERAL_NAME *gn;
   
                         if (ntype == IS_DNS) {                          if (ntype == IS_DNS) {
                                   len1 = strlen(name);
                                 domain = strchr(name, '.');                                  domain = strchr(name, '.');
                                 if (domain) {                                  if (domain) {
                                         len2 = nlen - (domain-name);                                          len2 = len1 - (domain-name);
                                 }                                  }
                         }                          }
                         n = sk_GENERAL_NAME_num(alt);                          n = sk_GENERAL_NAME_num(alt);
Line 550  tlso_session_chkhost( LDAP *ld, tls_sess Line 539  tlso_session_chkhost( LDAP *ld, tls_sess
                                         if (sl == 0) continue;                                          if (sl == 0) continue;
   
                                         /* Is this an exact match? */                                          /* Is this an exact match? */
                                         if ((nlen == sl) && !strncasecmp(name, sn, nlen)) {                                          if ((len1 == sl) && !strncasecmp(name, sn, len1)) {
                                                 break;                                                  break;
                                         }                                          }
   
Line 590  tlso_session_chkhost( LDAP *ld, tls_sess Line 579  tlso_session_chkhost( LDAP *ld, tls_sess
   
         if (ret != LDAP_SUCCESS) {          if (ret != LDAP_SUCCESS) {
                 X509_NAME *xn;                  X509_NAME *xn;
                 X509_NAME_ENTRY *ne;                  char buf[2048];
                 ASN1_OBJECT *obj;                  buf[0] = '\0';
                 ASN1_STRING *cn = NULL;  
                 int navas;  
   
                 /* find the last CN */  
                 obj = OBJ_nid2obj( NID_commonName );  
                 if ( !obj ) goto no_cn; /* should never happen */  
   
                 xn = X509_get_subject_name(x);                  xn = X509_get_subject_name(x);
                 navas = X509_NAME_entry_count( xn );                  if( X509_NAME_get_text_by_NID( xn, NID_commonName,
                 for ( i=navas-1; i>=0; i-- ) {                          buf, sizeof(buf)) == -1)
                         ne = X509_NAME_get_entry( xn, i );  
                         if ( !OBJ_cmp( ne->object, obj )) {  
                                 cn = X509_NAME_ENTRY_get_data( ne );  
                                 break;  
                         }  
                 }  
   
                 if( !cn )  
                 {                  {
 no_cn:  
                         Debug( LDAP_DEBUG_ANY,                          Debug( LDAP_DEBUG_ANY,
                                 "TLS: unable to get common name from peer certificate.\n",                                  "TLS: unable to get common name from peer certificate.\n",
                                 0, 0, 0 );                                  0, 0, 0 );
Line 622  no_cn: Line 596  no_cn:
                         ld->ld_error = LDAP_STRDUP(                          ld->ld_error = LDAP_STRDUP(
                                 _("TLS: unable to get CN from peer certificate"));                                  _("TLS: unable to get CN from peer certificate"));
   
                 } else if ( cn->length == nlen &&                  } else if (strcasecmp(name, buf) == 0 ) {
                         strncasecmp( name, (char *) cn->data, nlen ) == 0 ) {  
                         ret = LDAP_SUCCESS;                          ret = LDAP_SUCCESS;
   
                 } else if (( cn->data[0] == '*' ) && ( cn->data[1] == '.' )) {                  } else if (( buf[0] == '*' ) && ( buf[1] == '.' )) {
                         char *domain = strchr(name, '.');                          char *domain = strchr(name, '.');
                         if( domain ) {                          if( domain ) {
                                 int dlen;                                  size_t dlen = 0;
                                   size_t sl;
   
                                 dlen = nlen - (domain-name);                                  sl = strlen(name);
                                   dlen = sl - (domain-name);
                                   sl = strlen(buf);
   
                                 /* Is this a wildcard match? */                                  /* Is this a wildcard match? */
                                 if ((dlen == cn->length-1) &&                                  if ((dlen == sl-1) && !strncasecmp(domain, &buf[1], dlen)) {
                                         !strncasecmp(domain, (char *) &cn->data[1], dlen)) {  
                                         ret = LDAP_SUCCESS;                                          ret = LDAP_SUCCESS;
                                 }                                  }
                         }                          }
Line 643  no_cn: Line 618  no_cn:
   
                 if( ret == LDAP_LOCAL_ERROR ) {                  if( ret == LDAP_LOCAL_ERROR ) {
                         Debug( LDAP_DEBUG_ANY, "TLS: hostname (%s) does not match "                          Debug( LDAP_DEBUG_ANY, "TLS: hostname (%s) does not match "
                                 "common name in certificate (%.*s).\n",                                   "common name in certificate (%s).\n", 
                                 name, cn->length, cn->data );                                  name, buf, 0 );
                         ret = LDAP_CONNECT_ERROR;                          ret = LDAP_CONNECT_ERROR;
                         if ( ld->ld_error ) {                          if ( ld->ld_error ) {
                                 LDAP_FREE( ld->ld_error );                                  LDAP_FREE( ld->ld_error );
Line 1077  static RSA * Line 1052  static RSA *
 tlso_tmp_rsa_cb( SSL *ssl, int is_export, int key_length )  tlso_tmp_rsa_cb( SSL *ssl, int is_export, int key_length )
 {  {
         RSA *tmp_rsa;          RSA *tmp_rsa;
   
         /* FIXME:  Pregenerate the key on startup */          /* FIXME:  Pregenerate the key on startup */
         /* FIXME:  Who frees the key? */          /* FIXME:  Who frees the key? */
 #if OPENSSL_VERSION_NUMBER > 0x00908000  
         BIGNUM *bn = BN_new();  
         if ( bn ) {  
                 if ( BN_set_word( bn, RSA_F4 )) {  
                         tmp_rsa = RSA_new();  
                         if ( tmp_rsa && !RSA_generate_key_ex( tmp_rsa, key_length, bn, NULL )) {  
                                 RSA_free( tmp_rsa );  
                                 tmp_rsa = NULL;  
                         }  
                 }  
                 BN_free( bn );  
         } else {  
                 tmp_rsa = NULL;  
         }  
 #else  
         tmp_rsa = RSA_generate_key( key_length, RSA_F4, NULL, NULL );          tmp_rsa = RSA_generate_key( key_length, RSA_F4, NULL, NULL );
 #endif  
   
         if ( !tmp_rsa ) {          if ( !tmp_rsa ) {
                 Debug( LDAP_DEBUG_ANY,                  Debug( LDAP_DEBUG_ANY,

Removed from v.1.5.2.9  
changed lines
  Added in v.1.8


______________
© Copyright 1998-2020, OpenLDAP Foundation, info@OpenLDAP.org