/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/changelog

  • Committer: Teddy Hogeborn
  • Date: 2015-03-10 18:03:38 UTC
  • Revision ID: teddy@recompile.se-20150310180338-pcxw6r2qmw9k6br9
Add ":!RSA" to GnuTLS priority string, to disallow non-DHE kx.

If Mandos was somehow made to use a non-ephemeral Diffie-Hellman key
exchange algorithm in the TLS handshake, any saved network traffic
could then be decrypted later if the Mandos client key was obtained.
By default, Mandos uses ephemeral DH key exchanges which does not have
this problem, but a non-ephemeral key exchange algorithm was still
enabled by default.  The simplest solution is to simply turn that off,
which ensures that Mandos will always use ephemeral DH key exchanges.

There is a "PFS" priority string specifier, but we can't use it because:

1. Security-wise, it is a mix between "NORMAL" and "SECURE128" - it
   enables a lot more algorithms than "SECURE256".

2. It is only available since GnuTLS 3.2.4.

Thanks to Andreas Fischer <af@bantuX.org> for reporting this issue.

Show diffs side-by-side

added added

removed removed

Lines of Context:
debian/changelog
1
 
mandos (1.7.5-1) unstable; urgency=high
2
 
 
3
 
  * New upstream release.
4
 
  * debian/mandos.postinst (configure): If old version was 1.7.4-1 or
5
 
    1.7.4-1~bpo8+1, fix situation where clients.pickle file is owned by
6
 
    root.
7
 
 
8
 
 -- Teddy Hogeborn <teddy@recompile.se>  Tue, 08 Mar 2016 01:09:55 +0100
9
 
 
10
 
mandos (1.7.4-1) unstable; urgency=medium
11
 
 
12
 
  * New upstream release.
13
 
  * initramfs-tools-script: Fix "Call to configure_network in initramfs
14
 
    script broken due to set -e" by surrounding call by "set +x" and "set
15
 
    -e" (Closes: #816513)
16
 
  * debian/control: (Source: mandos/Build-Depends-Indep): Change
17
 
    "python-gobject | python-gi" to "python-gi | python-gobject"
18
 
    (Package: mandos/Depends): - '' -
19
 
 
20
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 05 Mar 2016 23:10:07 +0100
21
 
 
22
 
mandos (1.7.3-1) unstable; urgency=medium
23
 
 
24
 
  * New upstream release.
25
 
 
26
 
 -- Teddy Hogeborn <teddy@recompile.se>  Mon, 29 Feb 2016 22:26:38 +0100
27
 
 
28
 
mandos (1.7.2-1) unstable; urgency=medium
29
 
 
30
 
  * New upstream release.
31
 
  * Fix "Uses unneeded and obsolete version specific python packages"
32
 
    by removing version-specific dependencies (Closes: #811159)
33
 
  * debian/control (Source: mandos/Build-Depends): Add (>= 3.3.0) to
34
 
    "libgnutls28-dev" and "gnutls-dev".
35
 
    (Source: mandos/Build-Depends-Indep): Remove "python2.7-gnutls",
36
 
    "python2.7", "python2.7-dbus", "python2.7-avahi", and
37
 
    "python2.7-gobject"; replace with "python (>= 2.7), python (<< 3)",
38
 
    "python-dbus", "python-avahi", "python-gobject | python-gi".
39
 
    (Package: mandos/Depends): Remove "python-gnutls" and
40
 
    "python2.7-gnutls", add "libgnutls28-dev (>= 3.3.0) | libgnutls30 (>=
41
 
    3.3.0)".  Add "python (<< 3)".  Remove "python2.7-dbus",
42
 
    "python2.7-avahi", "python2.7-gobject", and "python2.7-urwid".
43
 
    Replace "python-gobject" with "python-gobject | python-gi" and "gnupg
44
 
    (<< 2)" with "gnupg".
45
 
    (Package: mandos-client/Depends): Replace
46
 
    "gnupg (<< 2)" with "gnupg".
47
 
    (Source: mandos/Standards-Version): Change to 3.9.7.
48
 
  * debian/copyright (Copyright): Update copyright year.
49
 
 
50
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 28 Feb 2016 16:09:01 +0100
51
 
 
52
 
mandos (1.7.1-2) unstable; urgency=medium
53
 
 
54
 
  * debian/control (Package: mandos/Depends): Fix "Please drop versioned
55
 
    dependency on initscripts package" by removing initscripts dependency
56
 
    (Closes: #804967)
57
 
  * debian/rules (override_dh_fixperms) Fix "FTBFS when built with
58
 
    dpkg-buildpackage -A (No such file or directory)" by splitting into
59
 
    "override_dh_fixperms-arch" and "override_dh_fixperms-indep".
60
 
    (Closes: #806073)
61
 
 
62
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 05 Dec 2015 02:27:40 +0100
63
 
 
64
 
mandos (1.7.1-1) unstable; urgency=medium
65
 
 
66
 
  * New upstream release.
67
 
 
68
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 24 Oct 2015 19:43:40 +0200
69
 
 
70
 
mandos (1.7.0-1) unstable; urgency=medium
71
 
 
72
 
  * New upstream release.
73
 
  * debian/control (Standards-Version): Updated to "3.9.6".
74
 
    (Build-Depends): Add "libnl-route-3-dev".
75
 
    (Package: mandos-client/Recommends): Added "gnutls-bin | openssl" for
76
 
    the generating of DH parameters.
77
 
  * debian/mandos-client.README.Debian: Update example command line to use
78
 
    new MANDOSPLUGINHELPERDIR environment variable.  Also document the new
79
 
    dhparams.pem file.
80
 
  * debian/mandos-client.postinst: Create DH parameters file.
81
 
  * debian/mandos.prerm: Don't run init script, use only invoke-rc.d.
82
 
  * debian/mandos-client.postinst: Don't use absolute paths to commands.
83
 
  * debian/mandos-client.postrm: Don't use absolute paths to commands.
84
 
    Also remove dhparams.pem file.
85
 
  * debian/copyright (Copyright): Update copyright year.
86
 
  * Upstream changed systemd service file to implicitly be of
87
 
    "Type=dbus". (Closes: #786845)
88
 
 
89
 
 -- Teddy Hogeborn <teddy@recompile.se>  Mon, 10 Aug 2015 22:00:29 +0200
90
 
 
91
1
mandos (1.6.9-1) unstable; urgency=medium
92
2
 
93
3
  * New upstream release.