/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/changelog

  • Committer: Teddy Hogeborn
  • Date: 2015-03-10 18:03:38 UTC
  • Revision ID: teddy@recompile.se-20150310180338-pcxw6r2qmw9k6br9
Add ":!RSA" to GnuTLS priority string, to disallow non-DHE kx.

If Mandos was somehow made to use a non-ephemeral Diffie-Hellman key
exchange algorithm in the TLS handshake, any saved network traffic
could then be decrypted later if the Mandos client key was obtained.
By default, Mandos uses ephemeral DH key exchanges which does not have
this problem, but a non-ephemeral key exchange algorithm was still
enabled by default.  The simplest solution is to simply turn that off,
which ensures that Mandos will always use ephemeral DH key exchanges.

There is a "PFS" priority string specifier, but we can't use it because:

1. Security-wise, it is a mix between "NORMAL" and "SECURE128" - it
   enables a lot more algorithms than "SECURE256".

2. It is only available since GnuTLS 3.2.4.

Thanks to Andreas Fischer <af@bantuX.org> for reporting this issue.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
mandos (1.8.3-1) unstable; urgency=medium
2
 
 
3
 
  * New upstream release.
4
 
  * debian/watch: Make the ".orig" file name suffix non-optional;
5
 
    otherwise uscan thinks that ".orig" is part of the version number.
6
 
  * debian/control (Build-Depends): Changed GnuTLS dependencies; move
7
 
    3.6.6 alternative to first in list, and remove dependencies on the
8
 
    virtual package "gnutls-dev", since we need the version restrictions.
9
 
    (Package: mandos/Depends): Remove dependency on libgnutls28-dev
10
 
    package.
11
 
    (Package: mandos/Suggests): New; set to "libc6-dev, c-compiler". (Used
12
 
    to find value of "SO_BINDTODEVICE").
13
 
    (Package: mandos-client/Depends): Don't depend on openssl anymore;
14
 
    instead depend on either a gnutls-bin (>= 3.6.6) (in which case TLS
15
 
    key generation will work), or on libgnutls30 (<< 3.6.0) (in which case
16
 
    TLS key generation will not be needed).
17
 
 
18
 
 -- Teddy Hogeborn <teddy@recompile.se>  Mon, 11 Feb 2019 07:30:32 +0100
19
 
 
20
 
mandos (1.8.2-1) unstable; urgency=medium
21
 
 
22
 
  * New upstream release.
23
 
  * debian/mandos-client.postinst (create_keys): Ignore failure to remove
24
 
                                                 bad keys.
25
 
 
26
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 10 Feb 2019 11:44:56 +0100
27
 
 
28
 
mandos (1.8.1-1) unstable; urgency=high
29
 
 
30
 
  * New upstream release.
31
 
  * debian/mandos-client.postinst (create_keys): Remove any bad keys
32
 
    created by 1.8.0-1. Only create TLS keys if certtool succeeds.
33
 
  * debian/mandos.postinst (configure): Remove any bad keys from
34
 
    clients.conf, and inform the user if any were found.
35
 
  * debian/mandos.templates (mandos/removed_bad_key_ids): New message.
36
 
 
37
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 10 Feb 2019 10:00:21 +0100
38
 
 
39
 
mandos (1.8.0-1) unstable; urgency=medium
40
 
 
41
 
  * New upstream release.
42
 
  * Fix "(tries to) use GnuTLS OpenPGP support" by using raw public keys
43
 
    when available (Closes: #879538)
44
 
  * Fix "mandos : Depends: libgnutls30 (< 3.6.0) but 3.6.5-2 is to be
45
 
    installed" by now also allowing GnuTLS >= 3.6.6 (Closes: #916673)
46
 
  * debian/control (Standards-Version): Update to "4.3.0".
47
 
    (Package: mandos-client/Depends): Change from "cryptsetup" to
48
 
    "cryptsetup (<< 2:2.0.3-1) | cryptsetup-initramfs".  Add "debconf (>=
49
 
    1.5.5) | debconf-2.0".
50
 
    (Source: mandos/Build-Depends): Also allow libgnutls30 (>= 3.6.6).
51
 
    (Package: mandos/Depends): - '' - and add debconf (>= 1.5.5) |
52
 
    debconf-2.0".
53
 
    (Package: mandos/Description): Alter description to match new design.
54
 
    (Package: mandos-client/Description): - '' -
55
 
    (Package: mandos-client/Depends): Move "gnutls-bin | openssl" to here
56
 
    from "Recommends".
57
 
  * debian/mandos-client.README.Debian: Add --tls-privkey and --tls-pubkey
58
 
    options to test command.
59
 
  * debian/mandos-client.postinst (create_key): Renamed to "create_keys"
60
 
    - all callers changed - and also create TLS key files.  Show notice if
61
 
    new TLS key files were created.
62
 
  * debian/mandos-client.postrm (purge): Also remove TLS key files.
63
 
  * debian/mandos-client.lintian-overrides: Override warnings.
64
 
  * debian/mandos-client.templates: New.
65
 
  * debian/mandos.lintian-overrides: Override warnings.
66
 
  * debian/mandos.postinst (configure): If GnuTLS 3.6.6 or later is
67
 
    detected, show an important notice (once) about the new key_id option
68
 
    required in clients.conf.
69
 
  * debian/mandos.templates: New.
70
 
  * debian/copyright: Update copyright year to 2019.
71
 
 
72
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 10 Feb 2019 05:52:49 +0100
73
 
 
74
 
mandos (1.7.20-1) unstable; urgency=medium
75
 
 
76
 
  * New upstream release.
77
 
  * Fix "[tethys] mandos-client: Mandos client fails while booting but
78
 
    works from chroot into unpacked initramfs" by setting system clock if
79
 
    necessary (Closes: #894495)
80
 
  * Fix "initramfs boot script assumes internal cryptsetup implementation
81
 
    details and is now broken" by only using documented
82
 
    interfaces (Closes: #904899)
83
 
  * debian/mandos-client.dirs: Add
84
 
    "usr/share/initramfs-tools/scripts/local-premount" and
85
 
    "usr/share/initramfs-tools/conf.d", and remove
86
 
    "usr/share/initramfs-tools/conf-hooks.d".
87
 
  * debian/control (mandos-client/Depends): Add "(>= 0.99)" to dependency
88
 
    on "initramfs-tools".
89
 
  * debian/control (Source: mandos/Rules-Requires-Root): New; set to
90
 
    "binary-targets".
91
 
    (Standards-Version): Update to "4.2.0".
92
 
 
93
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 19 Aug 2018 22:14:04 +0200
94
 
 
95
 
mandos (1.7.19-1) unstable; urgency=medium
96
 
 
97
 
  * New upstream release.
98
 
  * Fix "fails with "LeakSanitizer has encountered a fatal error"" by not
99
 
    using LeakSanitizer in affected binary (Closes: #886595)
100
 
 
101
 
 -- Teddy Hogeborn <teddy@recompile.se>  Thu, 22 Feb 2018 19:47:59 +0100
102
 
 
103
 
mandos (1.7.18-1) unstable; urgency=medium
104
 
 
105
 
  * New upstream release.
106
 
 
107
 
 -- Teddy Hogeborn <teddy@recompile.se>  Mon, 12 Feb 2018 16:00:11 +0100
108
 
 
109
 
mandos (1.7.17-1) unstable; urgency=medium
110
 
 
111
 
  * New upstream release.
112
 
  * Fix "fails with "LeakSanitizer has encountered a fatal error""
113
 
    by fixing memory leak in plugin-runner (Closes: #886595)
114
 
  * debian/control (Build-Depends): Also depend on "libgnutls28-dev (<<
115
 
    3.6.0) | libgnutls30 (<< 3.6.0)".
116
 
    (Package: mandos/Depends): - '' -
117
 
  * debian/compat: Change to "10".
118
 
  * debian/watch (version): Change to "4".
119
 
    (opts/pgpsigurlmangle): Remove.
120
 
    (opts/pgpmode): New; set to "auto".
121
 
    (URL): Change to "https://ftp.recompile.se/pub/@PACKAGE@/@PACKAGE@
122
 
    @ANY_VERSION@(?:\.orig)?@ARCHIVE_EXT@".
123
 
  * debian/copyright: Update copyright year to 2018.
124
 
  * debian/rules: Support the "noopt" and "parallel" DEB_BUILD_OPTIONS.
125
 
    (override_dh_fixperms-arch): Use the DEB_HOST_MULTIARCH
126
 
    variable directly instead of shelling out to "dpkg-architecture".
127
 
  * debian/control (Standards-Version): Update to "4.1.3".
128
 
    (Build-Depends): Change version of debhelper dependency to ">= 10".
129
 
  * debian/mandos.lintian-overrides
130
 
    (init.d-script-needs-depends-on-lsb-base): Change line number to "46".
131
 
 
132
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 10 Feb 2018 19:09:50 +0100
133
 
 
134
 
mandos (1.7.16-1) unstable; urgency=medium
135
 
 
136
 
  * New upstream release.
137
 
  * debian/copyright (License): Use program name explicitly.
138
 
    (Format): Use https in URL.
139
 
  * debian/control (Priority): Change from "extra" to "optional".
140
 
    (Standards-Version): Update to "4.0.1".
141
 
 
142
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 20 Aug 2017 21:05:26 +0200
143
 
 
144
 
mandos (1.7.15-1) unstable; urgency=medium
145
 
 
146
 
  * New upstream release.
147
 
  * Upstream release fixes "Seems not to be honoring zeroconf option at
148
 
    mandos.conf" (Closes: #855589)
149
 
  * debian/mandos.lintian-overrides (mandos): Add new line
150
 
    "init.d-script-needs-depends-on-lsb-base etc/init.d/mandos (line 49)".
151
 
  * debian/copyright: Update copyright year to 2017.
152
 
 
153
 
 -- Teddy Hogeborn <teddy@recompile.se>  Thu, 23 Feb 2017 21:29:36 +0100
154
 
 
155
 
mandos (1.7.14-1) unstable; urgency=medium
156
 
 
157
 
  * New upstream release.
158
 
  * debian/mandos-client.postinst (create_key): Stop GPG agent after
159
 
    running mandos-keygen.
160
 
  * debian/control (Package: mandos/Depends): Add "systemd-sysv | lsb-base
161
 
    (>= 3.0-6)", change "gnupg" to "gnupg2 | gnupg", and change
162
 
    "libgpgme11-dev" to "libgpgme-dev | libgpgme11-dev".
163
 
 
164
 
 -- Teddy Hogeborn <teddy@recompile.se>  Wed, 25 Jan 2017 20:36:03 +0100
165
 
 
166
 
mandos (1.7.13-1) unstable; urgency=medium
167
 
 
168
 
  * New upstream release.
169
 
  * Fix "fails to install noninteractively" by using the "%no-protection"
170
 
    statement in the GnuPG batch parameter file. (Closes: #840001)
171
 
 
172
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 08 Oct 2016 06:31:07 +0200
173
 
 
174
 
mandos (1.7.12-1) unstable; urgency=medium
175
 
 
176
 
  * New upstream release.
177
 
 
178
 
 -- Teddy Hogeborn <teddy@recompile.se>  Wed, 05 Oct 2016 22:06:55 +0200
179
 
 
180
 
mandos (1.7.11-1) unstable; urgency=high
181
 
 
182
 
  * New upstream release.
183
 
  * debian/control (Source: mandos/Vcs-Bzr): Change to use HTTPS.
184
 
    (Vcs-Browser): - '' -
185
 
 
186
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 01 Oct 2016 16:20:48 +0200
187
 
 
188
 
mandos (1.7.10-1) unstable; urgency=high
189
 
 
190
 
  * New upstream release.
191
 
  * debian/rules (override_dh_fixperms-arch): Also exclude
192
 
    "etc/mandos/plugin-helpers" from changes by dh_fixperms.
193
 
  * debian/mandos-client.postinst: Fix the permissions of
194
 
    "/etc/mandos/plugin-helpers" for those systems which had a fresh
195
 
    install of an older version.
196
 
 
197
 
 -- Teddy Hogeborn <teddy@recompile.se>  Thu, 23 Jun 2016 22:00:29 +0200
198
 
 
199
 
mandos (1.7.9-1) unstable; urgency=medium
200
 
 
201
 
  * New upstream release.
202
 
 
203
 
 -- Teddy Hogeborn <teddy@recompile.se>  Wed, 22 Jun 2016 07:30:12 +0200
204
 
 
205
 
mandos (1.7.8-1) unstable; urgency=medium
206
 
 
207
 
  * New upstream release.
208
 
  * Fix "bad gpgme_op_decrypt: GPGME: Decryption failed." by copying
209
 
    /usr/bin/gpg-agent into initramfs (Closes: #819982)
210
 
  * debian/control (Homepage): Change URL to use HTTPS.
211
 
    (Standards-Version): Update to 3.9.8.
212
 
  * debian/copyright (Source): Change URL to HTTPS.
213
 
  * debian/mandos-client.README.Debian: Change wording to match updated
214
 
    capabilities.
215
 
 
216
 
 -- Teddy Hogeborn <teddy@recompile.se>  Tue, 21 Jun 2016 21:36:10 +0200
217
 
 
218
 
mandos (1.7.7-1) unstable; urgency=medium
219
 
 
220
 
  * New upstream release.
221
 
  * debian/mandos-client.postinst (configure): If older version, fix
222
 
    permissions on plugin helper directory.  Also fix permissions on
223
 
    plugin helper local override directory (/etc/mandos/plugin-helpers),
224
 
    but only if not listed by "dpkg-statoverride".
225
 
  * debian/rules (override_dh_fixperms-arch): Exclude plugin helper
226
 
    directory from dh_fixperms.
227
 
  * debian/mandos.postinst (configure): Fix state directory permissions,
228
 
    but only if not listed by "dpkg-statoverride".
229
 
  * debian/mandos-client.lintian-overrides: Do not warn about permissions
230
 
    on plugin helper directory.
231
 
  * debian/mandos.dirs (usr/lib/tmpfiles.d): Added.
232
 
 
233
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 19 Mar 2016 22:58:49 +0100
234
 
 
235
 
mandos (1.7.6-1) unstable; urgency=medium
236
 
 
237
 
  * New upstream release.
238
 
  * debian/control (Source: mandos/Build-Depends-Indep): Remove
239
 
    "python-avahi".
240
 
    (Source: mandos/Build-Depends-Indep): Change "python-gi |
241
 
    python-gobject" to "python-gi"; i.e. remove "python-gobject".
242
 
 
243
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 13 Mar 2016 22:58:23 +0100
244
 
 
245
 
mandos (1.7.5-1) unstable; urgency=high
246
 
 
247
 
  * New upstream release.
248
 
  * debian/mandos.postinst (configure): If old version was 1.7.4-1 or
249
 
    1.7.4-1~bpo8+1, fix situation where clients.pickle file is owned by
250
 
    root.
251
 
 
252
 
 -- Teddy Hogeborn <teddy@recompile.se>  Tue, 08 Mar 2016 01:09:55 +0100
253
 
 
254
 
mandos (1.7.4-1) unstable; urgency=medium
255
 
 
256
 
  * New upstream release.
257
 
  * initramfs-tools-script: Fix "Call to configure_network in initramfs
258
 
    script broken due to set -e" by surrounding call by "set +x" and "set
259
 
    -e" (Closes: #816513)
260
 
  * debian/control: (Source: mandos/Build-Depends-Indep): Change
261
 
    "python-gobject | python-gi" to "python-gi | python-gobject"
262
 
    (Package: mandos/Depends): - '' -
263
 
 
264
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 05 Mar 2016 23:10:07 +0100
265
 
 
266
 
mandos (1.7.3-1) unstable; urgency=medium
267
 
 
268
 
  * New upstream release.
269
 
 
270
 
 -- Teddy Hogeborn <teddy@recompile.se>  Mon, 29 Feb 2016 22:26:38 +0100
271
 
 
272
 
mandos (1.7.2-1) unstable; urgency=medium
273
 
 
274
 
  * New upstream release.
275
 
  * Fix "Uses unneeded and obsolete version specific python packages"
276
 
    by removing version-specific dependencies (Closes: #811159)
277
 
  * debian/control (Source: mandos/Build-Depends): Add (>= 3.3.0) to
278
 
    "libgnutls28-dev" and "gnutls-dev".
279
 
    (Source: mandos/Build-Depends-Indep): Remove "python2.7-gnutls",
280
 
    "python2.7", "python2.7-dbus", "python2.7-avahi", and
281
 
    "python2.7-gobject"; replace with "python (>= 2.7), python (<< 3)",
282
 
    "python-dbus", "python-avahi", "python-gobject | python-gi".
283
 
    (Package: mandos/Depends): Remove "python-gnutls" and
284
 
    "python2.7-gnutls", add "libgnutls28-dev (>= 3.3.0) | libgnutls30 (>=
285
 
    3.3.0)".  Add "python (<< 3)".  Remove "python2.7-dbus",
286
 
    "python2.7-avahi", "python2.7-gobject", and "python2.7-urwid".
287
 
    Replace "python-gobject" with "python-gobject | python-gi" and "gnupg
288
 
    (<< 2)" with "gnupg".
289
 
    (Package: mandos-client/Depends): Replace
290
 
    "gnupg (<< 2)" with "gnupg".
291
 
    (Source: mandos/Standards-Version): Change to 3.9.7.
292
 
  * debian/copyright (Copyright): Update copyright year.
293
 
 
294
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sun, 28 Feb 2016 16:09:01 +0100
295
 
 
296
 
mandos (1.7.1-2) unstable; urgency=medium
297
 
 
298
 
  * debian/control (Package: mandos/Depends): Fix "Please drop versioned
299
 
    dependency on initscripts package" by removing initscripts dependency
300
 
    (Closes: #804967)
301
 
  * debian/rules (override_dh_fixperms) Fix "FTBFS when built with
302
 
    dpkg-buildpackage -A (No such file or directory)" by splitting into
303
 
    "override_dh_fixperms-arch" and "override_dh_fixperms-indep".
304
 
    (Closes: #806073)
305
 
 
306
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 05 Dec 2015 02:27:40 +0100
307
 
 
308
 
mandos (1.7.1-1) unstable; urgency=medium
309
 
 
310
 
  * New upstream release.
311
 
 
312
 
 -- Teddy Hogeborn <teddy@recompile.se>  Sat, 24 Oct 2015 19:43:40 +0200
313
 
 
314
 
mandos (1.7.0-1) unstable; urgency=medium
315
 
 
316
 
  * New upstream release.
317
 
  * debian/control (Standards-Version): Updated to "3.9.6".
318
 
    (Build-Depends): Add "libnl-route-3-dev".
319
 
    (Package: mandos-client/Recommends): Added "gnutls-bin | openssl" for
320
 
    the generating of DH parameters.
321
 
  * debian/mandos-client.README.Debian: Update example command line to use
322
 
    new MANDOSPLUGINHELPERDIR environment variable.  Also document the new
323
 
    dhparams.pem file.
324
 
  * debian/mandos-client.postinst: Create DH parameters file.
325
 
  * debian/mandos.prerm: Don't run init script, use only invoke-rc.d.
326
 
  * debian/mandos-client.postinst: Don't use absolute paths to commands.
327
 
  * debian/mandos-client.postrm: Don't use absolute paths to commands.
328
 
    Also remove dhparams.pem file.
329
 
  * debian/copyright (Copyright): Update copyright year.
330
 
  * Upstream changed systemd service file to implicitly be of
331
 
    "Type=dbus". (Closes: #786845)
332
 
 
333
 
 -- Teddy Hogeborn <teddy@recompile.se>  Mon, 10 Aug 2015 22:00:29 +0200
334
 
 
335
1
mandos (1.6.9-1) unstable; urgency=medium
336
2
 
337
3
  * New upstream release.