6621e09e1cc8cea6e86b9a1b3d14d22983acd7f2
[fwknop.git] / ChangeLog.git
1 commit f7e84da340a8f154edc27bcac9bb576bf35c220b (HEAD, refs/heads/master)
2 Author: Michael Rash <mbr@cipherdyne.org>
3 Date:   Sat Aug 18 15:03:04 2012 -0400
4
5     fwknop-2.0.2 release
6
7  ChangeLog    |    2 +-
8  VERSION      |    2 +-
9  configure.ac |    2 +-
10  todo.org     |    6 ++++++
11  4 files changed, 9 insertions(+), 3 deletions(-)
12
13 commit 38feb8d7b953ad1b2e4e2ff23d6b8113a6b1bcff (refs/remotes/origin/master)
14 Author: Michael Rash <mbr@cipherdyne.org>
15 Date:   Fri Aug 17 21:02:24 2012 -0400
16
17     Better --resolve-url handling
18     
19     Chop any trailing '/' char, be more careful about handling incoming large HTTP
20     responses, print the HTTP request and response in --verbose --verbose mode.
21
22  client/http_resolve_host.c |   22 ++++++++++++++++++----
23  1 file changed, 18 insertions(+), 4 deletions(-)
24
25 commit 760162a40a0796b25a9dba1e00e2e171d3505986
26 Author: Michael Rash <mbr@cipherdyne.org>
27 Date:   Thu Aug 16 22:30:09 2012 -0400
28
29     ipfw active/expire test bug fix (atoi() for config vars)
30
31  server/config_init.c |    8 ++++----
32  test/test-fwknop.pl  |    3 +--
33  2 files changed, 5 insertions(+), 6 deletions(-)
34
35 commit 2c55773bdbcf473fac1cec6a4c0765a9b38a9db2
36 Author: Michael Rash <mbr@cipherdyne.org>
37 Date:   Thu Aug 16 22:19:39 2012 -0400
38
39     added test/conf/ipfw_active_expire_equal_fwknopd.conf file
40
41  Makefile.am |    1 +
42  1 file changed, 1 insertion(+)
43
44 commit 3afd1aa762f1aa66bef9cdf875aea4b8bb23e567
45 Author: Michael Rash <mbr@cipherdyne.org>
46 Date:   Thu Aug 16 22:16:36 2012 -0400
47
48     [server] ipfw active/expire sets cannot be the same
49
50  test/conf/ipfw_active_expire_equal_fwknopd.conf |    6 +++
51  test/test-fwknop.pl                             |   55 ++++++++++++++++++-----
52  todo.org                                        |    7 +--
53  3 files changed, 53 insertions(+), 15 deletions(-)
54
55 commit fda5759b2b045aaa96ee1fa6d14fb3c17fe0fd01
56 Author: Michael Rash <mbr@cipherdyne.org>
57 Date:   Thu Aug 16 21:18:11 2012 -0400
58
59     todo.org notes update
60
61  todo.org |   14 ++++++++++----
62  1 file changed, 10 insertions(+), 4 deletions(-)
63
64 commit 3af8e4c51769495a702a28bd630abf37162ada6c
65 Author: Michael Rash <mbr@cipherdyne.org>
66 Date:   Wed Aug 15 22:49:29 2012 -0400
67
68     [client] Added cipherdyne.com backup check in -R mode.
69     
70     Added backup check against a cipherdyne.com 'myip' cgi instance in -R mode if
71     the normal check against cipherdyne.org fails.
72
73  ChangeLog                  |    2 +
74  client/fwknop.c            |    2 +
75  client/fwknop_common.h     |    3 +-
76  client/http_resolve_host.c |  225 ++++++++++++++++++++++++--------------------
77  4 files changed, 131 insertions(+), 101 deletions(-)
78
79 commit a646a024d98f660f32991baa532bcbae1eceec60
80 Author: Michael Rash <mbr@cipherdyne.org>
81 Date:   Wed Aug 15 22:46:49 2012 -0400
82
83     added 'Pragma: no-cache' header
84
85  extras/myip/myip.c |   11 +++++++++--
86  1 file changed, 9 insertions(+), 2 deletions(-)
87
88 commit 419fbafa0442caa1e9bd071bf4b178082fcc4a54
89 Author: Michael Rash <mbr@cipherdyne.org>
90 Date:   Tue Aug 14 22:52:24 2012 -0400
91
92     added extras/myip/myip.c
93
94  Makefile.am |    1 +
95  1 file changed, 1 insertion(+)
96
97 commit 37950df66f40e04cb428519f313f4697a198de45
98 Author: Michael Rash <mbr@cipherdyne.org>
99 Date:   Tue Aug 14 22:35:02 2012 -0400
100
101     bumped version to fwknop-2.0.2-pre3
102
103  VERSION      |    2 +-
104  configure.ac |    2 +-
105  2 files changed, 2 insertions(+), 2 deletions(-)
106
107 commit c272339707229fa23d65e303d2ef7b163d855ec6
108 Author: Michael Rash <mbr@cipherdyne.org>
109 Date:   Tue Aug 14 22:34:03 2012 -0400
110
111     todo.org notes update
112
113  todo.org |   13 +++++++++++--
114  1 file changed, 11 insertions(+), 2 deletions(-)
115
116 commit 7ae45ecad109ebf9dc21c2d8a966e05b6c5c5b78
117 Author: Michael Rash <mbr@cipherdyne.org>
118 Date:   Tue Aug 14 22:31:03 2012 -0400
119
120     Added GPG_ALLOW_NO_PW to the fwknopd man page
121
122  doc/fwknopd.man.asciidoc |   10 ++++++++++
123  1 file changed, 10 insertions(+)
124
125 commit 66187a22af035425ded6df60dbf9f50cdab53938
126 Author: Michael Rash <mbr@cipherdyne.org>
127 Date:   Tue Aug 14 22:21:34 2012 -0400
128
129     minor defensive fko_destroy() calls in two error condition blocks
130
131  server/incoming_spa.c |    4 ++++
132  1 file changed, 4 insertions(+)
133
134 commit dfe6679c5750b577ae3e923ecbd140d935628864
135 Author: Michael Rash <mbr@cipherdyne.org>
136 Date:   Tue Aug 14 21:51:00 2012 -0400
137
138     Added the extras/myip/ directory for client IP resolution code
139     
140     The myip.c file is deployed at http://www.cipherdyne.org/cgi-bin/myip
141     for fwknop client IP resolution.
142
143  extras/myip/myip.c |   22 ++++++++++++++++++++++
144  1 file changed, 22 insertions(+)
145
146 commit 385396b845c87997ce5b3506ae9e56c0184007a6
147 Author: Michael Rash <mbr@cipherdyne.org>
148 Date:   Mon Aug 13 22:53:29 2012 -0400
149
150     Added --enable-distcheck for 'make distcheck' verification
151
152  test/test-fwknop.pl |   28 ++++++++++++++++++++++++++++
153  1 file changed, 28 insertions(+)
154
155 commit 863838d0ba54c666150d98c643c7cc0456404e18
156 Author: Michael Rash <mbr@cipherdyne.org>
157 Date:   Mon Aug 13 22:39:03 2012 -0400
158
159     [server] Preserve any existing config files in /etc/fwknop/
160     
161     Updated the 'make install' step to not overwrite any existing config files in
162     /etc/fwknop/ and instead install new copies from the source tree at
163     /etc/fwknop/fwknopd.conf.inst and /etc/fwknop/access.conf.inst
164
165  ChangeLog                |    5 +-
166  ChangeLog.git            |  313 ++++++++++++++++++++++++++++++++++++++++++++++
167  Makefile.am              |   41 +++++-
168  server/Makefile.am       |    3 +-
169  server/access.conf.inst  |    1 +
170  server/fwknopd.conf.inst |    1 +
171  todo.org                 |    8 ++
172  7 files changed, 366 insertions(+), 6 deletions(-)
173
174 commit 8fafd4b80bf215da311dc2b53f33b0e4cd269944
175 Author: Michael Rash <mbr@cipherdyne.org>
176 Date:   Sun Aug 12 19:57:11 2012 -0400
177
178     [server] 'make install' permissions fix
179     
180     Set restrictive permissions on /etc/fwknop/ directory and /etc/fwknop/* files.
181     Current default permissions on /etc/fwknop/ and /etc/fwknop/* are too lax.
182
183  ChangeLog   |    2 ++
184  Makefile.am |    3 +++
185  todo.org    |    5 +++--
186  3 files changed, 8 insertions(+), 2 deletions(-)
187
188 commit 543de16613b89723ef1350df3e59df126586800e
189 Author: Michael Rash <mbr@cipherdyne.org>
190 Date:   Sun Aug 12 15:44:13 2012 -0400
191
192     [server] iptables 'comment' match check
193     
194     Implemented a new check to ensure that the iptables 'comment' match exists to
195     ensure the proper environment for fwknopd operations.  This check is controlled
196     by the new ENABLE_IPT_COMMENT_CHECK variable, and was suggested by Hank
197     Leininger.
198
199  CREDITS                   |    5 +++
200  ChangeLog                 |    4 +++
201  server/cmd_opts.h         |    1 +
202  server/config_init.c      |    6 ++++
203  server/fw_util.h          |    1 +
204  server/fw_util_iptables.c |   75 ++++++++++++++++++++++++++++++++++++++++++++-
205  server/fw_util_iptables.h |    1 +
206  server/fwknopd.conf       |    9 ++++++
207  server/fwknopd_common.h   |   26 ++++++++--------
208  todo.org                  |    5 ++-
209  10 files changed, 119 insertions(+), 14 deletions(-)
210
211 commit a087b11887ff4fffb4057198e559d448b016ac0e
212 Author: Michael Rash <mbr@cipherdyne.org>
213 Date:   Sun Aug 12 15:23:38 2012 -0400
214
215     todo update
216
217  todo.org |    8 ++++++++
218  1 file changed, 8 insertions(+)
219
220 commit a686d96d444ab739742e31967153b2bf02b62f0d
221 Author: Michael Rash <mbr@cipherdyne.org>
222 Date:   Sun Aug 12 09:29:51 2012 -0400
223
224     Added todo.org org mode file
225     
226     The todo.org mode file was built with vim and the VimOrganizer project:
227     
228     https://github.com/hsitz/VimOrganizer
229
230  Makefile.am |    1 +
231  todo.org    |   10 ++++++++++
232  2 files changed, 11 insertions(+)
233
234 commit dc23c640bb2f757a2121ea0a83d18648dcaec32f (tag: refs/tags/fwknop-2.0.2-pre2)
235 Author: Michael Rash <mbr@cipherdyne.org>
236 Date:   Sat Aug 11 09:33:54 2012 -0400
237
238     added gpg_no_pw_access.conf file for no password gpg tests
239
240  Makefile.am |    1 +
241  1 file changed, 1 insertion(+)
242
243 commit 72229b5f46084e9cfca36bb2e1ba23c4b7f09b66
244 Author: Michael Rash <mbr@cipherdyne.org>
245 Date:   Sat Aug 11 09:21:49 2012 -0400
246
247     bumped version to fwknop-2.0.2-pre2
248
249  VERSION      |    2 +-
250  configure.ac |    2 +-
251  2 files changed, 2 insertions(+), 2 deletions(-)
252
253 commit 27ccfe35d36c7ba1d94734fb21a46c77aaf30719
254 Author: Michael Rash <mbr@cipherdyne.org>
255 Date:   Fri Aug 10 21:52:09 2012 -0400
256
257     [server] Added GPG_ALLOW_NO_PW variable and associated test suite support
258     
259     For GPG mode, added a new access.conf variable "GPG_ALLOW_NO_PW" to make it
260     possible to leverage a server-side GPG key pair that has no associated
261     password.  This comes in handy when a system requires the user to leverage
262     gpg-agent / pinentry which can present a problem in automated environments as
263     required by the fwknopd server.  Now, it might seem like a problem to remove
264     the passphrase from a GPG key pair, but it's important to note that simply
265     doing this is little worse than storing the passphrase in the clear on disk
266     anyway in the access.conf file.  Further, this link help provides additional
267     detail:
268     
269     http://www.gnupg.org/faq/GnuPG-FAQ.html#how-can-i-use-gnupg-in-an-automated-environment
270
271  ChangeLog                              |   23 +++++
272  Makefile.am                            |   12 ++-
273  server/access.c                        |   13 +++
274  server/incoming_spa.c                  |    2 +-
275  test/conf/client-gpg-no-pw/pubring.gpg |  Bin 0 -> 2480 bytes
276  test/conf/client-gpg-no-pw/secring.gpg |  Bin 0 -> 1274 bytes
277  test/conf/client-gpg-no-pw/trustdb.gpg |  Bin 0 -> 1360 bytes
278  test/conf/gpg_no_pw_access.conf        |    7 ++
279  test/conf/server-gpg-no-pw/pubring.gpg |  Bin 0 -> 2480 bytes
280  test/conf/server-gpg-no-pw/secring.gpg |  Bin 0 -> 1276 bytes
281  test/conf/server-gpg-no-pw/trustdb.gpg |  Bin 0 -> 1360 bytes
282  test/test-fwknop.pl                    |  176 ++++++++++++++++++++++++++++++++
283  12 files changed, 229 insertions(+), 4 deletions(-)
284
285 commit 0af3bd0ee10768f6838aafe9fdc66187e5be9ee4
286 Author: Michael Rash <mbr@cipherdyne.org>
287 Date:   Fri Aug 10 21:48:02 2012 -0400
288
289     [server] Added FLUSH_IPFW_AT_INIT and FLUSH_IPFW_AT_EXIT
290     
291     Added FLUSH_IPFW_AT_INIT and FLUSH_IPFW_AT_EXIT for ipfw firewalls to emulate
292     the corresponding functionality that is implemented for iptables firewalls.
293     
294     Bug fix for ipfw firewalls to ensure that if the ipfw expire set is zero, then
295     do not disable this set whenever the FLUSH_IPFW* variables are enabled.
296     
297     These changes were suggested by Jonathan Schulz.
298
299  server/cmd_opts.h       |    2 +
300  server/config_init.c    |   26 +++++++++++-
301  server/fw_util_ipfw.c   |   46 ++++++++++++--------
302  server/fwknopd.conf     |  108 ++++++++++++++++++++++++++---------------------
303  server/fwknopd_common.h |    4 ++
304  5 files changed, 121 insertions(+), 65 deletions(-)
305
306 commit c6f3fde5371c1be48d8e1bc7e17dde89e19d02fc
307 Author: Michael Rash <mbr@cipherdyne.org>
308 Date:   Fri Aug 10 21:43:49 2012 -0400
309
310     bug fix to implement FLUSH_IPT_AT_INIT and FLUSH_IPT_AT_EXIT functionality
311
312  server/fw_util_iptables.c |    8 ++++++--
313  1 file changed, 6 insertions(+), 2 deletions(-)
314
315 commit fbdae500641b4ab46bc54dbf2e509eae2625dc44
316 Author: Michael Rash <mbr@cipherdyne.org>
317 Date:   Wed Aug 8 21:27:33 2012 -0400
318
319     added Geoff Carstairs for the FORCE_NAT idea
320
321  CREDITS |    7 +++++++
322  1 file changed, 7 insertions(+)
323
324 commit fd3044012843dfcaa9ab4f9030c70732f29a3b90
325 Author: Michael Rash <mbr@cipherdyne.org>
326 Date:   Sun Aug 5 14:07:42 2012 -0400
327
328     added Aldan Beaubien for reporting the Morpheus NULL IP problem
329
330  CREDITS |    5 +++++
331  1 file changed, 5 insertions(+)
332
333 commit e70739d2117a229e842d3a1bc43f1cf2a6fab46e
334 Author: Michael Rash <mbr@cipherdyne.org>
335 Date:   Sun Aug 5 13:05:55 2012 -0400
336
337     minor whitespace update
338
339  server/fw_util_ipfw.c |    6 +++---
340  1 file changed, 3 insertions(+), 3 deletions(-)
341
342 commit f6ac4484c95f443dfce9c6b7dafbff8126ade9ad
343 Author: Michael Rash <mbr@cipherdyne.org>
344 Date:   Sun Aug 5 13:05:30 2012 -0400
345
346     minor memset value update 0 -> 0x0 to conform to other memset() calls
347
348  client/http_resolve_host.c |    2 +-
349  1 file changed, 1 insertion(+), 1 deletion(-)
350
351 commit 4cde31584fb9afed499b5951b7ae88b7765808c3 (tag: refs/tags/fwknop-2.0.2-pre1)
352 Author: Michael Rash <mbr@cipherdyne.org>
353 Date:   Fri Aug 3 22:16:22 2012 -0400
354
355     bumped version to 2.0.2-pre1
356
357  VERSION                      |    2 +-
358  android/project/jni/config.h |    6 +++---
359  configure.ac                 |    2 +-
360  fwknop.spec                  |    2 +-
361  iphone/Classes/config.h      |    6 +++---
362  lib/fko.h                    |    2 +-
363  6 files changed, 10 insertions(+), 10 deletions(-)
364
365 commit 79a947603a7c2bc4636d33834ca0b9fdd033a894
366 Author: Michael Rash <mbr@cipherdyne.org>
367 Date:   Fri Aug 3 22:08:14 2012 -0400
368
369     added changes for the 2.0.2 release (so far)
370
371  ChangeLog |   38 ++++++++++++++++++++++++++++++++++++++
372  1 file changed, 38 insertions(+)
373
374 commit 29512bd8ec16f47db568694ec172075412ca115d
375 Author: Michael Rash <mbr@cipherdyne.org>
376 Date:   Fri Aug 3 21:49:03 2012 -0400
377
378     [client] -R http recv() read until close (Jonathan Schulz)
379     
380     Applied patch from Jonathan Schulz to ensure that the fwknop client reads all
381     data from a remote webserver when resolving the client IP address in -R mode.
382     Jonathan indicated that some webservers would transfer HTTP headers and data
383     separately, and a single recv() would therefore fail to get the necessary IP
384     information.
385
386  client/http_resolve_host.c |   13 ++++++++++++-
387  1 file changed, 12 insertions(+), 1 deletion(-)
388
389 commit 7c1db891061dba5cdc29fb8cfe0c88e0a4a408dd
390 Author: Michael Rash <mbr@cipherdyne.org>
391 Date:   Fri Aug 3 21:30:24 2012 -0400
392
393     minor white space fix tabs->spaces
394
395  client/http_resolve_host.c |   82 ++++++++++++++++++++++----------------------
396  1 file changed, 41 insertions(+), 41 deletions(-)
397
398 commit 7061b7bd3ecb1de6ae151b6b85af9251d46e32c6
399 Author: Michael Rash <mbr@cipherdyne.org>
400 Date:   Wed Aug 1 23:40:34 2012 -0400
401
402     added Jonathan Schulz
403
404  CREDITS |    4 ++++
405  1 file changed, 4 insertions(+)
406
407 commit 84e036f95b6b239c95c696b884c3989fc30af338
408 Author: Michael Rash <mbr@cipherdyne.org>
409 Date:   Wed Aug 1 23:27:34 2012 -0400
410
411     Change HTTP connection type to 'close' in -R mode
412     
413     Applied patch from Jonathan Schulz to change the HTTP connection type to
414     'close' for the client in -R mode.
415
416  client/http_resolve_host.c |    2 +-
417  client/spa_comm.c          |    4 ++--
418  2 files changed, 3 insertions(+), 3 deletions(-)
419
420 commit 5fd3343ca9ae8cce9e39d8a4ccb0efb41ae78128
421 Author: Michael Rash <mbr@cipherdyne.org>
422 Date:   Wed Aug 1 22:30:02 2012 -0400
423
424     added client IP resolution test with complete SPA->SSH cycle
425
426  test/test-fwknop.pl |   39 ++++++++++++++++++++++++++++++++++++---
427  1 file changed, 36 insertions(+), 3 deletions(-)
428
429 commit 016098a2543126f2fa01b3f4057646f0ad2842c5
430 Author: Michael Rash <mbr@cipherdyne.org>
431 Date:   Sun Jul 29 23:31:15 2012 -0400
432
433     Replay attack bug fix (encryption prefixes)
434     
435     Ensure that an attacker cannot force a replay attack by intercepting an
436     SPA packet and the replaying it with the base64 version of "Salted__"
437     (for Rindael) or the "hQ" prefix (for GnuPG).  This is an important fix.
438     The following comment was added into the fwknopd code:
439     
440     /* Ignore any SPA packets that contain the Rijndael or GnuPG prefixes
441      * since an attacker might have tacked them on to a previously seen
442      * SPA packet in an attempt to get past the replay check.  And, we're
443      * no worse off since a legitimate SPA packet that happens to include
444      * a prefix after the outer one is stripped off won't decrypt properly
445      * anyway because libfko would not add a new one.
446     */
447     
448     Conflicts:
449     
450         lib/cipher_funcs.h
451
452  lib/cipher_funcs.h    |    6 ------
453  lib/fko.h             |    8 ++++++++
454  server/incoming_spa.c |   14 ++++++++++++++
455  test/test-fwknop.pl   |   48 +++++++++++++++++++++++++++++++++++++++++++++---
456  4 files changed, 67 insertions(+), 9 deletions(-)
457
458 commit c0e53482fa766f1c89d18931e35ebca6297f8018
459 Author: Michael Rash <mbr@cipherdyne.org>
460 Date:   Sun Jul 29 21:31:44 2012 -0400
461
462     [libfko] minor memory leak fix for user detection (corner case)
463
464  lib/fko_user.c |    4 ++++
465  1 file changed, 4 insertions(+)
466
467 commit 060fbb607f25ea2cd511d4cd548dc419d8eb3884
468 Author: Michael Rash <mbr@cipherdyne.org>
469 Date:   Sat Jul 28 00:08:30 2012 -0400
470
471     [server] replay attack detection memory leak bug fix
472     
473     This commit fixes the following memory leak found with valgrind:
474     
475     44 bytes in 1 blocks are definitely lost in loss record 2 of 2
476        at 0x482BE68: malloc (in /usr/lib/valgrind/vgpreload_memcheck-x86-linux.so)
477        by 0x490EA50: strdup (strdup.c:43)
478        by 0x10CD69: incoming_spa (incoming_spa.c:162)
479        by 0x10E000: process_packet (process_packet.c:200)
480        by 0x4862E63: ??? (in /usr/lib/i386-linux-gnu/libpcap.so.1.1.1)
481        by 0x4865667: pcap_dispatch (in /usr/lib/i386-linux-gnu/libpcap.so.1.1.1)
482        by 0x10DABF: pcap_capture (pcap_capture.c:226)
483        by 0x10A798: main (fwknopd.c:299)
484
485  server/incoming_spa.c |    4 ++++
486  1 file changed, 4 insertions(+)