我试图了解在将对象推入X509结构后是否需要释放STACK_OF(X509)对象,还是进行sk_X509_free()调用会为我释放包括内容在内的所有内容。我没有在OpenSSL中找到与此相关的文档。
std::vector<std::string> caPems;
// Fill the vector from input
// ...
BIO *bufio = NULL;
X509 *x509 = NULL, *x509_ca = NULL;
bool success = false;
STACK_OF(X509)* x509_ca_stack;
x509_ca_stack = sk_X509_new_null();
if (x509_ca_stack) {
success = true;
for (const std::string& caPem : caPems) {
BIO_new_mem_buf(caPem.c_str(), caPem.size());
PEM_read_bio_X509(bufio, &x509_ca, NULL, NULL);
BIO_free_all(bufio);
if (x509_ca != nullptr) {
sk_X509_push(x509_ca_stack, x509_ca);
x509_ca = NULL; // should I free after push???
} else
success = false;
}
if (success)
foo(x509_ca_stack);
sk_X509_free(x509_ca_stack); // or is this free enough for the entire stack?
} else {
printf("ERROR: failed loading cert\n");
}
编辑:valgrind没有帮助,当我释放和不释放时,它什么都没有显示。
答案 0 :(得分:1)
由于 openssl 1.1 X509(以及许多其他版本)是引用计数的。 sk_XXX_push() API NOT 不会自动增加引用,因此您在执行推送时会移交 X509 引用。因此,您的代码无效有效并且会按原样泄漏,因为 sk_X509_free() 将不会减少内部 X509 的引用计数。
编辑:我更正了上面的内容,我原本以为 sk_X509_free() 会自动释放 ref。它不是。 来自 openssl 文档 https://www.openssl.org/docs/man1.1.0/man3/DEFINE_STACK_OF.html
<块引用>sk_TYPE_free() 释放 sk 结构。它不会释放 sk 的任何元素。在此调用之后,sk 不再有效。
如果出于某种原因真的想创建 X509 的深层副本,可以使用 X509_dup() 复制 X509 对象并将其压入堆栈:
sk_X509_push(stack, X509_dup(cert));
在这种情况下,需要显式释放两个 X509 对象。
还可以使用 sk_X509_pop_free(stack, X509_free) 自动取消引用所有堆栈元素并删除堆栈本身。
总而言之,您的代码可以通过两种方式修复: