diff update for fwknop-2.0.3 release
[fwknop.git] / ChangeLog.git
1 commit 40ac28df21fab384f1389607eed78f6d35159206 (HEAD, refs/heads/master)
2 Author: Michael Rash <mbr@cipherdyne.org>
3 Date:   Mon Sep 3 22:23:48 2012 -0400
4
5     bump version to 2.0.3
6
7  ChangeLog                    |    6 +++---
8  VERSION                      |    2 +-
9  android/project/jni/config.h |    6 +++---
10  configure.ac                 |    2 +-
11  fwknop.spec                  |    2 +-
12  iphone/Classes/config.h      |    6 +++---
13  lib/fko.h                    |    2 +-
14  todo.org                     |    3 +++
15  8 files changed, 16 insertions(+), 13 deletions(-)
16
17 commit 8d26cc90ee76ba95d58ee18d90431a9883a2a89a
18 Author: Michael Rash <mbr@cipherdyne.org>
19 Date:   Mon Sep 3 22:18:59 2012 -0400
20
21     include file compilation fix for OpenBSD relative to inet_aton() IP verification
22
23  lib/fko_message.c |    2 +-
24  lib/fko_message.h |    9 +++++++--
25  2 files changed, 8 insertions(+), 3 deletions(-)
26
27 commit b05d229bb15cb77a17a28a146b8b0dc61afa4aa9
28 Author: Michael Rash <mbr@cipherdyne.org>
29 Date:   Mon Sep 3 09:09:35 2012 -0400
30
31     sprintf() -> snprintf() calls
32
33  lib/fko_encryption.c |    6 ++++--
34  1 file changed, 4 insertions(+), 2 deletions(-)
35
36 commit e2c0ac4821773eb335e36ad6cd35830b8d97c75a (refs/remotes/origin/master)
37 Author: Michael Rash <mbr@cipherdyne.org>
38 Date:   Mon Sep 3 00:21:46 2012 -0400
39
40     [server] Strong access.conf validation
41     
42     Fernando Arnaboldi from IOActive found several conditions in
43     which the server did not properly throw out maliciously constructed
44     variables in the access.conf file.  This has been fixed along with new
45     fuzzing tests in the test suite.
46
47  CREDITS                          |    6 ++
48  ChangeLog                        |    4 ++
49  Makefile.am                      |    3 +
50  server/access.c                  |  114 +++++++++++++++++++++++++-------------
51  test/conf/open_ports_access.conf |    4 +-
52  test/test-fwknop.pl              |   42 ++++++++++++++
53  6 files changed, 133 insertions(+), 40 deletions(-)
54
55 commit 263fa01f2af1d336961df320f1c7a9ea84ddac9a
56 Author: Michael Rash <mbr@cipherdyne.org>
57 Date:   Mon Sep 3 00:21:32 2012 -0400
58
59     added inet_aton() call for IP strong IP validation (credit: Fernando Arnaboldi)
60
61  lib/fko_message.c                            |   29 +++++++++++++++++++++-----
62  lib/fko_message.h                            |    5 +++++
63  test/conf/fuzzing_open_ports_access.conf     |    4 ++++
64  test/conf/fuzzing_restrict_ports_access.conf |    5 +++++
65  test/conf/fuzzing_source_access.conf         |    4 ++++
66  5 files changed, 42 insertions(+), 5 deletions(-)
67
68 commit ffe4d3b162bbfea143704461aab4244cc4acdfcf
69 Author: Michael Rash <mbr@cipherdyne.org>
70 Date:   Sun Sep 2 15:53:54 2012 -0400
71
72     minor spacing update to make merges into hmac_master easier
73
74  test/test-fwknop.pl |   56 +++++++++++++++++++++++++--------------------------
75  1 file changed, 28 insertions(+), 28 deletions(-)
76
77 commit 86b403dadb90c30deb51b3530e8ebbb791531615
78 Author: Michael Rash <mbr@cipherdyne.org>
79 Date:   Sat Sep 1 23:37:03 2012 -0400
80
81     fixed potential buffer overflow discovered by Fernando Arnaboldi of IOActive
82
83  server/access.c |   12 ++++++++++++
84  1 file changed, 12 insertions(+)
85
86 commit e3a78a175c664ee51de1fb8086deb96a1d017ac3
87 Author: Michael Rash <mbr@cipherdyne.org>
88 Date:   Sat Sep 1 21:55:52 2012 -0400
89
90     verify_file_perms_ownership() to just return if the file doesn't exist
91
92  client/config_init.c |    2 +-
93  client/fwknop.c      |    4 ++--
94  client/utils.c       |   23 ++++++++++++++++-------
95  server/fwknopd.c     |    3 ++-
96  server/utils.c       |   25 +++++++++++++++++--------
97  5 files changed, 38 insertions(+), 19 deletions(-)
98
99 commit 1548cbafc886af802b639913bb10e6a746222478
100 Author: Michael Rash <mbr@cipherdyne.org>
101 Date:   Fri Aug 31 23:05:05 2012 -0400
102
103     get MAX_PORT_STR_LEN constant from fko_message.h
104
105  client/spa_comm.c |    4 ++--
106  client/utils.c    |    1 +
107  common/common.h   |    2 --
108  lib/fko.h         |    1 +
109  4 files changed, 4 insertions(+), 4 deletions(-)
110
111 commit dafcfbc488f1e713ef6cfa9e86571a2b14e649d8
112 Author: Michael Rash <mbr@cipherdyne.org>
113 Date:   Fri Aug 31 23:00:45 2012 -0400
114
115     bug fix to make sure to verify file permissions/ownership on files that actually exist
116
117  client/fwknop.c |    6 ++----
118  1 file changed, 2 insertions(+), 4 deletions(-)
119
120 commit b567514a6c722886fef5044a44abfc1514eff032
121 Author: Michael Rash <mbr@cipherdyne.org>
122 Date:   Fri Aug 31 22:59:44 2012 -0400
123
124     Added fko_context.h file to lib/Makefile.am
125
126  lib/Makefile.am |    3 ++-
127  1 file changed, 2 insertions(+), 1 deletion(-)
128
129 commit d7393318189ace0a154823b359eb746aa0b36d94
130 Author: Michael Rash <mbr@cipherdyne.org>
131 Date:   Thu Aug 30 23:38:54 2012 -0400
132
133     implemented a couple of minor stronger bounds checks
134
135  client/config_init.c       |    5 +++++
136  client/http_resolve_host.c |    6 +++---
137  client/spa_comm.c          |    2 +-
138  3 files changed, 9 insertions(+), 4 deletions(-)
139
140 commit 2584521c67952855ba20c7c61b701a34ba57615c
141 Author: Michael Rash <mbr@cipherdyne.org>
142 Date:   Thu Aug 30 21:43:53 2012 -0400
143
144     Run verify_file_perms_ownership() on fwknop.pid only if it exists
145     
146     Two bugs are fixed with this commit: verify permissions/ownership on the
147     fwknop.pid file only if it exists, and ensure to ru-run stat() on any directory
148     component if we're creating a directory.
149
150  server/fwknopd.c |   20 ++++++++++++++++----
151  1 file changed, 16 insertions(+), 4 deletions(-)
152
153 commit 406e33ccc0836796a53c88f7fe118d292adf0a25
154 Author: Michael Rash <mbr@cipherdyne.org>
155 Date:   Thu Aug 30 21:43:07 2012 -0400
156
157     minor comment update
158
159  server/utils.c |    4 ++--
160  1 file changed, 2 insertions(+), 2 deletions(-)
161
162 commit 4832312e6de8401ac6fdbe63014ef7f186cf33cb
163 Author: Michael Rash <mbr@cipherdyne.org>
164 Date:   Wed Aug 29 23:12:56 2012 -0400
165
166     added filesystem permissions test
167
168  test/test-fwknop.pl |   41 +++++++++++++++++++++++++++++++++++++++--
169  1 file changed, 39 insertions(+), 2 deletions(-)
170
171 commit a60f05ad44e824f6230b22f8976399340cb535dc
172 Author: Michael Rash <mbr@cipherdyne.org>
173 Date:   Wed Aug 29 22:21:43 2012 -0400
174
175     file permissions and client buffer overflow fix
176     
177     - [client+server] Fernando Arnaboldi from IOActive found that strict
178     filesystem permissions for various fwknop files are not verified.  Added
179     warnings whenever permissions are not strict enough, and ensured that
180     files created by the fwknop client and server are only set to user
181     read/write.
182     - [client] Fernando Arnaboldi from IOActive found a local buffer overflow
183     in --last processing with a maliciously constructed ~/.fwknop.run file.
184     This has been fixed with proper validation of .fwknop.run arguments.
185
186  ChangeLog             |    8 ++++++
187  client/config_init.c  |   15 ++++++++---
188  client/fwknop.c       |   19 ++++++++++---
189  client/utils.c        |   66 +++++++++++++++++++++++++++++++++++++++++++--
190  client/utils.h        |   13 +++++++++
191  configure.ac          |    2 +-
192  server/access.c       |    2 ++
193  server/config_init.c  |    2 ++
194  server/fwknopd.c      |    2 ++
195  server/replay_cache.c |    6 ++++-
196  server/utils.c        |   72 +++++++++++++++++++++++++++++++++++++++++++++++--
197  server/utils.h        |    2 ++
198  test/test-fwknop.pl   |   21 ++++++++++++++-
199  13 files changed, 217 insertions(+), 13 deletions(-)
200
201 commit 186a424353a2e795e69f399f079a901e7dc8f24b
202 Author: Michael Rash <mbr@cipherdyne.org>
203 Date:   Tue Aug 28 21:28:57 2012 -0400
204
205     Added Ctrl-C and --disable-gpg notes
206
207  todo.org |    7 +++++++
208  1 file changed, 7 insertions(+)
209
210 commit 098ae417fe91aefe501e9268aacd228374d0906d
211 Author: Michael Rash <mbr@cipherdyne.org>
212 Date:   Mon Aug 27 22:30:27 2012 -0400
213
214     migrated TODO tasks to the todo.org file
215
216  TODO     |   41 -----------------------------------------
217  todo.org |   10 ++++++++++
218  2 files changed, 10 insertions(+), 41 deletions(-)
219
220 commit 89dfa2c1fb06776646f99f722f21d47620f66695
221 Author: Michael Rash <mbr@cipherdyne.org>
222 Date:   Mon Aug 27 21:20:02 2012 -0400
223
224     minor ChangeLog update for the RPM build change
225
226  ChangeLog |    2 ++
227  1 file changed, 2 insertions(+)
228
229 commit c5b229c5c87657197b0c814ff22127d870b55753
230 Author: Michael Rash <mbr@cipherdyne.org>
231 Date:   Mon Aug 27 21:16:59 2012 -0400
232
233     Added $DESTDIR prefix in uninstall-local and install-exec-hook to fix RPM builds
234
235  Makefile.am |   43 +++++++++++++++++++++----------------------
236  1 file changed, 21 insertions(+), 22 deletions(-)
237
238 commit e8386dbe6c959365da5c08396e09c27901faed56
239 Author: Michael Rash <mbr@cipherdyne.org>
240 Date:   Sun Aug 26 15:47:24 2012 -0400
241
242     added encryption mode flags for each access stanza
243
244  server/access.c         |   17 ++++++++++++-----
245  server/fwknopd_common.h |    3 +++
246  server/incoming_spa.c   |   18 +++++-------------
247  3 files changed, 20 insertions(+), 18 deletions(-)
248
249 commit 557cd6615b9cab21a9208390f5af070c66fd257d
250 Author: Michael Rash <mbr@cipherdyne.org>
251 Date:   Sun Aug 26 15:46:54 2012 -0400
252
253     consolidatd fuzzing functions within a single 'fuzzer' function
254
255  test/test-fwknop.pl |  449 +++++++++++++++++++--------------------------------
256  1 file changed, 164 insertions(+), 285 deletions(-)
257
258 commit f4c16bc47fc24a96b63105556b62d61c1ba7d799
259 Author: Michael Rash <mbr@cipherdyne.org>
260 Date:   Sat Aug 25 23:08:55 2012 -0400
261
262     [server] Stronger IP validation based on a bug found by Fernando Arnaboldi from IOActive
263     
264     This commit fixes a condition in which the server did not properly validate
265     allow IP addresses from malicious authenticated clients.  This has been fixed
266     with stronger allow IP validation.
267
268  CREDITS             |    2 ++
269  ChangeLog           |    4 +++
270  lib/fko_message.c   |   16 +++++++++---
271  test/test-fwknop.pl |   67 +++++++++++++++++++++++++++++++++++++++++++++++++++
272  4 files changed, 85 insertions(+), 4 deletions(-)
273
274 commit d46ba1c027a11e45821ba897a4928819bccc8f22
275 Author: Michael Rash <mbr@cipherdyne.org>
276 Date:   Fri Aug 24 22:12:19 2012 -0400
277
278     (Fernando Arnaboldi, IOActive) Found and fixed several DoS/code execution vulns for authenticated clients
279     
280     - [server] Fernando Arnaboldi from IOActive found several DoS/code
281     execution vulnerabilities for malicious fwknop clients that manage to
282     get past the authentication stage (so a such a client must be in
283     possession of a valid access.conf encryption key).  These vulnerbilities
284     manifested themselves in the handling of malformed access requests, and
285     both the fwknopd server code along with libfko now perform stronger input
286     validation of access request data.  These vulnerabilities affect
287     pre-2.0.3 fwknop releases.
288     - [test suite] Added a new fuzzing capability to ensure proper server-side
289     input validation.  Fuzzing data is constructed with modified fwknop
290     client code that is designed to emulate malicious behavior.
291
292  CREDITS                              |    5 +
293  ChangeLog                            |   13 ++
294  Makefile.am                          |    1 +
295  lib/fko_message.c                    |   23 +-
296  lib/fko_message.h                    |    3 +
297  server/access.c                      |   89 ++++++--
298  server/access.h                      |    4 +-
299  server/fw_util_iptables.c            |    3 +-
300  test/conf/disable_aging_fwknopd.conf |    5 +
301  test/test-fwknop.pl                  |  413 +++++++++++++++++++++++++++++++++-
302  10 files changed, 531 insertions(+), 28 deletions(-)
303
304 commit b0bf7f369918989bae364730c8952258aac693c6
305 Author: Michael Rash <mbr@cipherdyne.org>
306 Date:   Sat Aug 18 16:30:34 2012 -0400
307
308     minor paren's syntax bug fix
309
310  server/incoming_spa.c |    2 ++
311  1 file changed, 2 insertions(+)