guardian.cgi: Fix unititalized value "GUARDIAN_ENABLE_OWNCLOUD".

When the owncloud addon is not installed, this value was not
initialized correctly.

Reference #10748.

guardian.cgi: Use variable $pid instead of array element.

This will prevent from a lot of perl suggestions in the
apache error log.

Reference #10748.

guardian: Fixes on various help texts.

guardian: Prevent from running multiple instances.

guardian: Change cli switch to run not in daemon mode from "-d" to "-f".

guardian: Rework checkaction subfunction.

* Fix blocking if count is set to "1".
* Fix ignoring the ignored elements in some cases.

guardian.cgi: Fix path to meta-owncloud.

guardian: Clear ignorehash and network array on reload.

guardianctrl: Call iptables command with "--wait".

guardianctrl: Unblock given source address in a loop.

Drop all entries from the IPtables chain for a given source
address by using a loop. This loop currently is limited to 10 rounds.

Also redirect returned STDERR messages from iptables command to /dev/null.

guardian: Re-block hosts if the blockcount gets higher than configured.

This can be happen when a process or the user will drop the blocked
address from iptables.

de.pl: Translation for new guardian strings.

guardian.cgi: Add configure options for owncloud.

The related options only will be displayed when the owncloud addon
has been installed.

guardian: Add support to watch for brute-force attempts on owncloud.

guardian: Only monitor existing files.

guardian: Fix message forwarding to responsible handlers.

network-functions.pl: Add function to check for valid networks.

The "check_network" function is able to process inputs in prefix
or dotted decimal notations.

guardian: Rootfile update.

snort: Fix case switch in initscript.

guardian.logrotate: Reload guardian after log rotation.

initscripts: Drop guardian related code from snort initscript.

guardian: Do not require an active red interface.

This allows to use sort or the SSH and HTTPD bruteforce detection on the "internal"
zones, if the red zone is not used or down.

guardian: Fix priority level comparision.

guardian.cgi: Allways read-in settings.

guardian: Fix input validation from configfile.

guardian.cgi: Some more input validation.

general-functions.pl: Add function to get the gateway address.

guardian.cgi: Correct indentation when writing out the config file.

guardian.cgi: Add dropdown for PriorityLevel selection.

guardian.cgi: Fix and improve input validation.

Merge branch 'guardian-improved' into guardian-2.0

Conflicts:
make.sh

guardian: Add configfile for logrotate.

guardian: Add PriorityLevel.

The priority is used for snort rules to describe how relevant the alert is.
With this new option, alerts with less importance can be ignored.

guardian.cgi: Reload guardian if config or the ignorelist changes.

guardianctrl: Add command "reload".

This command is used to send a SIGHUP to the guardian process, to perform
a reload of the configuration.

guardian: Write-out process id to pidfile (/run/guardian.pid).

Update Turkish translation

guardian: Drop .pl extension and move to /usr/bin.

Merge branch 'guardian-improved' of ssh://git.ipfire.org/pub/git/people/stevee/ipfire-2.x into guardian-improved

Add new/missing language strings.

Merge branch 'guardian-improved' of ssh://git.ipfire.org/pub/git/people/stevee/ipfire-2.x into guardian-improved

guardian.cgi: Add option to configure the BlockCount.

Some small code fixes.

guardian.cgi: Accidently hardcoded some descriptions.

guardian.cgi: Add dropdown to select the used loglevel.

guardian: Introduce BlockCount.

It is now possible to define the blocking count when an attacker should be
blocked in the configfile.

guardian: Update term to set a build-in function as enabled.

guardian.cgi: Remove code for options which have been dropped from guardian.

Guardian does not longer require the information for the red interface from
the configfile.

Guardian does not longer support a targetfile.

guardian.cgi: Add options to enable/disable some built-in functions from guardian.

This commit allows to enable or disable the monitoring of the snort alertfile
and to switch off the blocking of SSH and HTTPD Brute-force attempts.

guardian: Exit if no files are watched.

guardian: Allow to enable/disable built-in functions.

In the configfile now can be specified to disable built-in functions (snort, ssh, apache2).
If the configuration does not contain any relevant information, the default values will be used
which enables all three functions.

guardian: Get path for apache2 error log from configfile.

guardian: Rework header, bump to version 2.0.

guardian: Handle sighup signals.

We now can capture and handle sighup signals, to perform a reload
of the config file, re-read the ignorefile and recreate the ignorehash and
finally to grab possible alias addresses from red and re-add them to the ignorehash.

guardian: Rework daemonize function.

guardian: Rework logging.

Introduce LogLevel and drop the debugger subroutine.

core85: set version to core85.

Merge branch 'next' of ssh://git.ipfire.org/pub/git/ipfire-2.x into next

apache: Disable SSLv3 by default for the IPFire webinterface

openssl-compat: update to 0.9.8zc

Create Core Update 85

openssl: Update to version 1.0.1j

OpenSSL Security Advisory [15 Oct 2014]
=======================================

SRTP Memory Leak (CVE-2014-3513)
================================

Severity: High

A flaw in the DTLS SRTP extension parsing code allows an attacker, who
sends a carefully crafted handshake message, to cause OpenSSL to fail
to free up to 64k of memory causing a memory leak. This could be
exploited in a Denial Of Service attack. This issue affects OpenSSL
1.0.1 server implementations for both SSL/TLS and DTLS regardless of
whether SRTP is used or configured. Implementations of OpenSSL that
have been compiled with OPENSSL_NO_SRTP defined are not affected.

OpenSSL 1.0.1 users should upgrade to 1.0.1j.

This issue was reported to OpenSSL on 26th September 2014, based on an original
issue and patch developed by the LibreSSL project. Further analysis of the issue
was performed by the OpenSSL team.

The fix was developed by the OpenSSL team.

Session Ticket Memory Leak (CVE-2014-3567)
==========================================

Severity: Medium

When an OpenSSL SSL/TLS/DTLS server receives a session ticket the
integrity of that ticket is first verified. In the event of a session
ticket integrity check failing, OpenSSL will fail to free memory
causing a memory leak. By sending a large number of invalid session
tickets an attacker could exploit this issue in a Denial Of Service
attack.

OpenSSL 1.0.1 users should upgrade to 1.0.1j.
OpenSSL 1.0.0 users should upgrade to 1.0.0o.
OpenSSL 0.9.8 users should upgrade to 0.9.8zc.

This issue was reported to OpenSSL on 8th October 2014.

The fix was developed by Stephen Henson of the OpenSSL core team.

SSL 3.0 Fallback protection
===========================

Severity: Medium

OpenSSL has added support for TLS_FALLBACK_SCSV to allow applications
to block the ability for a MITM attacker to force a protocol
downgrade.

Some client applications (such as browsers) will reconnect using a
downgraded protocol to work around interoperability bugs in older
servers. This could be exploited by an active man-in-the-middle to
downgrade connections to SSL 3.0 even if both sides of the connection
support higher protocols. SSL 3.0 contains a number of weaknesses
including POODLE (CVE-2014-3566).

OpenSSL 1.0.1 users should upgrade to 1.0.1j.
OpenSSL 1.0.0 users should upgrade to 1.0.0o.
OpenSSL 0.9.8 users should upgrade to 0.9.8zc.

https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00
https://www.openssl.org/~bodo/ssl-poodle.pdf

Support for TLS_FALLBACK_SCSV was developed by Adam Langley and Bodo Moeller.

Build option no-ssl3 is incomplete (CVE-2014-3568)
==================================================

Severity: Low

When OpenSSL is configured with "no-ssl3" as a build option, servers
could accept and complete a SSL 3.0 handshake, and clients could be
configured to send them.

OpenSSL 1.0.1 users should upgrade to 1.0.1j.
OpenSSL 1.0.0 users should upgrade to 1.0.0o.
OpenSSL 0.9.8 users should upgrade to 0.9.8zc.

This issue was reported to OpenSSL by Akamai Technologies on 14th October 2014.

The fix was developed by Akamai and the OpenSSL team.

References
==========

URL for this Security Advisory:
https://www.openssl.org/news/secadv_20141015.txt

Note: the online version of the advisory may be updated with additional
details over time.

For details of OpenSSL severity classifications please see:
https://www.openssl.org/about/secpolicy.html

guardian: Use strict.

Update Turkish translation

guardian: Call sub to check if an address block has expired.

Some more code cleanup as well.

guardian: Rename blockhash to addresshash.

guardian: Validate input from ignorefile.

guardian: Drop targethash and support for targetfile.

The targetfile acted as kind of a blacklist to instantly block
a source when a packet was send to a target on that list.

This better should be done by firewall rules.

guardian: Use Inotify for detecting file modifications.

If a monitored file gets modified, guardian now recognizes this by
using the inotify interface provided from the Linux kernel and stores
this information in a processing queue.

This is a more efficent way than the old one, which periodly checked if the
filesize had been changed.

Also doing some more code cleanup and add input validation.

core84: add update-lang-cache.

this file is missing on some machines.

make.sh: Build perl-common-sense and perl-inotify2.

perl-inotify2: New package.

This module contains inotify bindings for perl, used by the extendend guardian.

perl-common-sense: New package.

This is a runtime dependency for perl-inotify2.

firewall: Use correct interface for RED

bash: Update to version 4.3.30

Fixes #10633.

firewall: fix rules.pl for old rules without ratelimiting.

guardian: Introduce debugger.

Splitt the existing write_log function into two seperate functions to handle
the write out of debug messages if guardian has been launched in debug mode and
content we want to store in the logfile.

This will prevent us from bloating up the logfile with debug stuff.

guardian: Use Getop::Std.

squid: Update to 3.4.8

Contains some security fixes:

 * CVE-2014-6270
   http://www.squid-cache.org/Advisories/SQUID-2014_3.txt
 * CVE-2014-7141
   CVE-2014-7142
   http://www.squid-cache.org/Advisories/SQUID-2014_4.txt

bash: rootfile update.

parted: Update to 3.1.

readline: Re-add accidentially deleted patches of -compat package

bash: Import patch for version 4.3.27

See #10633

core84: Add updated readline

readline: Update to 6.3.

bash: Import upstream fixes

bash: Import fix for CVE-2014-7169

http://www.openwall.com/lists/oss-security/2014/09/25/10

Conflicts:
lfs/bash

bash: Fix for CVE-2014-6271

A flaw was found in the way Bash evaluated certain specially crafted
environment variables. An attacker could use this flaw to override
or bypass environment restrictions to execute shell commands.
Certain services and applications allow remote unauthenticated
attackers to provide environment variables, allowing them to exploit
this issue.

bash: Update to 4.3.

Conflicts:
lfs/bash

core84: Add changed /etc/rc.d/init.d/network

Merge remote-tracking branch 'teissler/bug_10454' into next

network: move start of static-routes

Fixes #10454

Create static routes after network interfaces are initialised.

network: fix coding style

Merge remote-tracking branch 'teissler/bug_10535' into next

Fix wording. Remove "got".

Fixes #10632

urlfilter.cgi: enhance file extension blocking

Fixes #10535

Add flv, mkv and mp4 as audio/video file exentions.
Add 7z as archive file extension.

core84: Add changed urlfilter.cgi

Merge remote-tracking branch 'teissler/Bug_10415' into next

urlfilter.cgi: safe search enhancements

Fixes: #10415
Activate bing safe search.
Add nwshp to google url patterns.

squid-accounting: set right permissions of html directory for graphs and logo

core84: Add changed files from #10620