/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/changelog

  • Committer: Teddy Hogeborn
  • Date: 2015-03-10 18:03:38 UTC
  • Revision ID: teddy@recompile.se-20150310180338-pcxw6r2qmw9k6br9
Add ":!RSA" to GnuTLS priority string, to disallow non-DHE kx.

If Mandos was somehow made to use a non-ephemeral Diffie-Hellman key
exchange algorithm in the TLS handshake, any saved network traffic
could then be decrypted later if the Mandos client key was obtained.
By default, Mandos uses ephemeral DH key exchanges which does not have
this problem, but a non-ephemeral key exchange algorithm was still
enabled by default.  The simplest solution is to simply turn that off,
which ensures that Mandos will always use ephemeral DH key exchanges.

There is a "PFS" priority string specifier, but we can't use it because:

1. Security-wise, it is a mix between "NORMAL" and "SECURE128" - it
   enables a lot more algorithms than "SECURE256".

2. It is only available since GnuTLS 3.2.4.

Thanks to Andreas Fischer <af@bantuX.org> for reporting this issue.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
mandos (1.7.15-1) unstable; urgency=medium
2
 
 
3
 
  * New upstream release.
4
 
  * Upstream release fixes "Seems not to be honoring zeroconf option at
5
 
    mandos.conf" (Closes: #855589)
6
 
  * debian/mandos.lintian-overrides (mandos): Add new line
7
 
    "init.d-script-needs-depends-on-lsb-base etc/init.d/mandos (line 49)".
8
 
  * debian/copyright: Update copyright year to 2017.
9
 
 
10
 
 -- Teddy Hogeborn <teddy@recompile.se>  Thu, 23 Feb 2017 21:29:36 +0100
11
 
 
12
 
mandos (1.7.14-1) unstable; urgency=medium
13
 
 
14
 
  * New upstream release.
15
 
  * debian/mandos-client.postinst (create_key): Stop GPG agent after
16
 
    running mandos-keygen.
17
 
  * debian/control (Package: mandos/Depends): Add "systemd-sysv | lsb-base
18
 
    (>= 3.0-6)", change "gnupg" to "gnupg2 | gnupg", and change
19
 
    "libgpgme11-dev" to "libgpgme-dev | libgpgme11-dev".
20
 
 
21
 
 -- Teddy Hogeborn <teddy@recompile.se>  Wed, 25 Jan 2017 20:36:03 +0100
22
 
 
23
 
mandos (1.7.13-1) unstable; urgency=medium
24
 
 
25
 
  * New upstream release.
26
 
  * Fix "fails to install noninteractively" by using the "%no-protection"
27
 
    statement in the GnuPG batch parameter file. (Closes: #840001)
28
 
 
29
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 08 Oct 2016 06:31:07 +0200
30
 
 
31
 
mandos (1.7.12-1) unstable; urgency=medium
32
 
 
33
 
  * New upstream release.
34
 
 
35
 
 -- Teddy Hogeborn <teddy@recompile.se>  Wed, 05 Oct 2016 22:06:55 +0200
36
 
 
37
 
mandos (1.7.11-1) unstable; urgency=high
38
 
 
39
 
  * New upstream release.
40
 
  * debian/control (Source: mandos/Vcs-Bzr): Change to use HTTPS.
41
 
    (Vcs-Browser): - '' -
42
 
 
43
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 01 Oct 2016 16:20:48 +0200
44
 
 
45
 
mandos (1.7.10-1) unstable; urgency=high
46
 
 
47
 
  * New upstream release.
48
 
  * debian/rules (override_dh_fixperms-arch): Also exclude
49
 
    "etc/mandos/plugin-helpers" from changes by dh_fixperms.
50
 
  * debian/mandos-client.postinst: Fix the permissions of
51
 
    "/etc/mandos/plugin-helpers" for those systems which had a fresh
52
 
    install of an older version.
53
 
 
54
 
 -- Teddy Hogeborn <teddy@recompile.se>  Thu, 23 Jun 2016 22:00:29 +0200
55
 
 
56
 
mandos (1.7.9-1) unstable; urgency=medium
57
 
 
58
 
  * New upstream release.
59
 
 
60
 
 -- Teddy Hogeborn <teddy@recompile.se>  Wed, 22 Jun 2016 07:30:12 +0200
61
 
 
62
 
mandos (1.7.8-1) unstable; urgency=medium
63
 
 
64
 
  * New upstream release.
65
 
  * Fix "bad gpgme_op_decrypt: GPGME: Decryption failed." by copying
66
 
    /usr/bin/gpg-agent into initramfs (Closes: #819982)
67
 
  * debian/control (Homepage): Change URL to use HTTPS.
68
 
    (Standards-Version): Update to 3.9.8.
69
 
  * debian/copyright (Source): Change URL to HTTPS.
70
 
  * debian/mandos-client.README.Debian: Change wording to match updated
71
 
    capabilities.
72
 
 
73
 
 -- Teddy Hogeborn <teddy@recompile.se>  Tue, 21 Jun 2016 21:36:10 +0200
74
 
 
75
 
mandos (1.7.7-1) unstable; urgency=medium
76
 
 
77
 
  * New upstream release.
78
 
  * debian/mandos-client.postinst (configure): If older version, fix
79
 
    permissions on plugin helper directory.  Also fix permissions on
80
 
    plugin helper local override directory (/etc/mandos/plugin-helpers),
81
 
    but only if not listed by "dpkg-statoverride".
82
 
  * debian/rules (override_dh_fixperms-arch): Exclude plugin helper
83
 
    directory from dh_fixperms.
84
 
  * debian/mandos.postinst (configure): Fix state directory permissions,
85
 
    but only if not listed by "dpkg-statoverride".
86
 
  * debian/mandos-client.lintian-overrides: Do not warn about permissions
87
 
    on plugin helper directory.
88
 
  * debian/mandos.dirs (usr/lib/tmpfiles.d): Added.
89
 
 
90
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 19 Mar 2016 22:58:49 +0100
91
 
 
92
 
mandos (1.7.6-1) unstable; urgency=medium
93
 
 
94
 
  * New upstream release.
95
 
  * debian/control (Source: mandos/Build-Depends-Indep): Remove
96
 
    "python-avahi".
97
 
    (Source: mandos/Build-Depends-Indep): Change "python-gi |
98
 
    python-gobject" to "python-gi"; i.e. remove "python-gobject".
99
 
 
100
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 13 Mar 2016 22:58:23 +0100
101
 
 
102
 
mandos (1.7.5-1) unstable; urgency=high
103
 
 
104
 
  * New upstream release.
105
 
  * debian/mandos.postinst (configure): If old version was 1.7.4-1 or
106
 
    1.7.4-1~bpo8+1, fix situation where clients.pickle file is owned by
107
 
    root.
108
 
 
109
 
 -- Teddy Hogeborn <teddy@recompile.se>  Tue, 08 Mar 2016 01:09:55 +0100
110
 
 
111
 
mandos (1.7.4-1) unstable; urgency=medium
112
 
 
113
 
  * New upstream release.
114
 
  * initramfs-tools-script: Fix "Call to configure_network in initramfs
115
 
    script broken due to set -e" by surrounding call by "set +x" and "set
116
 
    -e" (Closes: #816513)
117
 
  * debian/control: (Source: mandos/Build-Depends-Indep): Change
118
 
    "python-gobject | python-gi" to "python-gi | python-gobject"
119
 
    (Package: mandos/Depends): - '' -
120
 
 
121
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 05 Mar 2016 23:10:07 +0100
122
 
 
123
 
mandos (1.7.3-1) unstable; urgency=medium
124
 
 
125
 
  * New upstream release.
126
 
 
127
 
 -- Teddy Hogeborn <teddy@recompile.se>  Mon, 29 Feb 2016 22:26:38 +0100
128
 
 
129
 
mandos (1.7.2-1) unstable; urgency=medium
130
 
 
131
 
  * New upstream release.
132
 
  * Fix "Uses unneeded and obsolete version specific python packages"
133
 
    by removing version-specific dependencies (Closes: #811159)
134
 
  * debian/control (Source: mandos/Build-Depends): Add (>= 3.3.0) to
135
 
    "libgnutls28-dev" and "gnutls-dev".
136
 
    (Source: mandos/Build-Depends-Indep): Remove "python2.7-gnutls",
137
 
    "python2.7", "python2.7-dbus", "python2.7-avahi", and
138
 
    "python2.7-gobject"; replace with "python (>= 2.7), python (<< 3)",
139
 
    "python-dbus", "python-avahi", "python-gobject | python-gi".
140
 
    (Package: mandos/Depends): Remove "python-gnutls" and
141
 
    "python2.7-gnutls", add "libgnutls28-dev (>= 3.3.0) | libgnutls30 (>=
142
 
    3.3.0)".  Add "python (<< 3)".  Remove "python2.7-dbus",
143
 
    "python2.7-avahi", "python2.7-gobject", and "python2.7-urwid".
144
 
    Replace "python-gobject" with "python-gobject | python-gi" and "gnupg
145
 
    (<< 2)" with "gnupg".
146
 
    (Package: mandos-client/Depends): Replace
147
 
    "gnupg (<< 2)" with "gnupg".
148
 
    (Source: mandos/Standards-Version): Change to 3.9.7.
149
 
  * debian/copyright (Copyright): Update copyright year.
150
 
 
151
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 28 Feb 2016 16:09:01 +0100
152
 
 
153
 
mandos (1.7.1-2) unstable; urgency=medium
154
 
 
155
 
  * debian/control (Package: mandos/Depends): Fix "Please drop versioned
156
 
    dependency on initscripts package" by removing initscripts dependency
157
 
    (Closes: #804967)
158
 
  * debian/rules (override_dh_fixperms) Fix "FTBFS when built with
159
 
    dpkg-buildpackage -A (No such file or directory)" by splitting into
160
 
    "override_dh_fixperms-arch" and "override_dh_fixperms-indep".
161
 
    (Closes: #806073)
162
 
 
163
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 05 Dec 2015 02:27:40 +0100
164
 
 
165
 
mandos (1.7.1-1) unstable; urgency=medium
166
 
 
167
 
  * New upstream release.
168
 
 
169
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 24 Oct 2015 19:43:40 +0200
170
 
 
171
 
mandos (1.7.0-1) unstable; urgency=medium
172
 
 
173
 
  * New upstream release.
174
 
  * debian/control (Standards-Version): Updated to "3.9.6".
175
 
    (Build-Depends): Add "libnl-route-3-dev".
176
 
    (Package: mandos-client/Recommends): Added "gnutls-bin | openssl" for
177
 
    the generating of DH parameters.
178
 
  * debian/mandos-client.README.Debian: Update example command line to use
179
 
    new MANDOSPLUGINHELPERDIR environment variable.  Also document the new
180
 
    dhparams.pem file.
181
 
  * debian/mandos-client.postinst: Create DH parameters file.
182
 
  * debian/mandos.prerm: Don't run init script, use only invoke-rc.d.
183
 
  * debian/mandos-client.postinst: Don't use absolute paths to commands.
184
 
  * debian/mandos-client.postrm: Don't use absolute paths to commands.
185
 
    Also remove dhparams.pem file.
186
 
  * debian/copyright (Copyright): Update copyright year.
187
 
  * Upstream changed systemd service file to implicitly be of
188
 
    "Type=dbus". (Closes: #786845)
189
 
 
190
 
 -- Teddy Hogeborn <teddy@recompile.se>  Mon, 10 Aug 2015 22:00:29 +0200
191
 
 
192
1
mandos (1.6.9-1) unstable; urgency=medium
193
2
 
194
3
  * New upstream release.