child-sa: Install drop policies while updating IPsec SAs and policies
authorTobias Brunner <tobias@strongswan.org>
Tue, 6 Feb 2018 17:07:34 +0000 (18:07 +0100)
committerTobias Brunner <tobias@strongswan.org>
Fri, 9 Feb 2018 14:53:30 +0000 (15:53 +0100)
commit35ef1b032d24950f428b0d8b48d8a350b7c92c27
tree405043b7c0656afd36d830b344b192b1b03bbcf8
parent4664992f7d401df093750ecdb6564c2f974f73d4
child-sa: Install drop policies while updating IPsec SAs and policies

If we have to remove and reinstall SAs for address updates (as with the
Linux kernel) there is a short time where there is no SA installed.  If
we keep the policies installed they (or any traps) might cause acquires
and temporary kernel states that could prevent the updated SA from
getting installed again.

This replaces the previous workaround to avoid plaintext traffic leaks
during policy updates, which used low-priority drop policies.
src/libcharon/sa/child_sa.c