removed IKE_SA (%K) and CHILD_SA (%P) printf handlers, 3 more to go
[strongswan.git] / NEWS
diff --git a/NEWS b/NEWS
index 1755205..ab92d22 100644 (file)
--- a/NEWS
+++ b/NEWS
@@ -1,3 +1,31 @@
+strongswan-4.1.1
+----------------
+
+- Server side cookie support. If to may IKE_SAs are in CONNECTING state,
+  cookies are enabled and protect against DoS attacks with faked source
+  addresses. Number of IKE_SAs in CONNECTING state is also limited per
+  peer address to avoid resource exhaustion. IKE_SA_INIT messages are
+  compared to properly detect retransmissions and incoming retransmits are
+  detected even if the IKE_SA is blocked (e.g. doing OCSP fetches).
+
+- The IKEv2 daemon charon now supports dynamic http- and ldap-based CRL
+  fetching enabled by crlcheckinterval > 0 and caching fetched CRLs
+  enabled by cachecrls=yes.
+
+- Added the configuration options --enable-nat-transport which enables
+  the potentially insecure NAT traversal for IPsec transport mode and
+  --disable-vendor-id which disables the sending of the strongSwan
+  vendor ID.
+
+- Fixed a long-standing bug in the pluto IKEv1 daemon which caused
+  a segmentation fault if a malformed payload was detected in the
+  IKE MR2 message and pluto tried to send an encrypted notification
+  message.
+
+- Added the NATT_IETF_02_N Vendor ID in order to support IKEv1 connections
+  with Windows 2003 Server which uses a wrong VID hash.
+
+
 strongswan-4.1.0
 ----------------
 
@@ -9,10 +37,40 @@ strongswan-4.1.0
   and hmac functions during pluto startup. Failure of a self-test
   currently issues a warning only but does not exit pluto [yet].
 
+- Support for SHA2-256/384/512 PRF and HMAC functions in IKEv2.
+
 - Full support of CA information sections. ipsec listcainfos
   now shows all collected crlDistributionPoints and OCSP 
   accessLocations.
 
+- Support of the Online Certificate Status Protocol (OCSP) for IKEv2.
+  This feature requires the HTTP fetching capabilities of the libcurl
+  library which must be enabled by setting the --enable-http configure
+  option.
+
+- Refactored core of the IKEv2 message processing code, allowing better
+  code reuse and separation.
+
+- Virtual IP support in IKEv2 using INTERNAL_IP4/6_ADDRESS configuration
+  payload. Additionally, the INTERNAL_IP4/6_DNS attribute is interpreted
+  by the requestor and installed in a resolv.conf file.
+
+- The IKEv2 daemon charon installs a route for each IPsec policy to use
+  the correct source address even if an application does not explicitly
+  specify it.
+
+- Integrated the EAP framework into charon which loads pluggable EAP library
+  modules. The ipsec.conf parameter authby=eap initiates EAP authentication
+  on the client side, while the "eap" parameter on the server side defines
+  the EAP method to use for client authentication.
+  A generic client side EAP-Identity module and an EAP-SIM authentication
+  module using a third party card reader implementation are included.
+
+- Added client side support for cookies.
+
+- Integrated the fixes done at the IKEv2 interoperability bakeoff, including
+  strict payload order, correct INVALID_KE_PAYLOAD rejection and other minor
+  fixes to enhance interoperability with other implementations.
 
 strongswan-4.0.7
 ----------------