/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/changelog

  • Committer: Teddy Hogeborn
  • Date: 2015-03-10 18:03:38 UTC
  • Revision ID: teddy@recompile.se-20150310180338-pcxw6r2qmw9k6br9
Add ":!RSA" to GnuTLS priority string, to disallow non-DHE kx.

If Mandos was somehow made to use a non-ephemeral Diffie-Hellman key
exchange algorithm in the TLS handshake, any saved network traffic
could then be decrypted later if the Mandos client key was obtained.
By default, Mandos uses ephemeral DH key exchanges which does not have
this problem, but a non-ephemeral key exchange algorithm was still
enabled by default.  The simplest solution is to simply turn that off,
which ensures that Mandos will always use ephemeral DH key exchanges.

There is a "PFS" priority string specifier, but we can't use it because:

1. Security-wise, it is a mix between "NORMAL" and "SECURE128" - it
   enables a lot more algorithms than "SECURE256".

2. It is only available since GnuTLS 3.2.4.

Thanks to Andreas Fischer <af@bantuX.org> for reporting this issue.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
mandos (1.7.14-1) unstable; urgency=medium
2
 
 
3
 
  * New upstream release.
4
 
  * debian/mandos-client.postinst (create_key): Stop GPG agent after
5
 
    running mandos-keygen.
6
 
  * debian/control (Package: mandos/Depends): Add "systemd-sysv | lsb-base
7
 
    (>= 3.0-6)", change "gnupg" to "gnupg2 | gnupg", and change
8
 
    "libgpgme11-dev" to "libgpgme-dev | libgpgme11-dev".
9
 
 
10
 
 -- Teddy Hogeborn <teddy@recompile.se>  Wed, 25 Jan 2017 20:36:03 +0100
11
 
 
12
 
mandos (1.7.13-1) unstable; urgency=medium
13
 
 
14
 
  * New upstream release.
15
 
  * Fix "fails to install noninteractively" by using the "%no-protection"
16
 
    statement in the GnuPG batch parameter file. (Closes: #840001)
17
 
 
18
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 08 Oct 2016 06:31:07 +0200
19
 
 
20
 
mandos (1.7.12-1) unstable; urgency=medium
21
 
 
22
 
  * New upstream release.
23
 
 
24
 
 -- Teddy Hogeborn <teddy@recompile.se>  Wed, 05 Oct 2016 22:06:55 +0200
25
 
 
26
 
mandos (1.7.11-1) unstable; urgency=high
27
 
 
28
 
  * New upstream release.
29
 
  * debian/control (Source: mandos/Vcs-Bzr): Change to use HTTPS.
30
 
    (Vcs-Browser): - '' -
31
 
 
32
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 01 Oct 2016 16:20:48 +0200
33
 
 
34
 
mandos (1.7.10-1) unstable; urgency=high
35
 
 
36
 
  * New upstream release.
37
 
  * debian/rules (override_dh_fixperms-arch): Also exclude
38
 
    "etc/mandos/plugin-helpers" from changes by dh_fixperms.
39
 
  * debian/mandos-client.postinst: Fix the permissions of
40
 
    "/etc/mandos/plugin-helpers" for those systems which had a fresh
41
 
    install of an older version.
42
 
 
43
 
 -- Teddy Hogeborn <teddy@recompile.se>  Thu, 23 Jun 2016 22:00:29 +0200
44
 
 
45
 
mandos (1.7.9-1) unstable; urgency=medium
46
 
 
47
 
  * New upstream release.
48
 
 
49
 
 -- Teddy Hogeborn <teddy@recompile.se>  Wed, 22 Jun 2016 07:30:12 +0200
50
 
 
51
 
mandos (1.7.8-1) unstable; urgency=medium
52
 
 
53
 
  * New upstream release.
54
 
  * Fix "bad gpgme_op_decrypt: GPGME: Decryption failed." by copying
55
 
    /usr/bin/gpg-agent into initramfs (Closes: #819982)
56
 
  * debian/control (Homepage): Change URL to use HTTPS.
57
 
    (Standards-Version): Update to 3.9.8.
58
 
  * debian/copyright (Source): Change URL to HTTPS.
59
 
  * debian/mandos-client.README.Debian: Change wording to match updated
60
 
    capabilities.
61
 
 
62
 
 -- Teddy Hogeborn <teddy@recompile.se>  Tue, 21 Jun 2016 21:36:10 +0200
63
 
 
64
 
mandos (1.7.7-1) unstable; urgency=medium
65
 
 
66
 
  * New upstream release.
67
 
  * debian/mandos-client.postinst (configure): If older version, fix
68
 
    permissions on plugin helper directory.  Also fix permissions on
69
 
    plugin helper local override directory (/etc/mandos/plugin-helpers),
70
 
    but only if not listed by "dpkg-statoverride".
71
 
  * debian/rules (override_dh_fixperms-arch): Exclude plugin helper
72
 
    directory from dh_fixperms.
73
 
  * debian/mandos.postinst (configure): Fix state directory permissions,
74
 
    but only if not listed by "dpkg-statoverride".
75
 
  * debian/mandos-client.lintian-overrides: Do not warn about permissions
76
 
    on plugin helper directory.
77
 
  * debian/mandos.dirs (usr/lib/tmpfiles.d): Added.
78
 
 
79
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 19 Mar 2016 22:58:49 +0100
80
 
 
81
 
mandos (1.7.6-1) unstable; urgency=medium
82
 
 
83
 
  * New upstream release.
84
 
  * debian/control (Source: mandos/Build-Depends-Indep): Remove
85
 
    "python-avahi".
86
 
    (Source: mandos/Build-Depends-Indep): Change "python-gi |
87
 
    python-gobject" to "python-gi"; i.e. remove "python-gobject".
88
 
 
89
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 13 Mar 2016 22:58:23 +0100
90
 
 
91
 
mandos (1.7.5-1) unstable; urgency=high
92
 
 
93
 
  * New upstream release.
94
 
  * debian/mandos.postinst (configure): If old version was 1.7.4-1 or
95
 
    1.7.4-1~bpo8+1, fix situation where clients.pickle file is owned by
96
 
    root.
97
 
 
98
 
 -- Teddy Hogeborn <teddy@recompile.se>  Tue, 08 Mar 2016 01:09:55 +0100
99
 
 
100
 
mandos (1.7.4-1) unstable; urgency=medium
101
 
 
102
 
  * New upstream release.
103
 
  * initramfs-tools-script: Fix "Call to configure_network in initramfs
104
 
    script broken due to set -e" by surrounding call by "set +x" and "set
105
 
    -e" (Closes: #816513)
106
 
  * debian/control: (Source: mandos/Build-Depends-Indep): Change
107
 
    "python-gobject | python-gi" to "python-gi | python-gobject"
108
 
    (Package: mandos/Depends): - '' -
109
 
 
110
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 05 Mar 2016 23:10:07 +0100
111
 
 
112
 
mandos (1.7.3-1) unstable; urgency=medium
113
 
 
114
 
  * New upstream release.
115
 
 
116
 
 -- Teddy Hogeborn <teddy@recompile.se>  Mon, 29 Feb 2016 22:26:38 +0100
117
 
 
118
 
mandos (1.7.2-1) unstable; urgency=medium
119
 
 
120
 
  * New upstream release.
121
 
  * Fix "Uses unneeded and obsolete version specific python packages"
122
 
    by removing version-specific dependencies (Closes: #811159)
123
 
  * debian/control (Source: mandos/Build-Depends): Add (>= 3.3.0) to
124
 
    "libgnutls28-dev" and "gnutls-dev".
125
 
    (Source: mandos/Build-Depends-Indep): Remove "python2.7-gnutls",
126
 
    "python2.7", "python2.7-dbus", "python2.7-avahi", and
127
 
    "python2.7-gobject"; replace with "python (>= 2.7), python (<< 3)",
128
 
    "python-dbus", "python-avahi", "python-gobject | python-gi".
129
 
    (Package: mandos/Depends): Remove "python-gnutls" and
130
 
    "python2.7-gnutls", add "libgnutls28-dev (>= 3.3.0) | libgnutls30 (>=
131
 
    3.3.0)".  Add "python (<< 3)".  Remove "python2.7-dbus",
132
 
    "python2.7-avahi", "python2.7-gobject", and "python2.7-urwid".
133
 
    Replace "python-gobject" with "python-gobject | python-gi" and "gnupg
134
 
    (<< 2)" with "gnupg".
135
 
    (Package: mandos-client/Depends): Replace
136
 
    "gnupg (<< 2)" with "gnupg".
137
 
    (Source: mandos/Standards-Version): Change to 3.9.7.
138
 
  * debian/copyright (Copyright): Update copyright year.
139
 
 
140
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 28 Feb 2016 16:09:01 +0100
141
 
 
142
 
mandos (1.7.1-2) unstable; urgency=medium
143
 
 
144
 
  * debian/control (Package: mandos/Depends): Fix "Please drop versioned
145
 
    dependency on initscripts package" by removing initscripts dependency
146
 
    (Closes: #804967)
147
 
  * debian/rules (override_dh_fixperms) Fix "FTBFS when built with
148
 
    dpkg-buildpackage -A (No such file or directory)" by splitting into
149
 
    "override_dh_fixperms-arch" and "override_dh_fixperms-indep".
150
 
    (Closes: #806073)
151
 
 
152
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 05 Dec 2015 02:27:40 +0100
153
 
 
154
 
mandos (1.7.1-1) unstable; urgency=medium
155
 
 
156
 
  * New upstream release.
157
 
 
158
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 24 Oct 2015 19:43:40 +0200
159
 
 
160
 
mandos (1.7.0-1) unstable; urgency=medium
161
 
 
162
 
  * New upstream release.
163
 
  * debian/control (Standards-Version): Updated to "3.9.6".
164
 
    (Build-Depends): Add "libnl-route-3-dev".
165
 
    (Package: mandos-client/Recommends): Added "gnutls-bin | openssl" for
166
 
    the generating of DH parameters.
167
 
  * debian/mandos-client.README.Debian: Update example command line to use
168
 
    new MANDOSPLUGINHELPERDIR environment variable.  Also document the new
169
 
    dhparams.pem file.
170
 
  * debian/mandos-client.postinst: Create DH parameters file.
171
 
  * debian/mandos.prerm: Don't run init script, use only invoke-rc.d.
172
 
  * debian/mandos-client.postinst: Don't use absolute paths to commands.
173
 
  * debian/mandos-client.postrm: Don't use absolute paths to commands.
174
 
    Also remove dhparams.pem file.
175
 
  * debian/copyright (Copyright): Update copyright year.
176
 
  * Upstream changed systemd service file to implicitly be of
177
 
    "Type=dbus". (Closes: #786845)
178
 
 
179
 
 -- Teddy Hogeborn <teddy@recompile.se>  Mon, 10 Aug 2015 22:00:29 +0200
180
 
 
181
1
mandos (1.6.9-1) unstable; urgency=medium
182
2
 
183
3
  * New upstream release.