/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/changelog

  • Committer: Teddy Hogeborn
  • Date: 2015-03-10 18:03:38 UTC
  • Revision ID: teddy@recompile.se-20150310180338-pcxw6r2qmw9k6br9
Add ":!RSA" to GnuTLS priority string, to disallow non-DHE kx.

If Mandos was somehow made to use a non-ephemeral Diffie-Hellman key
exchange algorithm in the TLS handshake, any saved network traffic
could then be decrypted later if the Mandos client key was obtained.
By default, Mandos uses ephemeral DH key exchanges which does not have
this problem, but a non-ephemeral key exchange algorithm was still
enabled by default.  The simplest solution is to simply turn that off,
which ensures that Mandos will always use ephemeral DH key exchanges.

There is a "PFS" priority string specifier, but we can't use it because:

1. Security-wise, it is a mix between "NORMAL" and "SECURE128" - it
   enables a lot more algorithms than "SECURE256".

2. It is only available since GnuTLS 3.2.4.

Thanks to Andreas Fischer <af@bantuX.org> for reporting this issue.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
mandos (1.8.3-2) unstable; urgency=medium
2
 
 
3
 
  * debian/rules (override_dh_shlibdeps-arch): New; conditionally edit
4
 
    debian/control before running dh_shlibdeps.
5
 
 
6
 
 -- Teddy Hogeborn <teddy@recompile.se>  Mon, 11 Feb 2019 12:49:57 +0100
7
 
 
8
 
mandos (1.8.3-1) unstable; urgency=medium
9
 
 
10
 
  * New upstream release.
11
 
  * debian/watch: Make the ".orig" file name suffix non-optional;
12
 
    otherwise uscan thinks that ".orig" is part of the version number.
13
 
  * debian/control (Build-Depends): Changed GnuTLS dependencies; move
14
 
    3.6.6 alternative to first in list, and remove dependencies on the
15
 
    virtual package "gnutls-dev", since we need the version restrictions.
16
 
    (Package: mandos/Depends): Remove dependency on libgnutls28-dev
17
 
    package.
18
 
    (Package: mandos/Suggests): New; set to "libc6-dev, c-compiler". (Used
19
 
    to find value of "SO_BINDTODEVICE").
20
 
    (Package: mandos-client/Depends): Don't depend on openssl anymore;
21
 
    instead depend on either a gnutls-bin (>= 3.6.6) (in which case TLS
22
 
    key generation will work), or on libgnutls30 (<< 3.6.0) (in which case
23
 
    TLS key generation will not be needed).
24
 
 
25
 
 -- Teddy Hogeborn <teddy@recompile.se>  Mon, 11 Feb 2019 07:30:32 +0100
26
 
 
27
 
mandos (1.8.2-1) unstable; urgency=medium
28
 
 
29
 
  * New upstream release.
30
 
  * debian/mandos-client.postinst (create_keys): Ignore failure to remove
31
 
                                                 bad keys.
32
 
 
33
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 10 Feb 2019 11:44:56 +0100
34
 
 
35
 
mandos (1.8.1-1) unstable; urgency=high
36
 
 
37
 
  * New upstream release.
38
 
  * debian/mandos-client.postinst (create_keys): Remove any bad keys
39
 
    created by 1.8.0-1. Only create TLS keys if certtool succeeds.
40
 
  * debian/mandos.postinst (configure): Remove any bad keys from
41
 
    clients.conf, and inform the user if any were found.
42
 
  * debian/mandos.templates (mandos/removed_bad_key_ids): New message.
43
 
 
44
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 10 Feb 2019 10:00:21 +0100
45
 
 
46
 
mandos (1.8.0-1) unstable; urgency=medium
47
 
 
48
 
  * New upstream release.
49
 
  * Fix "(tries to) use GnuTLS OpenPGP support" by using raw public keys
50
 
    when available (Closes: #879538)
51
 
  * Fix "mandos : Depends: libgnutls30 (< 3.6.0) but 3.6.5-2 is to be
52
 
    installed" by now also allowing GnuTLS >= 3.6.6 (Closes: #916673)
53
 
  * debian/control (Standards-Version): Update to "4.3.0".
54
 
    (Package: mandos-client/Depends): Change from "cryptsetup" to
55
 
    "cryptsetup (<< 2:2.0.3-1) | cryptsetup-initramfs".  Add "debconf (>=
56
 
    1.5.5) | debconf-2.0".
57
 
    (Source: mandos/Build-Depends): Also allow libgnutls30 (>= 3.6.6).
58
 
    (Package: mandos/Depends): - '' - and add debconf (>= 1.5.5) |
59
 
    debconf-2.0".
60
 
    (Package: mandos/Description): Alter description to match new design.
61
 
    (Package: mandos-client/Description): - '' -
62
 
    (Package: mandos-client/Depends): Move "gnutls-bin | openssl" to here
63
 
    from "Recommends".
64
 
  * debian/mandos-client.README.Debian: Add --tls-privkey and --tls-pubkey
65
 
    options to test command.
66
 
  * debian/mandos-client.postinst (create_key): Renamed to "create_keys"
67
 
    - all callers changed - and also create TLS key files.  Show notice if
68
 
    new TLS key files were created.
69
 
  * debian/mandos-client.postrm (purge): Also remove TLS key files.
70
 
  * debian/mandos-client.lintian-overrides: Override warnings.
71
 
  * debian/mandos-client.templates: New.
72
 
  * debian/mandos.lintian-overrides: Override warnings.
73
 
  * debian/mandos.postinst (configure): If GnuTLS 3.6.6 or later is
74
 
    detected, show an important notice (once) about the new key_id option
75
 
    required in clients.conf.
76
 
  * debian/mandos.templates: New.
77
 
  * debian/copyright: Update copyright year to 2019.
78
 
 
79
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 10 Feb 2019 05:52:49 +0100
80
 
 
81
 
mandos (1.7.20-1) unstable; urgency=medium
82
 
 
83
 
  * New upstream release.
84
 
  * Fix "[tethys] mandos-client: Mandos client fails while booting but
85
 
    works from chroot into unpacked initramfs" by setting system clock if
86
 
    necessary (Closes: #894495)
87
 
  * Fix "initramfs boot script assumes internal cryptsetup implementation
88
 
    details and is now broken" by only using documented
89
 
    interfaces (Closes: #904899)
90
 
  * debian/mandos-client.dirs: Add
91
 
    "usr/share/initramfs-tools/scripts/local-premount" and
92
 
    "usr/share/initramfs-tools/conf.d", and remove
93
 
    "usr/share/initramfs-tools/conf-hooks.d".
94
 
  * debian/control (mandos-client/Depends): Add "(>= 0.99)" to dependency
95
 
    on "initramfs-tools".
96
 
  * debian/control (Source: mandos/Rules-Requires-Root): New; set to
97
 
    "binary-targets".
98
 
    (Standards-Version): Update to "4.2.0".
99
 
 
100
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 19 Aug 2018 22:14:04 +0200
101
 
 
102
 
mandos (1.7.19-1) unstable; urgency=medium
103
 
 
104
 
  * New upstream release.
105
 
  * Fix "fails with "LeakSanitizer has encountered a fatal error"" by not
106
 
    using LeakSanitizer in affected binary (Closes: #886595)
107
 
 
108
 
 -- Teddy Hogeborn <teddy@recompile.se>  Thu, 22 Feb 2018 19:47:59 +0100
109
 
 
110
 
mandos (1.7.18-1) unstable; urgency=medium
111
 
 
112
 
  * New upstream release.
113
 
 
114
 
 -- Teddy Hogeborn <teddy@recompile.se>  Mon, 12 Feb 2018 16:00:11 +0100
115
 
 
116
 
mandos (1.7.17-1) unstable; urgency=medium
117
 
 
118
 
  * New upstream release.
119
 
  * Fix "fails with "LeakSanitizer has encountered a fatal error""
120
 
    by fixing memory leak in plugin-runner (Closes: #886595)
121
 
  * debian/control (Build-Depends): Also depend on "libgnutls28-dev (<<
122
 
    3.6.0) | libgnutls30 (<< 3.6.0)".
123
 
    (Package: mandos/Depends): - '' -
124
 
  * debian/compat: Change to "10".
125
 
  * debian/watch (version): Change to "4".
126
 
    (opts/pgpsigurlmangle): Remove.
127
 
    (opts/pgpmode): New; set to "auto".
128
 
    (URL): Change to "https://ftp.recompile.se/pub/@PACKAGE@/@PACKAGE@
129
 
    @ANY_VERSION@(?:\.orig)?@ARCHIVE_EXT@".
130
 
  * debian/copyright: Update copyright year to 2018.
131
 
  * debian/rules: Support the "noopt" and "parallel" DEB_BUILD_OPTIONS.
132
 
    (override_dh_fixperms-arch): Use the DEB_HOST_MULTIARCH
133
 
    variable directly instead of shelling out to "dpkg-architecture".
134
 
  * debian/control (Standards-Version): Update to "4.1.3".
135
 
    (Build-Depends): Change version of debhelper dependency to ">= 10".
136
 
  * debian/mandos.lintian-overrides
137
 
    (init.d-script-needs-depends-on-lsb-base): Change line number to "46".
138
 
 
139
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 10 Feb 2018 19:09:50 +0100
140
 
 
141
 
mandos (1.7.16-1) unstable; urgency=medium
142
 
 
143
 
  * New upstream release.
144
 
  * debian/copyright (License): Use program name explicitly.
145
 
    (Format): Use https in URL.
146
 
  * debian/control (Priority): Change from "extra" to "optional".
147
 
    (Standards-Version): Update to "4.0.1".
148
 
 
149
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 20 Aug 2017 21:05:26 +0200
150
 
 
151
 
mandos (1.7.15-1) unstable; urgency=medium
152
 
 
153
 
  * New upstream release.
154
 
  * Upstream release fixes "Seems not to be honoring zeroconf option at
155
 
    mandos.conf" (Closes: #855589)
156
 
  * debian/mandos.lintian-overrides (mandos): Add new line
157
 
    "init.d-script-needs-depends-on-lsb-base etc/init.d/mandos (line 49)".
158
 
  * debian/copyright: Update copyright year to 2017.
159
 
 
160
 
 -- Teddy Hogeborn <teddy@recompile.se>  Thu, 23 Feb 2017 21:29:36 +0100
161
 
 
162
 
mandos (1.7.14-1) unstable; urgency=medium
163
 
 
164
 
  * New upstream release.
165
 
  * debian/mandos-client.postinst (create_key): Stop GPG agent after
166
 
    running mandos-keygen.
167
 
  * debian/control (Package: mandos/Depends): Add "systemd-sysv | lsb-base
168
 
    (>= 3.0-6)", change "gnupg" to "gnupg2 | gnupg", and change
169
 
    "libgpgme11-dev" to "libgpgme-dev | libgpgme11-dev".
170
 
 
171
 
 -- Teddy Hogeborn <teddy@recompile.se>  Wed, 25 Jan 2017 20:36:03 +0100
172
 
 
173
 
mandos (1.7.13-1) unstable; urgency=medium
174
 
 
175
 
  * New upstream release.
176
 
  * Fix "fails to install noninteractively" by using the "%no-protection"
177
 
    statement in the GnuPG batch parameter file. (Closes: #840001)
178
 
 
179
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 08 Oct 2016 06:31:07 +0200
180
 
 
181
 
mandos (1.7.12-1) unstable; urgency=medium
182
 
 
183
 
  * New upstream release.
184
 
 
185
 
 -- Teddy Hogeborn <teddy@recompile.se>  Wed, 05 Oct 2016 22:06:55 +0200
186
 
 
187
 
mandos (1.7.11-1) unstable; urgency=high
188
 
 
189
 
  * New upstream release.
190
 
  * debian/control (Source: mandos/Vcs-Bzr): Change to use HTTPS.
191
 
    (Vcs-Browser): - '' -
192
 
 
193
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 01 Oct 2016 16:20:48 +0200
194
 
 
195
 
mandos (1.7.10-1) unstable; urgency=high
196
 
 
197
 
  * New upstream release.
198
 
  * debian/rules (override_dh_fixperms-arch): Also exclude
199
 
    "etc/mandos/plugin-helpers" from changes by dh_fixperms.
200
 
  * debian/mandos-client.postinst: Fix the permissions of
201
 
    "/etc/mandos/plugin-helpers" for those systems which had a fresh
202
 
    install of an older version.
203
 
 
204
 
 -- Teddy Hogeborn <teddy@recompile.se>  Thu, 23 Jun 2016 22:00:29 +0200
205
 
 
206
 
mandos (1.7.9-1) unstable; urgency=medium
207
 
 
208
 
  * New upstream release.
209
 
 
210
 
 -- Teddy Hogeborn <teddy@recompile.se>  Wed, 22 Jun 2016 07:30:12 +0200
211
 
 
212
 
mandos (1.7.8-1) unstable; urgency=medium
213
 
 
214
 
  * New upstream release.
215
 
  * Fix "bad gpgme_op_decrypt: GPGME: Decryption failed." by copying
216
 
    /usr/bin/gpg-agent into initramfs (Closes: #819982)
217
 
  * debian/control (Homepage): Change URL to use HTTPS.
218
 
    (Standards-Version): Update to 3.9.8.
219
 
  * debian/copyright (Source): Change URL to HTTPS.
220
 
  * debian/mandos-client.README.Debian: Change wording to match updated
221
 
    capabilities.
222
 
 
223
 
 -- Teddy Hogeborn <teddy@recompile.se>  Tue, 21 Jun 2016 21:36:10 +0200
224
 
 
225
 
mandos (1.7.7-1) unstable; urgency=medium
226
 
 
227
 
  * New upstream release.
228
 
  * debian/mandos-client.postinst (configure): If older version, fix
229
 
    permissions on plugin helper directory.  Also fix permissions on
230
 
    plugin helper local override directory (/etc/mandos/plugin-helpers),
231
 
    but only if not listed by "dpkg-statoverride".
232
 
  * debian/rules (override_dh_fixperms-arch): Exclude plugin helper
233
 
    directory from dh_fixperms.
234
 
  * debian/mandos.postinst (configure): Fix state directory permissions,
235
 
    but only if not listed by "dpkg-statoverride".
236
 
  * debian/mandos-client.lintian-overrides: Do not warn about permissions
237
 
    on plugin helper directory.
238
 
  * debian/mandos.dirs (usr/lib/tmpfiles.d): Added.
239
 
 
240
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 19 Mar 2016 22:58:49 +0100
241
 
 
242
 
mandos (1.7.6-1) unstable; urgency=medium
243
 
 
244
 
  * New upstream release.
245
 
  * debian/control (Source: mandos/Build-Depends-Indep): Remove
246
 
    "python-avahi".
247
 
    (Source: mandos/Build-Depends-Indep): Change "python-gi |
248
 
    python-gobject" to "python-gi"; i.e. remove "python-gobject".
249
 
 
250
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 13 Mar 2016 22:58:23 +0100
251
 
 
252
 
mandos (1.7.5-1) unstable; urgency=high
253
 
 
254
 
  * New upstream release.
255
 
  * debian/mandos.postinst (configure): If old version was 1.7.4-1 or
256
 
    1.7.4-1~bpo8+1, fix situation where clients.pickle file is owned by
257
 
    root.
258
 
 
259
 
 -- Teddy Hogeborn <teddy@recompile.se>  Tue, 08 Mar 2016 01:09:55 +0100
260
 
 
261
 
mandos (1.7.4-1) unstable; urgency=medium
262
 
 
263
 
  * New upstream release.
264
 
  * initramfs-tools-script: Fix "Call to configure_network in initramfs
265
 
    script broken due to set -e" by surrounding call by "set +x" and "set
266
 
    -e" (Closes: #816513)
267
 
  * debian/control: (Source: mandos/Build-Depends-Indep): Change
268
 
    "python-gobject | python-gi" to "python-gi | python-gobject"
269
 
    (Package: mandos/Depends): - '' -
270
 
 
271
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 05 Mar 2016 23:10:07 +0100
272
 
 
273
 
mandos (1.7.3-1) unstable; urgency=medium
274
 
 
275
 
  * New upstream release.
276
 
 
277
 
 -- Teddy Hogeborn <teddy@recompile.se>  Mon, 29 Feb 2016 22:26:38 +0100
278
 
 
279
 
mandos (1.7.2-1) unstable; urgency=medium
280
 
 
281
 
  * New upstream release.
282
 
  * Fix "Uses unneeded and obsolete version specific python packages"
283
 
    by removing version-specific dependencies (Closes: #811159)
284
 
  * debian/control (Source: mandos/Build-Depends): Add (>= 3.3.0) to
285
 
    "libgnutls28-dev" and "gnutls-dev".
286
 
    (Source: mandos/Build-Depends-Indep): Remove "python2.7-gnutls",
287
 
    "python2.7", "python2.7-dbus", "python2.7-avahi", and
288
 
    "python2.7-gobject"; replace with "python (>= 2.7), python (<< 3)",
289
 
    "python-dbus", "python-avahi", "python-gobject | python-gi".
290
 
    (Package: mandos/Depends): Remove "python-gnutls" and
291
 
    "python2.7-gnutls", add "libgnutls28-dev (>= 3.3.0) | libgnutls30 (>=
292
 
    3.3.0)".  Add "python (<< 3)".  Remove "python2.7-dbus",
293
 
    "python2.7-avahi", "python2.7-gobject", and "python2.7-urwid".
294
 
    Replace "python-gobject" with "python-gobject | python-gi" and "gnupg
295
 
    (<< 2)" with "gnupg".
296
 
    (Package: mandos-client/Depends): Replace
297
 
    "gnupg (<< 2)" with "gnupg".
298
 
    (Source: mandos/Standards-Version): Change to 3.9.7.
299
 
  * debian/copyright (Copyright): Update copyright year.
300
 
 
301
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 28 Feb 2016 16:09:01 +0100
302
 
 
303
 
mandos (1.7.1-2) unstable; urgency=medium
304
 
 
305
 
  * debian/control (Package: mandos/Depends): Fix "Please drop versioned
306
 
    dependency on initscripts package" by removing initscripts dependency
307
 
    (Closes: #804967)
308
 
  * debian/rules (override_dh_fixperms) Fix "FTBFS when built with
309
 
    dpkg-buildpackage -A (No such file or directory)" by splitting into
310
 
    "override_dh_fixperms-arch" and "override_dh_fixperms-indep".
311
 
    (Closes: #806073)
312
 
 
313
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 05 Dec 2015 02:27:40 +0100
314
 
 
315
 
mandos (1.7.1-1) unstable; urgency=medium
316
 
 
317
 
  * New upstream release.
318
 
 
319
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 24 Oct 2015 19:43:40 +0200
320
 
 
321
 
mandos (1.7.0-1) unstable; urgency=medium
322
 
 
323
 
  * New upstream release.
324
 
  * debian/control (Standards-Version): Updated to "3.9.6".
325
 
    (Build-Depends): Add "libnl-route-3-dev".
326
 
    (Package: mandos-client/Recommends): Added "gnutls-bin | openssl" for
327
 
    the generating of DH parameters.
328
 
  * debian/mandos-client.README.Debian: Update example command line to use
329
 
    new MANDOSPLUGINHELPERDIR environment variable.  Also document the new
330
 
    dhparams.pem file.
331
 
  * debian/mandos-client.postinst: Create DH parameters file.
332
 
  * debian/mandos.prerm: Don't run init script, use only invoke-rc.d.
333
 
  * debian/mandos-client.postinst: Don't use absolute paths to commands.
334
 
  * debian/mandos-client.postrm: Don't use absolute paths to commands.
335
 
    Also remove dhparams.pem file.
336
 
  * debian/copyright (Copyright): Update copyright year.
337
 
  * Upstream changed systemd service file to implicitly be of
338
 
    "Type=dbus". (Closes: #786845)
339
 
 
340
 
 -- Teddy Hogeborn <teddy@recompile.se>  Mon, 10 Aug 2015 22:00:29 +0200
341
 
 
342
1
mandos (1.6.9-1) unstable; urgency=medium
343
2
 
344
3
  * New upstream release.