Blame SOURCES/net-snmp-5.7.2-fips.patch

9a6c41
874440 - net-snmp does not work in FIPS mode
9a6c41
9a6c41
Three upstream commits are here:
9a6c41
9a6c41
commit dde3a35baaeb683cf1441a16a15441f8b456c520
9a6c41
Author: Jan Safranek <jsafranek@users.sourceforge.net>
9a6c41
Date:   Mon Nov 12 15:45:27 2012 +0100
9a6c41
9a6c41
    CHANGES: snmplib: Fixed crash when MD5 hash is not supported by OpenSSL.
9a6c41
9a6c41
commit dd53ffbafeb31cde616a89949e70e3d5fe0cc1b3
9a6c41
Author: Jan Safranek <jsafranek@users.sourceforge.net>
9a6c41
Date:   Mon Nov 12 15:46:43 2012 +0100
9a6c41
9a6c41
    Fall back to SHA-1 if MD5 is not available.
9a6c41
    On paranoid systems where MD5 is disabled use SHA-1 instead of MD5 and don't crash.
9a6c41
9a6c41
commit 743cb66718904979f55895472501584c30c66f10
9a6c41
Author: Jan Safranek <jsafranek@users.sourceforge.net>
9a6c41
Date:   Mon Nov 12 15:49:15 2012 +0100
9a6c41
9a6c41
    Fixed crash when MD5 and/or SHA-1 hash is not supported by OpenSSL.
9a6c41
9a6c41
diff -up net-snmp-5.7.2/snmplib/keytools.c.fips net-snmp-5.7.2/snmplib/keytools.c
9a6c41
--- net-snmp-5.7.2/snmplib/keytools.c.fips	2012-11-12 13:36:17.868635391 +0100
9a6c41
+++ net-snmp-5.7.2/snmplib/keytools.c	2012-11-12 14:24:23.031293984 +0100
9a6c41
@@ -156,27 +156,36 @@ generate_Ku(const oid * hashtype, u_int
9a6c41
     EVP_MD_CTX_init(ctx);
9a6c41
 #endif
9a6c41
 #ifndef NETSNMP_DISABLE_MD5
9a6c41
-    if (ISTRANSFORM(hashtype, HMACMD5Auth))
9a6c41
-        EVP_DigestInit(ctx, EVP_md5());
9a6c41
-    else
9a6c41
+    if (ISTRANSFORM(hashtype, HMACMD5Auth)) {
9a6c41
+        if (!EVP_DigestInit(ctx, EVP_md5()))
9a6c41
+            /* MD5 not supported */
9a6c41
+            return SNMPERR_GENERR;
9a6c41
+    } else
9a6c41
 #endif
9a6c41
-        if (ISTRANSFORM(hashtype, HMACSHA1Auth))
9a6c41
-        EVP_DigestInit(ctx, EVP_sha1());
9a6c41
-    else
9a6c41
-        QUITFUN(SNMPERR_GENERR, generate_Ku_quit);
9a6c41
+        if (ISTRANSFORM(hashtype, HMACSHA1Auth)) {
9a6c41
+            if (!EVP_DigestInit(ctx, EVP_sha1()))
9a6c41
+                /* SHA1 not supported */
9a6c41
+                return SNMPERR_GENERR;
9a6c41
+        } else {
9a6c41
+            QUITFUN(SNMPERR_GENERR, generate_Ku_quit);
9a6c41
+        }
9a6c41
 #elif NETSNMP_USE_INTERNAL_CRYPTO
9a6c41
 #ifndef NETSNMP_DISABLE_MD5
9a6c41
     if (ISTRANSFORM(hashtype, HMACMD5Auth)) {
9a6c41
-        MD5_Init(&cmd5);
9a6c41
+        if (!MD5_Init(&cmd5))
9a6c41
+            /* MD5 not supported */
9a6c41
+            return SNMPERR_GENERR;
9a6c41
         cryptotype = TYPE_MD5;
9a6c41
     } else
9a6c41
 #endif
9a6c41
-           if (ISTRANSFORM(hashtype, HMACSHA1Auth)) {
9a6c41
-        SHA1_Init(&csha1);
9a6c41
-        cryptotype = TYPE_SHA1;
9a6c41
-    } else {
9a6c41
-        return (SNMPERR_GENERR);
9a6c41
-    }
9a6c41
+        if (ISTRANSFORM(hashtype, HMACSHA1Auth)) {
9a6c41
+            if (!SHA1_Init(&csha1))
9a6c41
+                /* SHA1 not supported */
9a6c41
+                return SNMPERR_GENERR;
9a6c41
+            cryptotype = TYPE_SHA1;
9a6c41
+        } else {
9a6c41
+            return (SNMPERR_GENERR);
9a6c41
+        }
9a6c41
 #else
9a6c41
     MDbegin(&MD;;
9a6c41
 #endif                          /* NETSNMP_USE_OPENSSL */
9a6c41
diff -up net-snmp-5.7.2/snmplib/lcd_time.c.fips net-snmp-5.7.2/snmplib/lcd_time.c
9a6c41
--- net-snmp-5.7.2/snmplib/lcd_time.c.fips	2012-10-10 00:28:58.000000000 +0200
9a6c41
+++ net-snmp-5.7.2/snmplib/lcd_time.c	2012-11-12 13:36:11.326657629 +0100
9a6c41
@@ -505,6 +505,12 @@ hash_engineID(const u_char * engineID, u
9a6c41
     rval = sc_hash(usmHMACMD5AuthProtocol,
9a6c41
                    sizeof(usmHMACMD5AuthProtocol) / sizeof(oid),
9a6c41
                    engineID, engineID_len, buf, &buf_len);
9a6c41
+    if (rval == SNMPERR_SC_NOT_CONFIGURED) {
9a6c41
+        /* fall back to sha1 */
9a6c41
+        rval = sc_hash(usmHMACSHA1AuthProtocol,
9a6c41
+                   sizeof(usmHMACSHA1AuthProtocol) / sizeof(oid),
9a6c41
+                   engineID, engineID_len, buf, &buf_len);
9a6c41
+    }
9a6c41
 #else
9a6c41
     rval = sc_hash(usmHMACSHA1AuthProtocol,
9a6c41
                    sizeof(usmHMACSHA1AuthProtocol) / sizeof(oid),
9a6c41
diff -up net-snmp-5.7.2/snmplib/scapi.c.fips net-snmp-5.7.2/snmplib/scapi.c
9a6c41
--- net-snmp-5.7.2/snmplib/scapi.c.fips	2012-10-10 00:28:58.000000000 +0200
9a6c41
+++ net-snmp-5.7.2/snmplib/scapi.c	2012-11-12 13:36:11.327657627 +0100
9a6c41
@@ -438,6 +438,7 @@ sc_generate_keyed_hash(const oid * autht
9a6c41
  * Returns:
9a6c41
  * SNMPERR_SUCCESS              Success.
9a6c41
  * SNMP_SC_GENERAL_FAILURE      Any error.
9a6c41
+ * SNMPERR_SC_NOT_CONFIGURED    Hash type not supported.
9a6c41
  */
9a6c41
 int
9a6c41
 sc_hash(const oid * hashtype, size_t hashtypelen, const u_char * buf,
9a6c41
@@ -495,7 +496,10 @@ sc_hash(const oid * hashtype, size_t has
9a6c41
     EVP_MD_CTX_init(cptr);
9a6c41
 #endif
9a6c41
 #endif
9a6c41
-    EVP_DigestInit(cptr, hashfn);
9a6c41
+    if (!EVP_DigestInit(cptr, hashfn)) {
9a6c41
+        /* requested hash function is not available */
9a6c41
+        return SNMPERR_SC_NOT_CONFIGURED;
9a6c41
+    }
9a6c41
 
9a6c41
 /** pass the data */
9a6c41
     EVP_DigestUpdate(cptr, buf, buf_len);