updated copyright statement
[strongswan.git] / NEWS
diff --git a/NEWS b/NEWS
index 3404afa..ac3e1af 100644 (file)
--- a/NEWS
+++ b/NEWS
@@ -1,3 +1,86 @@
+strongswan-4.1.4
+----------------
+
+- The pluto IKEv1 daemon now exhibits the same behaviour as its
+  IKEv2 companion charon by inserting an explicit route via the
+  _updown script only if a sourceip exists. This is admissible
+  since routing through the IPsec tunnel is handled automatically
+  by NETKEY's IPsec policies. As a consequence the left|rightnexthop
+  parameter is not required any more.
+
+- The new IKEv1 parameter right|leftallowany parameters helps to handle
+  the case where both peers possess dynamic IP addresses that are
+  usually resolved using DynDNS or a similar service. The configuration
+
+    right=peer.foo.bar
+    rightallowany=yes
+
+  can be used by the initiator to start up a connection to a peer
+  by resolving peer.foo.bar into the currently allocated IP address.
+  Thanks to the rightallowany flag the connection behaves later on
+  as
+
+   right=%any
+
+  so that the peer can rekey the connection as an initiator when his
+  IP address changes.
+
+
+strongswan-4.1.3
+----------------
+
+- IKEv2 peer configuration selection now can be based on a given 
+  certification authority using the rightca= statement.
+
+- IKEv2 authentication based on RSA signatures now can handle multiple
+  certificates issued for a given peer ID. This allows a smooth transition
+  in the case of a peer certificate renewal.
+
+- IKEv2: Support for requesting a specific virtual IP using leftsourceip on the
+  client and returning requested virtual IPs using rightsourceip=%config
+  on the server. If the server does not support configuration payloads, the
+  client enforces its leftsourceip parameter.
+
+- The ./configure options --with-uid/--with-gid allow pluto and charon
+  to drop their privileges to a minimum and change to an other UID/GID. This
+  improves the systems security, as a possible intruder may only get the
+  CAP_NET_ADMIN capability.
+
+- Further modularization of charon: Pluggable control interface and 
+  configuration backend modules provide extensibility. The control interface
+  for stroke is included, and further interfaces using DBUS (NetworkManager)
+  or XML are on the way. A backend for storing configurations in the daemon
+  is provided and more advanced backends (using e.g. a database) are trivial 
+  to implement.
+
+ - Fixed a compilation failure in libfreeswan occuring with Linux kernel
+   headers > 2.6.17.
+
+
+strongswan-4.1.2
+----------------
+
+- Support for an additional Diffie-Hellman exchange when creating/rekeying
+  a CHILD_SA in IKEv2 (PFS). PFS is enabled when the proposal contains a
+  DH group (e.g. "esp=aes128-sha1-modp1536"). Further, DH group negotiation
+  is implemented properly for rekeying.
+
+- Support for the AES-XCBC-96 MAC algorithm for IPsec SAs when using IKEv2
+  (requires linux >= 2.6.20). It is enabled using e.g. "esp=aes256-aesxcbc".
+
+- Working IPv4-in-IPv6 and IPv6-in-IPv4 tunnels for linux >= 2.6.21.
+
+- Added support for EAP modules which do not establish an MSK.
+
+- Removed the dependencies from the /usr/include/linux/ headers by
+  including xfrm.h, ipsec.h, and pfkeyv2.h in the distribution.
+  
+- crlNumber is now listed by ipsec listcrls
+
+- The xauth_modules.verify_secret() function now passes the
+  connection name.
+
+
 strongswan-4.1.1
 ----------------
 
 strongswan-4.1.1
 ----------------
 
@@ -8,6 +91,24 @@ strongswan-4.1.1
   compared to properly detect retransmissions and incoming retransmits are
   detected even if the IKE_SA is blocked (e.g. doing OCSP fetches).
 
   compared to properly detect retransmissions and incoming retransmits are
   detected even if the IKE_SA is blocked (e.g. doing OCSP fetches).
 
+- The IKEv2 daemon charon now supports dynamic http- and ldap-based CRL
+  fetching enabled by crlcheckinterval > 0 and caching fetched CRLs
+  enabled by cachecrls=yes.
+
+- Added the configuration options --enable-nat-transport which enables
+  the potentially insecure NAT traversal for IPsec transport mode and
+  --disable-vendor-id which disables the sending of the strongSwan
+  vendor ID.
+
+- Fixed a long-standing bug in the pluto IKEv1 daemon which caused
+  a segmentation fault if a malformed payload was detected in the
+  IKE MR2 message and pluto tried to send an encrypted notification
+  message.
+
+- Added the NATT_IETF_02_N Vendor ID in order to support IKEv1 connections
+  with Windows 2003 Server which uses a wrong VID hash.
+
+
 strongswan-4.1.0
 ----------------
 
 strongswan-4.1.0
 ----------------
 
@@ -54,6 +155,7 @@ strongswan-4.1.0
   strict payload order, correct INVALID_KE_PAYLOAD rejection and other minor
   fixes to enhance interoperability with other implementations.
 
   strict payload order, correct INVALID_KE_PAYLOAD rejection and other minor
   fixes to enhance interoperability with other implementations.
 
+
 strongswan-4.0.7
 ----------------
 
 strongswan-4.0.7
 ----------------