CI: Add warning exemptions for Sun C (suncc-5.14) on Solaris 10

[tcpdump] / print-esp.c
diff --git a/print-esp.c b/print-esp.c

index f30563aa39fea61264491a31d16cf3e5dc29821b..d89fefbe3fbb86c3959282c575fdabb755131879 100644 (file)
--- a/print-esp.c
+++ b/print-esp.c
@@ -23,32 +23,26 @@
  
  /* \summary: IPSEC Encapsulating Security Payload (ESP) printer */
  
  
  /* \summary: IPSEC Encapsulating Security Payload (ESP) printer */
  
-#ifdef HAVE_CONFIG_H
  #include <config.h>
  #include <config.h>
-#endif
  
  #include "netdissect-stdinc.h"
  
  #include <string.h>
  #include <stdlib.h>
  
  
  #include "netdissect-stdinc.h"
  
  #include <string.h>
  #include <stdlib.h>
  
-/* Any code in this file that depends on HAVE_LIBCRYPTO depends on
- * HAVE_OPENSSL_EVP_H too. Undefining the former when the latter isn't defined
- * is the simplest way of handling the dependency.
- */
  #ifdef HAVE_LIBCRYPTO
  #ifdef HAVE_LIBCRYPTO
-#ifdef HAVE_OPENSSL_EVP_H
  #include <openssl/evp.h>
  #include <openssl/evp.h>
-#else
-#undef HAVE_LIBCRYPTO
-#endif
  #endif
  
  #include "netdissect.h"
  #endif
  
  #include "netdissect.h"
-#include "strtoaddr.h"
  #include "extract.h"
  
  #include "extract.h"
  
+#include "diag-control.h"
+
+#ifdef HAVE_LIBCRYPTO
+#include "strtoaddr.h"
  #include "ascii_strcasecmp.h"
  #include "ascii_strcasecmp.h"
+#endif
  
  #include "ip.h"
  #include "ip6.h"
  
  #include "ip.h"
  #include "ip6.h"
@@ -100,7 +94,7 @@ struct newesp {
  #ifdef HAVE_LIBCRYPTO
  union inaddr_u {
         nd_ipv4 in4;
  #ifdef HAVE_LIBCRYPTO
  union inaddr_u {
         nd_ipv4 in4;
-       struct in6_addr in6;
+       nd_ipv6 in6;
  };
  struct sa_list {
         struct sa_list  *next;
  };
  struct sa_list {
         struct sa_list  *next;
@@ -130,10 +124,7 @@ EVP_CIPHER_CTX_new(void)
  {
         EVP_CIPHER_CTX *ctx;
  
  {
         EVP_CIPHER_CTX *ctx;
  
-       ctx = malloc(sizeof(*ctx));
-       if (ctx == NULL)
-               return (NULL);
-       memset(ctx, 0, sizeof(*ctx));
+       ctx = calloc(1, sizeof(*ctx));
         return (ctx);
  }
  
         return (ctx);
  }
  
@@ -145,14 +136,14 @@ EVP_CIPHER_CTX_free(EVP_CIPHER_CTX *ctx)
  }
  #endif
  
  }
  #endif
  
-#ifdef HAVE_EVP_CIPHERINIT_EX
+#ifdef HAVE_EVP_DECRYPTINIT_EX
  /*
  /*
- * Initialize the cipher by calling EVP_CipherInit_ex(), because
- * calling EVP_CipherInit() will reset the cipher context, clearing
+ * Initialize the cipher by calling EVP_DecryptInit_ex(), because
+ * calling EVP_DecryptInit() will reset the cipher context, clearing
   * the cipher, so calling it twice, with the second call having a
   * the cipher, so calling it twice, with the second call having a
- * null cipher, will clear the already-set cipher.  EVP_CipherInit_ex(),
+ * null cipher, will clear the already-set cipher.  EVP_DecryptInit_ex(),
   * however, won't reset the cipher context, so you can use it to specify
   * however, won't reset the cipher context, so you can use it to specify
- * the IV in a second call after a first call to EVP_CipherInit_ex()
+ * the IV in a second call after a first call to EVP_DecryptInit_ex()
   * to set the cipher and the key.
   *
   * XXX - is there some reason why we need to make two calls?
   * to set the cipher and the key.
   *
   * XXX - is there some reason why we need to make two calls?
@@ -160,24 +151,110 @@ EVP_CIPHER_CTX_free(EVP_CIPHER_CTX *ctx)
  static int
  set_cipher_parameters(EVP_CIPHER_CTX *ctx, const EVP_CIPHER *cipher,
                       const unsigned char *key,
  static int
  set_cipher_parameters(EVP_CIPHER_CTX *ctx, const EVP_CIPHER *cipher,
                       const unsigned char *key,
-                     const unsigned char *iv, int enc)
+                     const unsigned char *iv)
  {
  {
-       return EVP_CipherInit_ex(ctx, cipher, NULL, key, iv, enc);
+       return EVP_DecryptInit_ex(ctx, cipher, NULL, key, iv);
  }
  #else
  /*
  }
  #else
  /*
- * Initialize the cipher by calling EVP_CipherInit(), because we don't
- * have EVP_CipherInit_ex(); we rely on it not trashing the context.
+ * Initialize the cipher by calling EVP_DecryptInit(), because we don't
+ * have EVP_DecryptInit_ex(); we rely on it not trashing the context.
   */
  static int
  set_cipher_parameters(EVP_CIPHER_CTX *ctx, const EVP_CIPHER *cipher,
                       const unsigned char *key,
   */
  static int
  set_cipher_parameters(EVP_CIPHER_CTX *ctx, const EVP_CIPHER *cipher,
                       const unsigned char *key,
-                     const unsigned char *iv, int enc)
+                     const unsigned char *iv)
  {
  {
-       return EVP_CipherInit(ctx, cipher, key, iv, enc);
+       return EVP_DecryptInit(ctx, cipher, key, iv);
  }
  #endif
  
  }
  #endif
  
+static u_char *
+do_decrypt(netdissect_options *ndo, const char *caller, struct sa_list *sa,
+    const u_char *iv, const u_char *ct, unsigned int ctlen)
+{
+       EVP_CIPHER_CTX *ctx;
+       unsigned int block_size;
+       unsigned int ptlen;
+       u_char *pt;
+       int len;
+
+       ctx = EVP_CIPHER_CTX_new();
+       if (ctx == NULL) {
+               /*
+                * Failed to initialize the cipher context.
+                * From a look at the OpenSSL code, this appears to
+                * mean "couldn't allocate memory for the cipher context";
+                * note that we're not passing any parameters, so there's
+                * not much else it can mean.
+                */
+               (*ndo->ndo_error)(ndo, S_ERR_ND_MEM_ALLOC,
+                   "%s: can't allocate memory for cipher context", caller);
+               return NULL;
+       }
+
+       if (set_cipher_parameters(ctx, sa->evp, sa->secret, NULL) < 0) {
+               EVP_CIPHER_CTX_free(ctx);
+               (*ndo->ndo_warning)(ndo, "%s: espkey init failed", caller);
+               return NULL;
+       }
+       if (set_cipher_parameters(ctx, NULL, NULL, iv) < 0) {
+               EVP_CIPHER_CTX_free(ctx);
+               (*ndo->ndo_warning)(ndo, "%s: IV init failed", caller);
+               return NULL;
+       }
+
+       /*
+        * At least as I read RFC 5996 section 3.14 and RFC 4303 section 2.4,
+        * if the cipher has a block size of which the ciphertext's size must
+        * be a multiple, the payload must be padded to make that happen, so
+        * the ciphertext length must be a multiple of the block size.  Fail
+        * if that's not the case.
+        */
+       block_size = (unsigned int)EVP_CIPHER_CTX_block_size(ctx);
+       if ((ctlen % block_size) != 0) {
+               EVP_CIPHER_CTX_free(ctx);
+               (*ndo->ndo_warning)(ndo,
+                   "%s: ciphertext size %u is not a multiple of the cipher block size %u",
+                   caller, ctlen, block_size);
+               return NULL;
+       }
+
+       /*
+        * Attempt to allocate a buffer for the decrypted data, because
+        * we can't decrypt on top of the input buffer.
+        */
+       ptlen = ctlen;
+       pt = (u_char *)calloc(1, ptlen);
+       if (pt == NULL) {
+               EVP_CIPHER_CTX_free(ctx);
+               (*ndo->ndo_error)(ndo, S_ERR_ND_MEM_ALLOC,
+                   "%s: can't allocate memory for decryption buffer", caller);
+               return NULL;
+       }
+
+       /*
+        * The size of the ciphertext handed to us is a multiple of the
+        * cipher block size, so we don't need to worry about padding.
+        */
+       if (!EVP_CIPHER_CTX_set_padding(ctx, 0)) {
+               free(pt);
+               EVP_CIPHER_CTX_free(ctx);
+               (*ndo->ndo_warning)(ndo,
+                   "%s: EVP_CIPHER_CTX_set_padding failed", caller);
+               return NULL;
+       }
+       if (!EVP_DecryptUpdate(ctx, pt, &len, ct, ctlen)) {
+               free(pt);
+               EVP_CIPHER_CTX_free(ctx);
+               (*ndo->ndo_warning)(ndo, "%s: EVP_DecryptUpdate failed",
+                   caller);
+               return NULL;
+       }
+       EVP_CIPHER_CTX_free(ctx);
+       return pt;
+}
+
  /*
   * This will allocate a new buffer containing the decrypted data.
   * It returns 1 on success and 0 on failure.
  /*
   * This will allocate a new buffer containing the decrypted data.
   * It returns 1 on success and 0 on failure.
@@ -190,8 +267,8 @@ set_cipher_parameters(EVP_CIPHER_CTX *ctx, const EVP_CIPHER *cipher,
   * dissecting anything in it and before it does any dissection of
   * anything in the old buffer.  That will free the new buffer.
   */
   * dissecting anything in it and before it does any dissection of
   * anything in the old buffer.  That will free the new buffer.
   */
-USES_APPLE_DEPRECATED_API
-int esp_print_decrypt_buffer_by_ikev2(netdissect_options *ndo,
+DIAG_OFF_DEPRECATION
+int esp_decrypt_buffer_by_ikev2_print(netdissect_options *ndo,
                                       int initiator,
                                       const u_char spii[8],
                                       const u_char spir[8],
                                       int initiator,
                                       const u_char spii[8],
                                       const u_char spir[8],
@@ -200,11 +277,8 @@ int esp_print_decrypt_buffer_by_ikev2(netdissect_options *ndo,
         struct sa_list *sa;
         const u_char *iv;
         const u_char *ct;
         struct sa_list *sa;
         const u_char *iv;
         const u_char *ct;
-       unsigned int len;
-       EVP_CIPHER_CTX *ctx;
-       unsigned int block_size, buffer_size;
-       u_char *input_buffer, *output_buffer;
-       const u_char *pt;
+       unsigned int ctlen;
+       u_char *pt;
  
         /* initiator arg is any non-zero value */
         if(initiator) initiator=1;
  
         /* initiator arg is any non-zero value */
         if(initiator) initiator=1;
@@ -228,88 +302,32 @@ int esp_print_decrypt_buffer_by_ikev2(netdissect_options *ndo,
         end = end - sa->authlen;
         iv  = buf;
         ct = iv + sa->ivlen;
         end = end - sa->authlen;
         iv  = buf;
         ct = iv + sa->ivlen;
-       len = end-ct;
+       ctlen = end-ct;
  
         if(end <= ct) return 0;
  
  
         if(end <= ct) return 0;
  
-       ctx = EVP_CIPHER_CTX_new();
-       if (ctx == NULL)
-               return 0;
-       if (set_cipher_parameters(ctx, sa->evp, sa->secret, NULL, 0) < 0) {
-               (*ndo->ndo_warning)(ndo, "espkey init failed");
-               return 0;
-       }
-       if (set_cipher_parameters(ctx, NULL, NULL, iv, 0) < 0) {
-               (*ndo->ndo_warning)(ndo, "IV init failed");
+       pt = do_decrypt(ndo, __func__, sa, iv,
+           ct, ctlen);
+       if (pt == NULL)
                 return 0;
                 return 0;
-       }
-       /*
-        * Allocate buffers for the encrypted and decrypted data.
-        * Both buffers' sizes must be a multiple of the cipher block
-        * size, and the output buffer must be separate from the input
-        * buffer.
-        */
-       block_size = (unsigned int)EVP_CIPHER_CTX_block_size(ctx);
-       buffer_size = len + (block_size - len % block_size);
-
-       /*
-        * Attempt to allocate the input buffer.
-        */
-       input_buffer = (u_char *)malloc(buffer_size);
-       if (input_buffer == NULL) {
-               EVP_CIPHER_CTX_free(ctx);
-               (*ndo->ndo_error)(ndo, S_ERR_ND_MEM_ALLOC,
-                       "can't allocate memory for encrypted data buffer");
-       }
-       /*
-        * Copy the input data to the encrypted data buffer, and pad it
-        * with zeroes.
-        */
-       memcpy(input_buffer, ct, len);
-       memset(input_buffer + len, 0, buffer_size - len);
-
-       /*
-        * Attempt to allocate the output buffer.
-        */
-       output_buffer = (u_char *)malloc(buffer_size);
-       if (output_buffer == NULL) {
-               free(input_buffer);
-               EVP_CIPHER_CTX_free(ctx);
-               (*ndo->ndo_error)(ndo, S_ERR_ND_MEM_ALLOC,
-                       "can't allocate memory for decryption buffer");
-       }
-       if (!EVP_Cipher(ctx, output_buffer, input_buffer, len)) {
-               (*ndo->ndo_warning)(ndo, "EVP_Cipher failed");
-               return 0;
-       }
-       EVP_CIPHER_CTX_free(ctx);
-
-       /*
-        * Free the input buffer; we no longer need it.
-        */
-       free(input_buffer);
-
-       /*
-        * Get a pointer to the plaintext.
-        */
-       pt = output_buffer;
  
         /*
          * Switch to the output buffer for dissection, and save it
          * on the buffer stack so it can be freed; our caller must
          * pop it when done.
          */
  
         /*
          * Switch to the output buffer for dissection, and save it
          * on the buffer stack so it can be freed; our caller must
          * pop it when done.
          */
-       if (!nd_push_buffer(ndo, output_buffer, pt, pt + len)) {
-               free(output_buffer);
-               return 0;
+       if (!nd_push_buffer(ndo, pt, pt, ctlen)) {
+               free(pt);
+               (*ndo->ndo_error)(ndo, S_ERR_ND_MEM_ALLOC,
+                       "%s: can't push buffer on buffer stack", __func__);
         }
  
         return 1;
  }
         }
  
         return 1;
  }
-USES_APPLE_RST
+DIAG_ON_DEPRECATION
  
  static void esp_print_addsa(netdissect_options *ndo,
  
  static void esp_print_addsa(netdissect_options *ndo,
-                           struct sa_list *sa, int sa_def)
+                           const struct sa_list *sa, int sa_def)
  {
         /* copy the "sa" */
  
  {
         /* copy the "sa" */
  
@@ -319,7 +337,7 @@ static void esp_print_addsa(netdissect_options *ndo,
         nsa = (struct sa_list *)malloc(sizeof(struct sa_list));
         if (nsa == NULL)
                 (*ndo->ndo_error)(ndo, S_ERR_ND_MEM_ALLOC,
         nsa = (struct sa_list *)malloc(sizeof(struct sa_list));
         if (nsa == NULL)
                 (*ndo->ndo_error)(ndo, S_ERR_ND_MEM_ALLOC,
-                                 "esp_print_addsa: malloc");
+                                 "%s: malloc", __func__);
  
         *nsa = *sa;
  
  
         *nsa = *sa;
  
@@ -331,7 +349,7 @@ static void esp_print_addsa(netdissect_options *ndo,
  }
  
  
  }
  
  
-static u_int hexdigit(netdissect_options *ndo, char hex)
+static int hexdigit(netdissect_options *ndo, char hex)
  {
         if (hex >= '0' && hex <= '9')
                 return (hex - '0');
  {
         if (hex >= '0' && hex <= '9')
                 return (hex - '0');
@@ -340,40 +358,53 @@ static u_int hexdigit(netdissect_options *ndo, char hex)
         else if (hex >= 'a' && hex <= 'f')
                 return (hex - 'a' + 10);
         else {
         else if (hex >= 'a' && hex <= 'f')
                 return (hex - 'a' + 10);
         else {
-               (*ndo->ndo_error)(ndo, S_ERR_ND_ESP_SECRET,
-                                 "invalid hex digit %c in espsecret\n", hex);
+               (*ndo->ndo_warning)(ndo,
+                                   "invalid hex digit %c in espsecret\n", hex);
+               return (-1);
         }
  }
  
         }
  }
  
-static u_int hex2byte(netdissect_options *ndo, char *hexstring)
-{
-       u_int byte;
-
-       byte = (hexdigit(ndo, hexstring[0]) << 4) + hexdigit(ndo, hexstring[1]);
-       return byte;
-}
-
  /*
   * returns size of binary, 0 on failure.
   */
  /*
   * returns size of binary, 0 on failure.
   */
-static
-int espprint_decode_hex(netdissect_options *ndo,
-                       u_char *binbuf, unsigned int binbuf_len,
-                       char *hex)
+static int
+espprint_decode_hex(netdissect_options *ndo,
+                   u_char *binbuf, unsigned int binbuf_len, char *hex)
  {
  {
-       unsigned int len;
+       size_t len;
         int i;
  
         int i;
  
+       /*
+        * XXX - fail if the string length isn't a multiple of 2?
+        */
         len = strlen(hex) / 2;
  
         if (len > binbuf_len) {
         len = strlen(hex) / 2;
  
         if (len > binbuf_len) {
-               (*ndo->ndo_warning)(ndo, "secret is too big: %u\n", len);
+               (*ndo->ndo_warning)(ndo, "secret is too big: %zu\n", len);
                 return 0;
         }
  
         i = 0;
         while (hex[0] != '\0' && hex[1]!='\0') {
                 return 0;
         }
  
         i = 0;
         while (hex[0] != '\0' && hex[1]!='\0') {
-               binbuf[i] = hex2byte(ndo, hex);
+               int upper_nibble, lower_nibble;
+
+               upper_nibble = hexdigit(ndo, hex[0]);
+               if (upper_nibble < 0) {
+                       /*
+                        * Invalid hex digit; a warning has already been
+                        * printed.
+                        */
+                       return 0;
+               }
+               lower_nibble = hexdigit(ndo, hex[1]);
+               if (lower_nibble < 0) {
+                       /*
+                        * Invalid hex digit; a warning has already been
+                        * printed.
+                        */
+                       return 0;
+               }
+               binbuf[i] = (((u_int)upper_nibble) << 4) + (((u_int)lower_nibble) << 0);
                 hex += 2;
                 i++;
         }
                 hex += 2;
                 i++;
         }
@@ -385,7 +416,7 @@ int espprint_decode_hex(netdissect_options *ndo,
   * decode the form:    SPINUM@IP <tab> ALGONAME:0xsecret
   */
  
   * decode the form:    SPINUM@IP <tab> ALGONAME:0xsecret
   */
  
-USES_APPLE_DEPRECATED_API
+DIAG_OFF_DEPRECATION
  static int
  espprint_decode_encalgo(netdissect_options *ndo,
                         char *decode, struct sa_list *sa)
  static int
  espprint_decode_encalgo(netdissect_options *ndo,
                         char *decode, struct sa_list *sa)
@@ -394,6 +425,7 @@ espprint_decode_encalgo(netdissect_options *ndo,
         const EVP_CIPHER *evp;
         int authlen = 0;
         char *colon, *p;
         const EVP_CIPHER *evp;
         int authlen = 0;
         char *colon, *p;
+       const char *real_decode;
  
         colon = strchr(decode, ':');
         if (colon == NULL) {
  
         colon = strchr(decode, ':');
         if (colon == NULL) {
@@ -414,10 +446,23 @@ espprint_decode_encalgo(netdissect_options *ndo,
                 p = strstr(decode, "-cbc");
                 *p = '\0';
         }
                 p = strstr(decode, "-cbc");
                 *p = '\0';
         }
-       evp = EVP_get_cipherbyname(decode);
+       /*
+        * Not all versions of libcrypto support calls to add aliases
+        * to ciphers - newer versions of libressl don't - so, instead
+        * of making "3des" an alias for "des_ede3_cbc", if attempting
+        * to get the cipher fails and the name is "3des", we try
+        * "des_ede3_cbc".
+        */
+       real_decode = decode;
+       if (strcmp(real_decode, "3des") == 0)
+               real_decode = "des-ede3-cbc";
+       evp = EVP_get_cipherbyname(real_decode);
  
         if (!evp) {
  
         if (!evp) {
-               (*ndo->ndo_warning)(ndo, "failed to find cipher algo %s\n", decode);
+               if (decode != real_decode)
+                       (*ndo->ndo_warning)(ndo, "failed to find cipher algo %s (%s)\n", real_decode, decode);
+               else
+                       (*ndo->ndo_warning)(ndo, "failed to find cipher algo %s\n", decode);
                 sa->evp = NULL;
                 sa->authlen = 0;
                 sa->ivlen = 0;
                 sa->evp = NULL;
                 sa->authlen = 0;
                 sa->ivlen = 0;
@@ -450,7 +495,7 @@ espprint_decode_encalgo(netdissect_options *ndo,
  
         return 1;
  }
  
         return 1;
  }
-USES_APPLE_RST
+DIAG_ON_DEPRECATION
  
  /*
   * for the moment, ignore the auth algorithm, just hard code the authenticator
  
  /*
   * for the moment, ignore the auth algorithm, just hard code the authenticator
@@ -469,8 +514,8 @@ espprint_decode_authalgo(netdissect_options *ndo,
         }
         *colon = '\0';
  
         }
         *colon = '\0';
  
-       if(ascii_strcasecmp(colon,"sha1") == 0 ||
-          ascii_strcasecmp(colon,"md5") == 0) {
+       if(ascii_strcasecmp(decode,"sha1") == 0 ||
+          ascii_strcasecmp(decode,"md5") == 0) {
                 sa->authlen = 12;
         }
         return 1;
                 sa->authlen = 12;
         }
         return 1;
@@ -575,8 +620,8 @@ static void esp_print_decode_onesecret(netdissect_options *ndo, char *line,
                 secretfile = fopen(filename, FOPEN_READ_TXT);
                 if (secretfile == NULL) {
                         (*ndo->ndo_error)(ndo, S_ERR_ND_OPEN_FILE,
                 secretfile = fopen(filename, FOPEN_READ_TXT);
                 if (secretfile == NULL) {
                         (*ndo->ndo_error)(ndo, S_ERR_ND_OPEN_FILE,
-                                         "print_esp: can't open %s: %s\n",
-                                         filename, strerror(errno));
+                                         "%s: can't open %s: %s\n",
+                                         __func__, filename, strerror(errno));
                 }
  
                 while (fgets(fileline, sizeof(fileline)-1, secretfile) != NULL) {
                 }
  
                 while (fgets(fileline, sizeof(fileline)-1, secretfile) != NULL) {
@@ -631,7 +676,7 @@ static void esp_print_decode_onesecret(netdissect_options *ndo, char *line,
  
         if (decode) {
                 /* skip any blank spaces */
  
         if (decode) {
                 /* skip any blank spaces */
-               while (isspace((unsigned char)*decode))
+               while (*decode == ' ' || *decode == '\t' || *decode == '\r' || *decode == '\n')
                         decode++;
  
                 if(!espprint_decode_encalgo(ndo, decode, &sa1)) {
                         decode++;
  
                 if(!espprint_decode_encalgo(ndo, decode, &sa1)) {
@@ -642,7 +687,7 @@ static void esp_print_decode_onesecret(netdissect_options *ndo, char *line,
         esp_print_addsa(ndo, &sa1, sa_def);
  }
  
         esp_print_addsa(ndo, &sa1, sa_def);
  }
  
-USES_APPLE_DEPRECATED_API
+DIAG_OFF_DEPRECATION
  static void esp_init(netdissect_options *ndo _U_)
  {
         /*
  static void esp_init(netdissect_options *ndo _U_)
  {
         /*
@@ -653,11 +698,10 @@ static void esp_init(netdissect_options *ndo _U_)
  #if !defined(OPENSSL_API_COMPAT) || OPENSSL_API_COMPAT < 0x10100000L
         OpenSSL_add_all_algorithms();
  #endif
  #if !defined(OPENSSL_API_COMPAT) || OPENSSL_API_COMPAT < 0x10100000L
         OpenSSL_add_all_algorithms();
  #endif
-       EVP_add_cipher_alias(SN_des_ede3_cbc, "3des");
  }
  }
-USES_APPLE_RST
+DIAG_ON_DEPRECATION
  
  
-void esp_print_decodesecret(netdissect_options *ndo)
+void esp_decodesecret_print(netdissect_options *ndo)
  {
         char *line;
         char *p;
  {
         char *line;
         char *p;
@@ -692,7 +736,7 @@ void esp_print_decodesecret(netdissect_options *ndo)
  #endif
  
  #ifdef HAVE_LIBCRYPTO
  #endif
  
  #ifdef HAVE_LIBCRYPTO
-USES_APPLE_DEPRECATED_API
+DIAG_OFF_DEPRECATION
  #endif
  void
  esp_print(netdissect_options *ndo,
  #endif
  void
  esp_print(netdissect_options *ndo,
@@ -703,20 +747,16 @@ esp_print(netdissect_options *ndo,
           u_int ttl_hl USED_IF_LIBCRYPTO)
  {
         const struct newesp *esp;
           u_int ttl_hl USED_IF_LIBCRYPTO)
  {
         const struct newesp *esp;
-       const u_char *ep;
  #ifdef HAVE_LIBCRYPTO
  #ifdef HAVE_LIBCRYPTO
+       const u_char *ep;
         const struct ip *ip;
         struct sa_list *sa = NULL;
         const struct ip6_hdr *ip6 = NULL;
         const u_char *iv;
         u_int ivlen;
         const struct ip *ip;
         struct sa_list *sa = NULL;
         const struct ip6_hdr *ip6 = NULL;
         const u_char *iv;
         u_int ivlen;
+       u_int payloadlen;
         const u_char *ct;
         const u_char *ct;
-       u_int ctlen;
-       EVP_CIPHER_CTX *ctx;
-       unsigned int block_size, buffer_size;
-       u_char *input_buffer, *output_buffer;
-       const u_char *pt;
-       u_int ptlen;
+       u_char *pt;
         u_int padlen;
         u_int nh;
  #endif
         u_int padlen;
         u_int nh;
  #endif
@@ -724,24 +764,22 @@ esp_print(netdissect_options *ndo,
         ndo->ndo_protocol = "esp";
         esp = (const struct newesp *)bp;
  
         ndo->ndo_protocol = "esp";
         esp = (const struct newesp *)bp;
  
-       /* 'ep' points to the end of available data. */
-       ep = ndo->ndo_snapend;
+       nd_print_protocol_caps(ndo);
  
  
-       if ((const u_char *)(esp + 1) >= ep) {
-               nd_print_trunc(ndo);
-               return;
-       }
-       ND_PRINT("ESP(spi=0x%08x", GET_BE_U_4(esp->esp_spi));
+       ND_PRINT("(spi=0x%08x", GET_BE_U_4(esp->esp_spi));
         ND_PRINT(",seq=0x%x)", GET_BE_U_4(esp->esp_seq));
         ND_PRINT(", length %u", length);
  
  #ifdef HAVE_LIBCRYPTO
         ND_PRINT(",seq=0x%x)", GET_BE_U_4(esp->esp_seq));
         ND_PRINT(", length %u", length);
  
  #ifdef HAVE_LIBCRYPTO
-       /* initiailize SAs */
+       /* 'ep' points to the end of available data. */
+       ep = ndo->ndo_snapend;
+
+       /* initialize SAs */
         if (ndo->ndo_sa_list_head == NULL) {
                 if (!ndo->ndo_espsecret)
                         return;
  
         if (ndo->ndo_sa_list_head == NULL) {
                 if (!ndo->ndo_espsecret)
                         return;
  
-               esp_print_decodesecret(ndo);
+               esp_decodesecret_print(ndo);
         }
  
         if (ndo->ndo_sa_list_head == NULL)
         }
  
         if (ndo->ndo_sa_list_head == NULL)
@@ -827,7 +865,7 @@ esp_print(netdissect_options *ndo,
          * the beginning of the authentication data/integrity check
          * value, i.e. right past the end of the ciphertext;
          */
          * the beginning of the authentication data/integrity check
          * value, i.e. right past the end of the ciphertext;
          */
-       ctlen = ep - ct;
+       payloadlen = ep - ct;
  
         if (sa->evp == NULL)
                 return;
  
         if (sa->evp == NULL)
                 return;
@@ -844,94 +882,19 @@ esp_print(netdissect_options *ndo,
                 return;
         }
  
                 return;
         }
  
-       ctx = EVP_CIPHER_CTX_new();
-       if (ctx == NULL) {
-               /*
-                * Failed to initialize the cipher context.
-                * From a look at the OpenSSL code, this appears to
-                * mean "couldn't allocate memory for the cipher context";
-                * note that we're not passing any parameters, so there's
-                * not much else it can mean.
-                */
-               (*ndo->ndo_error)(ndo, S_ERR_ND_MEM_ALLOC,
-                       "esp_print: can't allocate memory for cipher context");
-       }
-
-       if (set_cipher_parameters(ctx, sa->evp, sa->secret, NULL, 0) < 0) {
-               (*ndo->ndo_warning)(ndo, "espkey init failed");
+       pt = do_decrypt(ndo, __func__, sa, iv, ct, payloadlen);
+       if (pt == NULL)
                 return;
                 return;
-       }
-
-       if (set_cipher_parameters(ctx, NULL, NULL, iv, 0) < 0) {
-               (*ndo->ndo_warning)(ndo, "IV init failed");
-               return;
-       }
-
-       /*
-        * Allocate buffers for the encrypted and decrypted
-        * data.  Both buffers' sizes must be a multiple of
-        * the cipher block size, and the output buffer must
-        * be separate from the input buffer.
-        */
-       block_size = (unsigned int)EVP_CIPHER_CTX_block_size(ctx);
-       buffer_size = ctlen + (block_size - ctlen % block_size);
-
-       /*
-        * Attempt to allocate the input buffer.
-        */
-       input_buffer = (u_char *)malloc(buffer_size);
-       if (input_buffer == NULL) {
-               EVP_CIPHER_CTX_free(ctx);
-               (*ndo->ndo_error)(ndo, S_ERR_ND_MEM_ALLOC,
-                       "esp_print: can't allocate memory for encrypted data buffer");
-       }
-       /*
-        * Copy the input data to the encrypted data buffer,
-        * and pad it with zeroes.
-        */
-       memcpy(input_buffer, ct, ctlen);
-       memset(input_buffer + ctlen, 0, buffer_size - ctlen);
-
-       /*
-        * Attempt to allocate the output buffer.
-        */
-       output_buffer = (u_char *)malloc(buffer_size);
-       if (output_buffer == NULL) {
-               free(input_buffer);
-               EVP_CIPHER_CTX_free(ctx);
-               (*ndo->ndo_error)(ndo, S_ERR_ND_MEM_ALLOC,
-                       "esp_print: can't allocate memory for decryption buffer");
-       }
-
-       if (!EVP_Cipher(ctx, output_buffer, input_buffer, ctlen)) {
-               free(input_buffer);
-               (*ndo->ndo_warning)(ndo, "EVP_Cipher failed");
-               return;
-       }
-       free(input_buffer);
-       EVP_CIPHER_CTX_free(ctx);
-
-       /*
-        * Pointer to the plaintext.
-        */
-       pt = output_buffer;
-
-       /*
-        * Length of the plaintext, which is the same as the length
-        * of the ciphertext.
-        */
-       ptlen = ctlen;
  
         /*
          * Switch to the output buffer for dissection, and
          * save it on the buffer stack so it can be freed.
          */
  
         /*
          * Switch to the output buffer for dissection, and
          * save it on the buffer stack so it can be freed.
          */
-       if (!nd_push_buffer(ndo, output_buffer, pt, pt + ctlen)) {
-               free(output_buffer);
+       if (!nd_push_buffer(ndo, pt, pt, payloadlen)) {
+               free(pt);
                 (*ndo->ndo_error)(ndo, S_ERR_ND_MEM_ALLOC,
                 (*ndo->ndo_error)(ndo, S_ERR_ND_MEM_ALLOC,
-                       "esp_print: can't push buffer on buffer stack");
+                       "%s: can't push buffer on buffer stack", __func__);
         }
         }
-       ep = pt + ptlen;
  
         /*
          * Sanity check for pad length; if it, plus 2 for the pad
  
         /*
          * Sanity check for pad length; if it, plus 2 for the pad
@@ -942,25 +905,36 @@ esp_print(netdissect_options *ndo,
          * it was not decrypted with the correct key, so that the
          * "plaintext" is not what was being sent.
          */
          * it was not decrypted with the correct key, so that the
          * "plaintext" is not what was being sent.
          */
-       padlen = GET_U_1(ep - 2);
-       if (padlen + 2 > ptlen) {
+       padlen = GET_U_1(pt + payloadlen - 2);
+       if (padlen + 2 > payloadlen) {
                 nd_print_trunc(ndo);
                 return;
         }
  
         /* Get the next header */
                 nd_print_trunc(ndo);
                 return;
         }
  
         /* Get the next header */
-       nh = GET_U_1(ep - 1);
+       nh = GET_U_1(pt + payloadlen - 1);
  
         ND_PRINT(": ");
  
  
         ND_PRINT(": ");
  
+       /*
+        * Don't put padding + padding length(1 byte) + next header(1 byte)
+        * in the buffer because they are not part of the plaintext to decode.
+        */
+       if (!nd_push_snaplen(ndo, pt, payloadlen - (padlen + 2))) {
+               (*ndo->ndo_error)(ndo, S_ERR_ND_MEM_ALLOC,
+                       "%s: can't push snaplen on buffer stack", __func__);
+       }
+
         /* Now dissect the plaintext. */
         /* Now dissect the plaintext. */
-       ip_print_demux(ndo, pt, ptlen - (padlen + 2), ver, fragmented,
-           ttl_hl, nh, bp2);
+       ip_demux_print(ndo, pt, payloadlen - (padlen + 2), ver, fragmented,
+                      ttl_hl, nh, bp2);
  
         /* Pop the buffer, freeing it. */
         nd_pop_packet_info(ndo);
  
         /* Pop the buffer, freeing it. */
         nd_pop_packet_info(ndo);
+       /* Pop the nd_push_snaplen */
+       nd_pop_packet_info(ndo);
  #endif
  }
  #ifdef HAVE_LIBCRYPTO
  #endif
  }
  #ifdef HAVE_LIBCRYPTO
-USES_APPLE_RST
+DIAG_ON_DEPRECATION
  #endif
  #endif