/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/changelog

  • Committer: Teddy Hogeborn
  • Date: 2014-06-08 03:10:08 UTC
  • Revision ID: teddy@recompile.se-20140608031008-mc9bd7b024a3q0y0
Address a very theoretical possible security issue in mandos-client.

If there were to run some sort of "cleaner" process for /run/tmp (or
/tmp), and mandos-client were to run for long enough for that cleaner
process to remove the temporary directory for GPGME, there was a
possibility that another unprivileged process could trick the (also
unprivileged) mandos-client process to remove other files or symlinks
which the unprivileged mandos-client process was allowed to remove.
This is not currently known to have been exploitable, since there are
no known initramfs environments running such cleaner processes.

* plugins.d/mandos-client.c (main): Use O_NOFOLLOW when opening
                                    tempdir for cleaning.

Show diffs side-by-side

added added

removed removed

Lines of Context:
 
1
mandos (1.6.5-3) unstable; urgency=medium
 
2
 
 
3
  * debian/control (mandos-client/Depends): Add "dpkg-dev (>=1.16.0)";
 
4
    initramfs-tools-hook runs "dpkg-architecture -qDEB_HOST_MULTIARCH".
 
5
    (Closes: #750221)
 
6
 
 
7
 -- Teddy Hogeborn <teddy@recompile.se>  Fri, 06 Jun 2014 04:27:15 +0200
 
8
 
 
9
mandos (1.6.5-2) unstable; urgency=medium
 
10
 
 
11
  * debian/rules (override_dh_auto_test-arch): New; does nothing.  Fixes
 
12
    FTBFS for build-indep.
 
13
 
 
14
 -- Teddy Hogeborn <teddy@recompile.se>  Tue, 13 May 2014 08:08:31 +0200
 
15
 
 
16
mandos (1.6.5-1) unstable; urgency=medium
 
17
 
 
18
  * New upstream release.
 
19
  * debian/copyright: Change year to "2014".
 
20
  * debian/control (Build-Depends, Build-Depends-Indep): Moved build
 
21
    dependencies of "mandos" package to "Build-Depends-Indep".
 
22
  * debian/upstream/signing-key.asc: New; upstream source public key.
 
23
  * debian/control (Standards-Version): Updated to "3.9.5".
 
24
  * debian/control (mandos/Depends): Remove the dependency on
 
25
    "avahi-daemon (>= 0.6.31-3) | systemd-sysv".  It is unnecessary
 
26
    since we have a workaround in debian/mandos.postinst anyway.
 
27
 
 
28
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 11 May 2014 22:16:33 +0200
 
29
 
 
30
mandos (1.6.4-1) unstable; urgency=medium
 
31
 
 
32
  * New upstream release.
 
33
  * debian/control (Build-Depends): Add Python dependencies to
 
34
                                    successfully run self-tests.
 
35
  * debian/copyright: GPLv3 now has its own license file - use it.
 
36
  * debian/watch: Set PGP signature URL.
 
37
 
 
38
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 16 Feb 2014 14:09:25 +0100
 
39
 
 
40
mandos (1.6.3-1) unstable; urgency=low
 
41
 
 
42
  * New upstream release.
 
43
  * debian/control (Build-Depends): Added "systemd".
 
44
  * debian/mandos.dirs (lib/systemd/system): New.
 
45
  * debian/mandos-client.README.Debian: Refer to architecture libdir.
 
46
  * debian/control (mandos/Depends): Add "avahi-daemon (>= 0.6.31-3) |
 
47
                                     systemd-sysv".
 
48
  * debian/mandos.postinst: If avahi-daemon is version 0.6.31-2 or older,
 
49
                            edit /etc/init.d script headers Required-Start
 
50
                            and Required-Stop to have "avahi" instead of
 
51
                            "avahi-daemon", before insserv(8) sees it.
 
52
  * debian/mandos-client.lintian-overrides: Libdir changes.
 
53
  * debian/rules (override_dh_fixperms): - '' -
 
54
 
 
55
 -- Teddy Hogeborn <teddy@recompile.se>  Tue, 21 Jan 2014 22:01:30 +0100
 
56
 
 
57
mandos (1.6.2-1) unstable; urgency=low
 
58
 
 
59
  * New upstream release.
 
60
  * debian/compat: Changed to "9".
 
61
  * debian/control (Build-Depends): Changed debhelper version to (>= 9).
 
62
    (Standards-Version): Updated to "3.9.4".
 
63
    (DM-Upload-Allowed): Removed.
 
64
    (mandos/Depends): Add "initscripts (>= 2.88dsf-13.3)" to be able to
 
65
                      use the "/run" directory (for mandos.pid).
 
66
  * debian/copyright (Copyright): Update year.
 
67
  * Fix "Mandos/gnutls fails to establish connection, "an algorithm that
 
68
    is not enabled was negotiated"" fixed by upstream. (Closes: #702120)
 
69
 
 
70
 -- Teddy Hogeborn <teddy@recompile.se>  Thu, 24 Oct 2013 22:33:40 +0200
 
71
 
 
72
mandos (1.6.1-1) unstable; urgency=low
 
73
 
 
74
  * New upstream release.
 
75
  * debian/control (mandos/Depends): No longer depends on
 
76
                                     python-gnupginterface, but does
 
77
                                     depend on gnupg (<< 2).
 
78
    (Build-Depends): Depend on debhelper 8.9.7 for using "override-*-arch"
 
79
                     and "override-*-indep" targets in debian/rules.
 
80
  * debian/mandos-client.README: Update Linux documentation link.
 
81
  * debian/rules: Completely rewritten to use debhelper v7.
 
82
  * initramfs-tools-hook: Bug fix: Make sure the right version of GnuPG is
 
83
    copied into the initramfs image.  Always assume that GPGME is used to
 
84
    avoid searching for it since the path might not be /usr/lib.  Thanks
 
85
    to Félix Sipma <felix+debian@gueux.org> for the initial bug report,
 
86
    and also thanks to Dick Middleton <dick@lingbrae.com> for some more
 
87
    debugging. (Closes:  #721903)
 
88
  * Fix "bashism in /bin/sh script" fixed by upstream. (Closes: #690639)
 
89
 
 
90
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 13 Oct 2013 19:03:23 +0200
 
91
 
1
92
mandos (1.6.0-1) unstable; urgency=low
2
93
 
3
94
  * New upstream release.