/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/changelog

  • Committer: Teddy Hogeborn
  • Date: 2015-03-10 18:03:38 UTC
  • Revision ID: teddy@recompile.se-20150310180338-pcxw6r2qmw9k6br9
Add ":!RSA" to GnuTLS priority string, to disallow non-DHE kx.

If Mandos was somehow made to use a non-ephemeral Diffie-Hellman key
exchange algorithm in the TLS handshake, any saved network traffic
could then be decrypted later if the Mandos client key was obtained.
By default, Mandos uses ephemeral DH key exchanges which does not have
this problem, but a non-ephemeral key exchange algorithm was still
enabled by default.  The simplest solution is to simply turn that off,
which ensures that Mandos will always use ephemeral DH key exchanges.

There is a "PFS" priority string specifier, but we can't use it because:

1. Security-wise, it is a mix between "NORMAL" and "SECURE128" - it
   enables a lot more algorithms than "SECURE256".

2. It is only available since GnuTLS 3.2.4.

Thanks to Andreas Fischer <af@bantuX.org> for reporting this issue.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
mandos (1.7.20-1) unstable; urgency=medium
2
 
 
3
 
  * New upstream release.
4
 
  * Fix "[tethys] mandos-client: Mandos client fails while booting but
5
 
    works from chroot into unpacked initramfs" by setting system clock if
6
 
    necessary (Closes: #894495)
7
 
  * Fix "initramfs boot script assumes internal cryptsetup implementation
8
 
    details and is now broken" by only using documented
9
 
    interfaces (Closes: #904899)
10
 
  * debian/mandos-client.dirs: Add
11
 
    "usr/share/initramfs-tools/scripts/local-premount" and
12
 
    "usr/share/initramfs-tools/conf.d", and remove
13
 
    "usr/share/initramfs-tools/conf-hooks.d".
14
 
  * debian/control (mandos-client/Depends): Add "(>= 0.99)" to dependency
15
 
    on "initramfs-tools".
16
 
  * debian/control (Source: mandos/Rules-Requires-Root): New; set to
17
 
    "binary-targets".
18
 
    (Standards-Version): Update to "4.2.0".
19
 
 
20
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 19 Aug 2018 22:14:04 +0200
21
 
 
22
 
mandos (1.7.19-1) unstable; urgency=medium
23
 
 
24
 
  * New upstream release.
25
 
  * Fix "fails with "LeakSanitizer has encountered a fatal error"" by not
26
 
    using LeakSanitizer in affected binary (Closes: #886595)
27
 
 
28
 
 -- Teddy Hogeborn <teddy@recompile.se>  Thu, 22 Feb 2018 19:47:59 +0100
29
 
 
30
 
mandos (1.7.18-1) unstable; urgency=medium
31
 
 
32
 
  * New upstream release.
33
 
 
34
 
 -- Teddy Hogeborn <teddy@recompile.se>  Mon, 12 Feb 2018 16:00:11 +0100
35
 
 
36
 
mandos (1.7.17-1) unstable; urgency=medium
37
 
 
38
 
  * New upstream release.
39
 
  * Fix "fails with "LeakSanitizer has encountered a fatal error""
40
 
    by fixing memory leak in plugin-runner (Closes: #886595)
41
 
  * debian/control (Build-Depends): Also depend on "libgnutls28-dev (<<
42
 
    3.6.0) | libgnutls30 (<< 3.6.0)".
43
 
    (Package: mandos/Depends): - '' -
44
 
  * debian/compat: Change to "10".
45
 
  * debian/watch (version): Change to "4".
46
 
    (opts/pgpsigurlmangle): Remove.
47
 
    (opts/pgpmode): New; set to "auto".
48
 
    (URL): Change to "https://ftp.recompile.se/pub/@PACKAGE@/@PACKAGE@
49
 
    @ANY_VERSION@(?:\.orig)?@ARCHIVE_EXT@".
50
 
  * debian/copyright: Update copyright year to 2018.
51
 
  * debian/rules: Support the "noopt" and "parallel" DEB_BUILD_OPTIONS.
52
 
    (override_dh_fixperms-arch): Use the DEB_HOST_MULTIARCH
53
 
    variable directly instead of shelling out to "dpkg-architecture".
54
 
  * debian/control (Standards-Version): Update to "4.1.3".
55
 
    (Build-Depends): Change version of debhelper dependency to ">= 10".
56
 
  * debian/mandos.lintian-overrides
57
 
    (init.d-script-needs-depends-on-lsb-base): Change line number to "46".
58
 
 
59
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 10 Feb 2018 19:09:50 +0100
60
 
 
61
 
mandos (1.7.16-1) unstable; urgency=medium
62
 
 
63
 
  * New upstream release.
64
 
  * debian/copyright (License): Use program name explicitly.
65
 
    (Format): Use https in URL.
66
 
  * debian/control (Priority): Change from "extra" to "optional".
67
 
    (Standards-Version): Update to "4.0.1".
68
 
 
69
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 20 Aug 2017 21:05:26 +0200
70
 
 
71
 
mandos (1.7.15-1) unstable; urgency=medium
72
 
 
73
 
  * New upstream release.
74
 
  * Upstream release fixes "Seems not to be honoring zeroconf option at
75
 
    mandos.conf" (Closes: #855589)
76
 
  * debian/mandos.lintian-overrides (mandos): Add new line
77
 
    "init.d-script-needs-depends-on-lsb-base etc/init.d/mandos (line 49)".
78
 
  * debian/copyright: Update copyright year to 2017.
79
 
 
80
 
 -- Teddy Hogeborn <teddy@recompile.se>  Thu, 23 Feb 2017 21:29:36 +0100
81
 
 
82
 
mandos (1.7.14-1) unstable; urgency=medium
83
 
 
84
 
  * New upstream release.
85
 
  * debian/mandos-client.postinst (create_key): Stop GPG agent after
86
 
    running mandos-keygen.
87
 
  * debian/control (Package: mandos/Depends): Add "systemd-sysv | lsb-base
88
 
    (>= 3.0-6)", change "gnupg" to "gnupg2 | gnupg", and change
89
 
    "libgpgme11-dev" to "libgpgme-dev | libgpgme11-dev".
90
 
 
91
 
 -- Teddy Hogeborn <teddy@recompile.se>  Wed, 25 Jan 2017 20:36:03 +0100
92
 
 
93
 
mandos (1.7.13-1) unstable; urgency=medium
94
 
 
95
 
  * New upstream release.
96
 
  * Fix "fails to install noninteractively" by using the "%no-protection"
97
 
    statement in the GnuPG batch parameter file. (Closes: #840001)
98
 
 
99
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 08 Oct 2016 06:31:07 +0200
100
 
 
101
 
mandos (1.7.12-1) unstable; urgency=medium
102
 
 
103
 
  * New upstream release.
104
 
 
105
 
 -- Teddy Hogeborn <teddy@recompile.se>  Wed, 05 Oct 2016 22:06:55 +0200
106
 
 
107
 
mandos (1.7.11-1) unstable; urgency=high
108
 
 
109
 
  * New upstream release.
110
 
  * debian/control (Source: mandos/Vcs-Bzr): Change to use HTTPS.
111
 
    (Vcs-Browser): - '' -
112
 
 
113
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 01 Oct 2016 16:20:48 +0200
114
 
 
115
 
mandos (1.7.10-1) unstable; urgency=high
116
 
 
117
 
  * New upstream release.
118
 
  * debian/rules (override_dh_fixperms-arch): Also exclude
119
 
    "etc/mandos/plugin-helpers" from changes by dh_fixperms.
120
 
  * debian/mandos-client.postinst: Fix the permissions of
121
 
    "/etc/mandos/plugin-helpers" for those systems which had a fresh
122
 
    install of an older version.
123
 
 
124
 
 -- Teddy Hogeborn <teddy@recompile.se>  Thu, 23 Jun 2016 22:00:29 +0200
125
 
 
126
 
mandos (1.7.9-1) unstable; urgency=medium
127
 
 
128
 
  * New upstream release.
129
 
 
130
 
 -- Teddy Hogeborn <teddy@recompile.se>  Wed, 22 Jun 2016 07:30:12 +0200
131
 
 
132
 
mandos (1.7.8-1) unstable; urgency=medium
133
 
 
134
 
  * New upstream release.
135
 
  * Fix "bad gpgme_op_decrypt: GPGME: Decryption failed." by copying
136
 
    /usr/bin/gpg-agent into initramfs (Closes: #819982)
137
 
  * debian/control (Homepage): Change URL to use HTTPS.
138
 
    (Standards-Version): Update to 3.9.8.
139
 
  * debian/copyright (Source): Change URL to HTTPS.
140
 
  * debian/mandos-client.README.Debian: Change wording to match updated
141
 
    capabilities.
142
 
 
143
 
 -- Teddy Hogeborn <teddy@recompile.se>  Tue, 21 Jun 2016 21:36:10 +0200
144
 
 
145
 
mandos (1.7.7-1) unstable; urgency=medium
146
 
 
147
 
  * New upstream release.
148
 
  * debian/mandos-client.postinst (configure): If older version, fix
149
 
    permissions on plugin helper directory.  Also fix permissions on
150
 
    plugin helper local override directory (/etc/mandos/plugin-helpers),
151
 
    but only if not listed by "dpkg-statoverride".
152
 
  * debian/rules (override_dh_fixperms-arch): Exclude plugin helper
153
 
    directory from dh_fixperms.
154
 
  * debian/mandos.postinst (configure): Fix state directory permissions,
155
 
    but only if not listed by "dpkg-statoverride".
156
 
  * debian/mandos-client.lintian-overrides: Do not warn about permissions
157
 
    on plugin helper directory.
158
 
  * debian/mandos.dirs (usr/lib/tmpfiles.d): Added.
159
 
 
160
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 19 Mar 2016 22:58:49 +0100
161
 
 
162
 
mandos (1.7.6-1) unstable; urgency=medium
163
 
 
164
 
  * New upstream release.
165
 
  * debian/control (Source: mandos/Build-Depends-Indep): Remove
166
 
    "python-avahi".
167
 
    (Source: mandos/Build-Depends-Indep): Change "python-gi |
168
 
    python-gobject" to "python-gi"; i.e. remove "python-gobject".
169
 
 
170
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 13 Mar 2016 22:58:23 +0100
171
 
 
172
 
mandos (1.7.5-1) unstable; urgency=high
173
 
 
174
 
  * New upstream release.
175
 
  * debian/mandos.postinst (configure): If old version was 1.7.4-1 or
176
 
    1.7.4-1~bpo8+1, fix situation where clients.pickle file is owned by
177
 
    root.
178
 
 
179
 
 -- Teddy Hogeborn <teddy@recompile.se>  Tue, 08 Mar 2016 01:09:55 +0100
180
 
 
181
 
mandos (1.7.4-1) unstable; urgency=medium
182
 
 
183
 
  * New upstream release.
184
 
  * initramfs-tools-script: Fix "Call to configure_network in initramfs
185
 
    script broken due to set -e" by surrounding call by "set +x" and "set
186
 
    -e" (Closes: #816513)
187
 
  * debian/control: (Source: mandos/Build-Depends-Indep): Change
188
 
    "python-gobject | python-gi" to "python-gi | python-gobject"
189
 
    (Package: mandos/Depends): - '' -
190
 
 
191
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 05 Mar 2016 23:10:07 +0100
192
 
 
193
 
mandos (1.7.3-1) unstable; urgency=medium
194
 
 
195
 
  * New upstream release.
196
 
 
197
 
 -- Teddy Hogeborn <teddy@recompile.se>  Mon, 29 Feb 2016 22:26:38 +0100
198
 
 
199
 
mandos (1.7.2-1) unstable; urgency=medium
200
 
 
201
 
  * New upstream release.
202
 
  * Fix "Uses unneeded and obsolete version specific python packages"
203
 
    by removing version-specific dependencies (Closes: #811159)
204
 
  * debian/control (Source: mandos/Build-Depends): Add (>= 3.3.0) to
205
 
    "libgnutls28-dev" and "gnutls-dev".
206
 
    (Source: mandos/Build-Depends-Indep): Remove "python2.7-gnutls",
207
 
    "python2.7", "python2.7-dbus", "python2.7-avahi", and
208
 
    "python2.7-gobject"; replace with "python (>= 2.7), python (<< 3)",
209
 
    "python-dbus", "python-avahi", "python-gobject | python-gi".
210
 
    (Package: mandos/Depends): Remove "python-gnutls" and
211
 
    "python2.7-gnutls", add "libgnutls28-dev (>= 3.3.0) | libgnutls30 (>=
212
 
    3.3.0)".  Add "python (<< 3)".  Remove "python2.7-dbus",
213
 
    "python2.7-avahi", "python2.7-gobject", and "python2.7-urwid".
214
 
    Replace "python-gobject" with "python-gobject | python-gi" and "gnupg
215
 
    (<< 2)" with "gnupg".
216
 
    (Package: mandos-client/Depends): Replace
217
 
    "gnupg (<< 2)" with "gnupg".
218
 
    (Source: mandos/Standards-Version): Change to 3.9.7.
219
 
  * debian/copyright (Copyright): Update copyright year.
220
 
 
221
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 28 Feb 2016 16:09:01 +0100
222
 
 
223
 
mandos (1.7.1-2) unstable; urgency=medium
224
 
 
225
 
  * debian/control (Package: mandos/Depends): Fix "Please drop versioned
226
 
    dependency on initscripts package" by removing initscripts dependency
227
 
    (Closes: #804967)
228
 
  * debian/rules (override_dh_fixperms) Fix "FTBFS when built with
229
 
    dpkg-buildpackage -A (No such file or directory)" by splitting into
230
 
    "override_dh_fixperms-arch" and "override_dh_fixperms-indep".
231
 
    (Closes: #806073)
232
 
 
233
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 05 Dec 2015 02:27:40 +0100
234
 
 
235
 
mandos (1.7.1-1) unstable; urgency=medium
236
 
 
237
 
  * New upstream release.
238
 
 
239
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 24 Oct 2015 19:43:40 +0200
240
 
 
241
 
mandos (1.7.0-1) unstable; urgency=medium
242
 
 
243
 
  * New upstream release.
244
 
  * debian/control (Standards-Version): Updated to "3.9.6".
245
 
    (Build-Depends): Add "libnl-route-3-dev".
246
 
    (Package: mandos-client/Recommends): Added "gnutls-bin | openssl" for
247
 
    the generating of DH parameters.
248
 
  * debian/mandos-client.README.Debian: Update example command line to use
249
 
    new MANDOSPLUGINHELPERDIR environment variable.  Also document the new
250
 
    dhparams.pem file.
251
 
  * debian/mandos-client.postinst: Create DH parameters file.
252
 
  * debian/mandos.prerm: Don't run init script, use only invoke-rc.d.
253
 
  * debian/mandos-client.postinst: Don't use absolute paths to commands.
254
 
  * debian/mandos-client.postrm: Don't use absolute paths to commands.
255
 
    Also remove dhparams.pem file.
256
 
  * debian/copyright (Copyright): Update copyright year.
257
 
  * Upstream changed systemd service file to implicitly be of
258
 
    "Type=dbus". (Closes: #786845)
259
 
 
260
 
 -- Teddy Hogeborn <teddy@recompile.se>  Mon, 10 Aug 2015 22:00:29 +0200
261
 
 
262
1
mandos (1.6.9-1) unstable; urgency=medium
263
2
 
264
3
  * New upstream release.