Version bump to 5.5.1dr4

mgf1: Refactored MGF1 as an XOF

leak-detective: Fix compile warning due to unused variable if LD is disabled

Merge branch 'testing-leak-detective'

Test scenarios now fail if any leaks are detected by the leak detective.
Several leaks found this way have been fixed.

leak-detective: Whitelist thread ID getter

In case an external thread calls into our code and logs messages, a thread
object is allocated that will never be released.  Even if we try to clean
up the object via thread value destructor there is no guarantee that the
thread actually terminates before we check for leaks, which seems to be the
case for the Ada Tasking threads.

charon-tkm: Build C code with debug information

leak-detective: Whitelist functions of the Ada runtime related to Tasking

charon-tkm: Free name of the PID file

charon-tkm: Deinitialize tkm before libstrongswan

In particular because of leak-detective.

leak-detective: Whitelist some glib/libsoup functions

Some of these are pretty broad, so maybe an alternative option is to
not use the soup plugin in the openssl-ikev2/rw-suite-b* scenarios.  But
the plugin is not tested anywhere else so lets go with this for now.

testing: Use curl instead of soup plugin in libipsec/rw-suite-b scenario

The soup plugin is already used in the openssl-ikev2/rw-suite-b*
scenarios.

eap-peap: Fix memory leaks when handling tunneled methods

ipseckey: Properly free enumerated certificates

ipseckey: Properly free public key after creating certificate

dnscert: Properly free enumerated certificates

unbound: Avoid unnecessary cloning of RR list that caused a memory leak

unbound: Fix memory leak

pool: Fix (known) memory leak when querying leases

leak-detective: Whitelist leak in libldap

testing: Fix totals if post test checks fail

testing: Log leaks and fail tests if any are detected

leak-detective: Optionally write report to a log file

vici: Fix indention of flush_certs() method in Python bindings

travis: Run 32-bit Windows build on precise (12.04) image

That's required due to a bug in MinGW 3.1.0 that's shipped with trusty.

travis: Properly pass back result of make

Fixes: 4e8f5a189cce ("travis: Add apidoc check")

travis: Don't disable connmark and forecast plugins anymore

They build fine on Ubuntu 14.04.

Merge branch 'maemo-bye-bye'

Removes the code and helper files related to the unused and unmaintained
Maemo port.

packages: Remove obsolete Maemo packaging files

maemo: Remove unused plugin

maemo: Remove obsolete status/settings applet

swanctl: Add man page entry for flush-certs command

Version bump to 5.5.1dr3

Merge branch 'flush-certs'

vici:  flush-certs command flushes certificate cache

When fresh CRLs are released with a high update frequency (e.g.
every 24 hours) or OCSP is used then the certificate cache gets
quickly filled with stale CRLs or OCSP responses. The new VICI
flush-certs command allows to flush e.g. cached CRLs or OCSP
responses only. Without the type argument all kind of certificates
(e.g. also received end entity and intermediate CA certificates)
are purged.

auth-cfg-wrapper: Fix memory leak with hash-and-URL certificates

We wrap the auth-cfg object and its contents, so there is no need to get
an additional reference for the enumerated certificate.

Fixes a44bb9345f04 ("merged multi-auth branch back into trunk")

testing: Add output of iptables-save

This might be helpful to get the complete picture of the installed
rules.  `-c` is currently not used as the counters that are added in
front of every rule make the output quite hard to read and the counters
are already provided in the accompanying `iptables -v -L` output.

Fixes #2111.

testing: List `nat` and `mangle` tables in addition to the `filter` table

This is useful in scenarios that e.g. use NAT and/or marks.

References #2111.

testing: Ignore comments (lines starting with #) in pre-/eval-/posttest.dat

ikev2: (Re-)Queue tasks used to establish an IKE_SA in reset()

Some tasks might get removed immediately once the IKE_SA_INIT response has
been handled even if there were notifies that require a restart of the
IKE_SA (e.g. COOKIE or INVALID_KE_PAYLOAD).  Such a task is ike_vendor,
which caused vendor IDs not to get sent in a retry.  This change ensures
all required tasks are queued after the reset, which some callers did
already anyway.

ikev2: Store proposal on IKE_SA before creating DH object

This might be useful for custom implementations of keymat_t.

travis: Add apidoc check

This requires at least Ubuntu 14.04 (the Doxygen version in 12.04 has some
issues with our Doxyfile and prints lots of warnings).

travis: Use Trusty beta image

nm: Updated NEWS

Merge branch 'nm-1.2'

Provides fixes and changes for compatibility with current NM releases.

Closes strongswan/strongswan#15.
Fixes #797.

nm: Pass external gateway to NM

This seems to be required by newer versions.

nm: Update auth-dialog

This updates the auth dialog so that passwords are properly retrieved
(e.g. for the nm-applet).  It also adds support for external UI mode and
properly handles secret flags.

nm: Enforce min. length for PSKs in backend

nm: Add minimum length constraint for PSK passwords in connection editor

We already have this restriction in the auth-dialog.

nm: Bump minor version to 1.4.0

This is probably a good idea to do to signal there's significant changes in
dependencies to the distro package maintainers with libnm port and associated
changes.

nm: Bump to GTK+ 3.0

It's been released years ago; we depend on newer stuff than that now.

nm: Replace libgnomeui with libnma for password dialog

libgnomeui is long deprecated.

There's one functional difference: the choice to save the passwords is gone.
The password flags and saved password should be set in the preferences dialog,
but this commit does not fix that.

nm: Grey out the unneeded authentication options

Hiding and showing the items is not ideal, since it leaves the spacing
in place and the layout gets really messy.

nm: Add a widget for setting a password

It was only possible to set the password from the authentication dialog,
which is not ideal; as it requires a connection attempt.

This adds an input entry along with a primary icon from libnma/libnm-gtk
which allows selecting the backend and flags for the password (system, session
agent, always ask or empty).

nm: Port to libnm

nm: Check for libnm

libnm replaces libnm-glib. This will make sense with port to libnm and is done
to reduce line noise in that commit.

nm: Build two plugin binaries from the single source

They're both the same now. We'll port the new one to libnm in follow-up commits.

NetworkManager 1.2 (which is currently versioned as 1.1.0) is going to bring
some new ABI while still supporting the old one. There's new VPN service and
UI plugin APIs in libnm.

There's one difficulty though -- the connection editor 1.2 will be linked
against libnm and a new libnma library it will provide (as opposed to
libnm-glib and libnm-gtk), thus will be incapable of loading of property
plugins that are linked with the old libraries (due to glib type system
limitations).

However, we must not break support for other connection editors (GNOME control
center, older versions of nm-connection-editor, etc.) therefore we need
to build two versions of the property plugin. NetworkManager 1.2's libnm will
provide a shim that makes it easy.

Merge branch 'nm-updates'

Provides several fixes and cleanups for the NM build (does not include
fixes for recent NM versions).

Closes strongswan/strongswan#39.

nm: Version bumb to 1.3.2

nm: Remove incorrect top-level GtkWindow

Fixes #1013.

nm: Replace libgnomekeyring with libsecret

The former is deprecated and the newer API is nicer anyway.

nm: Drop useless calls to AC_SUBST

PKG_CHECK_MODULES does the substitutions.

nm: Drop some unneeded dependencies

nm: Install the .name file into /usr/lib/NetworkManager/VPN

It's the preferred location for system-provided plugins.

A compatible file in /etc is still kept. Also, the compatibility /etc
file needs to use a full path due to a bug in GNOME Shell.

The full path to a arch-dependent file in a supposedly arch-independent
file is a sin and a multilib violation in some distributions. However.
some pre-release versions of NetworkManager-1.2 as shipped by
distributions require a full path. Let's keep a configure-time option
for that.

nm: Automatically determine NM plugin directory

nm: Automatically determine path to the auth dialog

nm: Don't do <deny send_interface="..." /> in dbus service file

It does more than intended; apart from denying messages to that
particular interface it also denies all messages non-qualified with an
interface globally. This blocks messages completely unrelated to
strongSwan's VPN plugin, such as NetworkManager communication with the
VPN plugins.

From the dbus-daemon manual:

  Be careful with send_interface/receive_interface, because the
  interface field in messages is optional. In particular, do NOT
  specify <deny send_interface="org.foo.Bar"/>! This will cause
  no-interface messages to be blocked for all services, which is
  almost certainly not what you intended. Always use rules of the form:

  <deny send_interface="org.foo.Bar" send_destination="org.foo.Service"/>

We can just safely remove those rules, since we're sufficiently
protected by the send_destination matches and method calls are
disallowed by default anyway.

Closes strongswan/strongswan#42.

nm: Move the D-Bus policy to charon-nm

It's needed for useful use of charon-nm, unlike the GUI.

nm: Add AppStream metadata

This will ensure the strongSwan NetworkManager plugin will be easily
installable from the app stores such as GNOME Software.

Closes strongswan/strongswan#41.

pt-tls-client: Added support of ECDSA keys

libimcv: No need to load AIK pubkey if AIK certificate is available

swanctl: Document how DH groups in CHILD_SA proposals are applied

References #1039.

man: Update description of the esp keyword

Clarifies how DH groups are applied, updates the proposal selection
description and ESN can now also be configured for IKEv1.

References #1039.

padlock: Use builtin bswap32() to fix compilation on FreeBSD

Fixes #591.

testing: Try to properly abort a test run after CTRL-C

The run is aborted after the current scenario.  Depending on which
command was interrupted it might be necessary to press CTRL-C multiple
times (e.g. if a later command depends on the interrupted one).

This should fix HTML files and get us some proper console output after
the run.

testing: Report number of tests per subdirectory in main index

testing: Mount and serve testresults from the host

This avoids having to copy testresults, makes results of cancelled runs
browsable (runs may actually be followed live) and preserves old results
when rebuilding guest images (e.g. when using the build-strongswan script).
The number of consecutive test runs without any intermittent rebuild of the
guest images is also not limited by the image size anymore.

testing: Create a symlink to the testresults under a known path when starting the environment

testing: Serve images in testresults via mod_rewrite and not a symlink

conf: Extend description of charon.plugins.kernel-netlink.xfrm_acq_expires

proposal: Use proper list to get function pointer when adding custom parser

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

android: Add missing xof.c file

Fixes #2093.

xof: Add header to dev headers

Version bump to 5.5.1dr2

configure: Improve check for built-in __atomic_* functions

With AC_SEARCH_LIBS() we don't succeed if the searched function is a
built-in as the check uses the wrong signature so the built-in will not
be applied (the warning issued by GCC is "conflicting types for built-in
function '...'").  So even if not required, libatomic will be linked if
it is found, which could be problematic if compiling on a separate host
and the target host does not have libatomic installed.

Also, some tests showed that it's more likely that __atomic_and_fetch()
requires linking libatomic than __atomic_load_n() does.

References #1533.

travis: Add a workaround for a bug regarding libtool installed via Homebrew

ikev1: Don't require AH mapping for integrity algorithm when generating proposal

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

libtpmtss: TCTI finalization call changed

conf: aikpub2.opt added to Makefile.am

pki: Allow to load CRLs from files in --verify

ikev1: Ignore the last two bytes of the Cisco Unity vendor ID

These seem to indicate the major and minor version of the protocol, like
e.g. for the DPD vendor ID.  Some implementations seem to send versions
other than 1.0 so we just ignore these for now when checking for known
vendor IDs.

Fixes #2088.

utils: Fix definition of BYTE_ORDER with MinGW

ikev1: Accept more than one certificate payload in aggressive mode

Fixes #2085.

testing: Virtual IPs went missing

unit-tests: Removed unused variable

Version bump to 5.5.1dr1

Merge branch 'newhope'

testing: Added swanctl/rw-newhope-bliss scenario

testing: Add chapoly, ntru and newhope plugins to crypto and integrity tests

testing: Added ikev2/rw-newhope-bliss scenario

unit-tests: Created newhope unit-tests