<div dir="ltr"><div>Tested on the latest repository checkout.</div><div><br></div><div>==17149== Invalid read of size 32<br>==17149==    at 0x525B90: ??? (sha256-avx2-bmi2-amd64.S:307)<br>==17149==    by 0x4F7777: _gcry_md_block_write (hash-common.c:176)<br>==17149==    by 0x480B8F: _gcry_sha256_hash_buffer (sha256.c:639)<br>==17149==    by 0x45B412: prepare_macpads (md.c:962)<br>==17149==    by 0x45B412: _gcry_md_setkey (md.c:1034)<br>==17149==    by 0x456C09: _gcry_kdf_pkdf2 (kdf.c:185)<br>==17149==    by 0x477DB7: _gcry_kdf_scrypt (scrypt.c:306)<br>==17149==    by 0x429362: gcry_kdf_derive (visibility.c:1312)<br>==17149==    by 0x42497A: main (libgcrypt_scrypt_oob_read.c:23)<br>==17149==  Address 0x6025300 is 6 bytes after a block of size 90 alloc'd<br>==17149==    at 0x4C31B0F: malloc (in /usr/lib/valgrind/vgpreload_memcheck-amd64-linux.so)<br>==17149==    by 0x4248DB: main (libgcrypt_scrypt_oob_read.c:15)</div><div><br></div><div>Found by Cryptofuzz running on OSS-Fuzz.<br></div></div>