NEWS: Add news for 5.9.5
[strongswan.git] / NEWS
1 strongswan-5.9.5
2 ----------------
3
4 - Using the trusted RSA or ECC Endorsement Key of the TPM 2.0, libtpmtss may now
5   establish a secure session via RSA encryption or an ephemeral ECDH key
6   exchange, respectively. The session allows HMAC-based authenticated
7   communication with the TPM 2.0 and the exchanged parameters can be encrypted
8   where necessary to guarantee confidentiality (e.g. when using the TPM as RNG).
9
10 - Basic support for OpenSSL 3.0 has been added, in particular, the new
11   load_legacy option (enabled by default) allows loading the "legacy" provider
12   for algorithms like MD4 and DES (both required for EAP-MSCHAPv2), and the
13   existing fips_mode option allows explicitly loading the "fips" provider e.g.
14   if it's not activated in OpenSSL's fipsmodule.cnf.
15
16 - The MTU of TUN devices created by the kernel-pfroute plugin on macOS and
17   FreeBSD is now configurable and reduced to 1400 bytes, by default.  This also
18   fixes an issue on macOS 12 that prevented the detection of virtual IPs
19   installed on such TUN devices.
20
21 - When rekeying CHILD_SAs, the old outbound SA is now uninstalled shortly after
22   the new SA has been installed on the initiator/winner. This is useful for
23   IPsec implementations where the ordering of SAs is unpredictable and we can't
24   set the SPI on the outbound policy to switch to the new SA while both are
25   installed.
26
27 - The sw-collector utility may now iterate through APT history logs processed
28   by logrotate.
29
30 - The openssl plugin now only announces the ECDH groups actually supported by
31   OpenSSL (determined via EC_get_builtin_curves()).
32
33
34 strongswan-5.9.4
35 ----------------
36
37 - Fixed a denial-of-service vulnerability in the gmp plugin that was caused by
38   an integer overflow when processing RSASSA-PSS signatures with very large
39   salt lengths.
40   This vulnerability has been registered as CVE-2021-41990.
41
42 - Fixed a denial-of-service vulnerabililty in the in-memory certificate cache
43   if certificates are replaced and a very large random value caused an integer
44   overflow.
45   This vulnerability has been registered as CVE-2021-41991.
46
47 - Fixed a related flaw that caused the daemon to accept an infinite number of
48   versions of a valid certificate by modifying the parameters in the
49   signatureAlgorithm field of the outer X.509 Certificate structure.
50
51 - AUTH_LIFETIME notifies are now only sent by a responder if it can't
52   reauthenticate the IKE_SA itself due to asymmetric authentication (i.e. EAP)
53   or the use of virtual IPs.
54
55 - Serial number generation in several pki sub-commands has been fixed so they
56   don't start with an unintended zero byte.
57
58 - Initialize libtpmtss in all programs and library that use it.
59
60 - Migrated testing scripts to Python 3.
61
62
63 strongswan-5.9.3
64 ----------------
65
66 - Added AES_ECB, SHA-3 and SHAKE-256 support to wolfssl plugin.
67
68 - Added AES_CCM and SHA-3 signature support to openssl plugin.
69
70 - The x509 and openssl plugins now consider the authorityKeyIdentifier, if
71   available, before verifying signatures, which avoids unnecessary signature
72   verifications after a CA key rollover if both certificates are loaded.
73
74 - The pkcs11 plugin better handles optional attributes like CKA_TRUSTED, which
75   previously depended on a version check.
76
77 - charon-nm now supports using SANs as client identities, not only full DNs.
78
79 - charon-tkm now handles IKE encryption.
80
81 - A MOBIKE update is sent again if a a change in the NAT mappings is detected
82   but the endpoints stay the same.
83
84 - Converted most of the test case scenarios to the vici interface
85
86
87 strongswan-5.9.2
88 ----------------
89
90 - Together with a Linux 5.8 kernel supporting the IMA measurement of the GRUB
91   bootloader and the Linux kernel, the strongSwan Attestation IMC allows to do
92   remote attestation of the complete boot phase. A recent TPM 2.0 device with a
93   SHA-256 PCR bank is required, so that both BIOS and IMA file measurements are
94   based on SHA-256 hashes.
95
96 - Our own TLS library (libtls) that we use for TLS-based EAP methods and PT-TLS
97   gained experimental support for TLS 1.3.  Thanks to Méline Sieber (client) and
98   Pascal Knecht (client and server) for their work on this.
99   Because the use of TLS 1.3 with these EAP methods is not yet standardized (two
100   Internet-Drafts are being worked on), the default maximum version is currently
101   set to TLS 1.2, which is now also the default minimum version. However the TNC
102   test scenarios using PT-TLS transport already use TLS 1.3.
103
104 - Other improvements for libtls also affect older TLS versions. For instance, we
105   added support for ECDH with Curve25519/448 (DH groups may also be configured
106   now), for EdDSA keys and certificates and for RSA-PSS signatures. Support for
107   old and weak cipher suites has been removed (e.g. with 3DES and MD5) as well
108   as signature schemes with SHA-1.
109
110 - The listener_t::ike_update event is now also called for MOBIKE updates. Its
111   signature has changed so we only have to call it once if both addresses/ports
112   have changed (e.g. for an address family switch).  The event is now also
113   exposed via vici.
114
115 - The farp plugin has been ported to macOS and FreeBSD. Thanks to Dan James for
116   working on this.
117
118 - To fix DNS server installation with systemd-resolved, charon-nm now creates a
119   dummy TUN device again (was removed with 5.5.1).
120
121 - The botan plugin can use rng_t implementations provided by other plugins when
122   generating keys etc. if the Botan library supports it.
123
124 - charon-tkm now supports multiple CAs and is configured via vici/swanctl.
125
126 - Simple glob patterns (e.g. include conf.d/*.conf) now also work on Windows.
127   Handling of forward slashes in paths on Windows has also been improved.
128
129 - The abbreviations for the 'surname' and 'serial number' RDNs in ASN.1 DNs have
130   been changed to align with RFC 4519: The abbreviation for 'surname' is now
131   "SN" (was "S" before), which was previously used for 'serial number' that can
132   now be specified as "serialNumber" only.
133
134 - An issue with Windows clients requesting previous IPv6 but not IPv4 virtual
135   IP addresses has been fixed.
136
137 - ike_sa_manager_t:  Checking out IKE_SAs by config is now atomic (e.g. when
138   acquires for different children of the same connection arrive concurrently).
139   The checkout_new() method has been renamed to create_new(). A new
140   checkout_new() method allows registering a new IKE_SA with the manager before
141   checking it in, so jobs can be queued without losing them as they can block
142   on checking out the new SA.
143
144
145 strongswan-5.9.1
146 ----------------
147
148 - Remote attestation via TNC supports the SHA-256 based TPM 2.0 BIOS/EFI
149   measurements introduced with the Linux 5.4 kernel.
150
151 - Nonces in OCSP responses are not enforced anymore and only validated if a
152   nonce is actually contained.
153
154 - Fixed an issue when only some fragments of a retransmitted IKEv2 message were
155   received, which prevented processing a following fragmented message.
156
157 - All queued vici messages are now sent to subscribed clients during shutdown,
158   which includes ike/child-updown events triggered when all SAs are deleted.
159
160 - CHILD_SA IP addresses are updated before installation to allow MOBIKE updates
161   while retransmitting a CREATE_CHILD_SA request.
162
163 - When looking for a route to the peer, the kernel-netlink plugin ignores the
164   current source address if it's deprecated.
165
166 - The file and syslog loggers support logging the log level of each message
167   after the subsystem (e.g. [IKE2]).
168
169 - charon-nm is now properly terminated during system shutdown.
170
171 - Improved support for EdDSA keys in vici/swanctl, in particular, encrypted
172   keys are now supported.
173
174 - A new global strongswan.conf option allows sending the Cisco FlexVPN vendor ID
175   to prevent Cisco devices from narrowing a 0.0.0.0/0 traffic selector.
176
177 - The openssl plugin accepts CRLs issued by non-CA certificates if they contain
178   the cRLSign keyUsage flag (the x509 plugin already does this since 4.5.1).
179
180 - Attributes in PKCS#7 containers, as used in SCEP, are now properly
181   DER-encoded, i.e. sorted.
182
183 - The load-tester plugin now supports virtual IPv6 addresses and IPv6 source
184   address pools.
185
186
187 strongswan-5.9.0
188 ----------------
189
190 - We prefer AEAD algorithms for ESP and therefore put AES-GCM in a default AEAD
191   proposal in front of the previous default proposal.
192
193 - The NM backend now clears cached credentials when disconnecting, has DPD and
194   and close action set to restart, and supports custom remote TS via 'remote-ts'
195   option (no GUI support).
196
197 - The pkcs11 plugin falls back to software hashing for PKCS#1v1.5 RSA signatures
198   if mechanisms with hashing (e.g. CKM_SHA256_RSA_PKCS) are not supported.
199
200 - The owner/group of log files is now set so the daemon can reopen them if the
201   config is reloaded and it doesn't run as root.
202
203 - The wolfssl plugin (with wolfSSL 4.4.0+) supports x448 DH and Ed448 keys.
204
205 - The vici plugin stores all CA certificates in one location, which avoids
206   issues with unloading authority sections or clearing all credentials.
207
208 - When unloading a vici connection with start_action=start, any related IKE_SAs
209   without children are now terminated (including those in CONNECTING state).
210
211 - The hashtable implementation has been changed so it maintains insertion order.
212   This was mainly done so the vici plugin can store its connections in a
213   hashtable, which makes managing high numbers of connections faster.
214
215 - The default maximum size for vici messages (512 KiB) can now be changed via
216   VICI_MESSAGE_SIZE_MAX compile option.
217
218 - The charon.check_current_path option allows forcing a DPD exchange to check if
219   the current path still works whenever interface/address-changes are detected.
220
221 - It's possible to use clocks other than CLOCK_MONOTONIC (e.g. CLOCK_BOOTTIME)
222   via TIME_CLOCK_ID compile option if clock_gettime() is available and
223   pthread_condattr_setclock() supports that clock.
224
225 - Test cases and functions can now be filtered when running the unit tests.
226
227
228 strongswan-5.8.4
229 ----------------
230
231 - In IKEv1 Quick Mode make sure that a proposal exists before determining
232   lifetimes (fixes crash due to null pointer exception).
233
234 - OpenSSL currently doesn't support squeezing bytes out of a SHAKE128/256
235   XOF (eXtended Output Function) multiple times.  Unfortunately,
236   EVP_DigestFinalXOF() completely resets the context and later calls not
237   simply fail, they cause a null-pointer dereference in libcrypto. This
238   fixes the crash at the cost of repeating initializing the whole state
239   and allocating too much data for subsequent calls.
240
241
242 strongswan-5.8.3
243 ----------------
244
245 - Updates for the NM backend (and plugin), among others: EAP-TLS authentication,
246   configurable local and remote IKE identities, custom server port, redirection
247   and reauthentication support.
248
249 - Previously used reqids are now reallocated to workaround an issue on FreeBSD
250   where the daemon can't use reqids > 16383.
251
252 - On Linux, throw type routes are installed for passthrough policies. They act
253   as fallbacks on routes in other tables and require less information, so they
254   can be installed earlier and are not affected by updates.
255
256 - For IKEv1, the lifetimes of the selected transform are returned to the
257   initiator, which is an issue with peers that propose different lifetimes in
258   different transforms.  We also return the correct transform and proposal IDs.
259
260 - IKE_SAs are not re-established anymore if a deletion has been queued.
261
262 - Added support for Ed448 keys and certificates via openssl plugin and pki tool.
263   The openssl plugin also supports SHA-3 and SHAKE128/256.
264
265 - The use of algorithm IDs from the private use ranges can now be enabled
266   globally, to use them even if no strongSwan vendor ID was exchanged.
267
268
269 strongswan-5.8.2
270 ----------------
271
272 - Identity-based CA constraints are supported via vici/swanctl.conf. They
273   enforce that the remote's certificate chain contains a CA certificate with a
274   specific identity. While similar to the existing CA constraints, they don't
275   require that the CA certificate is locally installed such as intermediate CA
276   certificates received from peers. Compared to wildcard identity matching (e.g.
277   "..., OU=Research, CN=*") this requires less trust in the intermediate CAs (to
278   only issue certificates with legitimate subject DNs) as long as path length
279   basic constraints prevent them from issuing further intermediate CAs.
280
281 - Intermediate CA certificates may now be sent in hash-and-URL encoding by
282   configuring a base URL for the parent CA.
283
284 - Implemented NIST SP-800-90A Deterministic Random Bit Generator (DRBG)
285   based on AES-CTR and SHA2-HMAC modes. Currently used by gmp and ntru plugins.
286
287 - Random nonces sent in an OCSP requests are now expected in the corresponding
288   OCSP responses.
289
290 - The kernel-netlink plugin ignores deprecated IPv6 addresses for MOBIKE.
291   Whether temporary or permanent IPv6 addresses are included depends on the
292   charon.prefer_temporary_addrs setting.
293
294 - Extended Sequence Numbers (ESN) are configured via PF_KEY if supported by the
295   kernel.
296
297 - Unique section names are used for CHILD_SAs in vici child-updown events and
298   more information (e.g. statistics) are included for individually deleted
299   CHILD_SAs (in particular for IKEv1).
300
301 - So fallbacks to other plugins work properly, creating HMACs via openssl plugin
302   now fails instantly if the underlying hash algorithm isn't supported (e.g.
303   MD5 in FIPS-mode).
304
305 - Exponents of RSA keys read from TPM 2.0 via SAPI are now correctly converted.
306
307 - Routing table IDs > 255 are supported for custom routes on Linux.
308
309 - The D-Bus config file for charon-nm is now installed in
310   $(datadir)/dbus-1/system.d instead of $(sysconfdir)/dbus-1/system.d.
311
312 - INVALID_MAJOR_VERSION notifies are now correctly sent in messages of the same
313   exchange type and using the same message ID as the request.
314
315 - IKEv2 SAs are immediately destroyed when sending or receiving INVALID_SYNTAX
316   notifies in authenticated messages.
317
318
319 strongswan-5.8.1
320 ----------------
321
322 - RDNs in Distinguished Names can now optionally be matched less strict. The
323   global option charon.rdn_matching takes two alternative values that cause the
324   matching algorithm to either ignore the order of matched RDNs or additionally
325   accept DNs that contain more RDNs than configured (unmatched RDNs are treated
326   like wildcard matches).
327
328 - The updown plugin now passes the same interface to the script that is also
329   used for the automatically installed routes, i.e. the interface over which the
330   peer is reached instead of the interface on which the local address is found.
331
332 - TPM 2.0 contexts are now protected by a mutex to prevent issues if multiple
333   IKE_SAs use the same private key concurrently.
334
335
336 strongswan-5.8.0
337 ----------------
338
339 - The systemd service units have been renamed. The modern unit, which was called
340   strongswan-swanctl, is now called strongswan (the previous name is configured
341   as alias). The legacy unit is now called strongswan-starter.
342
343 - Support for XFRM interfaces (available since Linux 4.19) has been added.
344   Configuration is possible via swanctl.conf.  Interfaces may be created
345   dynamically via updown/vici scripts, or statically before or after
346   establishing the SAs. Routes must be added manually as needed (the daemon will
347   not install any routes for outbound policies with an interface ID).
348
349 - Initiation of childless IKE_SAs is supported (RFC 6023). If enabled and
350   supported by the responder, no CHILD_SA is established during IKE_AUTH. This
351   allows using a separate DH exchange even for the first CHILD_SA, which is
352   otherwise created with keys derived from the IKE_SA's key material.
353
354 - The NetworkManager backend and plugin support IPv6.
355
356 - The new wolfssl plugin is a wrapper around the wolfSSL crypto library. Thanks
357   to Sean Parkinson of wolfSSL Inc. for the initial patch.
358
359 - IKE SPIs may optionally be labeled via the charon.spi_mask|label options. This
360   feature was extracted from charon-tkm, however, now applies the mask/label in
361   network order.
362
363 - The openssl plugin supports ChaCha20-Poly1305 when built with OpenSSL 1.1.0.
364
365 - The PB-TNC finite state machine according to section 3.2 of RFC 5793 was not
366   correctly implemented when sending either a CRETRY or SRETRY batch. These
367   batches can only be sent in the "Decided" state and a CRETRY batch can
368   immediately carry all messages usually transported by a CDATA batch. It is
369   currently not possible to send a SRETRY batch since full-duplex mode for
370   PT-TLS transport is not supported.
371
372 - Instead of marking virtual IPv6 addresses as deprecated, the kernel-netlink
373   plugin uses address labels to avoid their use for non-VPN traffic.
374
375 - The agent plugin creates sockets to the ssh/gpg-agent dynamically and does not
376   keep them open, which otherwise can prevent the agent from getting terminated.
377
378 - To avoid broadcast loops the forecast plugin now only reinjects packets that
379   are marked or received from the configured interface.
380
381 - UTF-8 encoded passwords are supported via EAP-MSCHAPv2, which internally uses
382   an UTF-16LE encoding to calculate the NT hash.
383
384 - Adds the build-certs script to generate the keys and certificates used for
385   regression tests dynamically.  They are built with the pki version installed
386   in the KVM root image so it's not necessary to have an up-to-date version with
387   all required plugins installed on the host system.
388
389
390 strongswan-5.7.2
391 ----------------
392
393 - Private key implementations may optionally provide a list of supported
394   signature schemes, which is used by the tpm plugin because for each key on a
395   TPM 2.0 the hash algorithm and for RSA also the padding scheme is predefined.
396
397 - For RSA with PSS padding, the TPM 2.0 specification mandates the maximum salt
398   length (as defined by the length of the key and hash).  However, if the TPM is
399   FIPS-168-4 compliant, the salt length equals the hash length.  This is assumed
400   for FIPS-140-2 compliant TPMs, but if that's not the case, it might be
401   necessary to manually enable charon.plugins.tpm.fips_186_4 if the TPM doesn't
402   use the maximum salt length.
403
404 - swanctl now accesses directories for credentials relative to swanctl.conf, in
405   particular, when it's loaded from a custom location via --file argument.  The
406   base directory that's used if --file is not given is configurable at runtime
407   via SWANCTL_DIR environment variable.
408
409 - With RADIUS Accounting enabled, the eap-radius plugin adds the session ID to
410   Access-Request messages, simplifying associating database entries for IP
411   leases and accounting with sessions.
412
413 - IPs assigned by RADIUS servers are included in Accounting-Stop even if clients
414   don't claim them, allowing releasing them early on connection errors.
415
416 - Selectors installed on transport mode SAs by the kernel-netlink plugin are
417   updated on IP address changes (e.g. via MOBIKE).
418
419 - Added support for RSA signatures with SHA-256 and SHA-512 to the agent plugin.
420   For older versions of ssh/gpg-agent that only support SHA-1, IKEv2 signature
421   authentication has to be disabled via charon.signature_authentication.
422
423 - The sshkey and agent plugins support Ed25519/Ed448 SSH keys and signatures.
424
425 - The openssl plugin supports X25519/X448 Diffie-Hellman and Ed25519/Ed448 keys
426   and signatures when built against OpenSSL 1.1.1.
427
428 - Ed25519, ChaCha20/Poly1305, SHA-3 and AES-CCM were added to the botan plugin.
429
430 - The mysql plugin now properly handles database connections with transactions
431   under heavy load.
432
433 - IP addresses in HA pools are now distributed evenly among all segments.
434
435 - On newer FreeBSD kernels, the kernel-pfkey plugin reads the reqid directly
436   from SADB_ACQUIRE messages, i.e. not requiring previous policy installation by
437   the plugin, e.g. for compatibility with if_ipsec(4) VTIs.
438
439
440 strongswan-5.7.1
441 ----------------
442
443 - Fixes a vulnerability in the gmp plugin triggered by crafted certificates with
444   RSA keys with very small moduli.  When verifying signatures with such keys,
445   the code patched with the fix for CVE-2018-16151/2 caused an integer underflow
446   and subsequent heap buffer overflow that results in a crash of the daemon.
447   The vulnerability has been registered as CVE-2018-17540.
448
449
450 strongswan-5.7.0
451 ----------------
452
453 - Fixes a potential authorization bypass vulnerability in the gmp plugin that
454   was caused by a too lenient verification of PKCS#1 v1.5 signatures.  Several
455   flaws could be exploited by a Bleichenbacher-style attack to forge signatures
456   for low-exponent keys (i.e. with e=3).  CVE-2018-16151 has been assigned to
457   the problem of accepting random bytes after the OID of the hash function in
458   such signatures, and CVE-2018-16152 has been assigned to the issue of not
459   verifying that the parameters in the ASN.1 algorithmIdentifier structure is
460   empty.  Other flaws that don't lead to a vulnerability directly (e.g. not
461   checking for at least 8 bytes of padding) have no separate CVE assigned.
462
463 - Dots are not allowed anymore in section names in swanctl.conf and
464   strongswan.conf. This mainly affects the configuration of file loggers. If the
465   path for such a log file contains dots it now has to be configured in the new
466   `path` setting within the arbitrarily renamed subsection in the `filelog`
467   section.
468
469 - Sections in swanctl.conf and strongswan.conf may now reference other sections.
470   All settings and subsections from such a section are inherited. This allows
471   to simplify configs as redundant information has only to be specified once
472   and may then be included in other sections (refer to the example in the man
473   page for strongswan.conf).
474
475 - The originally selected IKE config (based on the IPs and IKE version) can now
476   change if no matching algorithm proposal is found.  This way the order
477   of the configs doesn't matter that much anymore and it's easily possible to
478   specify separate configs for clients that require weak algorithms (instead
479   of having to also add them in other configs that might be selected).
480
481 - Support for Postquantum Preshared Keys for IKEv2 (draft-ietf-ipsecme-qr-ikev2)
482   has been added.
483
484 - The new botan plugin is a wrapper around the Botan C++ crypto library. It
485   requires a fairly recent build from Botan's master branch (or the upcoming
486   2.8.0 release). Thanks to René Korthaus and his team from Rohde & Schwarz
487   Cybersecurity for the initial patch.
488
489 - The pki tool accepts a xmppAddr otherName as a subjectAlternativeName using
490   the syntax --san xmppaddr:<jid>.
491
492 - Implementation of RFC 8412 "Software Inventory Message and Attributes (SWIMA)
493   for PA-TNC". SWIMA subscription option sets CLOSE_WRITE trigger on apt
494   history.log file resulting in a ClientRetry PB-TNC batch to initialize
495   a new measurement cycle.
496
497 - Added support for fuzzing the PA-TNC (RFC 5792) and PB-TNC (RFC 5793) NEA
498   protocols on Google's OSS-Fuzz infrastructure.
499
500 - Support for version 2 of Intel's TPM2-TSS TGC Software Stack. The presence of
501   the in-kernel /dev/tpmrm0 resource manager is automatically detected.
502
503 - Marks the in- and/or outbound SA should apply to packets after processing may
504   be configured in swanctl.conf on Linux.  For outbound SAs this requires at
505   least a 4.14 kernel.  Setting a mask and configuring a mark/mask for inbound
506   SAs will be added with the upcoming 4.19 kernel.
507
508 - New options in swanctl.conf allow configuring how/whether DF, ECN and DS
509   fields in the IP headers are copied during IPsec processing. Controlling this
510   is currently only possible on Linux.
511
512 - To avoid conflicts, the dhcp plugin now only uses the DHCP server port if
513   explicitly configured.
514
515
516 strongswan-5.6.3
517 ----------------
518
519 - Fixed a DoS vulnerability in the IKEv2 key derivation if the openssl plugin is
520   used in FIPS mode and HMAC-MD5 is negotiated as PRF.
521   This vulnerability has been registered as CVE-2018-10811.
522
523 - Fixed a vulnerability in the stroke plugin, which did not check the received
524   length before reading a message from the socket. Unless a group is configured,
525   root privileges are required to access that socket, so in the default
526   configuration this shouldn't be an issue.
527   This vulnerability has been registered as CVE-2018-5388.
528
529 ⁻ CRLs that are not yet valid are now ignored to avoid problems in scenarios
530   where expired certificates are removed from CRLs and the clock on the host
531   doing the revocation check is trailing behind that of the host issuing CRLs.
532
533 - The issuer of fetched CRLs is now compared to the issuer of the checked
534   certificate.
535
536 - CRL validation results other than revocation (e.g. a skipped check because
537   the CRL couldn't be fetched) are now stored also for intermediate CA
538   certificates and not only for end-entity certificates, so a strict CRL policy
539   can be enforced in such cases.
540
541 - In compliance with RFC 4945, section 5.1.3.2, certificates used for IKE must
542   now either not contain a keyUsage extension (like the ones generated by pki)
543   or have at least one of the digitalSignature or nonRepudiation bits set.
544
545 - New options for vici/swanctl allow forcing the local termination of an IKE_SA.
546   This might be useful in situations where it's known the other end is not
547   reachable anymore, or that it already removed the IKE_SA, so retransmitting a
548   DELETE and waiting for a response would be pointless.  Waiting only a certain
549   amount of time for a response before destroying the IKE_SA is also possible
550   by additionally specifying a timeout.
551
552 - When removing routes, the kernel-netlink plugin now checks if it tracks other
553   routes for the same destination and replaces the installed route instead of
554   just removing it.  Same during installation, where existing routes previously
555   weren't replaced.  This should allow using traps with virtual IPs on Linux.
556
557 - The dhcp plugin only sends the client identifier option if identity_lease is
558   enabled.  It can also send identities of up to 255 bytes length, instead of
559   the previous 64 bytes.  If a server address is configured, DHCP requests are
560   now sent from port 67 instead of 68 to avoid ICMP port unreachables.
561
562 - Roam events are now completely ignored for IKEv1 SAs.
563
564 - ChaCha20/Poly1305 is now correctly proposed without key length. For
565   compatibility with older releases the chacha20poly1305compat keyword may be
566   included in proposals to also propose the algorithm with a key length.
567
568 - Configuration of hardware offload of IPsec SAs is now more flexible and allows
569   a new mode, which automatically uses it if the kernel and device support it.
570
571 - SHA-2 based PRFs are supported in PKCS#8 files as generated by OpenSSL 1.1.
572
573 - The pki --verify tool may load CA certificates and CRLs from directories.
574
575 - Fixed an issue with DNS servers passed to NetworkManager in charon-nm.
576
577
578 strongswan-5.6.2
579 ----------------
580
581 - Fixed a DoS vulnerability in the parser for PKCS#1 RSASSA-PSS signatures that
582   was caused by insufficient input validation.  One of the configurable
583   parameters in algorithm identifier structures for RSASSA-PSS signatures is the
584   mask generation function (MGF).  Only MGF1 is currently specified for this
585   purpose.  However, this in turn takes itself a parameter that specifies the
586   underlying hash function.  strongSwan's parser did not correctly handle the
587   case of this parameter being absent, causing an undefined data read.
588   This vulnerability has been registered as CVE-2018-6459.
589
590 - The previously negotiated DH group is reused when rekeying an SA, instead of
591   using the first group in the configured proposals, which avoids an additional
592   exchange if the peer selected a different group via INVALID_KE_PAYLOAD when
593   the SA was created initially.
594   The selected DH group is also moved to the front of all sent proposals that
595   contain it and all proposals that don't are moved to the back in order to
596   convey the preference for this group to the peer.
597
598 - Handling of MOBIKE task queuing has been improved. In particular, the response
599   to an address update is not ignored anymore if only an address list update or
600   DPD is queued.
601
602 - The fallback drop policies installed to avoid traffic leaks when replacing
603   addresses in installed policies are now replaced by temporary drop policies,
604   which also prevent acquires because we currently delete and reinstall IPsec
605   SAs to update their addresses.
606
607 - Access X.509 certificates held in non-volatile storage of a TPM 2.0
608   referenced via the NV index.
609
610 - Adding the --keyid parameter to pki --print allows to print private keys
611   or certificates stored in a smartcard or a TPM 2.0.
612
613 - Fixed proposal selection if a peer incorrectly sends DH groups in the ESP
614   proposals during IKE_AUTH and also if a DH group is configured in the local
615   ESP proposal and charon.prefer_configured_proposals is disabled.
616
617 - MSKs received via RADIUS are now padded to 64 bytes to avoid compatibility
618   issues with EAP-MSCHAPv2 and PRFs that have a block size < 64 bytes (e.g.
619   AES-XCBC-PRF-128).
620
621 - The tpm_extendpcr command line tool extends a digest into a TPM PCR.
622
623 - Ported the NetworkManager backend from the deprecated libnm-glib to libnm.
624
625 - The save-keys debugging/development plugin saves IKE and/or ESP keys to files
626   compatible with Wireshark.
627
628
629 strongswan-5.6.1
630 ----------------
631
632 - In compliance with RFCs 8221 and 8247 several algorithms were removed from the
633   default ESP/AH and IKEv2 proposals, respectively (3DES, Blowfish and MD5 from
634   ESP/AH, MD5 and MODP-1024 from IKEv2).  These algorithms may still be used in
635   custom proposals.
636
637 - Added support for RSASSA-PSS signatures.  For backwards compatibility they are
638   not used automatically by default, enable charon.rsa_pss to change that.  To
639   explicitly use or require such signatures with IKEv2 signature authentication
640   (RFC 7427), regardless of whether that option is enabled, use ike:rsa/pss...
641   authentication constraints.
642
643 - The pki tool can optionally sign certificates/CRLs with RSASSA-PSS via the
644   `--rsa-padding pss` option.
645
646 - The sec-updater tool checks for security updates in dpkg-based repositories
647   (e.g. Debian/Ubuntu) and sets the security flags in the IMV policy database
648   accordingly. Additionally for each new package version a SWID tag for the
649   given OS and HW architecture is created and stored in the database.
650   Using the sec-updater.sh script template the lookup can be automated
651   (e.g. via an hourly cron job).
652
653 - The introduction of file versions in the IMV database scheme broke file
654   reference hash measurements. This has been fixed by creating generic product
655   versions having an empty package name.
656
657 - A new timeout option for the systime-fix plugin stops periodic system time
658   checks after a while and enforces a certificate verification, closing or
659   reauthenticating all SAs with invalid certificates.
660
661 - The IKE event counters, previously only available via ipsec listcounters, may
662   now be queried/reset via vici and the new swanctl --counters command. They are
663   provided by the new optional counters plugin.
664
665 - Class attributes received in RADIUS Access-Accept messages may optionally be
666   added to RADIUS accounting messages.
667
668 - Inbound marks may optionally be installed on the SA again (was removed with
669   5.5.2) by enabling the mark_in_sa option in swanctl.conf.
670
671
672 strongswan-5.6.0
673 ----------------
674
675 - Fixed a DoS vulnerability in the gmp plugin that was caused by insufficient
676   input validation when verifying RSA signatures, which requires decryption
677   with the operation m^e mod n, where m is the signature, and e and n are the
678   exponent and modulus of the public key.  The value m is an integer between
679   0 and n-1, however, the gmp plugin did not verify this.  So if m equals n the
680   calculation results in 0, in which case mpz_export() returns NULL.  This
681   result wasn't handled properly causing a null-pointer dereference.
682   This vulnerability has been registered as CVE-2017-11185.
683
684 - New SWIMA IMC/IMV pair implements the "draft-ietf-sacm-nea-swima-patnc"
685   Internet Draft and has been demonstrated at the IETF 99 Prague Hackathon.
686
687 - The IMV database template has been adapted to achieve full compliance
688   with the ISO 19770-2:2015 SWID tag standard.
689
690 - The sw-collector tool extracts software events from apt history logs
691   and stores them in an SQLite database to be used by the SWIMA IMC.
692   The tool can also generate SWID tags both for installed and removed
693   package versions.
694
695 - The pt-tls-client can attach and use TPM 2.0 protected private keys
696   via the --keyid parameter.
697
698 - libtpmtss supports Intel's TSS2 Architecture Broker and Resource
699   Manager interface (tcti-tabrmd).
700
701 - The new eap-aka-3gpp plugin implements the 3GPP MILENAGE algorithms
702   in software.  K (optionally concatenated with OPc) may be configured as
703   binary EAP secret.
704
705 - CHILD_SA rekeying was fixed in charon-tkm and was slightly changed: The
706   switch to the new outbound IPsec SA now happens via SPI on the outbound
707   policy on Linux, and in case of lost rekey collisions no outbound SA/policy
708   is temporarily installed for the redundant CHILD_SA.
709
710 - The new %unique-dir value for mark* settings allocates separate unique marks
711   for each CHILD_SA direction (in/out).
712
713
714 strongswan-5.5.3
715 ----------------
716
717 - Fixed a DoS vulnerability in the gmp plugin that was caused by insufficient
718   input validation when verifying RSA signatures.  More specifically,
719   mpz_powm_sec() has two requirements regarding the passed exponent and modulus
720   that the plugin did not enforce, if these are not met the calculation will
721   result in a floating point exception that crashes the whole process.
722   This vulnerability has been registered as CVE-2017-9022.
723
724 - Fixed a DoS vulnerability in the x509 plugin that was caused because the ASN.1
725   parser didn't handle ASN.1 CHOICE types properly, which could result in an
726   infinite loop when parsing X.509 extensions that use such types.
727   This vulnerability has been registered as CVE-2017-9023.
728
729 - The behavior during IKEv2 CHILD_SA rekeying has been changed in order to avoid
730   traffic loss. The responder now only installs the new inbound SA and delays
731   installing the outbound SA until it receives the DELETE for the replaced
732   CHILD_SA.  Similarly, the inbound SA of the replaced CHILD_SA is not removed
733   for a configurable amount of seconds (charon.delete_rekeyed_delay) after the
734   DELETE has been processed to reduce the chance of dropping delayed packets.
735
736 - The code base has been ported to Apple's ARM64 iOS platform, whose calling
737   conventions for variadic and regular functions are different.  This means
738   assigning non-variadic functions to variadic function pointers does not work.
739   To avoid this issue the enumerator_t interface has been changed and the
740   signatures of the callback functions for enumerator_create_filter(), and the
741   invoke_function() and find_first() methods on linked_list_t have been changed.
742   The return type of find_first() also changed from status_t to bool.
743
744 - Added support for fuzzing the certificate parser provided by the default
745   plugins (x509, pem, gmp etc.) on Google's OSS-Fuzz infrastructure. Several
746   issues found while fuzzing these plugins were fixed.
747
748 - Two new options have been added to charon's retransmission settings:
749   retransmit_limit and retransmit_jitter.  The former adds an upper limit to the
750   calculated retransmission timeout, the latter randomly reduces it.
751
752 - A bug in swanctl's --load-creds command was fixed that caused unencrypted
753   private keys to get unloaded if the command was called multiple times. The
754   load-key VICI command now returns the key ID of the loaded key on success.
755
756 - The credential manager now enumerates local credential sets before global
757   ones. This means certificates supplied by the peer will now be preferred over
758   certificates with the same identity that may be locally stored (e.g. in the
759   certificate cache).
760
761 - Added support for hardware offload of IPsec SAs as introduced by Linux 4.11
762   for hardware that supports this.
763
764 - When building the libraries monolithically and statically the plugin
765   constructors are now hard-coded in each library so the plugin code is not
766   removed by the linker because it thinks none of their symbols are ever
767   referenced.
768
769 - The pki tool loads the curve25519 plugin by default.
770
771
772 strongswan-5.5.2
773 ----------------
774
775 - Support of Diffie-Hellman group 31 using Curve25519 for IKE as defined
776   by RFC 8031.
777
778 - Support of Ed25519 digital signature algorithm for IKEv2 as defined by
779   draft-ietf-ipsecme-eddsa. Ed25519-based public key pairs, X.509 certificates
780   and CRLs can be generated and printed by the pki tool.
781
782 - The new "tpm" libtpmtss plugin allows to use persistent private RSA and ECDSA
783   keys bound to a TPM 2.0 for both IKE and TLS authentication. Using the
784   TPM 2.0 object handle as keyid parameter, the pki --pub tool can extract
785   the public key from the TPM thereby replacing the aikpub2 tool. In a similar
786   fashion pki --req can generate a PKCS#10 certificate request signed with
787   the TPM private key.
788
789 - The pki tool gained support for generating certificates with the RFC 3779
790   addrblock extension. The charon addrblock plugin now dynamically narrows
791   traffic selectors based on the certificate addrblocks instead of rejecting
792   non-matching selectors completely. This allows generic connections, where
793   the allowed selectors are defined by the used certificates only.
794
795 - In-place update of cached base and delta CRLs does not leave dozens
796   of stale copies in cache memory.
797
798 - Several new features for the VICI interface and the swanctl utility: Querying
799   specific pools, enumerating and unloading keys and shared secrets, loading
800   keys and certificates from PKCS#11 tokens, the ability to initiate, install
801   and uninstall connections and policies by their exact name (if multiple child
802   sections in different connections share the same name), a command to initiate
803   the rekeying of IKE and IPsec SAs, support for settings previously only
804   supported by the old config files (plain pubkeys, dscp, certificate policies,
805   IPv6 Transport Proxy Mode, NT Hash secrets, mediation extension).
806
807   Important:  Due to issues with VICI bindings that map sub-sections to
808   dictionaries the CHILD_SA sections returned via list-sas now have a unique
809   name, the original name of a CHILD_SA is returned in the "name" key of its
810   section.
811
812
813 strongswan-5.5.1
814 ----------------
815
816 - The newhope plugin implements the post-quantum NewHope key exchange algorithm
817   proposed in their 2015 paper by Erdem Alkim, Léo Ducas, Thomas Pöppelmann and
818   Peter Schwabe.
819
820 - The libstrongswan crypto factory now offers the registration of Extended
821   Output Functions (XOFs). Currently supported XOFs are SHAKE128 and SHAKE256
822   implemented by the sha3 plugin, ChaCHa20 implemented by the chapoly plugin
823   and the more traditional MGF1 Mask Generation Functions based on the SHA-1,
824   SHA-256 and SHA-512 hash algorithms implemented by the new mgf1 plugin.
825
826 - The pki tool, with help of the pkcs1 or openssl plugins, can parse private
827   keys in any of the supported formats without having to know the exact type.
828   So instead of having to specify rsa or ecdsa explicitly the keyword priv may
829   be used to indicate a private key of any type. Similarly, swanctl can load
830   any type of private key from the swanctl/private directory.
831
832 - The pki tool can handle RSASSA-PKCS1v1.5-with-SHA-3 signatures using the
833   sha3 and gmp plugins.
834
835 - The VICI flush-certs command flushes certificates from the volatile
836   certificate cache. Optionally the type of the certificates to be
837   flushed  (e.g. type = x509_crl) can be specified.
838
839 - Setting cache_crls = yes in strongswan.conf the vici plugin saves regular,
840   base and delta CRLs to disk.
841
842 - IKE fragmentation is now enabled by default with the default fragment size
843   set to 1280 bytes for both IP address families.
844
845 - libtpmtss: In the TSS2 API the function TeardownSocketTcti() was replaced by
846   tss2_tcti_finalize().
847
848
849 strongswan-5.5.0
850 ----------------
851
852 - The new libtpmtss library offers support for both TPM 1.2 and TPM 2.0
853   Trusted Platform Modules. This allows the Attestation IMC/IMV pair to
854   do TPM 2.0 based attestation.
855
856 - The behavior during IKEv2 exchange collisions has been improved/fixed in
857   several corner cases and support for TEMPORARY_FAILURE and CHILD_SA_NOT_FOUND
858   notifies, as defined by RFC 7296, has been added.
859
860 - IPsec policy priorities can be set manually (e.g. for high-priority drop
861   policies) and outbound policies may be restricted to a network interface.
862
863 - The scheme for the automatically calculated default priorities has been
864   changed and now also considers port masks, which were added with 5.4.0.
865
866 - FWD policies are now installed in both directions in regards to the traffic
867   selectors.  Because such "outbound" FWD policies could conflict with "inbound"
868   FWD policies of other SAs they are installed with a lower priority and don't
869   have a reqid set, which allows kernel plugins to distinguish between the two
870   and prefer those with a reqid.
871
872 - For outbound IPsec SAs no replay window is configured anymore.
873
874 - Enhanced the functionality of the swanctl --list-conns command by listing
875   IKE_SA and CHILD_SA reauthentication and rekeying settings, and EAP/XAuth
876   identities and EAP types.
877
878 - DNS servers installed by the resolve plugin are now refcounted, which should
879   fix its use with make-before-break reauthentication.  Any output written to
880   stderr/stdout by resolvconf is now logged.
881
882 - The methods in the kernel interfaces have been changed to take structs instead
883   of long lists of arguments.  Similarly the constructors for peer_cfg_t and
884   child_cfg_t now take structs.
885
886
887 strongswan-5.4.0
888 ----------------
889
890 - Support for IKEv2 redirection (RFC 5685) has been added.  Plugins may
891   implement the redirect_provider_t interface to decide if and when to redirect
892   connecting clients.  It is also possible to redirect established IKE_SAs based
893   on different selectors via VICI/swanctl.  Unless disabled in strongswan.conf
894   the charon daemon will follow redirect requests received from servers.
895
896 - The ike: prefix enables the explicit configuration of signature scheme
897   constraints against IKEv2 authentication in rightauth, which allows the use
898   of different signature schemes for trustchain verification and authentication.
899
900 - The initiator of an IKEv2 make-before-break reauthentication now suspends
901   online certificate revocation checks (OCSP, CRLs) until the new IKE_SA and all
902   CHILD_SAs are established.  This is required if the checks are done over the
903   CHILD_SA established with the new IKE_SA.  This is not possible until the
904   initiator installs this SA and that only happens after the authentication is
905   completed successfully.  So we suspend the checks during the reauthentication
906   and do them afterwards, if they fail the IKE_SA is closed.  This change has no
907   effect on the behavior during the authentication of the initial IKE_SA.
908
909 - For the vici plugin a Vici:Session Perl CPAN module has been added to allow
910   Perl applications to control and/or monitor the IKE daemon using the VICI
911   interface, similar to the existing Python egg or Ruby gem.
912
913 - Traffic selectors with port ranges can now be configured in the Linux kernel:
914   e.g. remote_ts = 10.1.0.0/16[tcp/20-23] local_ts = dynamic[tcp/32768-65535].
915   The port range must map to a port mask, though since the kernel does not
916   support arbitrary ranges.
917
918 - The vici plugin allows the configuration of IPv4 and IPv6 address ranges
919   in local and remote traffic selectors. Since both the Linux kernel and
920   iptables cannot handle arbitrary ranges, address ranges are mapped to the next
921   larger CIDR subnet by the kernel-netlink and updown plugins, respectively.
922
923 - Implemented IKEv1 IPv4/IPv6 address subnet and range identities that can be
924   used as owners of shared secrets.
925
926
927 strongswan-5.3.5
928 ----------------
929
930 - Properly handle potential EINTR errors in sigwaitinfo(2) calls that replaced
931   sigwait(3) calls with 5.3.4.
932
933 - RADIUS retransmission timeouts are now configurable, courtesy of Thom Troy.
934
935
936 strongswan-5.3.4
937 ----------------
938
939 - Fixed an authentication bypass vulnerability in the eap-mschapv2 plugin that
940   was caused by insufficient verification of the internal state when handling
941   MSCHAPv2 Success messages received by the client.
942   This vulnerability has been registered as CVE-2015-8023.
943
944 - The sha3 plugin implements the SHA3 Keccak-F1600 hash algorithm family.
945   Within the strongSwan framework SHA3 is currently used for BLISS signatures
946   only because the OIDs for other signature algorithms haven't been defined
947   yet. Also the use of SHA3 for IKEv2 has not been standardized yet.
948
949
950 strongswan-5.3.3
951 ----------------
952
953 - Added support for the ChaCha20/Poly1305 AEAD cipher specified in RFC 7539 and
954   RFC 7634 using the chacha20poly1305 ike/esp proposal keyword. The new chapoly
955   plugin implements the cipher, if possible SSE-accelerated on x86/x64
956   architectures. It is usable both in IKEv2 and the strongSwan libipsec ESP
957   backend. On Linux 4.2 or newer the kernel-netlink plugin can configure the
958   cipher for ESP SAs.
959
960 - The vici interface now supports the configuration of auxiliary certification
961   authority information as CRL and OCSP URIs.
962
963 - In the bliss plugin the c_indices derivation using a SHA-512 based random
964   oracle has been fixed, generalized and standardized by employing the MGF1 mask
965   generation function with SHA-512. As a consequence BLISS signatures using the
966   improved oracle are not compatible with the earlier implementation.
967
968 - Support for auto=route with right=%any for transport mode connections has
969   been added (the ikev2/trap-any scenario provides examples).
970
971 - The starter daemon does not flush IPsec policies and SAs anymore when it is
972   stopped.  Already existing duplicate policies are now overwritten by the IKE
973   daemon when it installs its policies.
974
975 - Init limits (like charon.init_limit_half_open) can now optionally be enforced
976   when initiating SAs via VICI. For this, IKE_SAs initiated by the daemon are
977   now also counted as half-open SAs, which, as a side-effect, fixes the status
978   output while connecting (e.g. in ipsec status).
979
980 - Symmetric configuration of EAP methods in left|rightauth is now possible when
981   mutual EAP-only authentication is used (previously, the client had to
982   configure rightauth=eap or rightauth=any, which prevented it from using this
983   same config as responder).
984
985 - The initiator flag in the IKEv2 header is compared again (wasn't the case
986   since 5.0.0) and packets that have the flag set incorrectly are again ignored.
987
988 - Implemented a demo Hardcopy Device IMC/IMV pair based on the "Hardcopy
989   Device Health Assessment Trusted Network Connect Binding" (HCD-TNC)
990   document drafted by the IEEE Printer Working Group (PWG).
991
992 - Fixed IF-M segmentation which failed in the presence of multiple small
993   attributes in front of a huge attribute to be segmented.
994
995
996 strongswan-5.3.2
997 ----------------
998
999 - Fixed a vulnerability that allowed rogue servers with a valid certificate
1000   accepted by the client to trick it into disclosing its username and even
1001   password (if the client accepts EAP-GTC).  This was caused because constraints
1002   against the responder's authentication were enforced too late.
1003   This vulnerability has been registered as CVE-2015-4171.
1004
1005
1006 strongswan-5.3.1
1007 ----------------
1008
1009 - Fixed a denial-of-service and potential remote code execution vulnerability
1010   triggered by IKEv1/IKEv2 messages that contain payloads for the respective
1011   other IKE version. Such payload are treated specially since 5.2.2 but because
1012   they were still identified by their original payload type they were used as
1013   such in some places causing invalid function pointer dereferences.
1014   The vulnerability has been registered as CVE-2015-3991.
1015
1016 - The new aesni plugin provides CBC, CTR, XCBC, CMAC, CCM and GCM crypto
1017   primitives for AES-128/192/256. The plugin requires AES-NI and PCLMULQDQ
1018   instructions and works on both x86 and x64 architectures. It provides
1019   superior crypto performance in userland without any external libraries.
1020
1021
1022 strongswan-5.3.0
1023 ----------------
1024
1025 - Added support for IKEv2 make-before-break reauthentication. By using a global
1026   CHILD_SA reqid allocation mechanism, charon supports overlapping CHILD_SAs.
1027   This allows the use of make-before-break instead of the previously supported
1028   break-before-make reauthentication, avoiding connectivity gaps during that
1029   procedure. As the new mechanism may fail with peers not supporting it (such
1030   as any previous strongSwan release) it must be explicitly enabled using
1031   the charon.make_before_break strongswan.conf option.
1032
1033 - Support for "Signature Authentication in IKEv2" (RFC 7427) has been added.
1034   This allows the use of stronger hash algorithms for public key authentication.
1035   By default, signature schemes are chosen based on the strength of the
1036   signature key, but specific hash algorithms may be configured in leftauth.
1037
1038 - Key types and hash algorithms specified in rightauth are now also checked
1039   against IKEv2 signature schemes.  If such constraints are used for certificate
1040   chain validation in existing configurations, in particular with peers that
1041   don't support RFC 7427, it may be necessary to disable this feature with the
1042   charon.signature_authentication_constraints setting, because the signature
1043   scheme used in classic IKEv2 public key authentication may not be strong
1044   enough.
1045
1046 - The new connmark plugin allows a host to bind conntrack flows to a specific
1047   CHILD_SA by applying and restoring the SA mark to conntrack entries. This
1048   allows a peer to handle multiple transport mode connections coming over the
1049   same NAT device for client-initiated flows. A common use case is to protect
1050   L2TP/IPsec, as supported by some systems.
1051
1052 - The forecast plugin can forward broadcast and multicast messages between
1053   connected clients and a LAN. For CHILD_SA using unique marks, it sets up
1054   the required Netfilter rules and uses a multicast/broadcast listener that
1055   forwards such messages to all connected clients. This plugin is designed for
1056   Windows 7 IKEv2 clients, which announces its services over the tunnel if the
1057   negotiated IPsec policy allows it.
1058
1059 - For the vici plugin a Python Egg has been added to allow Python applications
1060   to control or monitor the IKE daemon using the VICI interface, similar to the
1061   existing ruby gem. The Python library has been contributed by Björn Schuberg.
1062
1063 - EAP server methods now can fulfill public key constraints, such as rightcert
1064   or rightca. Additionally, public key and signature constraints can be
1065   specified for EAP methods in the rightauth keyword. Currently the EAP-TLS and
1066   EAP-TTLS methods provide verification details to constraints checking.
1067
1068 - Upgrade of the BLISS post-quantum signature algorithm to the improved BLISS-B
1069   variant. Can be used in conjunction with the SHA256, SHA384 and SHA512 hash
1070   algorithms with SHA512 being the default.
1071
1072 - The IF-IMV 1.4 interface now makes the IP address of the TNC access requestor
1073   as seen by the TNC server available to all IMVs. This information can be
1074   forwarded to policy enforcement points (e.g. firewalls or routers).
1075
1076 - The new mutual tnccs-20 plugin parameter activates mutual TNC measurements
1077   in PB-TNC half-duplex mode between two endpoints over either a PT-EAP or
1078   PT-TLS transport medium.
1079
1080
1081 strongswan-5.2.2
1082 ----------------
1083
1084 - Fixed a denial-of-service vulnerability triggered by an IKEv2 Key Exchange
1085   payload that contains the Diffie-Hellman group 1025.  This identifier was
1086   used internally for DH groups with custom generator and prime.  Because
1087   these arguments are missing when creating DH objects based on the KE payload
1088   an invalid pointer dereference occurred.  This allowed an attacker to crash
1089   the IKE daemon with a single IKE_SA_INIT message containing such a KE
1090   payload.  The vulnerability has been registered as CVE-2014-9221.
1091
1092 - The left/rightid options in ipsec.conf, or any other identity in strongSwan,
1093   now accept prefixes to enforce an explicit type, such as email: or fqdn:.
1094   Note that no conversion is done for the remaining string, refer to
1095   ipsec.conf(5) for details.
1096
1097 - The post-quantum Bimodal Lattice Signature Scheme (BLISS) can be used as
1098   an IKEv2 public key authentication method. The pki tool offers full support
1099   for the generation of BLISS key pairs and certificates.
1100
1101 - Fixed mapping of integrity algorithms negotiated for AH via IKEv1. This could
1102   cause interoperability issues when connecting to older versions of charon.
1103
1104
1105 strongswan-5.2.1
1106 ----------------
1107
1108 - The new charon-systemd IKE daemon implements an IKE daemon tailored for use
1109   with systemd. It avoids the dependency on ipsec starter and uses swanctl
1110   as configuration backend, building a simple and lightweight solution. It
1111   supports native systemd journal logging.
1112
1113 - Support for IKEv2 fragmentation as per RFC 7383 has been added.  Like IKEv1
1114   fragmentation it can be enabled by setting fragmentation=yes in ipsec.conf.
1115
1116 - Support of the TCG TNC IF-M Attribute Segmentation specification proposal.
1117   All attributes can be segmented. Additionally TCG/SWID Tag, TCG/SWID Tag ID
1118   and IETF/Installed Packages attributes can be processed incrementally on a
1119   per segment basis.
1120
1121 - The new ext-auth plugin calls an external script to implement custom IKE_SA
1122   authorization logic, courtesy of Vyronas Tsingaras.
1123
1124 - For the vici plugin a ruby gem has been added to allow ruby applications
1125   to control or monitor the IKE daemon. The vici documentation has been updated
1126   to include a description of the available operations and some simple examples
1127   using both the libvici C interface and the ruby gem.
1128
1129
1130 strongswan-5.2.0
1131 ----------------
1132
1133 - strongSwan has been ported to the Windows platform. Using a MinGW toolchain,
1134   many parts of the strongSwan codebase run natively on Windows 7 / 2008 R2
1135   and newer releases. charon-svc implements a Windows IKE service based on
1136   libcharon, the kernel-iph and kernel-wfp plugins act as networking and IPsec
1137   backend on the Windows platform. socket-win provides a native IKE socket
1138   implementation, while winhttp fetches CRL and OCSP information using the
1139   WinHTTP API.
1140
1141 - The new vici plugin provides a Versatile IKE Configuration Interface for
1142   charon. Using the stable IPC interface, external applications can configure,
1143   control and monitor the IKE daemon. Instead of scripting the ipsec tool
1144   and generating ipsec.conf, third party applications can use the new interface
1145   for more control and better reliability.
1146
1147 - Built upon the libvici client library, swanctl implements the first user of
1148   the VICI interface. Together with a swanctl.conf configuration file,
1149   connections can be defined, loaded and managed. swanctl provides a portable,
1150   complete IKE configuration and control interface for the command line.
1151   The first six swanctl example scenarios have been added.
1152
1153 - The SWID IMV implements a JSON-based REST API which allows the exchange
1154   of SWID tags and Software IDs with the strongTNC policy manager.
1155
1156 - The SWID IMC can extract all installed packages from the dpkg (Debian,
1157   Ubuntu, Linux Mint etc.), rpm (Fedora, RedHat, OpenSUSE, etc.), or
1158   pacman (Arch Linux, Manjaro, etc.) package managers, respectively, using the
1159   swidGenerator (https://github.com/strongswan/swidGenerator) which generates
1160   SWID tags according to the new ISO/IEC 19770-2:2014 standard.
1161
1162 - All IMVs now share the access requestor ID, device ID and product info
1163   of an access requestor via a common imv_session object.
1164
1165 - The Attestation IMC/IMV pair supports the IMA-NG measurement format
1166   introduced with the Linux 3.13 kernel.
1167
1168 - The aikgen tool generates an Attestation Identity Key bound to a TPM.
1169
1170 - Implemented the PT-EAP transport protocol (RFC 7171) for Trusted Network
1171   Connect.
1172
1173 - The ipsec.conf replay_window option defines connection specific IPsec replay
1174   windows. Original patch courtesy of Zheng Zhong and Christophe Gouault from
1175   6Wind.
1176
1177
1178 strongswan-5.1.3
1179 ----------------
1180
1181 - Fixed an authentication bypass vulnerability triggered by rekeying an
1182   unestablished IKEv2 SA while it gets actively initiated.  This allowed an
1183   attacker to trick a peer's IKE_SA state to established, without the need to
1184   provide any valid authentication credentials.  The vulnerability has been
1185   registered as CVE-2014-2338.
1186
1187 - The acert plugin evaluates X.509 Attribute Certificates. Group membership
1188   information encoded as strings can be used to fulfill authorization checks
1189   defined with the rightgroups option. Attribute Certificates can be loaded
1190   locally or get exchanged in IKEv2 certificate payloads.
1191
1192 - The pki command gained support to generate X.509 Attribute Certificates
1193   using the --acert subcommand, while the --print command supports the ac type.
1194   The openac utility has been removed in favor of the new pki functionality.
1195
1196 - The libtls TLS 1.2 implementation as used by EAP-(T)TLS and other protocols
1197   has been extended by AEAD mode support, currently limited to AES-GCM.
1198
1199
1200 strongswan-5.1.2
1201 ----------------
1202
1203 - A new default configuration file layout is introduced.  The new default
1204   strongswan.conf file mainly includes config snippets from the strongswan.d
1205   and strongswan.d/charon directories (the latter containing snippets for all
1206   plugins).  The snippets, with commented defaults, are automatically
1207   generated and installed, if they don't exist yet.  They are also installed
1208   in $prefix/share/strongswan/templates so existing files can be compared to
1209   the current defaults.
1210
1211 - As an alternative to the non-extensible charon.load setting, the plugins
1212   to load in charon (and optionally other applications) can now be determined
1213   via the charon.plugins.<name>.load setting for each plugin (enabled in the
1214   new default strongswan.conf file via the charon.load_modular option).
1215   The load setting optionally takes a numeric priority value that allows
1216   reordering the plugins (otherwise the default plugin order is preserved).
1217
1218 - All strongswan.conf settings that were formerly defined in library specific
1219   "global" sections are now application specific (e.g. settings for plugins in
1220   libstrongswan.plugins can now be set only for charon in charon.plugins).
1221   The old options are still supported, which now allows to define defaults for
1222   all applications in the libstrongswan section.
1223
1224 - The ntru libstrongswan plugin supports NTRUEncrypt as a post-quantum
1225   computer IKE key exchange mechanism. The implementation is based on the
1226   ntru-crypto library from the NTRUOpenSourceProject. The supported security
1227   strengths are ntru112, ntru128, ntru192, and ntru256. Since the private DH
1228   group IDs 1030..1033 have been assigned, the strongSwan Vendor ID must be
1229   sent (charon.send_vendor_id = yes) in order to use NTRU.
1230
1231 - Defined a TPMRA remote attestation workitem and added support for it to the
1232   Attestation IMV.
1233
1234 - Compatibility issues between IPComp (compress=yes) and leftfirewall=yes as
1235   well as multiple subnets in left|rightsubnet have been fixed.
1236
1237 - When enabling its "session" strongswan.conf option, the xauth-pam plugin opens
1238   and closes a PAM session for each established IKE_SA. Patch courtesy of
1239   Andrea Bonomi.
1240
1241 - The strongSwan unit testing framework has been rewritten without the "check"
1242   dependency for improved flexibility and portability. It now properly supports
1243   multi-threaded and memory leak testing and brings a bunch of new test cases.
1244
1245
1246 strongswan-5.1.1
1247 ----------------
1248
1249 - Fixed a denial-of-service vulnerability and potential authorization bypass
1250   triggered by a crafted ID_DER_ASN1_DN ID payload. The cause is an insufficient
1251   length check when comparing such identities. The vulnerability has been
1252   registered as CVE-2013-6075.
1253
1254 - Fixed a denial-of-service vulnerability triggered by a crafted IKEv1
1255   fragmentation payload. The cause is a NULL pointer dereference. The
1256   vulnerability has been registered as CVE-2013-6076.
1257
1258 - The lean stand-alone pt-tls-client can set up a RFC 6876 PT-TLS session
1259   with a strongSwan policy enforcement point which uses the tnc-pdp charon
1260   plugin.
1261
1262 - The new TCG TNC SWID IMC/IMV pair supports targeted SWID requests for either
1263   full SWID Tag or concise SWID Tag ID inventories.
1264
1265 - The XAuth backend in eap-radius now supports multiple XAuth exchanges for
1266   different credential types and display messages. All user input gets
1267   concatenated and verified with a single User-Password RADIUS attribute on
1268   the AAA. With an AAA supporting it, one for example can implement
1269   Password+Token authentication with proper dialogs on iOS and OS X clients.
1270
1271 - charon supports IKEv1 Mode Config exchange in push mode. The ipsec.conf
1272   modeconfig=push option enables it for both client and server, the same way
1273   as pluto used it.
1274
1275 - Using the "ah" ipsec.conf keyword on both IKEv1 and IKEv2 connections,
1276   charon can negotiate and install Security Associations integrity-protected by
1277   the Authentication Header protocol. Supported are plain AH(+IPComp) SAs only,
1278   but not the deprecated RFC2401 style ESP+AH bundles.
1279
1280 - The generation of initialization vectors for IKE and ESP (when using libipsec)
1281   is now modularized and IVs for e.g. AES-GCM are now correctly allocated
1282   sequentially, while other algorithms like AES-CBC still use random IVs.
1283
1284 - The left and right options in ipsec.conf can take multiple address ranges
1285   and subnets. This allows connection matching against a larger set of
1286   addresses, for example to use a different connection for clients connecting
1287   from a internal network.
1288
1289 - For all those who have a queasy feeling about the NIST elliptic curve set,
1290   the Brainpool curves introduced for use with IKE by RFC 6932 might be a
1291   more trustworthy alternative.
1292
1293 - The kernel-libipsec userland IPsec backend now supports usage statistics,
1294   volume based rekeying and accepts ESPv3 style TFC padded packets.
1295
1296 - With two new strongswan.conf options fwmarks can be used to implement
1297   host-to-host tunnels with kernel-libipsec.
1298
1299 - load-tester supports transport mode connections and more complex traffic
1300   selectors, including such using unique ports for each tunnel.
1301
1302 - The new dnscert plugin provides support for authentication via CERT RRs that
1303   are protected via DNSSEC.  The plugin was created by Ruslan N. Marchenko.
1304
1305 - The eap-radius plugin supports forwarding of several Cisco Unity specific
1306   RADIUS attributes in corresponding configuration payloads.
1307
1308 - Database transactions are now abstracted and implemented by the two backends.
1309   If you use MySQL make sure all tables use the InnoDB engine.
1310
1311 - libstrongswan now can provide an experimental custom implementation of the
1312   printf family functions based on klibc if neither Vstr nor glibc style printf
1313   hooks are available. This can avoid the Vstr dependency on some systems at
1314   the cost of slower and less complete printf functions.
1315
1316
1317 strongswan-5.1.0
1318 ----------------
1319
1320 - Fixed a denial-of-service vulnerability triggered by specific XAuth usernames
1321   and EAP identities (since 5.0.3), and PEM files (since 4.1.11).  The crash
1322   was caused by insufficient error handling in the is_asn1() function.
1323   The vulnerability has been registered as CVE-2013-5018.
1324
1325 - The new charon-cmd command line IKE client can establish road warrior
1326   connections using IKEv1 or IKEv2 with different authentication profiles.
1327   It does not depend on any configuration files and can be configured using a
1328   few simple command line options.
1329
1330 - The kernel-pfroute networking backend has been greatly improved. It now
1331   can install virtual IPs on TUN devices on OS X and FreeBSD, allowing these
1332   systems to act as a client in common road warrior scenarios.
1333
1334 - The new kernel-libipsec plugin uses TUN devices and libipsec to provide IPsec
1335   processing in userland on Linux, FreeBSD and Mac OS X.
1336
1337 - The eap-radius plugin can now serve as an XAuth backend called xauth-radius,
1338   directly verifying XAuth credentials using RADIUS User-Name/User-Password
1339   attributes. This is more efficient than the existing xauth-eap+eap-radius
1340   combination, and allows RADIUS servers without EAP support to act as AAA
1341   backend for IKEv1.
1342
1343 - The new osx-attr plugin installs configuration attributes (currently DNS
1344   servers) via SystemConfiguration on Mac OS X. The keychain plugin provides
1345   certificates from the OS X keychain service.
1346
1347 - The sshkey plugin parses SSH public keys, which, together with the --agent
1348   option for charon-cmd, allows the use of ssh-agent for authentication.
1349   To configure SSH keys in ipsec.conf the left|rightrsasigkey options are
1350   replaced with left|rightsigkey, which now take public keys in one of three
1351   formats: SSH (RFC 4253, ssh: prefix), DNSKEY (RFC 3110, dns: prefix), and
1352   PKCS#1 (the default, no prefix).
1353
1354 - Extraction of certificates and private keys from PKCS#12 files is now provided
1355   by the new pkcs12 plugin or the openssl plugin.  charon-cmd (--p12) as well
1356   as charon (via P12 token in ipsec.secrets) can make use of this.
1357
1358 - IKEv2 can now negotiate transport mode and IPComp in NAT situations.
1359
1360 - IKEv2 exchange initiators now properly close an established IKE or CHILD_SA
1361   on error conditions using an additional exchange, keeping state in sync
1362   between peers.
1363
1364 - Using a SQL database interface a Trusted Network Connect (TNC) Policy Manager
1365   can  generate specific measurement workitems for an arbitrary number of
1366   Integrity Measurement Verifiers (IMVs) based on the history of the VPN user
1367   and/or device.
1368
1369 - Several core classes in libstrongswan are now tested with unit tests.  These
1370   can be enabled with --enable-unit-tests and run with 'make check'.  Coverage
1371   reports can be generated with --enable-coverage and 'make coverage' (this
1372   disables any optimization, so it should not be enabled when building
1373   production releases).
1374
1375 - The leak-detective developer tool has been greatly improved. It works much
1376   faster/stabler with multiple threads, does not use deprecated malloc hooks
1377   anymore and has been ported to OS X.
1378
1379 - chunk_hash() is now based on SipHash-2-4 with a random key.  This provides
1380   better distribution and prevents hash flooding attacks when used with
1381   hashtables.
1382
1383 - All default plugins implement the get_features() method to define features
1384   and their dependencies.  The plugin loader has been improved, so that plugins
1385   in a custom load statement can be ordered freely or to express preferences
1386   without being affected by dependencies between plugin features.
1387
1388 - A centralized thread can take care for watching multiple file descriptors
1389   concurrently. This removes the need for a dedicated listener threads in
1390   various plugins. The number of "reserved" threads for such tasks has been
1391   reduced to about five, depending on the plugin configuration.
1392
1393 - Plugins that can be controlled by a UNIX socket IPC mechanism gained network
1394   transparency. Third party applications querying these plugins now can use
1395   TCP connections from a different host.
1396
1397 - libipsec now supports AES-GCM.
1398
1399
1400 strongswan-5.0.4
1401 ----------------
1402
1403 - Fixed a security vulnerability in the openssl plugin which was reported by
1404   Kevin Wojtysiak. The vulnerability has been registered as CVE-2013-2944.
1405   Before the fix, if the openssl plugin's ECDSA signature verification was used,
1406   due to a misinterpretation of the error code returned by the OpenSSL
1407   ECDSA_verify() function, an empty or zeroed signature was accepted as a
1408   legitimate one.
1409
1410 - The handling of a couple of other non-security relevant openssl return codes
1411   was fixed as well.
1412
1413 - The tnc_ifmap plugin now publishes virtual IPv4 and IPv6 addresses via its
1414   TCG TNC IF-MAP 2.1 interface.
1415
1416 - The charon.initiator_only option causes charon to ignore IKE initiation
1417   requests.
1418
1419 - The openssl plugin can now use the openssl-fips library.
1420
1421
1422 strongswan-5.0.3
1423 ----------------
1424
1425 - The new ipseckey plugin enables authentication based on trustworthy public
1426   keys stored as IPSECKEY resource records in the DNS and protected by DNSSEC.
1427   To do so it uses a DNSSEC enabled resolver, like the one provided by the new
1428   unbound plugin, which is based on libldns and libunbound.  Both plugins were
1429   created by Reto Guadagnini.
1430
1431 - Implemented the TCG TNC IF-IMV 1.4 draft making access requestor identities
1432   available to an IMV. The OS IMV stores the AR identity together with the
1433   device ID in the attest database.
1434
1435 - The openssl plugin now uses the AES-NI accelerated version of AES-GCM
1436   if the hardware supports it.
1437
1438 - The eap-radius plugin can now assign virtual IPs to IKE clients using the
1439   Framed-IP-Address attribute by using the "%radius" named pool in the
1440   rightsourceip ipsec.conf option. Cisco Banner attributes are forwarded to
1441   Unity-capable IKEv1 clients during mode config. charon now sends Interim
1442   Accounting updates if requested by the RADIUS server, reports
1443   sent/received packets in Accounting messages, and adds a Terminate-Cause
1444   to Accounting-Stops.
1445
1446 - The recently introduced "ipsec listcounters" command can report connection
1447   specific counters by passing a connection name, and global or connection
1448   counters can be reset by the "ipsec resetcounters" command.
1449
1450 - The strongSwan libpttls library provides an experimental implementation of
1451   PT-TLS (RFC 6876), a Posture Transport Protocol over TLS.
1452
1453 - The charon systime-fix plugin can disable certificate lifetime checks on
1454   embedded systems if the system time is obviously out of sync after bootup.
1455   Certificates lifetimes get checked once the system time gets sane, closing
1456   or reauthenticating connections using expired certificates.
1457
1458 - The "ikedscp" ipsec.conf option can set DiffServ code points on outgoing
1459   IKE packets.
1460
1461 - The new xauth-noauth plugin allows to use basic RSA or PSK authentication with
1462   clients that cannot be configured without XAuth authentication.  The plugin
1463   simply concludes the XAuth exchange successfully without actually performing
1464   any authentication.  Therefore, to use this backend it has to be selected
1465   explicitly with rightauth2=xauth-noauth.
1466
1467 - The new charon-tkm IKEv2 daemon delegates security critical operations to a
1468   separate process. This has the benefit that the network facing daemon has no
1469   knowledge of keying material used to protect child SAs. Thus subverting
1470   charon-tkm does not result in the compromise of cryptographic keys.
1471   The extracted functionality has been implemented from scratch in a minimal TCB
1472   (trusted computing base) in the Ada programming language. Further information
1473   can be found at https://www.codelabs.ch/tkm/.
1474
1475 strongswan-5.0.2
1476 ----------------
1477
1478 - Implemented all IETF Standard PA-TNC attributes and an OS IMC/IMV
1479   pair using them to transfer operating system information.
1480
1481 - The new "ipsec listcounters" command prints a list of global counter values
1482   about received and sent IKE messages and rekeyings.
1483
1484 - A new lookip plugin can perform fast lookup of tunnel information using a
1485   clients virtual IP and can send notifications about established or deleted
1486   tunnels. The "ipsec lookip" command can be used to query such information
1487   or receive notifications.
1488
1489 - The new error-notify plugin catches some common error conditions and allows
1490   an external application to receive notifications for them over a UNIX socket.
1491
1492 - IKE proposals can now use a PRF algorithm different to that defined for
1493   integrity protection. If an algorithm with a "prf" prefix is defined
1494   explicitly (such as prfsha1 or prfsha256), no implicit PRF algorithm based on
1495   the integrity algorithm is added to the proposal.
1496
1497 - The pkcs11 plugin can now load leftcert certificates from a smartcard for a
1498   specific ipsec.conf conn section and cacert CA certificates for a specific ca
1499   section.
1500
1501 - The load-tester plugin gained additional options for certificate generation
1502   and can load keys and multiple CA certificates from external files. It can
1503   install a dedicated outer IP address for each tunnel and tunnel initiation
1504   batches can be triggered and monitored externally using the
1505   "ipsec load-tester" tool.
1506
1507 - PKCS#7 container parsing has been modularized, and the openssl plugin
1508   gained an alternative implementation to decrypt and verify such files.
1509   In contrast to our own DER parser, OpenSSL can handle BER files, which is
1510   required for interoperability of our scepclient with EJBCA.
1511
1512 - Support for the proprietary IKEv1 fragmentation extension has been added.
1513   Fragments are always handled on receipt but only sent if supported by the peer
1514   and if enabled with the new fragmentation ipsec.conf option.
1515
1516 - IKEv1 in charon can now parse certificates received in PKCS#7 containers and
1517   supports NAT traversal as used by Windows clients. Patches courtesy of
1518   Volker Rümelin.
1519
1520 - The new rdrand plugin provides a high quality / high performance random
1521   source using the Intel rdrand instruction found on Ivy Bridge processors.
1522
1523 - The integration test environment was updated and now uses KVM and reproducible
1524   guest images based on Debian.
1525
1526
1527 strongswan-5.0.1
1528 ----------------
1529
1530 - Introduced the sending of the standard IETF Assessment Result
1531   PA-TNC attribute by all strongSwan Integrity Measurement Verifiers.
1532
1533 - Extended PTS Attestation IMC/IMV pair to provide full evidence of
1534   the Linux IMA measurement process. All pertinent file information
1535   of a Linux OS can be collected and stored in an SQL database.
1536
1537 - The PA-TNC and PB-TNC protocols can now process huge data payloads
1538   >64 kB by distributing PA-TNC attributes over multiple PA-TNC messages
1539   and these messages over several PB-TNC batches. As long as no
1540   consolidated recommendation from all IMVs can be obtained, the TNC
1541   server requests more client data by sending an empty SDATA batch.
1542
1543 - The rightgroups2 ipsec.conf option can require group membership during
1544   a second authentication round, for example during XAuth authentication
1545   against a RADIUS server.
1546
1547 - The xauth-pam backend can authenticate IKEv1 XAuth and Hybrid authenticated
1548   clients against any PAM service. The IKEv2 eap-gtc plugin does not use
1549   PAM directly anymore, but can use any XAuth backend to verify credentials,
1550   including xauth-pam.
1551
1552 - The new unity plugin brings support for some parts of the IKEv1 Cisco Unity
1553   Extension. As client, charon narrows traffic selectors to the received
1554   Split-Include attributes and automatically installs IPsec bypass policies
1555   for received Local-LAN attributes. As server, charon sends Split-Include
1556   attributes for leftsubnet definitions containing multiple subnets to Unity-
1557   aware clients.
1558
1559 - An EAP-Nak payload is returned by clients if the gateway requests an EAP
1560   method that the client does not support.  Clients can also request a specific
1561   EAP method by configuring that method with leftauth.
1562
1563 - The eap-dynamic plugin handles EAP-Nak payloads returned by clients and uses
1564   these to select a different EAP method supported/requested by the client.
1565   The plugin initially requests the first registered method or the first method
1566   configured with charon.plugins.eap-dynamic.preferred.
1567
1568 - The new left/rightdns options specify connection specific DNS servers to
1569   request/respond in IKEv2 configuration payloads or IKEv2 mode config. leftdns
1570   can be any (comma separated) combination of %config4 and %config6 to request
1571   multiple servers, both for IPv4 and IPv6. rightdns takes a list of DNS server
1572   IP addresses to return.
1573
1574 - The left/rightsourceip options now accept multiple addresses or pools.
1575   leftsourceip can be any (comma separated) combination of %config4, %config6
1576   or fixed IP addresses to request. rightsourceip accepts multiple explicitly
1577   specified or referenced named pools.
1578
1579 - Multiple connections can now share a single address pool when they use the
1580   same definition in one of the rightsourceip pools.
1581
1582 - The options charon.interfaces_ignore and charon.interfaces_use allow one to
1583   configure the network interfaces used by the daemon.
1584
1585 - The kernel-netlink plugin supports the charon.install_virtual_ip_on option,
1586   which specifies the interface on which virtual IP addresses will be installed.
1587   If it is not specified the current behavior of using the outbound interface
1588   is preserved.
1589
1590 - The kernel-netlink plugin tries to keep the current source address when
1591   looking for valid routes to reach other hosts.
1592
1593 - The autotools build has been migrated to use a config.h header. strongSwan
1594   development headers will get installed during "make install" if
1595   --with-dev-headers has been passed to ./configure.
1596
1597 - All crypto primitives gained return values for most operations, allowing
1598   crypto backends to fail, for example when using hardware accelerators.
1599
1600
1601 strongswan-5.0.0
1602 ----------------
1603
1604 - The charon IKE daemon gained experimental support for the IKEv1 protocol.
1605   Pluto has been removed from the 5.x series, and unless strongSwan is
1606   configured with --disable-ikev1 or --disable-ikev2, charon handles both
1607   keying protocols. The feature-set of IKEv1 in charon is almost on par with
1608   pluto, but currently does not support AH or bundled AH+ESP SAs. Beside
1609   RSA/ECDSA, PSK and XAuth, charon also supports the Hybrid authentication
1610   mode. Information for interoperability and migration is available at
1611   https://wiki.strongswan.org/projects/strongswan/wiki/CharonPlutoIKEv1.
1612
1613 - Charon's bus_t has been refactored so that loggers and other listeners are
1614   now handled separately.  The single lock was previously cause for deadlocks
1615   if extensive listeners, such as the one provided by the updown plugin, wanted
1616   to acquire locks that were held by other threads which in turn tried to log
1617   messages, and thus were waiting to acquire the same lock currently held by
1618   the thread calling the listener.
1619   The implemented changes also allow the use of a read/write-lock for the
1620   loggers which increases performance if multiple loggers are registered.
1621   Besides several interface changes this last bit also changes the semantics
1622   for loggers as these may now be called by multiple threads at the same time.
1623
1624 - Source routes are reinstalled if interfaces are reactivated or IP addresses
1625   reappear.
1626
1627 - The thread pool (processor_t) now has more control over the lifecycle of
1628   a job (see job.h for details).  In particular, it now controls the destruction
1629   of jobs after execution and the cancellation of jobs during shutdown.  Due to
1630   these changes the requeueing feature, previously available to callback_job_t
1631   only, is now available to all jobs (in addition to a new rescheduling
1632   feature).
1633
1634 - In addition to trustchain key strength definitions for different public key
1635   systems, the rightauth option now takes a list of signature hash algorithms
1636   considered save for trustchain validation. For example, the setting
1637   rightauth=rsa-2048-ecdsa-256-sha256-sha384-sha512 requires a trustchain
1638   that uses at least RSA-2048 or ECDSA-256 keys and certificate signatures
1639   using SHA-256 or better.
1640
1641
1642 strongswan-4.6.4
1643 ----------------
1644
1645 - Fixed a security vulnerability in the gmp plugin.  If this plugin was used
1646   for RSA signature verification an empty or zeroed signature was handled as
1647   a legitimate one.
1648
1649 - Fixed several issues with reauthentication and address updates.
1650
1651
1652 strongswan-4.6.3
1653 ----------------
1654
1655 - The tnc-pdp plugin implements a RADIUS server interface allowing
1656   a strongSwan TNC server to act as a Policy Decision Point.
1657
1658 - The eap-radius authentication backend enforces Session-Timeout attributes
1659   using RFC4478 repeated authentication and acts upon RADIUS Dynamic
1660   Authorization extensions, RFC 5176. Currently supported are disconnect
1661   requests and CoA messages containing a Session-Timeout.
1662
1663 - The eap-radius plugin can forward arbitrary RADIUS attributes from and to
1664   clients using custom IKEv2 notify payloads. The new radattr plugin reads
1665   attributes to include from files and prints received attributes to the
1666   console.
1667
1668 - Added support for untruncated MD5 and SHA1 HMACs in ESP as used in
1669   RFC 4595.
1670
1671 - The cmac plugin implements the AES-CMAC-96 and AES-CMAC-PRF-128 algorithms
1672   as defined in RFC 4494 and RFC 4615, respectively.
1673
1674 - The resolve plugin automatically installs nameservers via resolvconf(8),
1675   if it is installed, instead of modifying /etc/resolv.conf directly.
1676
1677 - The IKEv2 charon daemon supports now raw RSA public keys in RFC 3110
1678   DNSKEY and PKCS#1 file format.
1679
1680
1681 strongswan-4.6.2
1682 ----------------
1683
1684 - Upgraded the TCG IF-IMC and IF-IMV C API to the upcoming version 1.3
1685   which supports IF-TNCCS 2.0 long message types, the exclusive flags
1686   and multiple IMC/IMV IDs. Both the TNC Client and Server as well as
1687   the "Test", "Scanner", and "Attestation" IMC/IMV pairs were updated.
1688
1689 - Fully implemented the "TCG Attestation PTS Protocol: Binding to IF-M"
1690   standard (TLV-based messages only). TPM-based remote attestation of
1691   Linux IMA (Integrity Measurement Architecture) possible. Measurement
1692   reference values are automatically stored in an SQLite database.
1693
1694 - The EAP-RADIUS authentication backend supports RADIUS accounting. It sends
1695   start/stop messages containing Username, Framed-IP and Input/Output-Octets
1696   attributes and has been tested against FreeRADIUS and Microsoft NPS.
1697
1698 - Added support for PKCS#8 encoded private keys via the libstrongswan
1699   pkcs8 plugin.  This is the default format used by some OpenSSL tools since
1700   version 1.0.0 (e.g. openssl req with -keyout).
1701
1702 - Added session resumption support to the strongSwan TLS stack.
1703
1704
1705 strongswan-4.6.1
1706 ----------------
1707
1708 - Because of changing checksums before and after installation which caused
1709   the integrity tests to fail we avoided directly linking libsimaka, libtls and
1710   libtnccs to those libcharon plugins which make use of these dynamic libraries.
1711   Instead we linked the libraries to the charon daemon. Unfortunately Ubuntu
1712   11.10 activated the --as-needed ld option which discards explicit links
1713   to dynamic libraries that are not actually used by the charon daemon itself,
1714   thus causing failures during the loading of the plugins which depend on these
1715   libraries for resolving external symbols.
1716
1717 - Therefore our approach of computing  integrity checksums for plugins had to be
1718   changed radically by moving the hash generation from the compilation to the
1719   post-installation phase.
1720
1721
1722 strongswan-4.6.0
1723 ----------------
1724
1725 - The new libstrongswan certexpire plugin collects expiration information of
1726   all used certificates and exports them to CSV files. It either directly
1727   exports them or uses cron style scheduling for batch exports.
1728
1729 - starter passes unresolved hostnames to charon, allowing it to do name
1730   resolution not before the connection attempt. This is especially useful with
1731   connections between hosts using dynamic IP addresses. Thanks to Mirko Parthey
1732   for the initial patch.
1733
1734 - The android plugin can now be used without the Android frontend patch and
1735   provides DNS server registration and logging to logcat.
1736
1737 - Pluto and starter (plus stroke and whack) have been ported to Android.
1738
1739 - Support for ECDSA private and public key operations has been added to the
1740   pkcs11 plugin.  The plugin now also provides DH and ECDH via PKCS#11 and can
1741   use tokens as random number generators (RNG).  By default only private key
1742   operations are enabled, more advanced features have to be enabled by their
1743   option in strongswan.conf.  This also applies to public key operations (even
1744   for keys not stored on the token) which were enabled by default before.
1745
1746 - The libstrongswan plugin system now supports detailed plugin dependencies.
1747   Many plugins have been extended to export its capabilities and requirements.
1748   This allows the plugin loader to resolve plugin loading order automatically,
1749   and in future releases, to dynamically load the required features on demand.
1750   Existing third party plugins are source (but not binary) compatible if they
1751   properly initialize the new get_features() plugin function to NULL.
1752
1753 - The tnc-ifmap plugin implements a TNC IF-MAP 2.0 client which can deliver
1754   metadata about IKE_SAs via a SOAP interface to a MAP server. The tnc-ifmap
1755   plugin requires the Apache Axis2/C library.
1756
1757
1758 strongswan-4.5.3
1759 ----------------
1760
1761 - Our private libraries (e.g. libstrongswan) are not installed directly in
1762   prefix/lib anymore.  Instead a subdirectory is used (prefix/lib/ipsec/ by
1763   default).  The plugins directory is also moved from libexec/ipsec/ to that
1764   directory.
1765
1766 - The dynamic IMC/IMV libraries were moved from the plugins directory to
1767   a new imcvs directory in the prefix/lib/ipsec/ subdirectory.
1768
1769 - Job priorities were introduced to prevent thread starvation caused by too
1770   many threads handling blocking operations (such as CRL fetching).  Refer to
1771   strongswan.conf(5) for details.
1772
1773 - Two new strongswan.conf options allow to fine-tune performance on IKEv2
1774   gateways by dropping IKE_SA_INIT requests on high load.
1775
1776 - IKEv2 charon daemon supports start PASS and DROP shunt policies
1777   preventing traffic to go through IPsec connections. Installation of the
1778   shunt policies either via the XFRM netfilter or PFKEYv2 IPsec kernel
1779   interfaces.
1780
1781 - The history of policies installed in the kernel is now tracked so that e.g.
1782   trap policies are correctly updated when reauthenticated SAs are terminated.
1783
1784 - IMC/IMV Scanner pair implementing the RFC 5792 PA-TNC (IF-M) protocol.
1785   Using "netstat -l" the IMC scans open listening ports on the TNC client
1786   and sends a port list to the IMV which based on a port policy decides if
1787   the client is admitted to the network.
1788   (--enable-imc-scanner/--enable-imv-scanner).
1789
1790 - IMC/IMV Test pair implementing the RFC 5792 PA-TNC (IF-M) protocol.
1791   (--enable-imc-test/--enable-imv-test).
1792
1793 - The IKEv2 close action does not use the same value as the ipsec.conf dpdaction
1794   setting, but the value defined by its own closeaction keyword. The action
1795   is triggered if the remote peer closes a CHILD_SA unexpectedly.
1796
1797
1798 strongswan-4.5.2
1799 ----------------
1800
1801 - The whitelist plugin for the IKEv2 daemon maintains an in-memory identity
1802   whitelist. Any connection attempt of peers not whitelisted will get rejected.
1803   The 'ipsec whitelist' utility provides a simple command line frontend for
1804   whitelist administration.
1805
1806 - The duplicheck plugin provides a specialized form of duplicate checking,
1807   doing a liveness check on the old SA and optionally notify a third party
1808   application about detected duplicates.
1809
1810 - The coupling plugin permanently couples two or more devices by limiting
1811   authentication to previously used certificates.
1812
1813 - In the case that the peer config and child config don't have the same name
1814   (usually in SQL database defined connections), ipsec up|route <peer config>
1815   starts|routes all associated child configs and ipsec up|route <child config>
1816   only starts|routes the specific child config.
1817
1818 - fixed the encoding and parsing of X.509 certificate policy statements (CPS).
1819
1820 - Duncan Salerno contributed the eap-sim-pcsc plugin implementing a
1821   pcsc-lite based SIM card backend.
1822
1823 - The eap-peap plugin implements the EAP PEAP protocol. Interoperates
1824   successfully with a FreeRADIUS server and Windows 7 Agile VPN clients.
1825
1826 - The IKEv2 daemon charon rereads strongswan.conf on SIGHUP and instructs
1827   all plugins to reload. Currently only the eap-radius and the attr plugins
1828   support configuration reloading.
1829
1830 - Added userland support to the IKEv2 daemon for Extended Sequence Numbers
1831   support coming with Linux 2.6.39. To enable ESN on a connection, add
1832   the 'esn' keyword to the proposal. The default proposal uses 32-bit sequence
1833   numbers only ('noesn'), and the same value is used if no ESN mode is
1834   specified. To negotiate ESN support with the peer, include both, e.g.
1835   esp=aes128-sha1-esn-noesn.
1836
1837 - In addition to ESN, Linux 2.6.39 gained support for replay windows larger
1838   than 32 packets. The new global strongswan.conf option 'charon.replay_window'
1839   configures the size of the replay window, in packets.
1840
1841
1842 strongswan-4.5.1
1843 ----------------
1844
1845 - Sansar Choinyambuu implemented the RFC 5793 Posture Broker Protocol (BP)
1846   compatible with Trusted Network Connect (TNC). The TNCCS 2.0 protocol
1847   requires the tnccs_20, tnc_imc and tnc_imv plugins but does not depend
1848   on the libtnc library. Any available IMV/IMC pairs conforming to the
1849   Trusted Computing Group's TNC-IF-IMV/IMC 1.2 interface specification
1850   can be loaded via /etc/tnc_config.
1851
1852 - Re-implemented the TNCCS 1.1 protocol by using the tnc_imc and tnc_imv
1853   in place of the external libtnc library.
1854
1855 - The tnccs_dynamic plugin loaded on a TNC server in addition to the
1856   tnccs_11 and tnccs_20 plugins, dynamically detects the IF-TNCCS
1857   protocol version used by a TNC client and invokes an instance of
1858   the corresponding protocol stack.
1859
1860 - IKE and ESP proposals can now be stored in an SQL database using a
1861   new proposals table. The start_action field in the child_configs
1862   tables allows the automatic starting or routing of connections stored
1863   in an SQL database.
1864
1865 - The new certificate_authorities and certificate_distribution_points
1866   tables make it possible to store CRL and OCSP Certificate Distribution
1867   points in an SQL database.
1868
1869 - The new 'include' statement allows to recursively include other files in
1870   strongswan.conf.  Existing sections and values are thereby extended and
1871   replaced, respectively.
1872
1873 - Due to the changes in the parser for strongswan.conf, the configuration
1874   syntax for the attr plugin has changed.  Previously, it was possible to
1875   specify multiple values of a specific attribute type by adding multiple
1876   key/value pairs with the same key (e.g. dns) to the plugins.attr section.
1877   Because values with the same key now replace previously defined values
1878   this is not possible anymore.  As an alternative, multiple values can be
1879   specified by separating them with a comma (e.g. dns = 1.2.3.4, 2.3.4.5).
1880
1881 - ipsec listalgs now appends (set in square brackets) to each crypto
1882   algorithm listed the plugin that registered the function.
1883
1884 - Traffic Flow Confidentiality padding supported with Linux 2.6.38 can be used
1885   by the IKEv2 daemon. The ipsec.conf 'tfc' keyword pads all packets to a given
1886   boundary, the special value '%mtu' pads all packets to the path MTU.
1887
1888 - The new af-alg plugin can use various crypto primitives of the Linux Crypto
1889   API using the AF_ALG interface introduced with 2.6.38. This removes the need
1890   for additional userland implementations of symmetric cipher, hash, hmac and
1891   xcbc algorithms.
1892
1893 - The IKEv2 daemon supports the INITIAL_CONTACT notify as initiator and
1894   responder. The notify is sent when initiating configurations with a unique
1895   policy, set in ipsec.conf via the global 'uniqueids' option.
1896
1897 - The conftest conformance testing framework enables the IKEv2 stack to perform
1898   many tests using a distinct tool and configuration frontend. Various hooks
1899   can alter reserved bits, flags, add custom notifies and proposals, reorder
1900   or drop messages and much more. It is enabled using the --enable-conftest
1901   ./configure switch.
1902
1903 - The new libstrongswan constraints plugin provides advanced X.509 constraint
1904   checking. In addition to X.509 pathLen constraints, the plugin checks for
1905   nameConstraints and certificatePolicies, including policyMappings and
1906   policyConstraints. The x509 certificate plugin and the pki tool have been
1907   enhanced to support these extensions. The new left/rightcertpolicy ipsec.conf
1908   connection keywords take OIDs a peer certificate must have.
1909
1910 - The left/rightauth ipsec.conf keywords accept values with a minimum strength
1911   for trustchain public keys in bits, such as rsa-2048 or ecdsa-256.
1912
1913 - The revocation and x509 libstrongswan plugins and the pki tool gained basic
1914   support for delta CRLs.
1915
1916
1917 strongswan-4.5.0
1918 ----------------
1919
1920 - IMPORTANT: the default keyexchange mode 'ike' is changing with release 4.5
1921   from 'ikev1' to 'ikev2', thus commemorating the five year anniversary of the
1922   IKEv2 RFC 4306 and its mature successor RFC 5996. The time has definitively
1923   come for IKEv1 to go into retirement and to cede its place to the much more
1924   robust, powerful and versatile IKEv2 protocol!
1925
1926 - Added new ctr, ccm and gcm plugins providing Counter, Counter with CBC-MAC
1927   and Galois/Counter Modes based on existing CBC implementations. These
1928   new plugins bring support for AES and Camellia Counter and CCM algorithms
1929   and the AES GCM algorithms for use in IKEv2.
1930
1931 - The new pkcs11 plugin brings full Smartcard support to the IKEv2 daemon and
1932   the pki utility using one or more PKCS#11 libraries. It currently supports
1933   RSA private and public key operations and loads X.509 certificates from
1934   tokens.
1935
1936 - Implemented a general purpose TLS stack based on crypto and credential
1937   primitives of libstrongswan. libtls supports TLS versions 1.0, 1.1 and 1.2,
1938   ECDHE-ECDSA/RSA, DHE-RSA and RSA key exchange algorithms and RSA/ECDSA based
1939   client authentication.
1940
1941 - Based on libtls, the eap-tls plugin brings certificate based EAP
1942   authentication for client and server. It is compatible to Windows 7 IKEv2
1943   Smartcard authentication and the OpenSSL based FreeRADIUS EAP-TLS backend.
1944
1945 - Implemented the TNCCS 1.1 Trusted Network Connect protocol using the
1946   libtnc library on the strongSwan client and server side via the tnccs_11
1947   plugin and optionally connecting to a TNC@FHH-enhanced FreeRADIUS AAA server.
1948   Depending on the resulting TNC Recommendation, strongSwan clients are granted
1949   access to a network behind a strongSwan gateway (allow), are put into a
1950   remediation zone (isolate) or are blocked (none), respectively. Any number
1951   of Integrity Measurement Collector/Verifier pairs can be attached
1952   via the tnc-imc and tnc-imv charon plugins.
1953
1954 - The IKEv1 daemon pluto now uses the same kernel interfaces as the IKEv2
1955   daemon charon. As a result of this, pluto now supports xfrm marks which
1956   were introduced in charon with 4.4.1.
1957
1958 - Applets for Maemo 5 (Nokia) allow to easily configure and control IKEv2
1959   based VPN connections with EAP authentication on supported devices.
1960
1961 - The RADIUS plugin eap-radius now supports multiple RADIUS servers for
1962   redundant setups. Servers are selected by a defined priority, server load and
1963   availability.
1964
1965 - The simple led plugin controls hardware LEDs through the Linux LED subsystem.
1966   It currently shows activity of the IKE daemon and is a good example how to
1967   implement a simple event listener.
1968
1969 - Improved MOBIKE behavior in several corner cases, for instance, if the
1970   initial responder moves to a different address.
1971
1972 - Fixed left-/rightnexthop option, which was broken since 4.4.0.
1973
1974 - Fixed a bug not releasing a virtual IP address to a pool if the XAUTH
1975   identity was different from the IKE identity.
1976
1977 - Fixed the alignment of ModeConfig messages on 4-byte boundaries in the
1978   case where the attributes are not a multiple of 4 bytes (e.g. Cisco's
1979   UNITY_BANNER).
1980
1981 - Fixed the interoperability of the socket_raw and socket_default
1982   charon plugins.
1983
1984 - Added man page for strongswan.conf
1985
1986
1987 strongswan-4.4.1
1988 ----------------
1989
1990 - Support of xfrm marks in IPsec SAs and IPsec policies introduced
1991   with the Linux 2.6.34 kernel. For details see the example scenarios
1992   ikev2/nat-two-rw-mark, ikev2/rw-nat-mark-in-out and ikev2/net2net-psk-dscp.
1993
1994 - The PLUTO_MARK_IN and PLUTO_ESP_ENC environment variables can be used
1995   in a user-specific updown script to set marks on inbound ESP or
1996   ESP_IN_UDP packets.
1997
1998 - The openssl plugin now supports X.509 certificate and CRL functions.
1999
2000 - OCSP/CRL checking in IKEv2 has been moved to the revocation plugin, enabled
2001   by default. Please update manual load directives in strongswan.conf.
2002
2003 - RFC3779 ipAddrBlock constraint checking has been moved to the addrblock
2004   plugin, disabled by default. Enable it and update manual load directives
2005   in strongswan.conf, if required.
2006
2007 - The pki utility supports CRL generation using the --signcrl command.
2008
2009 - The ipsec pki --self, --issue and --req commands now support output in
2010   PEM format using the --outform pem option.
2011
2012 - The major refactoring of the IKEv1 Mode Config functionality now allows
2013   the transport and handling of any Mode Config attribute.
2014
2015 - The RADIUS proxy plugin eap-radius now supports multiple servers. Configured
2016   servers are chosen randomly, with the option to prefer a specific server.
2017   Non-responding servers are degraded by the selection process.
2018
2019 - The ipsec pool tool manages arbitrary configuration attributes stored
2020   in an SQL database. ipsec pool --help gives the details.
2021
2022 - The new eap-simaka-sql plugin acts as a backend for EAP-SIM and EAP-AKA,
2023   reading triplets/quintuplets from an SQL database.
2024
2025 - The High Availability plugin now supports a HA enabled in-memory address
2026   pool and Node reintegration without IKE_SA rekeying. The latter allows
2027   clients without IKE_SA rekeying support to keep connected during
2028   reintegration. Additionally, many other issues have been fixed in the ha
2029   plugin.
2030
2031 - Fixed a potential remote code execution vulnerability resulting from
2032   the misuse of snprintf(). The vulnerability is exploitable by
2033   unauthenticated users.
2034
2035
2036 strongswan-4.4.0
2037 ----------------
2038
2039 - The IKEv2 High Availability plugin has been integrated. It provides
2040   load sharing and failover capabilities in a cluster of currently two nodes,
2041   based on an extend ClusterIP kernel module. More information is available at
2042   https://wiki.strongswan.org/projects/strongswan/wiki/HighAvailability.
2043   The development of the High Availability functionality was sponsored by
2044   secunet Security Networks AG.
2045
2046 - Added IKEv1 and IKEv2 configuration support for the AES-GMAC
2047   authentication-only ESP cipher. Our aes_gmac kernel patch or a Linux
2048   2.6.34 kernel is required to make AES-GMAC available via the XFRM
2049   kernel interface.
2050
2051 - Added support for Diffie-Hellman groups 22, 23 and 24 to the gmp, gcrypt
2052   and openssl plugins, usable by both pluto and charon. The new proposal
2053   keywords are modp1024s160, modp2048s224 and modp2048s256. Thanks to Joy Latten
2054   from IBM for his contribution.
2055
2056 - The IKEv1 pluto daemon supports RAM-based virtual IP pools using
2057   the rightsourceip directive with a subnet from which addresses
2058   are allocated.
2059
2060 - The ipsec pki --gen and --pub commands now allow the output of
2061   private and public keys in PEM format using the --outform pem
2062   command line option.
2063
2064 - The new DHCP plugin queries virtual IP addresses for clients from a DHCP
2065   server using broadcasts, or a defined server using the
2066   charon.plugins.dhcp.server strongswan.conf option. DNS/WINS server information
2067   is additionally served to clients if the DHCP server provides such
2068   information. The plugin is used in ipsec.conf configurations having
2069   rightsourceip set to %dhcp.
2070
2071 - A new plugin called farp fakes ARP responses for virtual IP addresses
2072   handed out to clients from the IKEv2 daemon charon. The plugin lets a
2073   road-warrior act as a client on the local LAN if it uses a virtual IP
2074   from the responders subnet, e.g. acquired using the DHCP plugin.
2075
2076 - The existing IKEv2 socket implementations have been migrated to the
2077   socket-default and the socket-raw plugins. The new socket-dynamic plugin
2078   binds sockets dynamically to ports configured via the left-/rightikeport
2079   ipsec.conf connection parameters.
2080
2081 - The android charon plugin stores received DNS server information as "net.dns"
2082   system properties, as used by the Android platform.
2083
2084
2085 strongswan-4.3.6
2086 ----------------
2087
2088 - The IKEv2 daemon supports RFC 3779 IP address block constraints
2089   carried as a critical X.509v3 extension in the peer certificate.
2090
2091 - The ipsec pool --add|del dns|nbns command manages DNS and NBNS name
2092   server entries that are sent via the IKEv1 Mode Config or IKEv2
2093   Configuration Payload to remote clients.
2094
2095 - The Camellia cipher can be used as an IKEv1 encryption algorithm.
2096
2097 - The IKEv1 and IKEV2 daemons now check certificate path length constraints.
2098
2099 - The new ipsec.conf conn option "inactivity" closes a CHILD_SA if no traffic
2100   was sent or received within the given interval. To close the complete IKE_SA
2101   if its only CHILD_SA was inactive, set the global strongswan.conf option
2102   "charon.inactivity_close_ike" to yes.
2103
2104 - More detailed IKEv2 EAP payload information in debug output
2105
2106 - IKEv2 EAP-SIM and EAP-AKA share joint libsimaka library
2107
2108 - Added required userland changes for proper SHA256 and SHA384/512 in ESP that
2109   will be introduced with Linux 2.6.33. The "sha256"/"sha2_256" keyword now
2110   configures the kernel with 128 bit truncation, not the non-standard 96
2111   bit truncation used by previous releases. To use the old 96 bit truncation
2112   scheme, the new "sha256_96" proposal keyword has been introduced.
2113
2114 - Fixed IPComp in tunnel mode, stripping out the duplicated outer header. This
2115   change makes IPcomp tunnel mode connections incompatible with previous
2116   releases; disable compression on such tunnels.
2117
2118 - Fixed BEET mode connections on recent kernels by installing SAs with
2119   appropriate traffic selectors, based on a patch by Michael Rossberg.
2120
2121 - Using extensions (such as BEET mode) and crypto algorithms (such as twofish,
2122   serpent, sha256_96) allocated in the private use space now require that we
2123   know its meaning, i.e. we are talking to strongSwan. Use the new
2124   "charon.send_vendor_id" option in strongswan.conf to let the remote peer know
2125   this is the case.
2126
2127 - Experimental support for draft-eronen-ipsec-ikev2-eap-auth, where the
2128   responder omits public key authentication in favor of a mutual authentication
2129   method. To enable EAP-only authentication, set rightauth=eap on the responder
2130   to rely only on the MSK constructed AUTH payload. This not-yet standardized
2131   extension requires the strongSwan vendor ID introduced above.
2132
2133 - The IKEv1 daemon ignores the Juniper SRX notification type 40001, thus
2134   allowing interoperability.
2135
2136
2137 strongswan-4.3.5
2138 ----------------
2139
2140 - The IKEv1 pluto daemon can now use SQL-based address pools to deal out
2141   virtual IP addresses as a Mode Config server. The pool capability has been
2142   migrated from charon's sql plugin to a new attr-sql plugin which is loaded
2143   by libstrongswan and which can be used by both daemons either with a SQLite
2144   or MySQL database and the corresponding plugin.
2145
2146 - Plugin names have been streamlined: EAP plugins now have a dash after eap
2147   (e.g. eap-sim), as it is used with the --enable-eap-sim ./configure option.
2148   Plugin configuration sections in strongswan.conf now use the same name as the
2149   plugin itself (i.e. with a dash). Make sure to update "load" directives and
2150   the affected plugin sections in existing strongswan.conf files.
2151
2152 - The private/public key parsing and encoding has been split up into
2153   separate pkcs1, pgp, pem and dnskey plugins. The public key implementation
2154   plugins gmp, gcrypt and openssl can all make use of them.
2155
2156 - The EAP-AKA plugin can use different backends for USIM/quintuplet
2157   calculations, very similar to the EAP-SIM plugin. The existing 3GPP2 software
2158   implementation has been migrated to a separate plugin.
2159
2160 - The IKEv2 daemon charon gained basic PGP support. It can use locally installed
2161   peer certificates and can issue signatures based on RSA private keys.
2162
2163 - The new 'ipsec pki' tool provides a set of commands to maintain a public
2164   key infrastructure. It currently supports operations to create RSA and ECDSA
2165   private/public keys, calculate fingerprints and issue or verify certificates.
2166
2167 - Charon uses a monotonic time source for statistics and job queueing, behaving
2168   correctly if the system time changes (e.g. when using NTP).
2169
2170 - In addition to time based rekeying, charon supports IPsec SA lifetimes based
2171   on processed volume or number of packets. They new ipsec.conf parameters
2172   'lifetime' (an alias to 'keylife'), 'lifebytes' and 'lifepackets' handle
2173   SA timeouts, while the parameters 'margintime' (an alias to rekeymargin),
2174   'marginbytes' and 'marginpackets' trigger the rekeying before a SA expires.
2175   The existing parameter 'rekeyfuzz' affects all margins.
2176
2177 - If no CA/Gateway certificate is specified in the NetworkManager plugin,
2178   charon uses a set of trusted root certificates preinstalled by distributions.
2179   The directory containing CA certificates can be specified using the
2180   --with-nm-ca-dir=path configure option.
2181
2182 - Fixed the encoding of the Email relative distinguished name in left|rightid
2183   statements.
2184
2185 - Fixed the broken parsing of PKCS#7 wrapped certificates by the pluto daemon.
2186
2187 - Fixed smartcard-based authentication in the pluto daemon which was broken by
2188   the ECDSA support introduced with the 4.3.2 release.
2189
2190 - A patch contributed by Heiko Hund fixes mixed IPv6 in IPv4 and vice versa
2191   tunnels established with the IKEv1 pluto daemon.
2192
2193 - The pluto daemon now uses the libstrongswan x509 plugin for certificates and
2194   CRls and the struct id type was replaced by identification_t used by charon
2195   and the libstrongswan library.
2196
2197
2198 strongswan-4.3.4
2199 ----------------
2200
2201 - IKEv2 charon daemon ported to FreeBSD and Mac OS X. Installation details can
2202   be found on wiki.strongswan.org.
2203
2204 - ipsec statusall shows the number of bytes transmitted and received over
2205   ESP connections configured by the IKEv2 charon daemon.
2206
2207 - The IKEv2 charon daemon supports include files in ipsec.secrets.
2208
2209
2210 strongswan-4.3.3
2211 ----------------
2212
2213 - The configuration option --enable-integrity-test plus the strongswan.conf
2214   option libstrongswan.integrity_test = yes activate integrity tests
2215   of the IKE daemons charon and pluto, libstrongswan and all loaded
2216   plugins. Thus dynamic library misconfigurations and non-malicious file
2217   manipulations can be reliably detected.
2218
2219 - The new default setting libstrongswan.ecp_x_coordinate_only=yes allows
2220   IKEv1 interoperability with MS Windows using the ECP DH groups 19 and 20.
2221
2222 - The IKEv1 pluto daemon now supports the AES-CCM and AES-GCM ESP
2223   authenticated encryption algorithms.
2224
2225 - The IKEv1 pluto daemon now supports V4 OpenPGP keys.
2226
2227 - The RDN parser vulnerability discovered by Orange Labs research team
2228   was not completely fixed in version 4.3.2. Some more modifications
2229   had to be applied to the asn1_length() function to make it robust.
2230
2231
2232 strongswan-4.3.2
2233 ----------------
2234
2235 - The new gcrypt plugin provides symmetric cipher, hasher, RNG, Diffie-Hellman
2236   and RSA crypto primitives using the LGPL licensed GNU gcrypt library.
2237
2238 - libstrongswan features an integrated crypto selftest framework for registered
2239   algorithms. The test-vector plugin provides a first set of test vectors and
2240   allows pluto and charon to rely on tested crypto algorithms.
2241
2242 - pluto can now use all libstrongswan plugins with the exception of x509 and xcbc.
2243   Thanks to the openssl plugin, the ECP Diffie-Hellman groups 19, 20, 21, 25, and
2244   26 as well as ECDSA-256, ECDSA-384, and ECDSA-521 authentication can be used
2245   with IKEv1.
2246
2247 - Applying their fuzzing tool, the Orange Labs vulnerability research team found
2248   another two DoS vulnerabilities, one in the rather old ASN.1 parser of Relative
2249   Distinguished Names (RDNs) and a second one in the conversion of ASN.1 UTCTIME
2250   and GENERALIZEDTIME strings to a time_t value.
2251
2252
2253 strongswan-4.3.1
2254 ----------------
2255
2256 - The nm plugin now passes DNS/NBNS server information to NetworkManager,
2257   allowing a gateway administrator to set DNS/NBNS configuration on clients
2258   dynamically.
2259
2260 - The nm plugin also accepts CA certificates for gateway authentication. If
2261   a CA certificate is configured, strongSwan uses the entered gateway address
2262   as its identity, requiring the gateways certificate to contain the same as
2263   subjectAltName. This allows a gateway administrator to deploy the same
2264   certificates to Windows 7 and NetworkManager clients.
2265
2266 - The command ipsec purgeike deletes IKEv2 SAs that don't have a CHILD SA.
2267   The command ipsec down <conn>{n} deletes CHILD SA instance n of connection
2268   <conn> whereas ipsec down <conn>{*} deletes all CHILD SA instances.
2269   The command ipsec down <conn>[n] deletes IKE SA instance n of connection
2270   <conn> plus dependent CHILD SAs whereas ipsec down <conn>[*] deletes all
2271   IKE SA instances of connection <conn>.
2272
2273 - Fixed a regression introduced in 4.3.0 where EAP authentication calculated
2274   the AUTH payload incorrectly. Further, the EAP-MSCHAPv2 MSK key derivation
2275   has been updated to be compatible with the Windows 7 Release Candidate.
2276
2277 - Refactored installation of triggering policies. Routed policies are handled
2278   outside of IKE_SAs to keep them installed in any case. A tunnel gets
2279   established only once, even if initiation is delayed due network outages.
2280
2281 - Improved the handling of multiple acquire signals triggered by the kernel.
2282
2283 - Fixed two DoS vulnerabilities in the charon daemon that were discovered by
2284   fuzzing techniques: 1) Sending a malformed IKE_SA_INIT request leaved an
2285   incomplete state which caused a null pointer dereference if a subsequent
2286   CREATE_CHILD_SA request was sent. 2) Sending an IKE_AUTH request with either
2287   a missing TSi or TSr payload caused a null pointer dereference because the
2288   checks for TSi and TSr were interchanged. The IKEv2 fuzzer used was
2289   developed by the Orange Labs vulnerability research team. The tool was
2290   initially written by Gabriel Campana and is now maintained by Laurent Butti.
2291
2292 - Added support for AES counter mode in ESP in IKEv2 using the proposal
2293   keywords aes128ctr, aes192ctr and aes256ctr.
2294
2295 - Further progress in refactoring pluto: Use of the curl and ldap plugins
2296   for fetching crls and OCSP. Use of the random plugin to get keying material
2297   from /dev/random or /dev/urandom. Use of the openssl plugin as an alternative
2298   to the aes, des, sha1, sha2, and md5 plugins. The blowfish, twofish, and
2299   serpent encryption plugins are now optional and are not enabled by default.
2300
2301
2302 strongswan-4.3.0
2303 ----------------
2304
2305 - Support for the IKEv2 Multiple Authentication Exchanges extension (RFC4739).
2306   Initiators and responders can use several authentication rounds (e.g. RSA
2307   followed by EAP) to authenticate. The new ipsec.conf leftauth/rightauth and
2308   leftauth2/rightauth2 parameters define own authentication rounds or setup
2309   constraints for the remote peer. See the ipsec.conf man page for more details.
2310
2311 - If glibc printf hooks (register_printf_function) are not available,
2312   strongSwan can use the vstr string library to run on non-glibc systems.
2313
2314 - The IKEv2 charon daemon can now configure the ESP CAMELLIA-CBC cipher
2315   (esp=camellia128|192|256).
2316
2317 - Refactored the pluto and scepclient code to use basic functions (memory
2318   allocation, leak detective, chunk handling, printf_hooks, strongswan.conf
2319   attributes, ASN.1 parser, etc.) from the libstrongswan library.
2320
2321 - Up to two DNS and WINS servers to be sent via IKEv1 ModeConfig can be
2322   configured in the pluto section of strongswan.conf.
2323
2324
2325 strongswan-4.2.14
2326 -----------------
2327
2328 - The new server-side EAP RADIUS plugin (--enable-eap-radius)
2329   relays EAP messages to and from a RADIUS server. Successfully
2330   tested with with a freeradius server using EAP-MD5 and EAP-SIM.
2331
2332 - A vulnerability in the Dead Peer Detection (RFC 3706) code was found by
2333   Gerd v. Egidy <gerd.von.egidy@intra2net.com> of Intra2net AG affecting
2334   all Openswan and strongSwan releases. A malicious (or expired ISAKMP)
2335   R_U_THERE or R_U_THERE_ACK Dead Peer Detection packet can cause the
2336   pluto IKE daemon to crash and restart. No authentication or encryption
2337   is required to trigger this bug. One spoofed UDP packet can cause the
2338   pluto IKE daemon to restart and be unresponsive for a few seconds while
2339   restarting. This DPD null state vulnerability has been officially
2340   registered as CVE-2009-0790 and is fixed by this release.
2341
2342 - ASN.1 to time_t conversion caused a time wrap-around for
2343   dates after Jan 18 03:14:07 UTC 2038 on 32-bit platforms.
2344   As a workaround such dates are set to the maximum representable
2345   time, i.e. Jan 19 03:14:07 UTC 2038.
2346
2347 - Distinguished Names containing wildcards (*) are not sent in the
2348   IDr payload anymore.
2349
2350
2351 strongswan-4.2.13
2352 -----------------
2353
2354 - Fixed a use-after-free bug in the DPD timeout section of the
2355   IKEv1 pluto daemon which sporadically caused a segfault.
2356
2357 - Fixed a crash in the IKEv2 charon daemon occurring with
2358   mixed RAM-based and SQL-based virtual IP address pools.
2359
2360 - Fixed ASN.1 parsing of algorithmIdentifier objects where the
2361   parameters field is optional.
2362
2363 - Ported nm plugin to NetworkManager 7.1.
2364
2365
2366 strongswan-4.2.12
2367 -----------------
2368
2369 - Support of the EAP-MSCHAPv2 protocol enabled by the option
2370   --enable-eap-mschapv2. Requires the MD4 hash algorithm enabled
2371   either by --enable-md4 or --enable-openssl.
2372
2373 - Assignment of up to two DNS and up to two WINS servers to peers via
2374   the IKEv2 Configuration Payload (CP). The IPv4 or IPv6 nameserver
2375   addresses are defined in strongswan.conf.
2376
2377 - The strongSwan applet for the Gnome NetworkManager is now built and
2378   distributed as a separate tarball under the name NetworkManager-strongswan.
2379
2380
2381 strongswan-4.2.11
2382 -----------------
2383
2384 - Fixed ESP NULL encryption broken by the refactoring of keymat.c.
2385   Also introduced proper initialization and disposal of keying material.
2386
2387 - Fixed the missing listing of connection definitions in ipsec statusall
2388   broken by an unfortunate local variable overload.
2389
2390
2391 strongswan-4.2.10
2392 -----------------
2393
2394 - Several performance improvements to handle thousands of tunnels with almost
2395   linear upscaling. All relevant data structures have been replaced by faster
2396   counterparts with better lookup times.
2397
2398 - Better parallelization to run charon on multiple cores. Due to improved
2399   resource locking and other optimizations the daemon can take full
2400   advantage of 16 or even more cores.
2401
2402 - The load-tester plugin can use a NULL Diffie-Hellman group and simulate
2403   unique identities and certificates by signing peer certificates using a CA
2404   on the fly.
2405
2406 - The redesigned stroke in-memory IP pool handles leases. The "ipsec leases"
2407   command queries assigned leases.
2408
2409 - Added support for smartcards in charon by using the ENGINE API provided by
2410   OpenSSL, based on patches by Michael Roßberg.
2411
2412 - The Padlock plugin supports the hardware RNG found on VIA CPUs to provide a
2413   reliable source of randomness.
2414
2415 strongswan-4.2.9
2416 ----------------
2417
2418 - Flexible configuration of logging subsystem allowing to log to multiple
2419   syslog facilities or to files using fine-grained log levels for each target.
2420
2421 - Load testing plugin to do stress testing of the IKEv2 daemon against self
2422   or another host. Found and fixed issues during tests in the multi-threaded
2423   use of the OpenSSL plugin.
2424
2425 - Added profiling code to synchronization primitives to find bottlenecks if
2426   running on multiple cores. Found and fixed an issue where parts of the
2427   Diffie-Hellman calculation acquired an exclusive lock. This greatly improves
2428   parallelization to multiple cores.
2429
2430 - updown script invocation has been separated into a plugin of its own to
2431   further slim down the daemon core.
2432
2433 - Separated IKE_SA/CHILD_SA key derivation process into a closed system,
2434   allowing future implementations to use a secured environment in e.g. kernel
2435   memory or hardware.
2436
2437 - The kernel interface of charon has been modularized. XFRM NETLINK (default)
2438   and PFKEY (--enable-kernel-pfkey) interface plugins for the native IPsec
2439   stack of the Linux 2.6 kernel as well as a PFKEY interface for the KLIPS
2440   IPsec stack (--enable-kernel-klips) are provided.
2441
2442 - Basic Mobile IPv6 support has been introduced, securing Binding Update
2443   messages as well as tunneled traffic between Mobile Node and Home Agent.
2444   The installpolicy=no option allows peaceful cooperation with a dominant
2445   mip6d daemon and the new type=transport_proxy implements the special MIPv6
2446   IPsec transport proxy mode where the IKEv2 daemon uses the Care-of-Address
2447   but the IPsec SA is set up for the Home Address.
2448
2449 - Implemented migration of Mobile IPv6 connections using the KMADDRESS
2450   field contained in XFRM_MSG_MIGRATE messages sent by the mip6d daemon
2451   via the Linux 2.6.28 (or appropriately patched) kernel.
2452
2453
2454 strongswan-4.2.8
2455 ----------------
2456
2457 - IKEv2 charon daemon supports authentication based on raw public keys
2458   stored in the SQL database backend. The ipsec listpubkeys command
2459   lists the available raw public keys via the stroke interface.
2460
2461 - Several MOBIKE improvements: Detect changes in NAT mappings in DPD exchanges,
2462   handle events if kernel detects NAT mapping changes in UDP-encapsulated
2463   ESP packets (requires kernel patch), reuse old addresses in MOBIKE updates as
2464   long as possible and other fixes.
2465
2466 - Fixed a bug in addr_in_subnet() which caused insertion of wrong source
2467   routes for destination subnets having netwmasks not being a multiple of 8 bits.
2468   Thanks go to Wolfgang Steudel, TU Ilmenau for reporting this bug.
2469
2470
2471 strongswan-4.2.7
2472 ----------------
2473
2474 - Fixed a Denial-of-Service vulnerability where an IKE_SA_INIT message with
2475   a KE payload containing zeroes only can cause a crash of the IKEv2 charon
2476   daemon due to a NULL pointer returned by the mpz_export() function of the
2477   GNU Multiprecision Library (GMP). Thanks go to Mu Dynamics Research Labs
2478   for making us aware of this problem.
2479
2480 - The new agent plugin provides a private key implementation on top of an
2481   ssh-agent.
2482
2483 - The NetworkManager plugin has been extended to support certificate client
2484   authentication using RSA keys loaded from a file or using ssh-agent.
2485
2486 - Daemon capability dropping has been ported to libcap and must be enabled
2487   explicitly --with-capabilities=libcap. Future version will support the
2488   newer libcap2 library.
2489
2490 - ipsec listalgs lists the IKEv2 cryptografic algorithms registered with the
2491   charon keying daemon.
2492
2493
2494 strongswan-4.2.6
2495 ----------------
2496
2497 - A NetworkManager plugin allows GUI-based configuration of road-warrior
2498   clients in a simple way. It features X509 based gateway authentication
2499   and EAP client authentication, tunnel setup/teardown and storing passwords
2500   in the Gnome Keyring.
2501
2502 - A new EAP-GTC plugin implements draft-sheffer-ikev2-gtc-00.txt and allows
2503   username/password authentication against any PAM service on the gateway.
2504   The new EAP method interacts nicely with the NetworkManager plugin and allows
2505   client authentication against e.g. LDAP.
2506
2507 - Improved support for the EAP-Identity method. The new ipsec.conf eap_identity
2508   parameter defines an additional identity to pass to the server in EAP
2509   authentication.
2510
2511 - The "ipsec statusall" command now lists CA restrictions, EAP
2512   authentication types and EAP identities.
2513
2514 - Fixed two multithreading deadlocks occurring when starting up
2515   several hundred tunnels concurrently.
2516
2517 - Fixed the --enable-integrity-test configure option which
2518   computes a SHA-1 checksum over the libstrongswan library.
2519
2520
2521 strongswan-4.2.5
2522 ----------------
2523
2524 - Consistent logging of IKE and CHILD SAs at the audit (AUD) level.
2525
2526 - Improved the performance of the SQL-based virtual IP address pool
2527   by introducing an additional addresses table. The leases table
2528   storing only history information has become optional and can be
2529   disabled by setting charon.plugins.sql.lease_history = no in
2530   strongswan.conf.
2531
2532 - The XFRM_STATE_AF_UNSPEC flag added to xfrm.h allows IPv4-over-IPv6
2533   and IPv6-over-IPv4 tunnels with the 2.6.26 and later Linux kernels.
2534
2535 - management of different virtual IP pools for different
2536   network interfaces have become possible.
2537
2538 - fixed a bug which prevented the assignment of more than 256
2539   virtual IP addresses from a pool managed by an sql database.
2540
2541 - fixed a bug which did not delete own IPCOMP SAs in the kernel.
2542
2543
2544 strongswan-4.2.4
2545 ----------------
2546
2547 - Added statistics functions to ipsec pool --status and ipsec pool --leases
2548   and input validation checks to various ipsec pool commands.
2549
2550 - ipsec statusall now lists all loaded charon plugins and displays
2551   the negotiated IKEv2 cipher suite proposals.
2552
2553 - The openssl plugin supports the elliptic curve Diffie-Hellman groups
2554   19, 20, 21, 25, and 26.
2555
2556 - The openssl plugin supports ECDSA authentication using elliptic curve
2557   X.509 certificates.
2558
2559 - Fixed a bug in stroke which caused multiple charon threads to close
2560   the file descriptors during packet transfers over the stroke socket.
2561
2562 - ESP sequence numbers are now migrated in IPsec SA updates handled by
2563   MOBIKE. Works only with Linux kernels >= 2.6.17.
2564
2565
2566 strongswan-4.2.3
2567 ----------------
2568
2569 - Fixed the strongswan.conf path configuration problem that occurred when
2570   --sysconfig was not set explicitly in ./configure.
2571
2572 - Fixed a number of minor bugs that where discovered during the 4th
2573   IKEv2 interoperability workshop in San Antonio, TX.
2574
2575
2576 strongswan-4.2.2
2577 ----------------
2578
2579 - Plugins for libstrongswan and charon can optionally be loaded according
2580   to a configuration in strongswan.conf. Most components provide a
2581   "load = " option followed by a space separated list of plugins to load.
2582   This allows e.g. the fallback from a hardware crypto accelerator to
2583   to software-based crypto plugins.
2584
2585 - Charons SQL plugin has been extended by a virtual IP address pool.
2586   Configurations with a rightsourceip=%poolname setting query a SQLite or
2587   MySQL database for leases. The "ipsec pool" command helps in administrating
2588   the pool database. See ipsec pool --help for the available options
2589
2590 - The Authenticated Encryption Algorithms AES-CCM-8/12/16 and AES-GCM-8/12/16
2591   for ESP are now supported starting with the Linux 2.6.25 kernel. The
2592   syntax is e.g. esp=aes128ccm12 or esp=aes256gcm16.
2593
2594
2595 strongswan-4.2.1
2596 ----------------
2597
2598 - Support for "Hash and URL" encoded certificate payloads has been implemented
2599   in the IKEv2 daemon charon. Using the "certuribase" option of a CA section
2600   allows to assign a base URL to all certificates issued by the specified CA.
2601   The final URL is then built by concatenating that base and the hex encoded
2602   SHA1 hash of the DER encoded certificate. Note that this feature is disabled
2603   by default and must be enabled using the option "charon.hash_and_url".
2604
2605 - The IKEv2 daemon charon now supports the "uniqueids" option to close multiple
2606   IKE_SAs with the same peer. The option value "keep" prefers existing
2607   connection setups over new ones, where the value "replace" replaces existing
2608   connections.
2609
2610 - The crypto factory in libstrongswan additionally supports random number
2611   generators, plugins may provide other sources of randomness. The default
2612   plugin reads raw random data from /dev/(u)random.
2613
2614 - Extended the credential framework by a caching option to allow plugins
2615   persistent caching of fetched credentials. The "cachecrl" option has been
2616   re-implemented.
2617
2618 - The new trustchain verification introduced in 4.2.0 has been parallelized.
2619   Threads fetching CRL or OCSP information no longer block other threads.
2620
2621 - A new IKEv2 configuration attribute framework has been introduced allowing
2622   plugins to provide virtual IP addresses, and in the future, other
2623   configuration attribute services (e.g. DNS/WINS servers).
2624
2625 - The stroke plugin has been extended to provide virtual IP addresses from
2626   a pool defined in ipsec.conf. The "rightsourceip" parameter now accepts
2627   address pools in CIDR notation (e.g. 10.1.1.0/24). The parameter also accepts
2628   the value "%poolname", where "poolname" identifies a pool provided by a
2629   separate plugin.
2630
2631 - Fixed compilation on uClibc and a couple of other minor bugs.
2632
2633 - Set DPD defaults in ipsec starter to dpd_delay=30s and dpd_timeout=150s.
2634
2635 - The IKEv1 pluto daemon now supports the ESP encryption algorithm CAMELLIA
2636   with key lengths of 128, 192, and 256 bits, as well as the authentication
2637   algorithm AES_XCBC_MAC. Configuration example: esp=camellia192-aesxcbc.
2638
2639
2640 strongswan-4.2.0
2641 ----------------
2642
2643 - libstrongswan has been modularized to attach crypto algorithms,
2644   credential implementations (keys, certificates) and fetchers dynamically
2645   through plugins. Existing code has been ported to plugins:
2646     - RSA/Diffie-Hellman implementation using the GNU Multi Precision library
2647     - X509 certificate system supporting CRLs, OCSP and attribute certificates
2648     - Multiple plugins providing crypto algorithms in software
2649     - CURL and OpenLDAP fetcher
2650
2651 - libstrongswan gained a relational database API which uses pluggable database
2652   providers. Plugins for MySQL and SQLite are available.
2653
2654 - The IKEv2 keying daemon charon is more extensible. Generic plugins may provide
2655   connection configuration, credentials and EAP methods or control the daemon.
2656   Existing code has been ported to plugins:
2657     - EAP-AKA, EAP-SIM, EAP-MD5 and EAP-Identity
2658     - stroke configuration, credential and control (compatible to pluto)
2659     - XML bases management protocol to control and query the daemon
2660   The following new plugins are available:
2661     - An experimental SQL configuration, credential and logging plugin on
2662       top of either MySQL or SQLite
2663     - A unit testing plugin to run tests at daemon startup
2664
2665 - The authentication and credential framework in charon has been heavily
2666   refactored to support modular credential providers, proper
2667   CERTREQ/CERT payload exchanges and extensible authorization rules.
2668
2669 - The framework of strongSwan Manager has evolved to the web application
2670   framework libfast (FastCGI Application Server w/ Templates) and is usable
2671   by other applications.
2672
2673
2674 strongswan-4.1.11
2675 -----------------
2676
2677 - IKE rekeying in NAT situations did not inherit the NAT conditions
2678   to the rekeyed IKE_SA so that the UDP encapsulation was lost with
2679   the next CHILD_SA rekeying.
2680
2681 - Wrong type definition of the next_payload variable in id_payload.c
2682   caused an INVALID_SYNTAX error on PowerPC platforms.
2683
2684 - Implemented IKEv2 EAP-SIM server and client test modules that use
2685   triplets stored in a file. For details on the configuration see
2686   the scenario 'ikev2/rw-eap-sim-rsa'.
2687
2688
2689 strongswan-4.1.10
2690 -----------------
2691
2692 - Fixed error in the ordering of the certinfo_t records in the ocsp cache that
2693   caused multiple entries of the same serial number to be created.
2694
2695 - Implementation of a simple EAP-MD5 module which provides CHAP
2696   authentication. This may be interesting in conjunction with certificate
2697   based server authentication, as weak passwords can't be brute forced
2698   (in contradiction to traditional IKEv2 PSK).
2699
2700 - A complete software based implementation of EAP-AKA, using algorithms
2701   specified in 3GPP2 (S.S0055). This implementation does not use an USIM,
2702   but reads the secrets from ipsec.secrets. Make sure to read eap_aka.h
2703   before using it.
2704
2705 - Support for vendor specific EAP methods using Expanded EAP types. The
2706   interface to EAP modules has been slightly changed, so make sure to
2707   check the changes if you're already rolling your own modules.
2708
2709
2710 strongswan-4.1.9
2711 ----------------
2712
2713 - The default _updown script now dynamically inserts and removes ip6tables
2714   firewall rules if leftfirewall=yes is set in IPv6 connections. New IPv6
2715   net-net and roadwarrior (PSK/RSA) scenarios for both IKEv1 and IKEV2 were
2716   added.
2717
2718 - Implemented RFC4478 repeated authentication to force EAP/Virtual-IP clients
2719   to reestablish an IKE_SA within a given timeframe.
2720
2721 - strongSwan Manager supports configuration listing, initiation and termination
2722   of IKE and CHILD_SAs.
2723
2724 - Fixes and improvements to multithreading code.
2725
2726 - IKEv2 plugins have been renamed to libcharon-* to avoid naming conflicts.
2727   Make sure to remove the old plugins in $libexecdir/ipsec, otherwise they get
2728   loaded twice.
2729
2730
2731 strongswan-4.1.8
2732 ----------------
2733
2734 - Removed recursive pthread mutexes since uClibc doesn't support them.
2735
2736
2737 strongswan-4.1.7
2738 ----------------
2739
2740 - In NAT traversal situations and multiple queued Quick Modes,
2741   those pending connections inserted by auto=start after the
2742   port floating from 500 to 4500 were erroneously deleted.
2743
2744 - Added a "forceencaps" connection parameter to enforce UDP encapsulation
2745   to surmount restrictive firewalls. NAT detection payloads are faked to
2746   simulate a NAT situation and trick the other peer into NAT mode (IKEv2 only).
2747
2748 - Preview of strongSwan Manager, a web based configuration and monitoring
2749   application. It uses a new XML control interface to query the IKEv2 daemon
2750   (see https://wiki.strongswan.org/wiki/Manager).
2751
2752 - Experimental SQLite configuration backend which will provide the configuration
2753   interface for strongSwan Manager in future releases.
2754
2755 - Further improvements to MOBIKE support.
2756
2757
2758 strongswan-4.1.6
2759 ----------------
2760
2761 - Since some third party IKEv2 implementations run into
2762   problems with strongSwan announcing MOBIKE capability per
2763   default, MOBIKE can be disabled on a per-connection-basis
2764   using the mobike=no option. Whereas mobike=no disables the
2765   sending of the MOBIKE_SUPPORTED notification and the floating
2766   to UDP port 4500 with the IKE_AUTH request even if no NAT
2767   situation has been detected, strongSwan will still support
2768   MOBIKE acting as a responder.
2769
2770 - the default ipsec routing table plus its corresponding priority
2771   used for inserting source routes has been changed from 100 to 220.
2772   It can be configured using the --with-ipsec-routing-table and
2773   --with-ipsec-routing-table-prio options.
2774
2775 - the --enable-integrity-test configure option tests the
2776   integrity of the libstrongswan crypto code during the charon
2777   startup.
2778
2779 - the --disable-xauth-vid configure option disables the sending
2780   of the XAUTH vendor ID. This can be used as a workaround when
2781   interoperating with some Windows VPN clients that get into
2782   trouble upon reception of an XAUTH VID without eXtended
2783   AUTHentication having been configured.
2784
2785 - ipsec stroke now supports the rereadsecrets, rereadaacerts,
2786   rereadacerts, and listacerts options.
2787
2788
2789 strongswan-4.1.5
2790 ----------------
2791
2792 - If a DNS lookup failure occurs when resolving right=%<FQDN>
2793   or right=<FQDN> combined with rightallowany=yes then the
2794   connection is not updated by ipsec starter thus preventing
2795   the disruption of an active IPsec connection. Only if the DNS
2796   lookup successfully returns with a changed IP address the
2797   corresponding connection definition is updated.
2798
2799 - Routes installed by the keying daemons are now in a separate
2800   routing table with the ID 100 to avoid conflicts with the main
2801   table. Route lookup for IKEv2 traffic is done in userspace to ignore
2802   routes installed for IPsec, as IKE traffic shouldn't get encapsulated.
2803
2804
2805 strongswan-4.1.4
2806 ----------------
2807
2808 - The pluto IKEv1 daemon now exhibits the same behavior as its
2809   IKEv2 companion charon by inserting an explicit route via the
2810   _updown script only if a sourceip exists. This is admissible
2811   since routing through the IPsec tunnel is handled automatically
2812   by NETKEY's IPsec policies. As a consequence the left|rightnexthop
2813   parameter is not required any more.
2814
2815 - The new IKEv1 parameter right|leftallowany parameters helps to handle
2816   the case where both peers possess dynamic IP addresses that are
2817   usually resolved using DynDNS or a similar service. The configuration
2818
2819     right=peer.foo.bar
2820     rightallowany=yes
2821
2822   can be used by the initiator to start up a connection to a peer
2823   by resolving peer.foo.bar into the currently allocated IP address.
2824   Thanks to the rightallowany flag the connection behaves later on
2825   as
2826
2827     right=%any
2828
2829   so that the peer can rekey the connection as an initiator when his
2830   IP address changes. An alternative notation is
2831
2832     right=%peer.foo.bar
2833
2834   which will implicitly set rightallowany=yes.
2835
2836 - ipsec starter now fails more gracefully in the presence of parsing
2837   errors. Flawed ca and conn section are discarded and pluto is started
2838   if non-fatal errors only were encountered. If right=%peer.foo.bar
2839   cannot be resolved by DNS then right=%any will be used so that passive
2840   connections as a responder are still possible.
2841
2842 - The new pkcs11initargs parameter that can be placed in the
2843   setup config section of /etc/ipsec.conf allows the definition
2844   of an argument string that is used with the PKCS#11 C_Initialize()
2845   function. This non-standard feature is required by the NSS softoken
2846   library. This patch was contributed by Robert Varga.
2847
2848 - Fixed a bug in ipsec starter introduced by strongswan-2.8.5
2849   which caused a segmentation fault in the presence of unknown
2850   or misspelt keywords in ipsec.conf. This bug fix was contributed
2851   by Robert Varga.
2852
2853 - Partial support for MOBIKE in IKEv2. The initiator acts on interface/
2854   address configuration changes and updates IKE and IPsec SAs dynamically.
2855
2856
2857 strongswan-4.1.3
2858 ----------------
2859
2860 - IKEv2 peer configuration selection now can be based on a given
2861   certification authority using the rightca= statement.
2862
2863 - IKEv2 authentication based on RSA signatures now can handle multiple
2864   certificates issued for a given peer ID. This allows a smooth transition
2865   in the case of a peer certificate renewal.
2866
2867 - IKEv2: Support for requesting a specific virtual IP using leftsourceip on the
2868   client and returning requested virtual IPs using rightsourceip=%config
2869   on the server. If the server does not support configuration payloads, the
2870   client enforces its leftsourceip parameter.
2871
2872 - The ./configure options --with-uid/--with-gid allow pluto and charon
2873   to drop their privileges to a minimum and change to an other UID/GID. This
2874   improves the systems security, as a possible intruder may only get the
2875   CAP_NET_ADMIN capability.
2876
2877 - Further modularization of charon: Pluggable control interface and
2878   configuration backend modules provide extensibility. The control interface
2879   for stroke is included, and further interfaces using DBUS (NetworkManager)
2880   or XML are on the way. A backend for storing configurations in the daemon
2881   is provided and more advanced backends (using e.g. a database) are trivial
2882   to implement.
2883
2884 - Fixed a compilation failure in libfreeswan occurring with Linux kernel
2885   headers > 2.6.17.
2886
2887
2888 strongswan-4.1.2
2889 ----------------
2890
2891 - Support for an additional Diffie-Hellman exchange when creating/rekeying
2892   a CHILD_SA in IKEv2 (PFS). PFS is enabled when the proposal contains a
2893   DH group (e.g. "esp=aes128-sha1-modp1536"). Further, DH group negotiation
2894   is implemented properly for rekeying.
2895
2896 - Support for the AES-XCBC-96 MAC algorithm for IPsec SAs when using IKEv2
2897   (requires linux >= 2.6.20). It is enabled using e.g. "esp=aes256-aesxcbc".
2898
2899 - Working IPv4-in-IPv6 and IPv6-in-IPv4 tunnels for linux >= 2.6.21.
2900
2901 - Added support for EAP modules which do not establish an MSK.
2902
2903 - Removed the dependencies from the /usr/include/linux/ headers by
2904   including xfrm.h, ipsec.h, and pfkeyv2.h in the distribution.
2905
2906 - crlNumber is now listed by ipsec listcrls
2907
2908 - The xauth_modules.verify_secret() function now passes the
2909   connection name.
2910
2911
2912 strongswan-4.1.1
2913 ----------------
2914
2915 - Server side cookie support. If to may IKE_SAs are in CONNECTING state,
2916   cookies are enabled and protect against DoS attacks with faked source
2917   addresses. Number of IKE_SAs in CONNECTING state is also limited per
2918   peer address to avoid resource exhaustion. IKE_SA_INIT messages are
2919   compared to properly detect retransmissions and incoming retransmits are
2920   detected even if the IKE_SA is blocked (e.g. doing OCSP fetches).
2921
2922 - The IKEv2 daemon charon now supports dynamic http- and ldap-based CRL
2923   fetching enabled by crlcheckinterval > 0 and caching fetched CRLs
2924   enabled by cachecrls=yes.
2925
2926 - Added the configuration options --enable-nat-transport which enables
2927   the potentially insecure NAT traversal for IPsec transport mode and
2928   --disable-vendor-id which disables the sending of the strongSwan
2929   vendor ID.
2930
2931 - Fixed a long-standing bug in the pluto IKEv1 daemon which caused
2932   a segmentation fault if a malformed payload was detected in the
2933   IKE MR2 message and pluto tried to send an encrypted notification
2934   message.
2935
2936 - Added the NATT_IETF_02_N Vendor ID in order to support IKEv1 connections
2937   with Windows 2003 Server which uses a wrong VID hash.
2938
2939
2940 strongswan-4.1.0
2941 ----------------
2942
2943 - Support of SHA2_384 hash function for protecting IKEv1
2944   negotiations and support of SHA2 signatures in X.509 certificates.
2945
2946 - Fixed a serious bug in the computation of the SHA2-512 HMAC
2947   function. Introduced automatic self-test of all IKEv1 hash
2948   and hmac functions during pluto startup. Failure of a self-test
2949   currently issues a warning only but does not exit pluto [yet].
2950
2951 - Support for SHA2-256/384/512 PRF and HMAC functions in IKEv2.
2952
2953 - Full support of CA information sections. ipsec listcainfos
2954   now shows all collected crlDistributionPoints and OCSP
2955   accessLocations.
2956
2957 - Support of the Online Certificate Status Protocol (OCSP) for IKEv2.
2958   This feature requires the HTTP fetching capabilities of the libcurl
2959   library which must be enabled by setting the --enable-http configure
2960   option.
2961
2962 - Refactored core of the IKEv2 message processing code, allowing better
2963   code reuse and separation.
2964
2965 - Virtual IP support in IKEv2 using INTERNAL_IP4/6_ADDRESS configuration
2966   payload. Additionally, the INTERNAL_IP4/6_DNS attribute is interpreted
2967   by the requestor and installed in a resolv.conf file.
2968
2969 - The IKEv2 daemon charon installs a route for each IPsec policy to use
2970   the correct source address even if an application does not explicitly
2971   specify it.
2972
2973 - Integrated the EAP framework into charon which loads pluggable EAP library
2974   modules. The ipsec.conf parameter authby=eap initiates EAP authentication
2975   on the client side, while the "eap" parameter on the server side defines
2976   the EAP method to use for client authentication.
2977   A generic client side EAP-Identity module and an EAP-SIM authentication
2978   module using a third party card reader implementation are included.
2979
2980 - Added client side support for cookies.
2981
2982 - Integrated the fixes done at the IKEv2 interoperability bakeoff, including
2983   strict payload order, correct INVALID_KE_PAYLOAD rejection and other minor
2984   fixes to enhance interoperability with other implementations.
2985
2986
2987 strongswan-4.0.7
2988 ----------------
2989
2990 - strongSwan now interoperates with the NCP Secure Entry Client,
2991   the Shrew Soft VPN Client, and the Cisco VPN client, doing both
2992   XAUTH and Mode Config.
2993
2994 - UNITY attributes are now recognized and UNITY_BANNER is set
2995   to a default string.
2996
2997
2998 strongswan-4.0.6
2999 ----------------
3000
3001 - IKEv1: Support for extended authentication (XAUTH) in combination
3002   with ISAKMP Main Mode RSA or PSK authentication. Both client and
3003   server side were implemented. Handling of user credentials can
3004   be done by a run-time loadable XAUTH module. By default user
3005   credentials are stored in ipsec.secrets.
3006
3007 - IKEv2: Support for reauthentication when rekeying
3008
3009 - IKEv2: Support for transport mode
3010
3011 - fixed a lot of bugs related to byte order
3012
3013 - various other bugfixes
3014
3015
3016 strongswan-4.0.5
3017 ----------------
3018
3019 - IKEv1: Implementation of ModeConfig push mode via the new connection
3020   keyword modeconfig=push allows interoperability with Cisco VPN gateways.
3021
3022 - IKEv1: The command ipsec statusall now shows "DPD active" for all
3023   ISAKMP SAs that are under active Dead Peer Detection control.
3024
3025 - IKEv2: Charon's logging and debugging framework has been completely rewritten.
3026   Instead of logger, special printf() functions are used to directly
3027   print objects like hosts (%H) identifications (%D), certificates (%Q),
3028   etc. The number of debugging levels have been reduced to:
3029
3030     0 (audit), 1 (control), 2 (controlmore),  3 (raw), 4 (private)
3031
3032   The debugging levels can either be specified statically in ipsec.conf as
3033
3034     config setup
3035         charondebug="lib 1, cfg 3, net 2"
3036
3037   or changed at runtime via stroke as
3038
3039     ipsec stroke loglevel cfg 2
3040
3041
3042 strongswan-4.0.4
3043 ----------------
3044
3045 - Implemented full support for IPv6-in-IPv6 tunnels.
3046
3047 - Added configuration options for dead peer detection in IKEv2. dpd_action
3048   types "clear", "hold" and "restart" are supported. The dpd_timeout
3049   value is not used, as the normal retransmission policy applies to
3050   detect dead peers. The dpd_delay parameter enables sending of empty
3051   informational message to detect dead peers in case of inactivity.
3052
3053 - Added support for preshared keys in IKEv2. PSK keys configured in
3054   ipsec.secrets are loaded. The authby parameter specifies the authentication
3055   method to authenticate ourself, the other peer may use PSK or RSA.
3056
3057 - Changed retransmission policy to respect the keyingtries parameter.
3058
3059 - Added private key decryption. PEM keys encrypted with AES-128/192/256
3060   or 3DES are supported.
3061
3062 - Implemented DES/3DES algorithms in libstrongswan. 3DES can be used to
3063   encrypt IKE traffic.
3064
3065 - Implemented SHA-256/384/512 in libstrongswan, allows usage of certificates
3066   signed with such a hash algorithm.
3067
3068 - Added initial support for updown scripts. The actions up-host/client and
3069   down-host/client are executed. The leftfirewall=yes parameter
3070   uses the default updown script to insert dynamic firewall rules, a custom
3071   updown script may be specified with the leftupdown parameter.
3072
3073
3074 strongswan-4.0.3
3075 ----------------
3076
3077 - Added support for the auto=route ipsec.conf parameter and the
3078   ipsec route/unroute commands for IKEv2. This allows to set up IKE_SAs and
3079   CHILD_SAs dynamically on demand when traffic is detected by the
3080   kernel.
3081
3082 - Added support for rekeying IKE_SAs in IKEv2 using the ikelifetime parameter.
3083   As specified in IKEv2, no reauthentication is done (unlike in IKEv1), only
3084   new keys are generated using perfect forward secrecy. An optional flag
3085   which enforces reauthentication will be implemented later.
3086
3087 - "sha" and "sha1" are now treated as synonyms in the ike= and esp=
3088   algorithm configuration statements.
3089
3090
3091 strongswan-4.0.2
3092 ----------------
3093
3094 - Full X.509 certificate trust chain verification has been implemented.
3095   End entity certificates can be exchanged via CERT payloads. The current
3096   default is leftsendcert=always, since CERTREQ payloads are not supported
3097   yet. Optional CRLs must be imported locally into /etc/ipsec.d/crls.
3098
3099 - Added support for leftprotoport/rightprotoport parameters in IKEv2. IKEv2
3100   would offer more possibilities for traffic selection, but the Linux kernel
3101   currently does not support it. That's why we stick with these simple
3102   ipsec.conf rules for now.
3103
3104 - Added Dead Peer Detection (DPD) which checks liveliness of remote peer if no
3105   IKE or ESP traffic is received. DPD is currently hardcoded (dpdaction=clear,
3106   dpddelay=60s).
3107
3108 - Initial NAT traversal support in IKEv2. Charon includes NAT detection
3109   notify payloads to detect NAT routers between the peers. It switches
3110   to port 4500, uses UDP encapsulated ESP packets, handles peer address
3111   changes gracefully and sends keep alive message periodically.
3112
3113 - Reimplemented IKE_SA state machine for charon, which allows simultaneous
3114   rekeying, more shared code, cleaner design, proper retransmission
3115   and a more extensible code base.
3116
3117 - The mixed PSK/RSA roadwarrior detection capability introduced by the
3118   strongswan-2.7.0 release necessitated the pre-parsing of the IKE proposal
3119   payloads by the responder right before any defined IKE Main Mode state had
3120   been established. Although any form of bad proposal syntax was being correctly
3121   detected by the payload parser, the subsequent error handler didn't check
3122   the state pointer before logging current state information, causing an
3123   immediate crash of the pluto keying daemon due to a NULL pointer.
3124
3125
3126 strongswan-4.0.1
3127 ----------------
3128
3129 - Added algorithm selection to charon: New default algorithms for
3130   ike=aes128-sha-modp2048, as both daemons support it. The default
3131   for IPsec SAs is now esp=aes128-sha,3des-md5. charon handles
3132   the ike/esp parameter the same way as pluto. As this syntax does
3133   not allow specification of a pseudo random function, the same
3134   algorithm as for integrity is used (currently sha/md5). Supported
3135   algorithms for IKE:
3136     Encryption: aes128, aes192, aes256
3137     Integrity/PRF: md5, sha (using hmac)
3138     DH-Groups: modp768, 1024, 1536, 2048, 4096, 8192
3139   and for ESP:
3140     Encryption: aes128, aes192, aes256, 3des, blowfish128,
3141                 blowfish192, blowfish256
3142     Integrity: md5, sha1
3143   More IKE encryption algorithms will come after porting libcrypto into
3144   libstrongswan.
3145
3146 - initial support for rekeying CHILD_SAs using IKEv2. Currently no
3147   perfect forward secrecy is used. The rekeying parameters rekey,
3148   rekeymargin, rekeyfuzz and keylife from ipsec.conf are now supported
3149   when using IKEv2. WARNING: charon currently is unable to handle
3150   simultaneous rekeying. To avoid such a situation, use a large
3151   rekeyfuzz, or even better, set rekey=no on one peer.
3152
3153 - support for host2host, net2net, host2net (roadwarrior) tunnels
3154   using predefined RSA certificates (see uml scenarios for
3155   configuration examples).
3156
3157 - new build environment featuring autotools. Features such
3158   as HTTP, LDAP and smartcard support may be enabled using
3159   the ./configure script. Changing install directories
3160   is possible, too. See ./configure --help for more details.
3161
3162 - better integration of charon with ipsec starter, which allows
3163   (almost) transparent operation with both daemons. charon
3164   handles ipsec commands up, down, status, statusall, listall,
3165   listcerts and allows proper load, reload and delete of connections
3166   via ipsec starter.
3167
3168
3169 strongswan-4.0.0
3170 ----------------
3171
3172 - initial support of the IKEv2 protocol. Connections in
3173   ipsec.conf designated by keyexchange=ikev2 are negotiated
3174   by the new IKEv2 charon keying daemon whereas those marked
3175   by keyexchange=ikev1 or the default keyexchange=ike are
3176   handled thy the IKEv1 pluto keying daemon. Currently only
3177   a limited subset of functions are available with IKEv2
3178   (Default AES encryption, authentication based on locally
3179   imported X.509 certificates, unencrypted private RSA keys
3180   in PKCS#1 file format, limited functionality of the ipsec
3181   status command).
3182
3183
3184 strongswan-2.7.0
3185 ----------------
3186
3187 - the dynamic iptables rules from the _updown_x509 template
3188   for KLIPS and the _updown_policy template for NETKEY have
3189   been merged into the default _updown script. The existing
3190   left|rightfirewall keyword causes the automatic insertion
3191   and deletion of ACCEPT rules for tunneled traffic upon
3192   the successful setup and teardown of an IPsec SA, respectively.
3193   left|rightfirewall can be used with KLIPS under any Linux 2.4
3194   kernel or with NETKEY under a Linux kernel version >= 2.6.16
3195   in conjunction with iptables >= 1.3.5. For NETKEY under a Linux
3196   kernel version < 2.6.16 which does not support IPsec policy
3197   matching yet, please continue to use a copy of the _updown_espmark
3198   template loaded via the left|rightupdown keyword.
3199
3200 - a new left|righthostaccess keyword has been introduced which
3201   can be used in conjunction with left|rightfirewall and the
3202   default _updown script. By default leftfirewall=yes inserts
3203   a bi-directional iptables FORWARD rule for a local client network
3204   with a netmask different from 255.255.255.255 (single host).
3205   This does not allow to access the VPN gateway host via its
3206   internal network interface which is part of the client subnet
3207   because an iptables INPUT and OUTPUT rule would be required.
3208   lefthostaccess=yes will cause this additional ACCEPT rules to
3209   be inserted.
3210
3211 - mixed PSK|RSA roadwarriors are now supported. The ISAKMP proposal
3212   payload is preparsed in order to find out whether the roadwarrior
3213   requests PSK or RSA so that a matching connection candidate can
3214   be found.
3215
3216
3217 strongswan-2.6.4
3218 ----------------
3219
3220 - the new _updown_policy template allows ipsec policy based
3221   iptables firewall rules. Required are iptables version
3222   >= 1.3.5 and linux kernel >= 2.6.16. This script obsoletes
3223   the _updown_espmark template, so that no INPUT mangle rules
3224   are required any more.
3225
3226 - added support of DPD restart mode
3227
3228 - ipsec starter now allows the use of wildcards in include
3229   statements as e.g. in "include /etc/my_ipsec/*.conf".
3230   Patch courtesy of Matthias Haas.
3231
3232 - the Netscape OID 'employeeNumber' is now recognized and can be
3233   used as a Relative Distinguished Name in certificates.
3234
3235
3236 strongswan-2.6.3
3237 ----------------
3238
3239 - /etc/init.d/ipsec or /etc/rc.d/ipsec is now a copy of the ipsec
3240   command and not of ipsec setup any more.
3241
3242 - ipsec starter now supports AH authentication in conjunction with
3243   ESP encryption. AH authentication is configured in ipsec.conf
3244   via the auth=ah parameter.
3245
3246 - The command ipsec scencrypt|scdecrypt <args> is now an alias for
3247   ipsec whack --scencrypt|scdecrypt <args>.
3248
3249 - get_sa_info() now determines for the native netkey IPsec stack
3250   the exact time of the last use of an active eroute. This information
3251   is used by the Dead Peer Detection algorithm and is also displayed by
3252   the ipsec status command.
3253
3254
3255 strongswan-2.6.2
3256 ----------------
3257
3258 - running under the native Linux 2.6 IPsec stack, the function
3259   get_sa_info() is called by ipsec auto --status to display the current
3260   number of transmitted bytes per IPsec SA.
3261
3262 - get_sa_info() is also used  by the Dead Peer Detection process to detect
3263   recent ESP activity. If ESP traffic was received from the peer within
3264   the last dpd_delay interval then no R_Y_THERE notification must be sent.
3265
3266 - strongSwan now supports the Relative Distinguished Name "unstructuredName"
3267   in ID_DER_ASN1_DN identities. The following notations are possible:
3268
3269     rightid="unstructuredName=John Doe"
3270     rightid="UN=John Doe"
3271
3272 - fixed a long-standing bug which caused PSK-based roadwarrior connections
3273   to segfault in the function id.c:same_id() called by keys.c:get_secret()
3274   if an FQDN, USER_FQDN, or Key ID was defined, as in the following example.
3275
3276   conn rw
3277       right=%any
3278       rightid=@foo.bar
3279       authby=secret
3280
3281 - the ipsec command now supports most ipsec auto commands (e.g. ipsec listall).
3282
3283 - ipsec starter didn't set host_addr and client.addr ports in whack msg.
3284
3285 - in order to guarantee backwards-compatibility with the script-based
3286   auto function (e.g. auto --replace), the ipsec starter scripts stores
3287   the defaultroute information in the temporary file /var/run/ipsec.info.
3288
3289 - The compile-time option USE_XAUTH_VID enables the sending of the XAUTH
3290   Vendor ID which is expected by Cisco PIX 7 boxes that act as IKE Mode Config
3291   servers.
3292
3293 - the ipsec starter now also recognizes the parameters authby=never and
3294   type=passthrough|pass|drop|reject.
3295
3296
3297 strongswan-2.6.1
3298 ----------------
3299
3300 - ipsec starter now supports the also parameter which allows
3301   a modular structure of the connection definitions. Thus
3302   "ipsec start" is now ready to replace "ipsec setup".
3303
3304
3305 strongswan-2.6.0
3306 ----------------
3307
3308 - Mathieu Lafon's popular ipsec starter tool has been added to the
3309   strongSwan distribution. Many thanks go to Stephan Scholz from astaro
3310   for his integration work. ipsec starter is a C program which is going
3311   to replace the various shell and awk starter scripts (setup, _plutoload,
3312   _plutostart, _realsetup, _startklips, _confread, and auto). Since
3313   ipsec.conf is now parsed only once, the starting of multiple tunnels is
3314   accelerated tremendously.
3315
3316 - Added support of %defaultroute to the ipsec starter. If the IP address
3317   changes, a HUP signal to the ipsec starter will automatically
3318   reload pluto's connections.
3319
3320 - moved most compile time configurations from pluto/Makefile to
3321   Makefile.inc by defining the options USE_LIBCURL, USE_LDAP,
3322   USE_SMARTCARD, and USE_NAT_TRAVERSAL_TRANSPORT_MODE.
3323
3324 - removed the ipsec verify and ipsec newhostkey commands
3325
3326 - fixed some 64-bit issues in formatted print statements
3327
3328 - The scepclient functionality implementing the Simple Certificate
3329   Enrollment Protocol (SCEP) is nearly complete but hasn't been
3330   documented yet.
3331
3332
3333 strongswan-2.5.7
3334 ----------------
3335
3336 - CA certificates are now automatically loaded from a smartcard
3337   or USB crypto token and appear in the ipsec auto --listcacerts
3338   listing.
3339
3340
3341 strongswan-2.5.6
3342 ----------------
3343
3344 - when using "ipsec whack --scencrypt <data>" with  a PKCS#11
3345   library that does not support the C_Encrypt() Cryptoki
3346   function (e.g. OpenSC), the RSA encryption is done in
3347   software using the public key fetched from the smartcard.
3348
3349 - The scepclient function now allows to define the
3350   validity of a self-signed certificate using the --days,
3351   --startdate, and --enddate options. The default validity
3352   has been changed from one year to five years.
3353
3354
3355 strongswan-2.5.5
3356 ----------------
3357
3358 - the config setup parameter pkcs11proxy=yes opens pluto's PKCS#11
3359   interface to other applications for RSA encryption and decryption
3360   via the whack interface. Notation:
3361
3362   ipsec whack --scencrypt <data>
3363              [--inbase  16|hex|64|base64|256|text|ascii]
3364              [--outbase 16|hex|64|base64|256|text|ascii]
3365              [--keyid <keyid>]
3366
3367   ipsec whack --scdecrypt <data>
3368              [--inbase  16|hex|64|base64|256|text|ascii]
3369              [--outbase 16|hex|64|base64|256|text|ascii]
3370              [--keyid <keyid>]
3371
3372   The default setting for inbase and outbase is hex.
3373
3374   The new proxy interface can be used for securing symmetric
3375   encryption keys required by the cryptoloop or dm-crypt
3376   disk encryption schemes, especially in the case when
3377   pkcs11keepstate=yes causes pluto to lock the pkcs11 slot
3378   permanently.
3379
3380 - if the file /etc/ipsec.secrets is lacking during the startup of
3381   pluto then the root-readable file /etc/ipsec.d/private/myKey.der
3382   containing a 2048 bit RSA private key and a matching self-signed
3383   certificate stored in the file /etc/ipsec.d/certs/selfCert.der
3384   is automatically generated by calling the function
3385
3386   ipsec scepclient --out pkcs1 --out cert-self
3387
3388   scepclient was written by Jan Hutter and Martin Willi, students
3389   at the University of Applied Sciences in Rapperswil, Switzerland.
3390
3391
3392 strongswan-2.5.4
3393 ----------------
3394
3395 - the current extension of the PKCS#7 framework introduced
3396   a parsing error in PKCS#7 wrapped X.509 certificates that are
3397   e.g. transmitted by Windows XP when multi-level CAs are used.
3398   the parsing syntax has been fixed.
3399
3400 - added a patch by Gerald Richter which tolerates multiple occurrences
3401   of the ipsec0 interface when using KLIPS.
3402
3403
3404 strongswan-2.5.3
3405 ----------------
3406
3407 - with gawk-3.1.4 the word "default2 has become a protected
3408   keyword for use in switch statements and cannot be used any
3409   more in the strongSwan scripts. This problem has been
3410   solved by renaming "default" to "defaults" and "setdefault"
3411   in the scripts _confread and auto, respectively.
3412
3413 - introduced the parameter leftsendcert with the values
3414
3415   always|yes (the default, always send a cert)
3416   ifasked    (send the cert only upon a cert request)
3417   never|no   (never send a cert, used for raw RSA keys and
3418               self-signed certs)
3419
3420 - fixed the initialization of the ESP key length to a default of
3421   128 bits in the case that the peer does not send a key length
3422   attribute for AES encryption.
3423
3424 - applied Herbert Xu's uniqueIDs patch
3425
3426 - applied Herbert Xu's CLOEXEC patches
3427
3428
3429 strongswan-2.5.2
3430 ----------------
3431
3432 - CRLs can now be cached also in the case when the issuer's
3433   certificate does not contain a subjectKeyIdentifier field.
3434   In that case the subjectKeyIdentifier is computed by pluto as the
3435   160 bit SHA-1 hash of the issuer's public key in compliance
3436   with section 4.2.1.2 of RFC 3280.
3437
3438 - Fixed a bug introduced by strongswan-2.5.1 which eliminated
3439   not only multiple Quick Modes of a given connection but also
3440   multiple connections between two security gateways.
3441
3442
3443 strongswan-2.5.1
3444 ----------------
3445
3446 - Under the native IPsec of the Linux 2.6 kernel, a %trap eroute
3447   installed either by setting auto=route in ipsec.conf or by
3448   a connection put into hold, generates an XFRM_ACQUIRE event
3449   for each packet that wants to use the not-yet existing
3450   tunnel. Up to now each XFRM_ACQUIRE event led to an entry in
3451   the Quick Mode queue, causing multiple IPsec SA to be
3452   established in rapid succession. Starting with strongswan-2.5.1
3453   only a single IPsec SA is established per host-pair connection.
3454
3455 - Right after loading the PKCS#11 module, all smartcard slots are
3456   searched for certificates. The result can be viewed using
3457   the command
3458
3459     ipsec auto --listcards
3460
3461   The certificate objects found in the slots are numbered
3462   starting with #1, #2, etc. This position number can be used to address
3463   certificates (leftcert=%smartcard) and keys (: PIN %smartcard)
3464   in ipsec.conf and ipsec.secrets, respectively:
3465
3466     %smartcard      (selects object #1)
3467     %smartcard#1    (selects object #1)
3468     %smartcard#3    (selects object #3)
3469
3470   As an alternative the existing retrieval scheme can be used:
3471
3472     %smartcard:45   (selects object with id=45)
3473     %smartcard0     (selects first object in slot 0)
3474     %smartcard4:45  (selects object in slot 4 with id=45)
3475
3476 - Depending on the settings of CKA_SIGN and CKA_DECRYPT
3477   private key flags either C_Sign() or C_Decrypt() is used
3478   to generate a signature.
3479
3480 - The output buffer length parameter siglen in C_Sign()
3481   is now initialized to the actual size of the output
3482   buffer prior to the function call. This fixes the
3483   CKR_BUFFER_TOO_SMALL error that could occur when using
3484   the OpenSC PKCS#11 module.
3485
3486 - Changed the initialization of the PKCS#11 CK_MECHANISM in
3487   C_SignInit() to mech  = { CKM_RSA_PKCS, NULL_PTR, 0 }.
3488
3489 - Refactored the RSA public/private key code and transferred it
3490   from keys.c to the new pkcs1.c file as a preparatory step
3491   towards the release of the SCEP client.
3492
3493
3494 strongswan-2.5.0
3495 ----------------
3496
3497 - The loading of a PKCS#11 smartcard library module during
3498   runtime does not require OpenSC library functions any more
3499   because the corresponding code has been integrated into
3500   smartcard.c. Also the RSAREF pkcs11 header files have been
3501   included in a newly created pluto/rsaref directory so that
3502   no external include path has to be defined any longer.
3503
3504 - A long-awaited feature has been implemented at last:
3505   The local caching of CRLs fetched via HTTP or LDAP, activated
3506   by the parameter cachecrls=yes in the config setup section
3507   of ipsec.conf. The dynamically fetched CRLs are stored under
3508   a unique file name containing the issuer's subjectKeyID
3509   in /etc/ipsec.d/crls.
3510
3511 - Applied a one-line patch courtesy of Michael Richardson
3512   from the Openswan project which fixes the kernel-oops
3513   in KLIPS when an snmp daemon is running on the same box.
3514
3515
3516 strongswan-2.4.4
3517 ----------------
3518
3519 - Eliminated null length CRL distribution point strings.
3520
3521 - Fixed a trust path evaluation bug introduced with 2.4.3
3522
3523
3524 strongswan-2.4.3
3525 ----------------
3526
3527 - Improved the joint OCSP / CRL revocation policy.
3528   OCSP responses have precedence over CRL entries.
3529
3530 - Introduced support of CRLv2 reason codes.
3531
3532 - Fixed a bug with key-pad equipped readers which caused
3533   pluto to prompt for the pin via the console when the first
3534   occasion to enter the pin via the key-pad was missed.
3535
3536 - When pluto is built with LDAP_V3 enabled, the library
3537   liblber required by newer versions of openldap is now
3538   included.
3539
3540
3541 strongswan-2.4.2
3542 ----------------
3543
3544 - Added the _updown_espmark template which requires all
3545   incoming ESP traffic to be marked with a default mark
3546   value of 50.
3547
3548 - Introduced the pkcs11keepstate parameter in the config setup
3549   section of ipsec.conf. With pkcs11keepstate=yes the PKCS#11
3550   session and login states are kept as long as possible during
3551   the lifetime of pluto. This means that a PIN entry via a key
3552   pad has to be done only once.
3553
3554 - Introduced the pkcs11module parameter in the config setup
3555   section of ipsec.conf which specifies the PKCS#11 module
3556   to be used with smart cards. Example:
3557
3558     pkcs11module=/usr/lib/pkcs11/opensc-pkcs11.lo
3559
3560 - Added support of smartcard readers equipped with a PIN pad.
3561
3562 - Added patch by Jay Pfeifer which detects when netkey
3563   modules have been statically built into the Linux 2.6 kernel.
3564
3565 - Added two patches by Herbert Xu. The first uses ip xfrm
3566   instead of setkey to flush the IPsec policy database. The
3567   second sets the optional flag in inbound IPComp SAs only.
3568
3569 - Applied Ulrich Weber's patch which fixes an interoperability
3570   problem between native IPsec and KLIPS systems caused by
3571   setting the replay window to 32 instead of 0 for ipcomp.
3572
3573
3574 strongswan-2.4.1
3575 ----------------
3576
3577 - Fixed a bug which caused an unwanted Mode Config request
3578   to be initiated in the case where "right" was used to denote
3579   the local side in ipsec.conf and "left" the remote side,
3580   contrary to the recommendation that "right" be remote and
3581   "left" be"local".
3582
3583
3584 strongswan-2.4.0a
3585 -----------------
3586
3587 - updated Vendor ID to strongSwan-2.4.0
3588
3589 - updated copyright statement to include David Buechi and
3590   Michael Meier
3591
3592
3593 strongswan-2.4.0
3594 ----------------
3595
3596 - strongSwan now communicates with attached smartcards and
3597   USB crypto tokens via the standardized PKCS #11 interface.
3598   By default the OpenSC library from www.opensc.org is used
3599   but any other PKCS#11 library could be dynamically linked.
3600   strongSwan's PKCS#11 API was implemented by David Buechi
3601   and Michael Meier, both graduates of the Zurich University
3602   of Applied Sciences in Winterthur, Switzerland.
3603
3604 - When a %trap eroute is triggered by an outgoing IP packet
3605   then the native IPsec stack of the Linux 2.6 kernel [often/
3606   always?] returns an XFRM_ACQUIRE message with an undefined
3607   protocol family field and the connection setup fails.
3608   As a workaround IPv4 (AF_INET) is now assumed.
3609
3610 - the results of the UML test scenarios are now enhanced
3611   with block diagrams of the virtual network topology used
3612   in a particular test.
3613
3614
3615 strongswan-2.3.2
3616 ----------------
3617
3618 - fixed IV used to decrypt informational messages.
3619   This bug was introduced with Mode Config functionality.
3620
3621 - fixed NCP Vendor ID.
3622
3623 - undid one of Ulrich Weber's maximum udp size patches
3624   because it caused a segmentation fault with NAT-ed
3625   Delete SA messages.
3626
3627 - added UML scenarios wildcards and attr-cert which
3628   demonstrate the implementation of IPsec policies based
3629   on wildcard parameters contained in Distinguished Names and
3630   on X.509 attribute certificates, respectively.
3631
3632
3633 strongswan-2.3.1
3634 ----------------
3635
3636 - Added basic Mode Config functionality
3637
3638 - Added Mathieu Lafon's patch which upgrades the status of
3639   the NAT-Traversal implementation to RFC 3947.
3640
3641 - The _startklips script now also loads the xfrm4_tunnel
3642   module.
3643
3644 - Added Ulrich Weber's netlink replay window size and
3645   maximum udp size patches.
3646
3647 - UML testing now uses the Linux 2.6.10 UML kernel by default.
3648
3649
3650 strongswan-2.3.0
3651 ----------------
3652
3653 - Eric Marchionni and Patrik Rayo, both recent graduates from
3654   the Zuercher Hochschule Winterthur in Switzerland, created a
3655   User-Mode-Linux test setup for strongSwan. For more details
3656   please read the INSTALL and README documents in the testing
3657   subdirectory.
3658
3659 - Full support of group attributes based on X.509 attribute
3660   certificates. Attribute certificates can be generated
3661   using the openac facility. For more details see
3662
3663   man ipsec_openac.
3664
3665   The group attributes can be used in connection definitions
3666   in order to give IPsec access to specific user groups.
3667   This is done with the new parameter left|rightgroups as in
3668
3669   rightgroups="Research, Sales"
3670
3671   giving access to users possessing the group attributes
3672   Research or Sales, only.
3673
3674 - In Quick Mode clients with subnet mask /32 are now
3675   coded as IP_V4_ADDRESS or IP_V6_ADDRESS. This should
3676   fix rekeying problems with the SafeNet/SoftRemote and NCP
3677   Secure Entry Clients.
3678
3679 - Changed the defaults of the ikelifetime and keylife parameters
3680   to 3h and 1h, respectively. The maximum allowable values are
3681   now both set to 24 h.
3682
3683 - Suppressed notification wars between two IPsec peers that
3684   could e.g. be triggered by incorrect ISAKMP encryption.
3685
3686 - Public RSA keys can now have identical IDs if either the
3687   issuing CA or the serial number is different. The serial
3688   number of a certificate is now shown by the command
3689
3690   ipsec auto --listpubkeys
3691
3692
3693 strongswan-2.2.2
3694 ----------------
3695
3696 - Added Tuomo Soini's sourceip feature which allows a strongSwan
3697   roadwarrior to use a fixed Virtual IP (see README section 2.6)
3698   and reduces the well-known four tunnel case on VPN gateways to
3699   a single tunnel definition (see README section 2.4).
3700
3701 - Fixed a bug occurring with NAT-Traversal enabled when the responder
3702   suddenly turns initiator and the initiator cannot find a matching
3703   connection because of the floated IKE port 4500.
3704
3705 - Removed misleading ipsec verify command from barf.
3706
3707 - Running under the native IP stack, ipsec --version now shows
3708   the Linux kernel version (courtesy to the Openswan project).
3709
3710
3711 strongswan-2.2.1
3712 ----------------
3713
3714 - Introduced the ipsec auto --listalgs monitoring command which lists
3715   all currently registered IKE and ESP algorithms.
3716
3717 - Fixed a bug in the ESP algorithm selection occurring when the strict flag
3718   is set and the first proposed transform does not match.
3719
3720 - Fixed another deadlock in the use of the lock_certs_and_keys() mutex,
3721   occurring when a smartcard is present.
3722
3723 - Prevented that a superseded Phase1 state can trigger a DPD_TIMEOUT event.
3724
3725 - Fixed the printing of the notification names (null)
3726
3727 - Applied another of Herbert Xu's Netlink patches.
3728
3729
3730 strongswan-2.2.0
3731 ----------------
3732
3733 - Support of Dead Peer Detection. The connection parameter
3734
3735     dpdaction=clear|hold
3736
3737   activates DPD for the given connection.
3738
3739 - The default Opportunistic Encryption (OE) policy groups are not
3740   automatically included anymore. Those wishing to activate OE can include
3741   the policy group with the following statement in ipsec.conf:
3742
3743     include /etc/ipsec.d/examples/oe.conf
3744
3745   The default for [right|left]rsasigkey is now set to %cert.
3746
3747 - strongSwan now has a Vendor ID of its own which can be activated
3748   using the compile option VENDORID
3749
3750 - Applied Herbert Xu's patch which sets the compression algorithm correctly.
3751
3752 - Applied Herbert Xu's patch fixing an ESPINUDP problem
3753
3754 - Applied Herbert Xu's patch setting source/destination port numbers.
3755
3756 - Reapplied one of Herbert Xu's NAT-Traversal patches which got
3757   lost during the migration from SuperFreeS/WAN.
3758
3759 - Fixed a deadlock in the use of the lock_certs_and_keys() mutex.
3760
3761 - Fixed the unsharing of alg parameters when instantiating group
3762   connection.
3763
3764
3765 strongswan-2.1.5
3766 ----------------
3767
3768 - Thomas Walpuski made me aware of a potential DoS attack via
3769   a PKCS#7-wrapped certificate bundle which could overwrite valid CA
3770   certificates in Pluto's authority certificate store. This vulnerability
3771   was fixed by establishing trust in CA candidate certificates up to a
3772   trusted root CA prior to insertion into Pluto's chained list.
3773
3774 - replaced the --assign option by the -v option in the auto awk script
3775   in order to make it run with mawk under debian/woody.
3776
3777
3778 strongswan-2.1.4
3779 ----------------
3780
3781 - Split of the status information between ipsec auto  --status (concise)
3782   and ipsec auto --statusall (verbose). Both commands can be used with
3783   an optional connection selector:
3784
3785     ipsec auto --status[all] <connection_name>
3786
3787 - Added the description of X.509 related features to the ipsec_auto(8)
3788   man page.
3789
3790 - Hardened the ASN.1 parser in debug mode, especially the printing
3791   of malformed distinguished names.
3792
3793 - The size of an RSA public key received in a certificate is now restricted to
3794
3795     512 bits <= modulus length <= 8192 bits.
3796
3797 - Fixed the debug mode enumeration.
3798
3799
3800 strongswan-2.1.3
3801 ----------------
3802
3803 - Fixed another PKCS#7 vulnerability which could lead to an
3804   endless loop while following the X.509 trust chain.
3805
3806
3807 strongswan-2.1.2
3808 ----------------
3809
3810 - Fixed the PKCS#7 vulnerability discovered by Thomas Walpuski
3811   that accepted end certificates having identical issuer and subject
3812   distinguished names in a multi-tier X.509 trust chain.
3813
3814
3815 strongswan-2.1.1
3816 ----------------
3817
3818 - Removed all remaining references to ipsec_netlink.h in KLIPS.
3819
3820
3821 strongswan-2.1.0
3822 ----------------
3823
3824 - The new "ca" section allows to define the following parameters:
3825
3826   ca kool
3827       cacert=koolCA.pem                   # cacert of kool CA
3828       ocspuri=http://ocsp.kool.net:8001   # ocsp server
3829       ldapserver=ldap.kool.net            # default ldap server
3830       crluri=http://www.kool.net/kool.crl # crl distribution point
3831       crluri2="ldap:///O=Kool, C= .."     # crl distribution point #2
3832       auto=add                            # add, ignore
3833
3834   The ca definitions can be monitored via the command
3835
3836     ipsec auto --listcainfos
3837
3838 - Fixed cosmetic corruption of /proc filesystem by integrating
3839   D. Hugh Redelmeier's freeswan-2.06 kernel fixes.
3840
3841
3842 strongswan-2.0.2
3843 ----------------
3844
3845 - Added support for the 818043 NAT-Traversal update of Microsoft's
3846   Windows 2000/XP IPsec client which sends an ID_FQDN during Quick Mode.
3847
3848 - A symbolic link to libcrypto is now added in the kernel sources
3849   during kernel compilation
3850
3851 - Fixed a couple of 64 bit issues (mostly casts to int).
3852   Thanks to Ken Bantoft who checked my sources on a 64 bit platform.
3853
3854 - Replaced s[n]printf() statements in the kernel by ipsec_snprintf().
3855   Credits go to D. Hugh Redelmeier, Michael Richardson, and Sam Sgro
3856   of the FreeS/WAN team who solved this problem with the 2.4.25 kernel.
3857
3858
3859 strongswan-2.0.1
3860 ----------------
3861
3862 - an empty ASN.1 SEQUENCE OF or SET OF object (e.g. a subjectAltName
3863   certificate extension which contains no generalName item)  can cause
3864   a pluto crash. This bug has been fixed. Additionally the ASN.1 parser has
3865   been hardened to make it more robust against malformed ASN.1 objects.
3866
3867 - applied Herbert Xu's NAT-T patches which fixes NAT-T under the native
3868   Linux 2.6 IPsec stack.
3869
3870
3871 strongswan-2.0.0
3872 ----------------
3873
3874 - based on freeswan-2.04, x509-1.5.3, nat-0.6c, alg-0.8.1rc12