chiark / gitweb /
build system: convert stest and mtest to Subdir.mk
[secnet.git] / debian / changelog
1 secnet (0.5.1~) unstable; urgency=medium
2
3   * 
4
5  --
6
7 secnet (0.5.0) unstable; urgency=medium
8
9   make-secnet-sites SECURITY FIX:
10   * Do not blindly trust inputs; instead, check the syntax for sanity.
11     Previous releases can be induced to run arbitrary code as the user
12     invoking secnet (which might be root), if a secnet sites.conf is used
13     that was generated from an untrustworthy sites file.
14   * The userv invocation mode of make-secnet-sites seems to have been safe
15     in itself, but it previously allowed hazardous data to be propagated
16     into the master sites file.  This is now prevented too.
17
18   make-secnet-sites overhaul work:
19   * make-secnet-sites is now in the common subset of Python2 and Python3.
20     The #! is python3 now, but it works with Python2.7 too.
21     It will probably *not* work with old versions of Python2.
22   * We no longer depend on the obsolete `ipaddr' library.  We use
23     `ipaddress' now.  And this is onlo a Recommends in the .deb.
24   * Ad-hoc argument parser been replaced with `argparse'.
25     There should be no change to existing working invocations.
26   * Bad address syntax error does not wrongly mention IPv6 scopes.
27   * Minor refactoring to support forthcoming work.  [Mark Wooding]
28
29   other bugfixes, improvements and changes to secnet itself:
30   * Better logging of why we are sending NAK messages.
31   * Correctly use the verified copy of the peer remote capabilities
32     from MSG3.  (Bug is not a vulnerability.)    [Mark Wooding]
33   * Significant internal rearrangements and refactorings, to support
34     forthcoming key management work.  [Mark Wooding and Ian Jackson]
35
36   build system etc.:
37   * Completely overhaul release checklist; drop dist target.
38   * Remove dependency on `libfl.a'.  [Mark Wooding]
39   * polypath.c: Fix missing include of <limits.h>.  [Mark Wooding]
40   * Add a Wireshark dissector `secnet-wireshark.lua'.  It is not
41     installed anywhere right now.  [Mark Wooding]
42
43   documentation:
44   * Improve documentation of capability negotiation in NOTES, secnet(8)
45     and magic.h.  [Mark Wooding]
46
47  -- Ian Jackson <ijackson@chiark.greenend.org.uk>  Thu, 24 Oct 2019 19:11:54 +0100
48
49 secnet (0.4.5) unstable; urgency=medium
50
51   * INSTALL: Mention that rsa key generation might need ssh-keygen1.
52   * mobile: Fix negotiation bug with mixed old/new secnets and
53     simultaneous key setup attempts by each end.  [Mark Wooding]
54   * Makefile.in: Support installation from a `VPATH' build.  [Mark Wooding]
55   * Portability fixes for clang.  [Mark Wooding]
56
57  -- Ian Jackson <ijackson@chiark.greenend.org.uk>  Sat, 21 Sep 2019 12:04:31 +0100
58
59 secnet (0.4.4) unstable; urgency=medium
60
61   Security fix:
62   * make-secnet-sites: Don't allow setting new VPN-level properties
63     when restricted.  This could allow denial of service by
64     users with delegated authorisation.  [Mark Wooding]
65
66   Bugfixes for poor network environments:
67   * polypath: cope properly with asymmetric routing, by correcting
68     the handling of late duplicated packets etc.   Protocol is now
69     incompatible with secnet prior to 0.3.0 when either end is mobile.
70   * Randomise key setup retry time.
71
72   Other bugfixes:
73   * rsa and cbcmac: Fix configuration error messages.  [Mark Wooding]
74   * Handle IPv4 addresses properly (ie, not foolishly byte-swapped),
75     when IPv6 is not available.  [Mark Wooding]
76   * Better logging (and less foolish debug), especially about whether
77     key is set up, and about crossed key setup attempts.
78   * Internal refactoring and fixes.  [Ian Jackson and Mark Wooding]
79
80   Build system and portability:
81   * configure: rerun autogen.sh with autoconf 2.69-10
82   * Avoid memset(0,0,0) wrt st->sharedsecret.  (Fixes compiler warning;
83     in theory might cause miscompilation.)  [Mark Wooding]
84
85   Documentation:
86   * README.make-secnet-sites: new documentation file.  [Mark Wooding]
87   * NOTES: Describe current allocation of capability bits.  [Mark Wooding]
88   * NOTES: tiny fix tot protocol description.
89   * secnet(8): Delete wrong information about dh groups.  [Mark Wooding]
90
91   Administrivia:
92   * Fix erroneous GPL3+ licence notices "version d or later" (!)
93   * .dir-locals.el: Settings for Python code.  [Mark Wooding]
94
95  -- Ian Jackson <ijackson@chiark.greenend.org.uk>  Sun, 08 Sep 2019 22:53:14 +0100
96
97 secnet (0.4.3) unstable; urgency=low
98
99   Security improvement:
100   * Use `mpz_powm_sec' for modexps.
101
102   Enhancements:
103   * Implement comm-info and dedicated-interface-addr feature, for
104     benefit of hippotat.
105   * Implement `keepalive' site option, to try to keep link always up.
106
107   Build etc. fixes:
108   * #include <limits.h> (fixes the build on jessie).
109   * Tolerate building from a git checkout, but with git not installed.
110     (This can happen in chroots.)
111   * Turn off -Wsign-compare for bison output.
112   * Makefile.in: Fix `check-ipaddrset' rule to get reference from
113     $(srcdir).  (Makes out-of-tree builds work properly.)
114   * Release checklist fixes.
115   * Burn version numbers 0.4.1 and 0.4.2 due to errors in release prep.
116
117   Bugfixes:
118   * When printing messages about dropping IPv6, do not print anything
119     about ihl.  (Check the IP version field first!)
120   * When turning on debug, turn on verbose too.
121
122  -- Ian Jackson <ijackson@chiark.greenend.org.uk>  Sat, 25 Nov 2017 13:36:41 +0000
123
124 secnet (0.4.0) unstable; urgency=low
125
126   Debugging improvements:
127   * Packet-level debugging from site notes errors from transmit.
128   * Report when transport peers updated as a result of transmit.
129
130  -- Ian Jackson <ijackson@chiark.greenend.org.uk>  Sat, 28 Feb 2015 15:03:00 +0000
131
132 secnet (0.4.0~beta2) unstable; urgency=low
133
134   Polypath bugfixes:
135   * Ignore IPv6 Unique Local unicast addresses.
136   * Skip "tentative" IPv6 local addresses.
137   * Improve logging and debug output.
138
139   Portability fix:
140   * Build where size_t is not compatible with int.
141
142   Build system and packaging fixes:
143   * Makefile: support DESTDIR.
144   * debian/rules: set DESTDIR (not prefix).
145   * debian/rules: Support dpkg-buildflags.
146   * Install ipaddrset.py and secnet.8 with correct permissions.
147   * Fix check for <linux/if_tun.h> and git rid of our copy.
148   * Use -lresolv only if inet_aton is not found otherwise.
149   * Use -lnsl only if inet_ntoa is not found otherwise.
150   * debian/rules: Provide build-arch and build-indep targets.
151   * debian/rules: Do not run build for *-indep (!)
152   * Makefile.in: Putative dual (backport and not) release build process doc.
153
154   Copyright updates:
155   * Update to GPLv3.  Add missing copyright notices and credits.
156   * Get rid of old FSF street address; use URL instead.
157   * Remove obsolete LICENCE.txt (which was for snprintf reimplementation).
158   * Remove obsolete references to Cendio (for old ipaddr.py).
159
160  -- Ian Jackson <ijackson@chiark.greenend.org.uk>  Sun, 28 Dec 2014 17:14:10 +0000
161
162 secnet (0.4.0~beta1) unstable; urgency=low
163
164   New features:
165   * Support transport over IPv6.  (We do not yet carry IPv6 in the private
166     network.)  IPv6 support depends on IPv6-capable adns (adns 1.5.x).
167   * New polypath comm, which can duplicate packets so as to send them via
168     multiple routes over the public network, for increased
169     reliability/performance (but increased cost).  Currently Linux-only
170     but should be fairly easy to port.
171   * Support multiple public addresses for peers.
172   * Discard previously-received packets (by default).
173
174   Logging improvements:
175   * Report (each first) transmission and reception success and failure.
176   * Log reason for DNS reolution failure.
177   * Log unexpected kinds of death from userv.
178   * Log authbind exit status as errno value (if appropriate).
179
180   Configuration adjustments:
181   * Adjust default number of mobile peer addresses to store when a peer
182     public address is also configured.
183   * Make specifying peer public port optional.  This avoids making special
184     arrangements to bind to a port for in mobile sites with no public
185     stable address.
186
187   Bugfixes:
188   * Hackypar children will die if they get a terminating signal.
189   * Fix signal dispositions inherited by secnet's child processes.
190   * Fix off-by-one error which prevented setting transport-peers-max to 5.
191
192   Test, build and internal improvements:
193   * Use conventional IP address handling library ipaddr.py.
194   * Provide a fuzzer for the slip decoder.
195   * Build system improvements.
196   * Many source code cleanups.
197
198  -- Ian Jackson <ijackson@chiark.greenend.org.uk>  Sun, 26 Oct 2014 15:28:31 +0000
199
200 secnet (0.3.4) unstable; urgency=low
201
202   SECURITY FIX:
203   * The previous security fix to buffer handling was entirely wrong.  This
204     one is better.  Thanks to Simon Tatham for the report and the patch.
205
206  -- Ian Jackson <ijackson@chiark.greenend.org.uk>  Mon, 22 Sep 2014 16:16:11 +0100
207
208 secnet (0.3.3) unstable; urgency=high
209
210   SECURITY FIXES:
211   * Pass correct size argument to recvfrom.  This is a serious security
212     problem which may be exploitable from outside the VPN.
213   * Fix a memory leak in some error logging.
214
215   Other related fixes:
216   * Two other latent bugs in buffer length handling found and fixed.
217   * Non-critical stylistic improvements to buffer length handling, to make
218     the code clearer and to assist audit.
219
220  -- Ian Jackson <ijackson@chiark.greenend.org.uk>  Fri, 19 Sep 2014 23:50:45 +0100
221
222 secnet (0.3.3~beta1) unstable; urgency=low
223
224   Installation compatibility fix:
225   * In make-secnet-sites, always use our own ipaddr.py even if the
226     incompatible modern ipaddr.py is installed (eg via python-ipaddr.deb).
227     (Future versions of secnet are going to need that Python module to be
228     installed.)
229
230   For links involving mobile sites:
231   * Use source of NAK packets as hint for peer transport address.
232   * When initiating rekey, make use of data transport peer addresses.
233
234   Build fix:
235   * Provide clean target in test-example/Makefile.
236
237  -- Ian Jackson <ijackson@chiark.greenend.org.uk>  Fri, 19 Sep 2014 00:11:44 +0100
238
239 secnet (0.3.2) unstable; urgency=low
240
241   * Release of 0.3.2.  No code changes since 0.3.1~beta1.
242
243  -- Ian Jackson <ijackson@chiark.greenend.org.uk>  Thu, 26 Jun 2014 20:27:58 +0100
244
245 secnet (0.3.2~beta1) unstable; urgency=low
246
247   For links involving mobile sites:
248   * SECURITY: Properly update peer address array when it is full.
249   * Do name-resolution on peer-initiated key setup too, when we are mobile
250     (and other name-resolution improvements).
251
252   Other minor improvements:
253   * Log peer addresses on key exchange timeout.
254   * When printing version (eg during startup), use value from git-describe
255     and thus include git commit id where applicable.
256   * Updates to release checklist in Makefile.in.
257   * Use C99 _Bool for bool_t.
258
259  -- Ian Jackson <ijackson@chiark.greenend.org.uk>  Fri, 06 Jun 2014 01:17:54 +0100
260
261 secnet (0.3.1) unstable; urgency=low
262
263   * Release of 0.3.1.  No code changes since 0.3.1~beta3.
264
265  -- Ian Jackson <ijackson@chiark.greenend.org.uk>  Thu, 15 May 2014 01:08:30 +0100
266
267 secnet (0.3.1~beta3) unstable; urgency=low
268
269   * Build fixes for non-i386 architectures and gcc 4.8.2.
270
271  -- Ian Jackson <ijackson@chiark.greenend.org.uk>  Thu, 08 May 2014 19:53:43 +0100
272
273 secnet (0.3.1~beta2) unstable; urgency=low
274
275   Fix relating to new fragmentation / ICMP functionality:
276   * Generate ICMP packets correctly in point-to-point configurations.
277
278  -- Ian Jackson <ijackson@chiark.greenend.org.uk>  Sat, 03 May 2014 18:58:09 +0100
279
280 secnet (0.3.1~beta1) unstable; urgency=low
281
282   Security fixes (vulnerabilities are to inside attackers only):
283   * SECURITY: Fixes to MTU and fragmentation handling.
284   * SECURITY: Correctly set "unused" ICMP header field.
285   * SECURITY: Fix IP length check not to crash on very short packets.
286
287   New feature:
288   * Make the inter-site MTU configurable, and negotiate it with the peer.
289
290   Bugfixes etc.:
291   * Fix netlink SEGV on clientless netlinks (i.e. configuration error).
292   * Fix formatting error in p-t-p startup message.
293   * Do not send ICMP errors in response to unknown incoming ICMP.
294   * Fix formatting error in secnet.8 manpage.
295   * Internal code rearrangements and improvements.
296
297   Packaging improvements:
298   * Updates to release checklist in Makefile.in.
299   * Additions to the test-example suite.
300
301  -- Ian Jackson <ijackson@chiark.greenend.org.uk>  Thu, 01 May 2014 19:02:56 +0100
302
303 secnet (0.3.0) unstable; urgency=low
304
305   * Release of 0.3.0.  No code changes since 0.3.0~beta3.
306   * Update release checklist.
307
308  -- Ian Jackson <ijackson@chiark.greenend.org.uk>  Sun, 01 Sep 2013 20:27:48 +0100
309
310 secnet (0.3.0~beta3) unstable; urgency=low
311
312   * New upstream version.
313    - Stability bugfix: properly initialise site's scratch buffer.
314
315  -- Ian Jackson <ijackson@chiark.greenend.org.uk>  Mon, 05 Aug 2013 11:54:09 +0100
316
317 secnet (0.3.0~beta2) unstable; urgency=low
318
319   * New upstream version.
320    - SECURITY FIX: RSA public modulus and exponent buffer overflow.
321    - SECURITY FIX: Use constant-time memcmp for message authentication.
322    - SECURITY FIX: Provide a new transform, eax-serpent, to replace cbcmac.
323    - SECURITY FIX: No longer send NAKs for NAKs, avoiding NAK storm.
324    - SECURITY FIX: Fix site name checking when site name A is prefix of B.
325    - SECURITY FIX: Safely reject too-short IP packets.
326    - Better robustness for mobile sites (proper user of NAKs, new PROD msg).
327    - Better robustness against SLIP decoding errors.
328    - Fix bugs which caused routes to sometimes not be advertised.
329    - Protocol capability negotiation mechanism.
330    - Improvements and fixes to protocol and usage documentation.
331    - Other bugfixes and code tidying up.
332
333  -- Ian Jackson <ijackson@chiark.greenend.org.uk>  Thu, 25 Jul 2013 18:26:01 +0100
334
335 secnet (0.3.0~beta1) unstable; urgency=low
336
337   * New upstream version.
338    - SECURITY FIX: avoid crashes (or buffer overrun) on short packets.
339    - Bugfixes relating to packet loss during key exchange.
340    - Bugfixes relating to link up/down status.
341    - Bugfixes relating to logging.
342    - make-secnet-sites made more sophisticated to support two vpns on chiark.
343    - Documentation improvements.
344    - Build system improvements.
345   * Debian packaging improvements:
346    - Native package.
347    - Maintainer / uploaders.
348    - init script requires $remove_fs since we're in /usr.
349
350  -- Ian Jackson <ijackson@chiark.greenend.org.uk>  Thu, 12 Jul 2012 20:18:16 +0100
351
352 secnet (0.2.1-1) unstable; urgency=low
353
354   * New upstream version.  (authbind endianness fix)
355
356  -- Ian Jackson <ijackson@chiark.greenend.org.uk>  Sun, 11 Dec 2011 13:14:57 +0000
357
358 secnet (0.2.0-1) unstable; urgency=low
359
360   * New upstream version.
361
362  -- Ian Jackson <ijackson@chiark.greenend.org.uk>  Sat, 10 Dec 2011 22:44:41 +0000
363
364 secnet (0.1.18-1) unstable; urgency=low
365
366   * New upstream version.
367
368  -- Stephen Early <steve@greenend.org.uk>  Tue,  18 Mar 2008 17:45:00 +0000