/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to NEWS

  • Committer: Teddy Hogeborn
  • Date: 2014-06-08 03:10:08 UTC
  • Revision ID: teddy@recompile.se-20140608031008-mc9bd7b024a3q0y0
Address a very theoretical possible security issue in mandos-client.

If there were to run some sort of "cleaner" process for /run/tmp (or
/tmp), and mandos-client were to run for long enough for that cleaner
process to remove the temporary directory for GPGME, there was a
possibility that another unprivileged process could trick the (also
unprivileged) mandos-client process to remove other files or symlinks
which the unprivileged mandos-client process was allowed to remove.
This is not currently known to have been exploitable, since there are
no known initramfs environments running such cleaner processes.

* plugins.d/mandos-client.c (main): Use O_NOFOLLOW when opening
                                    tempdir for cleaning.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
1
This NEWS file records noteworthy changes, very tersely.
2
2
See the manual for detailed information.
3
3
 
 
4
Version 1.6.5 (2014-05-11)
 
5
* Client
 
6
** Work around bug in GnuPG <http://bugs.g10code.com/gnupg/issue1622>
 
7
** Give better error messages when run without sufficient privileges
 
8
** Only warn if workaround for Debian bug #633582 was necessary and
 
9
   failed, not if it failed and was unnecessary.
 
10
 
 
11
Version 1.6.4 (2014-02-16)
 
12
* Server
 
13
** Very minor fix to self-test code.
 
14
 
 
15
Version 1.6.3 (2014-01-21)
 
16
* Server
 
17
** Add systemd support.
 
18
** For PID file, fall back to /var/run if /run does not exist.
 
19
* Client
 
20
** Moved files from /usr/lib/mandos to whatever the architecture
 
21
   specifies, like /usr/lib/x86_64-linux-gnu/mandos or
 
22
   /usr/lib64/mandos.
 
23
 
 
24
Version 1.6.2 (2013-10-24)
 
25
* Server
 
26
** PID file moved from /var/run to /run.
 
27
** Bug fix: Handle long secrets when saving client state.
 
28
** Bug fix: Use more magic in the GnuTLS priority string to handle
 
29
   both old DSA/ELG 2048-bit keys and new RSA/RSA 4096-bit keys.
 
30
* Client
 
31
** mandos-keygen: Bug fix: now generate RSA keys which GnuTLS can use.
 
32
                  Bug fix: Output passphrase prompts even when
 
33
                  redirecting standard output.
 
34
 
4
35
Version 1.6.1 (2013-10-13)
5
36
* Server
6
37
** All client options for time intervals now also take an RFC 3339