]> git.ipfire.org Git - ipfire-2.x.git/log
ipfire-2.x.git
9 months agopython3-hatch-fancy-pypi-readme: New build dependency for python3-attrs
Adolf Belka [Mon, 29 Jan 2024 13:41:10 +0000 (14:41 +0100)] 
python3-hatch-fancy-pypi-readme: New build dependency for python3-attrs

- lfs and rootfile created.
- rootfile put into common as it is only used as a build dependency.
- Used pyproject.toml build approach

Tested-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agopython3-hatch-vcs: New build dependency for python3-attrs
Adolf Belka [Mon, 29 Jan 2024 13:41:09 +0000 (14:41 +0100)] 
python3-hatch-vcs: New build dependency for python3-attrs

- lfs and rootfile created.
- rootfile put into common as it is only used as a build dependency.
- Used pyproject.toml build approach

Tested-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agopython3-hatchling: New build dependency for python3-attrs
Adolf Belka [Mon, 29 Jan 2024 13:41:08 +0000 (14:41 +0100)] 
python3-hatchling: New build dependency for python3-attrs

- lfs and rootfile created.
- rootfile put into common as it is only used as a build dependency.
- Used pyproject.toml build approach

Tested-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agopython3-attrs: Update to version 23.2.0
Adolf Belka [Mon, 29 Jan 2024 13:41:07 +0000 (14:41 +0100)] 
python3-attrs: Update to version 23.2.0

- Update from version 22.1.0 to 23.2.0
- Update of rootfile
- setup.py is no longer available so build to use pyproject.toml was used.
- A new series of build dependencies are also now required for python3-attrs
- Changelog
    23.2.0
Changes
    The type annotation for attrs.resolve_types() is now correct. #1141
    Type stubs now use typing.dataclass_transform to decorate dataclass-like
     decorators, instead of the non-standard __dataclass_transform__ special
     form, which is only supported by Pyright. #1158
    Fixed serialization of namedtuple fields using attrs.asdict/astuple() with
     retain_collection_types=True. #1165
    attrs.AttrsInstance is now a typing.Protocol in both type hints and code.
     This allows you to subclass it along with another Protocol. #1172
    If attrs detects that __attrs_pre_init__ accepts more than just self, it
     will call it with the same arguments as __init__ was called. This allows
     you to, for example, pass arguments to super().__init__(). #1187
    Slotted classes now transform functools.cached_property decorated methods to
     support equivalent semantics. #1200
    Added class_body argument to attrs.make_class() to provide additional
     attributes for newly created classes. It is, for example, now possible to
     attach methods. #1203
    23.1.0
Backwards-incompatible Changes
    Python 3.6 has been dropped and packaging switched to static package data
     using Hatch. #993
Deprecations
    The support for zope-interface via the attrs.validators.provides validator
     is now deprecated and will be removed in, or after, April 2024.
    The presence of a C-based package in our developement dependencies has
     caused headaches and we’re not under the impression it’s used a lot.
    Let us know if you’re using it and we might publish it as a separate
     package. #1120
Changes
    attrs.filters.exclude() and attrs.filters.include() now support the passing
     of attribute names as strings. #1068
    attrs.has() and attrs.fields() now handle generic classes correctly. #1079
    Fix frozen exception classes when raised within e.g.
     contextlib.contextmanager, which mutates their __traceback__ attributes. #1081
    @frozen now works with type checkers that implement PEP-681 (ex. pyright).
     #1084
    Restored ability to unpickle instances pickled before 22.2.0. #1085
    attrs.asdict()’s and attrs.astuple()’s type stubs now accept the
     attrs.AttrsInstance protocol. #1090
    Fix slots class cellvar updating closure in CPython 3.8+ even when
     __code__ introspection is unavailable. #1092
    attrs.resolve_types() can now pass include_extras to typing.get_type_hints()
     on Python 3.9+, and does so by default. #1099
    Added instructions for pull request workflow to CONTRIBUTING.md. #1105
    Added type parameter to attrs.field() function for use with attrs.make_class().
    Please note that type checkers ignore type metadata passed into
     make_class(), but it can be useful if you’re wrapping attrs. #1107
    It is now possible for attrs.evolve() (and attr.evolve()) to change fields
     named inst if the instance is passed as a positional argument.
    Passing the instance using the inst keyword argument is now deprecated and
     will be removed in, or after, April 2024. #1117
    attrs.validators.optional() now also accepts a tuple of validators
     (in addition to lists of validators). #1122
    22.2.0
Backwards-incompatible Changes
    Python 3.5 is not supported anymore. #988
Deprecations
    Python 3.6 is now deprecated and support will be removed in the next
     release. #1017
Changes
    attrs.field() now supports an alias option for explicit __init__ argument
     names.
    Get __init__ signatures matching any taste, peculiar or plain! The PEP 681
     compatible alias option can be use to override private attribute name
     mangling, or add other arbitrary field argument name overrides. #950
    attrs.NOTHING is now an enum value, making it possible to use with e.g.
     typing.Literal. #983
    Added missing re-import of attr.AttrsInstance to the attrs namespace. #987
    Fix slight performance regression in classes with custom __setattr__ and
     speedup even more. #991
    Class-creation performance improvements by switching performance-sensitive
     templating operations to f-strings.
    You can expect an improvement of about 5% – even for very simple classes. #995
    attrs.has() is now a TypeGuard for AttrsInstance. That means that type
     checkers know a class is an instance of an attrs class if you check it
     using attrs.has() (or attr.has()) first. #997
    Made attrs.AttrsInstance stub available at runtime and fixed type errors
     related to the usage of attrs.AttrsInstance in Pyright. #999
    On Python 3.10 and later, call abc.update_abstractmethods() on dict classes
     after creation. This improves the detection of abstractness. #1001
    attrs’s pickling methods now use dicts instead of tuples. That is safer and
     more robust across different versions of a class. #1009
    Added attrs.validators.not_(wrapped_validator) to logically invert
     wrapped_validator by accepting only values where wrapped_validator rejects
     the value with a ValueError or TypeError (by default, exception types
     configurable). #1010
    The type stubs for attrs.cmp_using() now have default values. #1027
    To conform with PEP 681, attr.s() and attrs.define() now accept unsafe_hash
     in addition to hash. #1065

Tested-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agoborgbackup: Update to version 1.2.7
Adolf Belka [Mon, 29 Jan 2024 13:41:06 +0000 (14:41 +0100)] 
borgbackup: Update to version 1.2.7

- Update from version 1.2.3 to 1.2.7
- Update of rootfile
- Patch set put together to also update the dependency packages where they have been
   updated.
- Changelog
    1.2.7
Fixes:
- docs: CVE-2023-36811 upgrade steps: consider checkpoint archives, #7802
- check/compact: fix spurious reappearance of orphan chunks since borg
   1.2, #6687 -
  this consists of 2 fixes:
  - for existing chunks: check --repair: recreate shadow index, #6687
  - for newly created chunks: update shadow index when doing a
     double-put, #5661
- LockRoster.modify: no KeyError if element was already gone, #7937
- create --X-from-command: run subcommands with a clean environment, #7916
- list --sort-by: support "archive" as alias of "name", #7873
- fix rc and msg if arg parsing throws an exception, #7885
Other changes:
- support and test on Python 3.12
- include unistd.h in _chunker.c (fix for Python 3.13)
- allow msgpack 1.0.6 and 1.0.7
- TAM issues: show tracebacks, improve borg check logging, #7797
- replace "datetime.utcfromtimestamp" with custom helper to avoid
  deprecation warnings when using Python 3.12
- vagrant:
  - use generic/debian9 box, fixes #7579
  - add VM with debian bookworm / test on OpenSSL 3.0.x.
- docs:
  - not only attack/unsafe, can also be a fs issue, #7853
  - point to CVE-2023-36811 upgrade steps from borg 1.1 to 1.2 upgrade
     steps, #7899
  - upgrade steps needed for all kinds of repos (including "none"
     encryption mode), #7813
  - upgrade steps: talk about consequences of borg check, #7816
  - upgrade steps: remove period that could be interpreted as part of
     the command
  - automated-local.rst: use GPT UUID for consistent udev rule
  - create disk/partition sector backup by disk serial number, #7934
  - update macOS hint about full disk access
  - clarify borg prune -a option description, #7871
  - readthedocs: also build offline docs (HTMLzip), #7835
  - frontends: add "check.rebuild_refcounts" message
    1.2.6
Fixes:
- The upgrade procedure docs as published with borg 1.2.5 did not work,
   if the repository had archives resulting from a borg rename or borg
   recreate operation.
  The updated docs now use BORG_WORKAROUNDS=ignore_invalid_archive_tam
   at some places to avoid that issue, #7791.
  See: fix pre-1.2.5 archives spoofing vulnerability (CVE-2023-36811),
   details and necessary upgrade procedure described above.
Other changes:
- updated 1.2.5 changelog entry: 1.2.5 already has the fix for
   rename/recreate.
- remove cython restrictions. recommended is to build with
   cython 0.29.latest, because borg 1.2.x uses this since years and it
   is very stable. You can also try to build with cython 3.0.x, there is
   a good chance that it works. As a 3rd option, we also bundle the
   `*.c` files cython outputs in the release pypi package, so you can
   also just use these and not need cython at all.
    1.2.5
Fixes:
- Security: fix pre-1.2.5 archives spoofing vulnerability (CVE-2023-36811),
  see details and necessary upgrade procedure described above.
- rename/recreate: correctly update resulting archive's TAM, see #7791
- create: do not try to read parent dir of recursion root, #7746
- extract: fix false warning about pattern never matching, #4110
- diff: remove surrogates before output, #7535
- compact: clear empty directories at end of compact process, #6823
- create --files-cache=size: fix crash, #7658
- keyfiles: improve key sanity check, #7561
- only warn about "invalid" chunker params, #7590
- ProgressIndicatorPercent: fix space computation for wide chars, #3027
- improve argparse validator error messages
New features:
- mount: make up volname if not given (macOS), #7690.
  macFUSE supports a volname mount option to give what finder displays on
  the desktop / in the directory view. if the user did not specify it,
  we make something up, because otherwise it would be "macFUSE Volume 0
  (Python)" and hide the mountpoint directory name.
- BORG_WORKAROUNDS=authenticated_no_key to extract from authenticated repos
  without key, #7700
Other changes:
- add `utcnow()` helper function to avoid deprecated `datetime.utcnow()`
- stay on latest Cython 0.29 (0.29.36) for borg 1.2.x (do not use
  Cython 3.0 yet)
- docs:
  - move upgrade notes to own section, see #7546
  - mount -olocal: how to show mount in finder's sidebar, #5321
  - list: fix --pattern examples, #7611
  - improve patterns help
  - incl./excl. options, path-from-stdin exclusiveness
  - obfuscation docs: markup fix, note about MAX_DATA_SIZE
  - --one-file-system: add macOS apfs notes, #4876
  - improve --one-file-system help string, #5618
  - rewrite borg check docs
  - improve the docs for --keep-within, #7687
  - fix borg init command in environment.rst.inc
  - 1.1.x upgrade notes: more precise borg upgrade instructions, #3396
 -tests:
  - fix repo reopen
  - avoid long ids in pytest output
  - check buzhash chunksize distribution, see #7586
    1.2.4
New features:
- import-tar: add --ignore-zeros to process concatenated tars, #7432.
- debug id-hash: computes file/chunk content id-hash, #7406
- diff: --content-only does not show mode/ctime/mtime changes, #7248
- diff: JSON strings in diff output are now sorted alphabetically
Bug fixes:
- xattrs: fix namespace processing on FreeBSD, #6997
- diff: fix path related bug seen when addressing deferred items.
- debug get-obj/put-obj: always give chunkid as cli param, see #7290
  (this is an incompatible change, see also borg debug id-hash)
- extract: fix mtime when ResourceFork xattr is set (macOS specific), #7234
- recreate: without --chunker-params, do not re-chunk, #7337
- recreate: when --target is given, do not detect "nothing to do".
  use case: borg recreate -a src --target dst can be used to make a copy
  of an archive inside the same repository, #7254.
- set .hardlink_master for ALL hardlinkable items, #7175
- locking: fix host, pid, tid order.
  tid (thread id) must be parsed as hex from lock file name.
- update development.lock.txt, including a setuptools security fix, #7227
Other changes:
- requirements: allow msgpack 1.0.5 also
- upgrade Cython to 0.29.33
- hashindex minor fixes, refactor, tweaks, tests
- use os.replace not os.rename
- remove BORG_LIBB2_PREFIX (not used any more)
- docs:
  - BORG_KEY_FILE: clarify docs, #7444
  - update FAQ about locale/unicode issues, #6999
  - improve mount options rendering, #7359
  - make timestamps in manual pages reproducible
  - installation: update Fedora in distribution list, #7357
- tests:
  - fix test_size_on_disk_accurate for large st_blksize, #7250
  - add same_ts_ns function and use it for relaxed timestamp comparisons
  - "auto" compressor tests: don't assume a specific size,
    do not assume zlib is better than lz4, #7363
  - add test for extracted directory mtime
- vagrant:
  - upgrade local freebsd 12.1 box -> generic/freebsd13 box (13.1)
  - use pythons > 3.8 which work on freebsd 13.1
  - pyenv: also install python 3.11.1 for testing
  - pyenv: use python 3.10.1, 3.10.0 build is broken on freebsd

Tested-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agocore184: Ship dhcpcd
Michael Tremer [Mon, 29 Jan 2024 16:03:16 +0000 (16:03 +0000)] 
core184: Ship dhcpcd

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agodhcpcd: Update to version 10.0.6 + fix issue experinced by some community users.
Adolf Belka [Mon, 29 Jan 2024 11:22:18 +0000 (12:22 +0100)] 
dhcpcd: Update to version 10.0.6 + fix issue experinced by some community users.

- Update from version 10.0.4 to 10.0.6
- Update of rootfile not required.
- In version 10.0.4 a bug was found
   https://github.com/NetworkConfiguration/dhcpcd/issues/260
   which was fixed in version 10.0.5. From the community forum it looks like some people
   have experienced this issue with the update to 10.0.4 in CU182
   https://community.ipfire.org/t/core-update-182-aarch64-red0-interface-stops/10827
- According to the dhcpcd issue report this problem can affect both x86_64 and aarch64
   but it seems to affect aarch64 systems much more often and the reports in the community
   forum are related to aarch64.
- This patch updates to version 10.0.6 because that is the current latest version and
   includes the fix commits for the above issue that were built into 10.0.5
- Changelog
    10.0.6
    privsep: Stop proxying stderr to console and fix some detachment issues
    non-privsep: Fix launcher hangup
    DHCP6: Allow the invalid interface name - to mean don't assign an address
     from a delegated prefix
    DHCP6: Load the configuration for the interface being activated from prefix
     delegation
    10.0.5
    DHCP: re-enter DISCOVER phase if server doesn't reply to our REQUEST
    privsep: Allow __NR_dup3 syscall as some libc's use that instead of the dup2
     dhcpcd uses
    dev: Fix an issue where not opening the dev plugin folder if configured
     returned the wrong fd
    privsep: Harden the launcher process detecting daemonisation.
    compat: arc4random uses explicit_bzero if available

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agomympd: new addon to control mpd via WebGUI
Arne Fitzenreiter [Sun, 28 Jan 2024 20:29:46 +0000 (21:29 +0100)] 
mympd: new addon to control mpd via WebGUI

myMPD is written in C and has a nice WebGUI to play
local music and also a WebRadio browser.
This is to replace the removec client175.

After install it can reached via
https://IP_OF_THE_IPFIRE:8800

Signed-off-by: Arne Fitzenreiter <arne_f@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agompfire: fix initskript uninstall
Arne Fitzenreiter [Sun, 28 Jan 2024 14:42:53 +0000 (15:42 +0100)] 
mpfire: fix initskript uninstall

the uninstall with rm /etc/rc*.d/*mpd remove not only the mpd initlinks.

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agoabseil-cpp: New build dependency for protobuf
Adolf Belka [Wed, 24 Jan 2024 21:09:44 +0000 (22:09 +0100)] 
abseil-cpp: New build dependency for protobuf

- abseil-cpp required to build protobuf which is required for protobuf-c which is new
   build dependency for frr

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agoprotobuf: New build dependency for protobuf-c
Adolf Belka [Wed, 24 Jan 2024 21:09:43 +0000 (22:09 +0100)] 
protobuf: New build dependency for protobuf-c

- protobuf required for protobuf-c which is new build dependency for frr

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agoprotobuf-c: New build dependency for frr
Adolf Belka [Wed, 24 Jan 2024 21:09:42 +0000 (22:09 +0100)] 
protobuf-c: New build dependency for frr

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agolibyang: Update to version 2.1.148
Adolf Belka [Wed, 24 Jan 2024 21:09:41 +0000 (22:09 +0100)] 
libyang: Update to version 2.1.148

- Update from version 2.1.4 to 2.1.148
- Update of rootfile
- Minimum version of 2.1.128 will be required in a future frr release and currently needs
   to be a minimum of 2.1.80 but not 2.1.111
- Changelog
    2.1.148
Main changes of this release are:
    lots of bugfixes and improvements in various parts of the library
    2.1.128
Main changes of this release are:
    revert of identityref canonical value change
        the identity always printed with the module name as the prefix
    data tree and hash table optimizations
    opaque node handling fixes and improvements
    lots of other bug fixes
    2.1.111
Main changes of this release are:
    opaque node parsing improved
    native RESTCONF operation parsing support
    union value error reporting improved
    new yanglint and yangre tests
    optional support for leafref with XPath functions
    lots of other fixes and improvements
    2.1.80
Main changes of this release are:
    RESTCONF message parsing
    JSON parser refactor
    timezone DST handling
    public hash table API
    stored union value bugfix
    many other clarifications, improvements, and bugfixes
    2.1.55
Main changes of this release are:
    type compilation fixes
    multi-error validation support
    JSON parser fixes
    portability improvements
    schema-mount support improvements
    minor optimizations
    other minor fixes
    2.1.30
Main changes of this release are:
    many JSON printer/parser fixes and improvements
    unintentionally large library size reduced
    thread safety improvements
    big-endian compatibility fix
    uncrustify updated
    lots of other fixes and improvements

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agofrr: Update to version 9.1
Adolf Belka [Wed, 24 Jan 2024 21:09:40 +0000 (22:09 +0100)] 
frr: Update to version 9.1

- Update from version 8.5.2 to 9.1
- Update of rootfile
- Build dependencies of frr now include protobuf-c. protobuf-c requires protobuf.
   protobuf requires abseil-cpp.
- Build dependency of libyang will have a minimum version requirement of 2.1.128 coming
   out of an issue. Minimum version for frr-9.1 is 2.1.80 but excluding 2.1.111 due to
   API issues. Based on the near future requirement being 2.1.128 will move to current
   latest version of 2.1.148
- This patch set includes the above build dependencies
- Changelog
    9.1
FRR 9.1 brings a long list of enhancements and fixes with 941 commits from 73
 developers.
OSPFv2 HMAC-SHA Cryptographic Authentication
Specify that HMAC cryptographic authentication must be used on a
 specific interface using a key chain.
BGP MAC-VRF Site-Of-Origin support
In some EVPN deployments, it is useful to associate a logical VTEP’s
 Layer 2 domain (MAC-VRF) with a Site-of-Origin “site” identifier. This
 provides a BGP topology-independent means of marking and
 import-filtering EVPN routes originating from a particular L2 domain.
 One situation where this is valuable is when deploying EVPN using
 anycast VTEPs, i.e. Active/Active MLAG, as it can be used to avoid
 ownership conflicts between the two control planes (EVPN vs MLAG).
BGP Dynamic capability support
Added support for Graceful-Restart, Long-lived Graceful-Restart,
 Software-version, and Role BGP capabilities to be adjusted dynamically
 using BGP dynamic capability.
Dynamic BGP capability allows the dynamic update of capabilities over an
 established BGP session. This capability would facilitate
 non-disruptive capability changes by BGP speakers.
IS-IS SRv6 uSID support (RFC 9352)
The Segment Routing (SR) architecture allows a flexible definition of
 the end-to-end path by encoding it as a sequence of topological
 elements called "segments". It can be implemented over the MPLS or the
 IPv6 data plane. This feature enables extensions in IS-IS to support
 Segment Routing over the IPv6 data plane (SRv6) as per RFC 9352.
Next-hop resolution via the default route
Changed the default for a traditional profile to be enabled. The
 datacenter profile is left as disabled.
Add support for VLAN, ECN, DSCP mangling/filtering
PBR maps are a way to specify a set of rules that are applied to packets
 received on individual interfaces. If a received packet matches a rule,
 the rule’s next-hop-group or next-hop is used to forward it; any other
 actions specified in the rule are also applied to the packet.
With this change, we added more commands for PBR maps, like matching
 src-ip, dst-ip, src-port, dst-port, vlan, dscp, ecn, and more.
libyang 2.1.80 related breaking changes
prefix-list matching in route-maps is fundamentally broken with
 libyang 2.1.111. If you have this version, please downgrade to the most
 stable version 2.1.80.
More details CESNET/libyang#2090
Other significant changes
    Zebra support for route replace semantics in FPM link
    New command for BGP neighbor x addpath-tx-best-selected link
    New command for BGP mpls bgp l3vpn-multi-domain-switching link
    A couple more new BGP route-map commands:
        set as-path exclude all link
        set as-path exclude as-path-access-list link
        set extended-comm-list delete link
        set as-path replace <any|ASN> [<ASN>] link
        set as-path replace as-path-access-list WORD [<ASN>] link
        match community-list X any UPDATE
Deprecations
    Deprecate pre-standard outbound route filtering capability
    Deprecate pre-standard route refresh capability
    Drop deprecated capability
A complete log of changes can be found by browsing the commit history of the
 FRR 9.1 tag
    9.0.2
Fixed CVE-2023-47235
More details: https://frrouting.org/security/cve-2023-47235
Bug Fixes
bgpd
    Fix aggregate-address summary-only suppressed export to EVPN
    Allow using attribute number 255 for path attr discard/withdraw cmds
    Check mandatory attributes more carefully for the UPDATE message
    Do not suppress conditional advertisement updates if triggered
    Fix Extended community memory leak
    Fix the no set as-path prepend command
    Fix heap-use-after-free for bgp_best_selection()
    Fix crash in SNMP BGP4V2-MIB bgpv2PeerErrorsTable()
    Fix clear bgp ipv6 unicast ... command
    Flush attributes only if we don't have to announce a conditional route
     (avoid use-after-free)
    Free memory for SRv6 functions and locator chunks
    Handle MP_UNREACH_NLRI malformed packets with session reset
    Ignore handling NLRIs if we received the MP_UNREACH_NLRI attribute
    Initialise timebuf arrays to zeros for dampening reuse timer
    Initialise buffer in bgp_notify_admin_message() before using it
    LTTng add EVPN route trace events
    Make sure dampening is enabled for the specified AFI/SAFI
    Use proper AFI when dumping information for dampening stuff
    Treat the AS4-PATH attribute as withdrawn if malformed
    Treat PMSI tunnel attribute as withdrawn if malformed
    Treat EOR as withdrawn to avoid unwanted handling of malformed attrs
eigrpd
    Use the correct memory pool on interface deletion
mgmtd
    Change mgmtd_vty_port to 2623
    Fix crash on show mgmtd datastore-contents
ospf6d
    Fix setting of the forwarding address in as-external LSAs
    Set loopback interface cost to 0
ospfd
    Fixing infinite loop when listing OSPF interfaces
pathd
    Add no msd command
    Add no pcep command
pbrd
    Fix show pbr map detail json command
    Free memory in pbr_map_delete()
pim6d
    Fix valgrind issues
pimd
    Fix missing pimreg interface
tools
    Fix the frr-reload interface description command
    Fix the frr-reload route-map description command
    Make --quiet actually suppress output
vtysh
    Fix entering configuration node in file-lock mode
    Fix configure terminal argument descriptions
    Fix working in file-lock mode
    Fix show route map json output
zebra
    Add encap type when building packet for FPM
    Display ptmStatus order in interface JSON
    Fix connected route deletion when multiple entry exists
    Fix FPM multipath encap addition
    Fix link update for veth interfaces
    Fix zebra crash when replacing nhe during shutdown
    Prevent null pointer dereference
    9.0.1
Bug Fixes
bgpd
    Add peers back to peer hash when peer_xfer_conn fails
    Check the length of the rcv software version
    Do not explicitly print maxttl value for ebgp-multihop vty output
    Do not process nlris if the attribute length is zero
    Don't read the first byte of orf header if we are ahead of stream
    Evpn code was not properly unlocking rd_dest
    Fix show bgp all rpki notfound
    Make sure we have enough data to read two bytes when validating aigp
    Use treat-as-withdraw for tunnel encapsulation attribute
zebra
    Fix evpn nexthop config order
lib
    Allow unsetting walltime-warning and cpu-warning
ospfd
    Prevent use after free( and crash of ospf ) when no router ospf
pimd
    Prevent crash when receiving register message when the rp() is unknown
    When receiving a packet be more careful with length in pim_pim_packet
vtysh
    Print uniq lines when parsing no service ...
    8.5.4
Fixed CVE-2023-47235
More details: https://frrouting.org/security/cve-2023-47235
Bug Fixes
bgpd
    Check mandatory attributes more carefully for the UPDATE message
    Do not suppress conditional advertisement updates if triggered
    Fix crash in SNMP BGP4V2-MIB bgpv2PeerErrorsTable()
    Handle MP_UNREACH_NLRI malformed packets with session reset
    Ignore handling NLRIs if we received the MP_UNREACH_NLRI attribute
    Initialise timebuf arrays to zeros for dampening reuse timer
    Initialise buffer in bgp_notify_admin_message() before using it
    Make sure dampening is enabled for the specified AFI/SAFI
    Use proper AFI when dumping information for dampening stuff
    Treat EOR as withdrawn to avoid unwanted handling of malformed attrs
eigrpd
    Use the correct memory pool on interface deletion
vtysh
    Fix show route map JSON output
ospfd
    Fix infinite loop when listing OSPF interfaces
pbrd
    Fix show pbr map detail json output
zebra
    Add encap type when building packet for FPM
    Display ptmStatus order in interface JSON
    Fix connected route deletion when multiple entry exists
    Fix FPM multipath encap addition
    Fix link update for veth interfaces
    Fix zebra crash when replacing nhe during shutdown
    Prevent null pointer dereference
    8.5.3
Bug Fixes
bgpd
    Add peers back to peer hash when peer_xfer_conn fails
    Do not explicitly print maxttl value for ebgp-multihop vty output
    Do not process nlris if the attribute length is zero
    Do not try to redistribute routes if we are shutting down
    Don't read the first byte of orf header if we are ahead of stream
    Evpn code was not properly unlocking rd_dest
    Fix show bgp all rpki notfound
    Fix session reset issue caused by malformed core attributes
    Free bgp vpn policy
    Free previously dup'ed aspath attribute for aggregate routes
    Free temporary memory after using argv_concat()
    Intern attributes before putting into rib-out
    Make sure we have enough data to read two bytes when validating aigp
    Prevent use after free
    Rfapi memleak fixes, clean ce tables at exit
    Unlock dest if we return earlier for aggregate install
    Use treat-as-withdraw for tunnel encapsulation attribute
zebra
    Fix evpn nexthop config order
    Abstract dplane_ctx_route_init to init route without copying
    Fix crash when dplane_fpm_nl fails to process received routes
    Further handle route replace semantics
    Fix command ipv6 nht xxx
lib
    Allow unsetting walltime-warning and cpu-warning
    Skip route-map optimization if !af_inet(6)
    Use max_bitlen instead of magic number
ospf6d
    Fix crash because neighbor structure was freed
    Stop crash in ospf6_write
ospfd
    Check for nulls in vty code
    Prevent use after free( and crash of ospf ) when no router ospf
pbrd
    Fix crash with match command
pimd
    Prevent crash when receiving register message when the rp() is unknown
    When receiving a packet be more careful with length in pim_pim_packet
ripd, ripngd
    Revert "Cleanup memory allocations on shutdown"
tools
    Add what frr thinks as the fib routes for support_bundle
vtysh
    Print uniq lines when parsing no service ...

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agoMerge branch 'master' into next
Michael Tremer [Thu, 25 Jan 2024 10:22:51 +0000 (10:22 +0000)] 
Merge branch 'master' into next

9 months agoweb-user-interface: Force browsers to reload the changed CSS
Michael Tremer [Thu, 25 Jan 2024 10:22:18 +0000 (10:22 +0000)] 
web-user-interface: Force browsers to reload the changed CSS

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agocore184: Ship sqlite
Michael Tremer [Tue, 23 Jan 2024 14:02:24 +0000 (14:02 +0000)] 
core184: Ship sqlite

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agosqlite: Update to version 3450000
Adolf Belka [Tue, 23 Jan 2024 11:26:47 +0000 (12:26 +0100)] 
sqlite: Update to version 3450000

- Update from version 3440100 to 3450000
- Update of rootfile not required
- Does IPFire have apopliocation defined SQL functions that invoke sqlite3_result_subtype()
   as per the first part of the below Changelog.
- Changelog
    3.45.0
Added the SQLITE_RESULT_SUBTYPE property for application-defined SQL functions.
 All application defined SQL functions that invokes sqlite3_result_subtype() must
 be registered with this new property. Failure to do so might cause the call to
 sqlite3_result_subtype() to behave as a no-op. Compile with
 -DSQLITE_STRICT_SUBTYPE=1 to cause an SQL error to be raised if a function that
 is not SQLITE_RESULT_SUBTYPE tries invokes sqlite3_result_subtype(). The use of
 -DSQLITE_STRICT_SUBTYPE=1 is a recommended compile-time option for every
 application that makes use of subtypes.
Enhancements to the JSON SQL functions:
    All JSON functions are rewritten to use a new internal parse tree format
called JSONB. The new parse-tree format is serializable and hence can be
stored in the database to avoid unnecessary re-parsing whenever the JSON
value is used.
    New versions of JSON-generating functions generate binary JSONB instead of
JSON text.
    The json_valid() function adds an optional second argument that specifies
what it means for the first argument to be "well-formed".
Add the FTS5 tokendata option to the FTS5 virtual table.
The SQLITE_DIRECT_OVERFLOW_READ optimization is now enabled by default. Disable
it at compile-time using -DSQLITE_DIRECT_OVERFLOW_READ=0.
Query planner improvements:
    Do not allow the transitive constraint optimization to trick the query
planner into using a range constraint when a better equality constraint
is available. (Forum post 2568d1f6e6.)
    The query planner now does a better job of disregarding indexes that ANALYZE
identifies as low-quality. (Forum post 6f0958b03b.)
Increase the default value for SQLITE_MAX_PAGE_COUNT from 1073741824 to 4294967294.
Enhancements to the CLI:
    Improvements to the display of UTF-8 content on Windows
    Automatically detect playback of ".dump" scripts and make appropriate changes
to settings such as ".dbconfig defensive off" and ".dbconfig dqs_dll on".

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agocore184: Ship shadow
Michael Tremer [Tue, 23 Jan 2024 14:02:02 +0000 (14:02 +0000)] 
core184: Ship shadow

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agoshadow: Updated to version 4.14.3
Adolf Belka [Tue, 23 Jan 2024 11:26:46 +0000 (12:26 +0100)] 
shadow: Updated to version 4.14.3

- Updated from version 4.14.2 to 4.14.3
- Update of rootfile not required
- Patch renamed to new version number
- Changelog
    4.14.3
libshadow:
    Avoid null pointer dereference.

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agocore184: Ship PAM
Michael Tremer [Tue, 23 Jan 2024 14:01:36 +0000 (14:01 +0000)] 
core184: Ship PAM

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agopam: Update to version 1.6.0
Adolf Belka [Tue, 23 Jan 2024 11:26:45 +0000 (12:26 +0100)] 
pam: Update to version 1.6.0

- Update from version 1.5.3 to 1.6.0
- Update of rootfile
- A build bug was found with 1.6.0 if --enable-read-both-confs was set in the configure.
   A commit fixing this has been released and converted into a patch for IPFire. This
   will end up in the next pam release version and the IPFire patch can then be removed.
- Changelog
    1.6.0
* Added support of configuration files with arbitrarily long lines.
* build: fixed build outside of the source tree.
* libpam: added use of getrandom(2) as a source of randomness if available.
* libpam: fixed calculation of fail delay with very long delays.
* libpam: fixed potential infinite recursion with includes.
* libpam: implemented string to number conversions validation when parsing
  controls in configuration.
* pam_access: added quiet_log option.
* pam_access: fixed truncation of very long group names.
* pam_canonicalize_user: new module to canonicalize user name.
* pam_echo: fixed file handling to prevent overflows and short reads.
* pam_env: added support of '\' character in environment variable values.
* pam_exec: allowed expose_authtok for password PAM_TYPE.
* pam_exec: fixed stack overflow with binary output of programs.
* pam_faildelay: implemented parameter ranges validation.
* pam_listfile: changed to treat \r and \n exactly the same in configuration.
* pam_mkhomedir: hardened directory creation against timing attacks.
  Please note that using *at functions leads to more open file handles
  during creation.
* pam_namespace: fixed potential local DoS (CVE-2024-22365).
* pam_nologin: fixed file handling to prevent short reads.
* pam_pwhistory: helper binary is now built only if SELinux support is enabled.
* pam_pwhistory: implemented reliable usernames handling when remembering
  passwords.
* pam_shells: changed to allow shell entries with absolute paths only.
* pam_succeed_if: fixed treating empty strings as numerical value 0.
* pam_unix: added support of disabled password aging.
* pam_unix: synchronized password aging with shadow.
* pam_unix: implemented string to number conversions validation.
* pam_unix: fixed truncation of very long user names.
* pam_unix: corrected rounds retrieval for configured encryption method.
* pam_unix: implemented reliable usernames handling when remembering passwords.
* pam_unix: changed to always run the helper to obtain shadow password entries.
* pam_unix: unix_update helper binary is now built only if SELinux support
  is enabled.
* pam_unix: added audit support to unix_update helper.
* pam_userdb: added gdbm support.
* Multiple minor bug fixes, portability fixes, documentation improvements,
  and translation updates.

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agocore184: Ship LVM2
Michael Tremer [Tue, 23 Jan 2024 14:00:55 +0000 (14:00 +0000)] 
core184: Ship LVM2

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agolvm2: Update to version 2.03.23
Adolf Belka [Tue, 23 Jan 2024 11:26:44 +0000 (12:26 +0100)] 
lvm2: Update to version 2.03.23

- Update from version 2.03.22 to 2.03.23
- Update of rootfile not required
- Changelog
    2.03.23
  Set the first lv_attr flag for raid integrity images to i or I.
  Add -A option for pvs and pvscan to show PVs outside devices file.
  Improve searched_devnames temp file usage to prevent redundant scanning.
  Change default search_for_devnames from auto to all.
  Add lvmdevices --refresh to search for missing PVIDs on all devices.
  Add comparison between old and new entries in lvmdevices --check.
  Fix device_id matching order - match non-devname first.
  Fix "lvconvert -m 0" when there is other than first in-sync leg.
  Use system.devices as default for dmeventd when dmeventd.devices is undefined.
  Accept WWIDs containing QEMU HARDDISK for device_id.
  Improve handling of non-standard WWID prefixes used for device_id.
  Configure automatically enables cmdlib for dmeventd and notify-dbus for dbus.
  Fix hint calculation for pools with zero or error segment.
  Configure supports --disable-shared to build only static binaries.
  Configure supports --without-{blkid|systemd|udev} for easier static build.
  Refresh device ids if the system changes.
  Fix pvmove when specifying raid components as moved LVs.
  Enhance error detection for lvm_import_vdo.
  Support PV lists with thin lvconvert.
  Fix support for lvm_import_vdo with SCSI VDO volumes.
  Fix locking issue leading to hanging concurrent vgchange --refresh.
  Recognize lvm.conf report/headings=2 for full column names in report headings.
  Add --headings none|abbrev|full cmd line option to set report headings type.
  Fix conversion to thin pool using lvmlockd.
  Fix conversion from thick into thin volume using lvmlockd.
  Require writable LV for conversion to vdo pool.
  Fix return value from lvconvert integrity remove.
  Preserve UUID for pool metadata spare.
  Preserve UUID for swapped pool metadata.
  Rewrite validation of device name entries used as device_id.

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agocore184: Ship libidn
Michael Tremer [Tue, 23 Jan 2024 14:00:27 +0000 (14:00 +0000)] 
core184: Ship libidn

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agolibidn: Update to version 1.42
Adolf Belka [Tue, 23 Jan 2024 11:26:43 +0000 (12:26 +0100)] 
libidn: Update to version 1.42

- Update from version 1.41 to 1.42
- Update of rootfile
- Changelog
    1.42
** Bump required gettext version to 0.19.8 for musl-libc.
** Compiler warning improvements.
As before, compiler warnings are enabled by default.  You may disable
them using ./configure --disable-gcc-warnings or turn them into fatal
errors using ./configure --enable-gcc-warnings=error to add -Werror
and sensible -Wno-error='s.  Based on gnulib's manywarnings, see
<https://www.gnu.org/software/gnulib//manual/html_node/manywarnings.html>.
** Fix type confusion on LLP64/Windows platforms.
While libidn has worked using cygwin libc, it has never worked on
ucrt/msvcrt libc.  Report and tiny patch by Francesco Pretto in
<https://lists.gnu.org/archive/html/help-libidn/2022-02/msg00000.html>.
** tests: Added script tests/standalone.sh suitable for integrators.
The main purpose is to test a system-installed libidn, suitable for
distributor checking (a'la Debian's autopkgtest/debci).  It may also
be used to test a newly built libidn outside the usual 'make check'
infrastructure.  To check that your system libidn is working, invoke
the script with `srcdir` as an environment variable indicating where
it can be find the source code for libidn's tests/ directory (it will
use the directory name where the script is by default):
tests/standalone.sh
 To check that a newly built static libidn behaves, invoke:
env STANDALONE_CFLAGS="-Ilib lib/.libs/libidn.a"
 tests/standalone.sh
 To check that a newly built shared libidn behaves, invoke:
env srcdir=tests STANDALONE_CFLAGS="-Ilib -Wl,-rpath
 lib/.libs lib/.libs/libidn.so" tests/standalone.sh
 If the libidn under testing is too old and has known bugs, that
  should cause tests to fail, which is intentional.
** Updated translations.
** Update gnulib files and build fixes.

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agocore184: Ship iputils
Michael Tremer [Tue, 23 Jan 2024 13:59:50 +0000 (13:59 +0000)] 
core184: Ship iputils

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agoiputils: Update to version 20240117
Adolf Belka [Tue, 23 Jan 2024 11:26:42 +0000 (12:26 +0100)] 
iputils: Update to version 20240117

- Update from version 20231222 to 20240117
- Update of rootfile not required
- Changelog
    20240117
* ping
- fix: Restore -i0 (commit: 7a51494, PR: #519, regression from 2a63b94)
* localization
- Updated Turkish and Indonesian
- 100% translated: Chinese (Simplified), Czech, French, Georgian, German,
  Korean, Portuguese (Brazil), Turkish, Ukrainian
- > 90% translated: Finnish, Indonesian, Japanese

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agocore184: Ship iproute2
Michael Tremer [Tue, 23 Jan 2024 13:59:26 +0000 (13:59 +0000)] 
core184: Ship iproute2

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agoiproute2: Update to version 6.7.0
Adolf Belka [Tue, 23 Jan 2024 11:26:41 +0000 (12:26 +0100)] 
iproute2: Update to version 6.7.0

- Update from version 6.6.0 to 6.7.0
- Update of rootfile not required
- Changelog only available from git repo commits
   https://git.kernel.org/pub/scm/network/iproute2/iproute2.git/log/

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agocore184: Ship GnuTLS
Michael Tremer [Tue, 23 Jan 2024 13:58:38 +0000 (13:58 +0000)] 
core184: Ship GnuTLS

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agognutls: Update to version 3.8.3
Adolf Belka [Tue, 23 Jan 2024 11:26:40 +0000 (12:26 +0100)] 
gnutls: Update to version 3.8.3

- Update from version 3.8.2 to 3.8.3
- Update of rootfile
- Changelog
    3.8.3
- libgnutls: Fix more timing side-channel inside RSA-PSK key exchange
   [GNUTLS-SA-2024-01-14, CVSS: medium] [CVE-2024-0553]
- libgnutls: Fix assertion failure when verifying a certificate chain with a
   cycle of cross signatures
   [GNUTLS-SA-2024-01-09, CVSS: medium] [CVE-2024-0567]
- libgnutls: Fix regression in handling Ed25519 keys stored in PKCS#11 token
   certtool was unable to handle Ed25519 keys generated on PKCS#11
   with pkcs11-tool (OpenSC). This is a regression introduced in 3.8.2.

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agocore184: Ship attr
Michael Tremer [Tue, 23 Jan 2024 13:57:53 +0000 (13:57 +0000)] 
core184: Ship attr

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agoattr: Update to version 2.5.2
Adolf Belka [Tue, 23 Jan 2024 11:26:39 +0000 (12:26 +0100)] 
attr: Update to version 2.5.2

- Update from version 2.5.1 to 2.5.2
- Update of rootfile
- Changelog is no longer updated in the source tarball. Only source for changes is the git
   repository commits from https://git.savannah.nongnu.org/cgit/attr.git/log/

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agowavemon: Update to version 0.9.5
Adolf Belka [Thu, 18 Jan 2024 11:40:31 +0000 (12:40 +0100)] 
wavemon: Update to version 0.9.5

- Update from version 0.9.4 to 0.9.5
- Update of rootfile not required
- force-netlink-include-path patch updated due to chganges in file in source tarball
- Changelog
    0.9.5
Info Screen:
    improve format of percentages (use fixed format rather than auto-format).
Configuration:
    fix ncurses support for white backgrounds (#119),
    configuration file now either in $XDG_CONFIG_HOME/wavemon/wavemonrc or in
     $HOME/.config/wavemon/wavemonrc (#106).
Miscellaneous
    avoid including include linux/if.h (#109),
    check and set support for C99 standard (#108),
    updated README (#107),
    configuration file can now be located in XDG_CONFIG_HOME (#105),
    added portable implementation of asprintf(3),
    updated copied nl80211 header file,
    make -Wpedantic the default when building.

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agotransmission: Update to version 4.0.5
Adolf Belka [Thu, 18 Jan 2024 11:40:30 +0000 (12:40 +0100)] 
transmission: Update to version 4.0.5

- Update from version 4.0.4 to 4.0.5
- Update of rootfile
- Changelog
    4.0.5
Highlights
    Fixed 4.0.0 bug where the IP address field in UDP announces were not encoded
     in network byte order. [BEP-15]. (#6132)
    Fixed a bug that incorrectly escaped JSON strings in some locales.
     (#6005, #6133)
    Fixed 4.0.4 decreased download speeds for people who set a low upload
     bandwidth limit. (#6134)
All Platforms
    Fixed bug that prevented editing trackers on magnet links. (#5957)
    Fixed HTTP tracker announces and scrapes sometimes failing after adding a
     torrent file by HTTPS URL. (#5969)
    In RPC responses, change the default sort order of torrents to match
     Transmission 3.00. (#5604)
    Fixed tr_sys_path_copy() behavior on some Synology Devices. (#5974)
macOS Client
    Support Sonoma when building from sources. (#6016, #6051)
    Fixed early truncation of long group names in groups list. (#6104)
Qt Client
    Fix: only append .added suffix to watchdir files. (#5705)
GTK Client
    Fixed crash when opening torrent file from "Recently used" section in
     GTK 4. (#6131, #6142)

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agostunnel: Update to version 5.71
Adolf Belka [Thu, 18 Jan 2024 11:40:29 +0000 (12:40 +0100)] 
stunnel: Update to version 5.71

- Update from vesrion 5.69 to 5.71
- Update of rootfile not required
- Changelog
    5.71, 2023.09.19, urgency: MEDIUM
 Security bugfixes
  - OpenSSL DLLs updated to version 3.1.3.
 Bugfixes
  - Fixed the console output of tstunnel.exe.
 Features sponsored by SAE IT-systems
  - OCSP stapling is requested and verified in the client mode.
  - Using "verifyChain" automatically enables OCSP
    stapling in the client mode.
  - OCSP stapling is always available in the server mode.
  - An inconclusive OCSP verification breaks TLS negotiation.
    This can be disabled with "OCSPrequire = no".
  - Added the "TIMEOUTocsp" option to control the maximum
    time allowed for connecting an OCSP responder.
 Features
  - Added support for Red Hat OpenSSL 3.x patches.
    5.70, 2023.07.12, urgency: HIGH
 Security bugfixes
  - OpenSSL DLLs updated to version 3.0.9.
  - OpenSSL FIPS Provider updated to version 3.0.8.
 Bugfixes
  - Fixed TLS socket EOF handling with OpenSSL 3.x.
    This bug caused major interoperability issues between
    stunnel built with OpenSSL 3.x and Microsoft's
    Schannel Security Support Provider (SSP).
  - Fixed reading certificate chains from PKCS#12 files.
 Features
  - Added configurable delay for the "retry" option.

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agocore184: Ship poppler
Michael Tremer [Tue, 23 Jan 2024 13:56:30 +0000 (13:56 +0000)] 
core184: Ship poppler

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agopoppler: Update to version 24.01.0
Adolf Belka [Thu, 18 Jan 2024 11:40:28 +0000 (12:40 +0100)] 
poppler: Update to version 24.01.0

- Update from version 23.08.0 to 24.01.0
- Update of rootfile
- Changelog
24.01.0:
        core:
         * Don't crash on certain documents on the NSS signature backend
         * Fix infinite loop in some annotation code if there's not space for
   even one character
         * Fix build on Android with generic font configuration
         * Small internal code cleanup
23.12.0:
        core:
         * Rewrite FoFiType1::parse to be more flexible. Issue #1422
         * Small internal code refactoring
23.11.0:
        core:
         * CairoOutputDev: Use internal downscaling algorithm if image exceeds
   Cairo's maximum dimensions.
         * Internal code improvements
         * Fix crash on malformed files
        utils:
         * pdftocairo: Add option to document logical structure if output is pdf
         * pdftocairo: EPS output should not contain %%PageOrientation
23.10.0:
        core:
         * cairo: update type 3 fonts for cairo 1.18 api
         * Fix crash on malformed files
        build system:
         * Make a few more dependencies soft-mandatory
         * Add more supported gnupg releases
         * Check if linker supports version scripts
23.09.0:
        core:
         * Add Android-specific font matching functionality
         * Fix digital signatures for NeedAppearance=true
         * Forms: Don't look up same glyph multiple times
         * Provide the key location for certificates you can sign with
         * Add ToUnicode support for similarequal
         * Fix crash on malformed files
        qt5:
         * Provide the key location for certificates you can sign with
         * Allow to force a rasterized overprint preview during PS conversion
        qt6:
         * Provide the key location for certificates you can sign with
         * Allow to force a rasterized overprint preview during PS conversion
        pdfsig:
         * Provide the key location for certificates you can sign with

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agocore184: Ship pixman
Michael Tremer [Tue, 23 Jan 2024 13:55:33 +0000 (13:55 +0000)] 
core184: Ship pixman

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agopixman: Update to version 43.0
Adolf Belka [Thu, 18 Jan 2024 11:40:27 +0000 (12:40 +0100)] 
pixman: Update to version 43.0

- Update from versionj 42.2 to 43.0
- Update of rootfile
- Changelog
   The NEWS and ChangeLog files in the source tarball are empty.
   For details of changes see the commits log
   https://cgit.freedesktop.org/pixman/log/

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agocore184: Ship memtest
Michael Tremer [Tue, 23 Jan 2024 13:54:58 +0000 (13:54 +0000)] 
core184: Ship memtest

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agomemtest: Update to version 7.00
Adolf Belka [Thu, 18 Jan 2024 11:40:26 +0000 (12:40 +0100)] 
memtest: Update to version 7.00

- Update from version 6.20 to 7.00
- Update of rootfile not required
- Changelog
    7.00
    IMC polling for live DRAM settings
    Preliminary support for ECC polling
    Add support for MMIO UART
    Add debugging options
    Bug fixes & optimizations

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agolshw: Update to version B.02.20
Adolf Belka [Thu, 18 Jan 2024 11:40:25 +0000 (12:40 +0100)] 
lshw: Update to version B.02.20

- Update from version B.02.19.2 to B.02.20
- Update of rootfile
- Changelog
    B.02.20
bug fixes
code cleanup
    For more details see the git repo
     https://ezix.org/src/pkg/lshw/compare/B.02.19...B.02.20

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agolibvirt: Update to version 10.0.0
Adolf Belka [Thu, 18 Jan 2024 11:40:24 +0000 (12:40 +0100)] 
libvirt: Update to version 10.0.0

- Update from version 8.10.0 to 10.0.0
- Update of rootfile
- Changelog is too large to include here. Details can be found in the NEWS.rst file in the
   source tarball
    CVE-2023-3750 was fixed in version 9.6.0
Fix race condition in storage driver leading to a crash
    In **libvirt-8.3** a bug was introduced which in rare cases could cause
    ``libvirtd`` or ``virtstoraged`` to crash if multiple clients attempted to
    look up a storage volume by key, path or target path, while other clients
    attempted to access something from the same storage pool.

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agolibtalloc: Update to version 2.4.1
Adolf Belka [Thu, 18 Jan 2024 11:40:23 +0000 (12:40 +0100)] 
libtalloc: Update to version 2.4.1

- Update from version 2.3.4 to 2.4.1
- Update of rootfile
- Changelog
    2.4.1 (2023-07-20)
No change information available anywhere that I could find
    2.4.0 (2023-01-18)
No change information available anywhere that I could find

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agocore184: Ship ipset
Michael Tremer [Tue, 23 Jan 2024 13:53:12 +0000 (13:53 +0000)] 
core184: Ship ipset

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agoipset: Update to version 7.19
Adolf Belka [Thu, 18 Jan 2024 11:40:22 +0000 (12:40 +0100)] 
ipset: Update to version 7.19

- Update from version 7.17 to 7.19
- Update of nrootfile not required
- Changelog
7.19
  - build: Fix the double-prefix in pkgconfig (Sam James)

7.18
  - Add json output to list command (Thomas Oberhammer)
  - tests: hash:ip,port.t: Replace VRRP by GRE protocol (Phil Sutter)
  - tests: hash:ip,port.t: 'vrrp' is printed as 'carp' (Phil Sutter)
  - tests: cidr.sh: Add ipcalc fallback (Phil Sutter)
  - tests: xlate: Make test input valid (Phil Sutter)
  - tests: xlate: Test built binary by default (Phil Sutter)
  - xlate: Drop dead code (Phil Sutter)
  - xlate: Fix for fd leak in error path (Phil Sutter)
  - configure.ac: fix bashisms (Sam James)
  - lib/Makefile.am: fix pkgconfig dir (Sam James)

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agohaproxy: Update to version 2.9.2
Adolf Belka [Thu, 18 Jan 2024 11:40:21 +0000 (12:40 +0100)] 
haproxy: Update to version 2.9.2

- Update from version 2.8.5 to 2.9.2
- Update of rootfile not required
- Changelog is too large to include here. Details can be found in the CHANGELOG file in the
   source tarball.

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agofmt: Update to version 10.2.1
Adolf Belka [Thu, 18 Jan 2024 11:40:20 +0000 (12:40 +0100)] 
fmt: Update to version 10.2.1

- Update from version 10.0.0 to 10.2.1
- Update of rootfile
- Changelog is a bit too large to include here. Details can be found in ChangeLog.md file
   in source tarball.

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agocore184: Ship dmidecode (x86_64)
Michael Tremer [Tue, 23 Jan 2024 11:36:08 +0000 (11:36 +0000)] 
core184: Ship dmidecode (x86_64)

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agodmidecode: Update to version 3.5
Adolf Belka [Thu, 18 Jan 2024 11:40:19 +0000 (12:40 +0100)] 
dmidecode: Update to version 3.5

- Update from version 3.3 to 3.5
- Update of rootfile not required
- Two patches no longer required as fixes are now in source tarball
- Changelog
    3.5 (Tue Mar 14 2023)
          - Decode HPE OEM records 216, 224, 230, 238 and 242.
          - Fortify entry point length checks.
          - Add a --no-quirks option.
          - Drop the CPUID exception list.
          - Do not let --dump-bin overwrite an existing file.
          - Ensure /dev/mem is a character device file.
          - Bug fixes:
            Fix segmentation fault in HPE OEM record 240
          - Minor improvements:
            Typo fixes
            Write the whole dump file at once
            Fix a build warning when USE_MMAP isn't set
    3.4 (Mon Jun 27 2022)
          - Support for SMBIOS 3.4.0. This includes new memory device types, new
            processor upgrades, new slot types and characteristics, decoding of memory
            module extended speed, new system slot types, new processor characteristics
            and new format of Processor ID.
          - Support for SMBIOS 3.5.0. This includes new processor upgrades, BIOS
            characteristics, new slot characteristics, new on-board device types, new
            pointing device interface types, and a new record type (type 45 -
            Firmware Inventory Information).
          - Decode HPE OEM records 194, 199, 203, 236, 237, 238 and 240.
          - Bug fixes:
            Fix OEM vendor name matching
            Fix ASCII filtering of strings
            Fix crash with option -u
          - Minor improvements:
            Skip details of uninstalled memory modules
            Don't display the raw CPU ID in quiet mode
            Improve the formatting of the manual pages

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agobird: Update to version 2.14
Adolf Belka [Thu, 18 Jan 2024 11:40:18 +0000 (12:40 +0100)] 
bird: Update to version 2.14

- Update from version 2.0.12 to 2.14
- Update of rootfile not required
- Changelog
    2.14 (2023-10-06)
  o MPLS subsystem
  o L3VPN: BGP/MPLS VPNs (RFC 4364)
  o BGP: Access to unknown route attributes
  o RAdv: Custom options
  o Babel: RTT metric extension
  o BMP: Refactored route monitoring
  o BMP: Multiple instances of BMP protocol
  o BMP: Both pre-policy and post-policy monitoring
  o Experimental route aggregation
  o Filter: Method framework
  o Filter: Functions have return type statements
  o Filter: New bytestring data type
  o Kernel: Option to learn kernel routes
  o Many bugfixes and improvements
Notes:
  User-defined filter functions that return values now should have return type
   statements. We still accept functions without such statement, if they could be
   properly typed.
  For loops allowed to use both existing iterator variables or ones defined in
   the for statement. We no longer support the first case, all iterator variables
   must be defined in the for statement (e.g. 'for int i in bgp_path ...').
  Due to oversight, VRF interfaces were not included in respective VRFs, this is
   fixed now.
    2.13.1 (2023-06-23)
  o BGP: Fix role check when no capability option is present
  o Filter: Fixed segfault when a case option had an empty block
  This is a bugfix version.
    2.13 (2023-04-21)
  o Babel: IPv4 via IPv6 extension (RFC 9229)
  o Babel: Improve authentication on lossy networks
  o BGP: New 'allow bgp_med' option
  o BSD: Support for IPv4 routes with IPv6 nexthop on FreeBSD
  o Experimental BMP protocol implementation
  o Important bugfixes
Notes:
  We changed versioning scheme from <epoch>.<major>.<minor> to more common
   <major>.<minor>.<patch> . From now on, you may expect that BIRD 2.13.x will be
   strictly only fixing bugs found in 2.13, whereas BIRD 2.14 will also contain
   new features.
  This BIRD version contains an alpha release of BMP protocol implementation.
   It is not ready for production usage and therefore it is not compiled by
   default and have to be enabled during installation.

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agoStart Core Update 184
Michael Tremer [Tue, 23 Jan 2024 11:33:43 +0000 (11:33 +0000)] 
Start Core Update 184

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agoweb-user-interface: rootfile update
Arne Fitzenreiter [Sun, 21 Jan 2024 20:42:13 +0000 (21:42 +0100)] 
web-user-interface: rootfile update

Signed-off-by: Arne Fitzenreiter <arne_f@ipfire.org>
9 months agokernel: update to 6.6.13
Arne Fitzenreiter [Sun, 21 Jan 2024 18:10:22 +0000 (19:10 +0100)] 
kernel: update to 6.6.13

Signed-off-by: Arne Fitzenreiter <arne_f@ipfire.org>
9 months agocore183: Ship firewall initscript
Michael Tremer [Fri, 19 Jan 2024 16:38:12 +0000 (16:38 +0000)] 
core183: Ship firewall initscript

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agoFirewall initscript: Restore Tor IPTable rules by manual firewall restart
Erik Kapfer [Tue, 16 Jan 2024 15:26:39 +0000 (16:26 +0100)] 
Firewall initscript: Restore Tor IPTable rules by manual firewall restart

If the firewall will be manually restart via '/etc/init.d/firewall restart',
the IPTable rules for the Tor relay will be deleted since 'iptables_init' only
flushes and creates inbound and unbound chains for Tor but does not restore the
ruleset from Tor initscript.

For reference and tests please see -->
https://community.ipfire.org/t/tor-stop-working-without-stop-the-process-or-give-an-error-message/10697

Signed-off-by: Erik Kapfer <erik.kapfer@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agonetwork: Only try to restart collectd if it is running
Michael Tremer [Fri, 19 Jan 2024 16:36:58 +0000 (16:36 +0000)] 
network: Only try to restart collectd if it is running

This updated version of this script avoids any errors if collectd is not
running (yet) which might happen during the boot process.

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agocore183: Ship the updated theme
Michael Tremer [Fri, 19 Jan 2024 16:32:24 +0000 (16:32 +0000)] 
core183: Ship the updated theme

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agoMerge remote-tracking branch 'ms/theme' into next
Michael Tremer [Fri, 19 Jan 2024 16:29:46 +0000 (16:29 +0000)] 
Merge remote-tracking branch 'ms/theme' into next

9 months agocore183: generate new rsa before apache start
Arne Fitzenreiter [Fri, 19 Jan 2024 06:10:26 +0000 (06:10 +0000)] 
core183: generate new rsa before apache start

Signed-off-by: Arne Fitzenreiter <arne_f@ipfire.org>
9 months agocore183: replace https rsa key if it is too small
Arne Fitzenreiter [Thu, 18 Jan 2024 17:02:10 +0000 (18:02 +0100)] 
core183: replace https rsa key if it is too small

new openssl need at least 2048 bit rsa keys for apache.
So if the existing is smaller a new 4096 bit key is generated.

fixes #13527

Signed-off-by: Arne Fitzenreiter <arne_f@ipfire.org>
9 months agolinux: Forbid legacy TIOCSTI usage
Peter Müller [Sun, 14 Jan 2024 15:59:00 +0000 (15:59 +0000)] 
linux: Forbid legacy TIOCSTI usage

To quote from the kernel documentation:

> Historically the kernel has allowed TIOCSTI, which will push
> characters into a controlling TTY. This continues to be used
> as a malicious privilege escalation mechanism, and provides no
> meaningful real-world utility any more. Its use is considered
> a dangerous legacy operation, and can be disabled on most
> systems.
>
> Say Y here only if you have confirmed that your system's
> userspace depends on this functionality to continue operating
> normally.
>
> Processes which run with CAP_SYS_ADMIN, such as BRLTTY, can
> use TIOCSTI even when this is set to N.
>
> This functionality can be changed at runtime with the
> dev.tty.legacy_tiocsti sysctl. This configuration option sets
> the default value of the sysctl.

This patch therefore proposes to no longer allow legacy TIOCSTI usage
in IPFire, given its security implications and the apparent lack of
legitimate usage.

Signed-off-by: Peter Müller <peter.mueller@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agoCore Update 183: Fix permissions of /etc/sudoers.d/, again
Peter Müller [Tue, 16 Jan 2024 12:36:50 +0000 (12:36 +0000)] 
Core Update 183: Fix permissions of /etc/sudoers.d/, again

Signed-off-by: Peter Müller <peter.mueller@ipfire.org>
9 months agohtop: Update to 3.3.0
Matthias Fischer [Sat, 13 Jan 2024 19:43:50 +0000 (20:43 +0100)] 
htop: Update to 3.3.0

For details see:
https://github.com/htop-dev/htop/blob/main/ChangeLog

"What's new in version 3.3.0

* Multiple refactorings and code improvements
* Shorten docker container IDs to 12 characters
* Settings: preserve empty header
* Fix execlp() argument without pointer cast
* OpenFilesScreen: Make column sizing dynamic for file size, offset and inode
* Add support for "truss" (FreeBSD equivalent of "strace")
* Darwin: add NetworkIOMeter support
* HeaderLayout: add "3 columns - 40/30/30", "... 30/40/30" & "... 30/30/40"
* Meter: use correct unicode characters for digit '9'
* Note in manual re default memory units of KiB
* Add column for process container name
* Add logic to filter the container name (+type) from the CGroup name
* Change NetworkIOMeter value unit from KiB/s to bytes/second
* Cap DiskIOMeter "utilisation" percentage at 100%
* PCP platform implementation of frontswap and zswap accounting
* Shorten podman/libpod container IDs to 12 characters
* Write configuration to temporary file first
* Incorporate shared memory in bar text
* Move shared memory next to used memory
* Correct order of memory meter in help
* Add recalculate to Ctrl-L refresh
* Update process list on thread visibility toggling
* Support dynamic screens with 'top-most' entities beyond processes
* Introduce Row and Table classes for screens beyond top-processes
* Rework ZramMeter and remove MeterClass.comprisedValues
* More robust logic for CPU process percentages (Linux & PCP)
* Show year as start time for processes older than a year
* Short-term fix for docker container detection
* default color preset: use bold blue for better visibility
* Document 'O' keyboard shortcut
* Implement logic for '--max-iterations'
* Update F5 key label on tab switch (Tree <-> List)
* Force re-sorting of the process list view after switching between list/treeview mode
* Linux: (hack) work around the fact that Zswapped pages may be SwapCached
* Linux: implement zswap support
* {Memory,Swap}Meter: add "compressed memory" metrics
* Darwin: add DiskIOMeter support
* Fix scroll relative to followed process
* ZramMeter: update bar mode
* Use shared real memory on FreeBSD
* Increase Search and Filter max string length to 128
* Improve CPU computation code
* Remove LXC special handling for the CPU count
* Create new File Descriptor meter
* PCP: add IRQ PSI meter
* Linux: add IRQ PSI meter
* Linux: highlight username if process has elevated privileges
* Add support for scheduling policies
* Add a systemd user meter to monitor user units.
* FreeBSD: remove duplicate zfs ARC size subtraction"

Signed-off-by: Matthias Fischer <matthias.fischer@ipfire.org>
9 months agocore183: Ship /etc/rc.d/init.d/mountfs
Michael Tremer [Mon, 15 Jan 2024 19:31:00 +0000 (19:31 +0000)] 
core183: Ship /etc/rc.d/init.d/mountfs

This script has been modified when we touched ExtraHD in Core Update
179/180, but has been forgotten to be shipped.

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agokernel: update to 6.6.12
Arne Fitzenreiter [Tue, 16 Jan 2024 11:41:08 +0000 (12:41 +0100)] 
kernel: update to 6.6.12

Signed-off-by: Arne Fitzenreiter <arne_f@ipfire.org>
9 months agoCore Update 183: Ship 60-collectd
Peter Müller [Sun, 14 Jan 2024 16:05:12 +0000 (16:05 +0000)] 
Core Update 183: Ship 60-collectd

Signed-off-by: Peter Müller <peter.mueller@ipfire.org>
9 months agocollectd: Restart is required after reconnect
Michael Tremer [Fri, 12 Jan 2024 13:29:04 +0000 (13:29 +0000)] 
collectd: Restart is required after reconnect

The "ping" plugin does not re-resolve the gateway IP address after
pinging it for the first time. For most people this won't be a big
problem, but if the default gateway changes, the latency graph won't
work any more.

In order to do re-resolve "gateway", the only way is to restart
collectd.

Fixes: #13522
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
Acked-by: Peter Müller <peter.mueller@ipfire.org>
9 months agoCore Update 183: Ship libssh
Peter Müller [Thu, 11 Jan 2024 11:59:18 +0000 (11:59 +0000)] 
Core Update 183: Ship libssh

Signed-off-by: Peter Müller <peter.mueller@ipfire.org>
9 months agolibssh: Update to 0.10.6
Peter Müller [Mon, 8 Jan 2024 09:51:00 +0000 (09:51 +0000)] 
libssh: Update to 0.10.6

Please refer to https://www.libssh.org/2023/12/18/libssh-0-10-6-and-libssh-0-9-8-security-releases/
for this version's release announcement.

Signed-off-by: Peter Müller <peter.mueller@ipfire.org>
9 months agoCore Update 183: Ship libgcrypt
Peter Müller [Thu, 11 Jan 2024 11:58:51 +0000 (11:58 +0000)] 
Core Update 183: Ship libgcrypt

Signed-off-by: Peter Müller <peter.mueller@ipfire.org>
9 months agolibgcrypt: Update to 1.10.3
Peter Müller [Mon, 8 Jan 2024 09:47:00 +0000 (09:47 +0000)] 
libgcrypt: Update to 1.10.3

Refer to https://dev.gnupg.org/T6817 for release information concerning
this version.

Signed-off-by: Peter Müller <peter.mueller@ipfire.org>
9 months agoCore Update 183: Ship kmod
Peter Müller [Thu, 11 Jan 2024 11:58:17 +0000 (11:58 +0000)] 
Core Update 183: Ship kmod

Signed-off-by: Peter Müller <peter.mueller@ipfire.org>
9 months agokmod: Update to 31
Peter Müller [Mon, 8 Jan 2024 09:44:00 +0000 (09:44 +0000)] 
kmod: Update to 31

According to the source tarball's NEWS file:

- Improvements

        - Allow passing a path to modprobe so the module is loaded from
          anywhere from the filesystem, but still handling the module
          dependencies recorded in the indexes. This is mostly intended for kernel
          developers to speedup testing their kernel modules without having to load the
          dependencies manually or override the module in /usr/lib/modules/.
          Now it's possible to do:

                # modprobe ./drivers/gpu/drm/i915/i915.ko

          As long as the dependencies didn't change, this should do the right thing

        - Use in-kernel decompression if available. This will check the runtime support
          in the kernel for decompressing modules and use it through finit_module().
          Previously kmod would fallback to the older init_module() when using
          compressed modules since there wasn't a way to instruct the kernel to
          uncompress it on load or check if the kernel supported it or not.
          This requires a recent kernel (>= 6.4) to have that support and
          in-kernel decompression properly working in the kernel.

        - Make modprobe fallback to syslog when stderr is not available, as was
          documented in the man page, but not implemented

        - Better explaing `modprobe -r` and how it differentiates from rmmod

        - depmod learned a `-o <dir>` option to allow using a separate output
          directory. With this, it's possible to split the output files from
          the ones used as input from the kernel build system

        - Add compat with glibc >= 2.32.9000 that dropped __xstat

        - Improve testsuite to stop skipping tests when sysconfdir is something
          other than /etc

        - Build system improvements and updates

        - Change a few return codes from -ENOENT to -ENODATA to avoid confusing output
          in depmod when the module itself lacks a particular ELF section due to e.g.
          CONFIG_MODVERSIONS=n in the kernel.

- Bug Fixes

        - Fix testsuite using uninitialized memory when testing module removal
          with --wait

        - Fix testsuite not correctly overriding the stat syscall on 32-bit
          platforms. For most architectures this was harmless, but for MIPS it
          was causing some tests to fail.

        - Fix handling unknown signature algorithm

        - Fix linking with a static liblzma, libzstd or zlib

        - Fix memory leak when removing module holders

        - Fix out-of-bounds access when using very long paths as argument to rmmod

        - Fix warnings reported by UBSan

Signed-off-by: Peter Müller <peter.mueller@ipfire.org>
9 months agoCore Update 183: Ship cpio
Peter Müller [Thu, 11 Jan 2024 11:57:39 +0000 (11:57 +0000)] 
Core Update 183: Ship cpio

Signed-off-by: Peter Müller <peter.mueller@ipfire.org>
9 months agocpio: Update to 2.14
Peter Müller [Mon, 8 Jan 2024 06:24:00 +0000 (06:24 +0000)] 
cpio: Update to 2.14

Noteworthy changes in this release, according to
https://lists.gnu.org/archive/html/info-gnu/2023-05/msg00001.html :

* New option --ignore-dirnlink

Valid in copy-out mode, it instructs cpio to ignore the actual number
of links reported for each directory member and always store 2
instead.

* Changes in --reproducible option

The --reproducible option implies --ignore-dirlink.  In other words,
it is equivalent to --ignore-devno --ignore-dirnlink --renumber-inodes.

* Use GNU ls algorithm for deciding timestamp format in -tv mode

* Bugfixes

** Fix cpio header verification.

** Fix handling of device numbers on copy out.

** Fix calculation of CRC in copy-out mode.

** Rewrite the fix for CVE-2015-1197.

** Fix combination of --create --append --directory.

** Fix appending to archives bigger than 2G.

Signed-off-by: Peter Müller <peter.mueller@ipfire.org>
9 months agoCore Update 183: Ship and restart strongSwan
Peter Müller [Thu, 11 Jan 2024 11:57:05 +0000 (11:57 +0000)] 
Core Update 183: Ship and restart strongSwan

Signed-off-by: Peter Müller <peter.mueller@ipfire.org>
9 months agostrongSwan: Update to 5.9.13
Peter Müller [Mon, 8 Jan 2024 06:19:00 +0000 (06:19 +0000)] 
strongSwan: Update to 5.9.13

Please refer to https://github.com/strongswan/strongswan/releases/tag/5.9.13
for the changelog of this version.

Signed-off-by: Peter Müller <peter.mueller@ipfire.org>
9 months agokernel: update to 6.6.11
Arne Fitzenreiter [Thu, 11 Jan 2024 09:30:13 +0000 (10:30 +0100)] 
kernel: update to 6.6.11

Signed-off-by: Arne Fitzenreiter <arne_f@ipfire.org>
9 months agocore183: fix typo at install-bootloader
Arne Fitzenreiter [Wed, 10 Jan 2024 16:11:16 +0000 (17:11 +0100)] 
core183: fix typo at install-bootloader

Signed-off-by: Arne Fitzenreiter <arne_f@ipfire.org>
9 months agoindex.cgi: Remove some custom CSS styling that broke the design
Michael Tremer [Wed, 10 Jan 2024 12:25:33 +0000 (12:25 +0000)] 
index.cgi: Remove some custom CSS styling that broke the design

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agoweb-user-interface: Replace the old tux logo with out new word mark
Michael Tremer [Wed, 10 Jan 2024 12:23:15 +0000 (12:23 +0000)] 
web-user-interface: Replace the old tux logo with out new word mark

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agoweb-user-interface: Update interface design
Michael Tremer [Wed, 10 Jan 2024 12:12:32 +0000 (12:12 +0000)] 
web-user-interface: Update interface design

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
9 months agokernel: aarch64: enable CONFIG_SHADOW_CALL_STACK
Arne Fitzenreiter [Wed, 10 Jan 2024 06:26:25 +0000 (06:26 +0000)] 
kernel: aarch64: enable CONFIG_SHADOW_CALL_STACK

Signed-off-by: Arne Fitzenreiter <arne_f@ipfire.org>
9 months agogrub: update to 2.12 (final release version)
Arne Fitzenreiter [Wed, 10 Jan 2024 06:22:59 +0000 (07:22 +0100)] 
grub: update to 2.12 (final release version)

this should fix problems on systems installed on xfs

Signed-off-by: Arne Fitzenreiter <arne_f@ipfire.org>
9 months agoCore Update 183: Ship proxy.cgi
Peter Müller [Mon, 8 Jan 2024 18:35:25 +0000 (18:35 +0000)] 
Core Update 183: Ship proxy.cgi

Signed-off-by: Peter Müller <peter.mueller@ipfire.org>
9 months agoRevert "proxy.cgi: Fix for Bug #12826 'squid >=5 crashes on literal IPv6 addresses'"
Michael Tremer [Mon, 8 Jan 2024 16:42:48 +0000 (16:42 +0000)] 
Revert "proxy.cgi: Fix for Bug #12826 'squid >=5 crashes on literal IPv6 addresses'"

This reverts commit e0be9eab47d621545e5498c32c0fef39f7ef84a9.

This change is now producing problems on IPv6-enabled systems as it will
deny access to any website that is IPv6-enabled as well, even if the
client connected using IPv4.

I have tested if squid is now running on fine on systems where IPv6 is
disabled and can confirm that its running just fine.

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
Acked-by: Peter Müller <peter.mueller@ipfire.org>
9 months agopostfix: Update to version 3.8.4 + prevent smtp smuggling
Adolf Belka [Tue, 26 Dec 2023 13:10:34 +0000 (14:10 +0100)] 
postfix: Update to version 3.8.4 + prevent smtp smuggling

- Update from version 3.8.3 to 3.8.4
- Update of rootfile not required
- Permanent fix for smtp smuggling will be in version 3.9. However the fix has been
   backported into version 3.8.4 but with the default for the parameter of "no".
- This patch sets the defaults for all the main.cf parameters highlighted by Wietse
   Venema in http://www.postfix.org/smtp-smuggling.html
- Additionally the implementation of smtpd_forbid_bare_newline = yes has been added to
   the install.sh pak for postfix so that it will be included into any main.cf file being
   restored from backup. This parameter is available for the first time in 3.8.4 so will
   not be in any backup prior to this release and can therefore be safely applied to
   restored versions of main.cf.
- This fix in install.sh will be able to be removed when version 3.9 is released early
   in 2024 as the default for that parameter in that version onwards will then be "yes"
- Changelog
    3.8.4
Security: with "smtpd_forbid_bare_newline = yes" (default
 "no" for Postfix < 3.9), reply with "Error: bare <LF>
 received" and disconnect when an SMTP client sends a line
 ending in <LF>, violating the RFC 5321 requirement that
 lines must end in <CR><LF>. This prevents SMTP smuggling
 attacks that target a recipient at a Postfix server. For
 backwards compatibility, local clients are excluded by
 default with "smtpd_forbid_bare_newline_exclusions =
 $mynetworks". Files: mantools/postlink, proto/postconf.proto,
 global/mail_params.h, global/smtp_stream.c, global/smtp_stream.h,
 smtpd/smtpd.c.

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Reviewed-by: Peter Müller <peter.mueller@ipfire.org>
9 months agokernel: update to 6.6.10
Arne Fitzenreiter [Sun, 7 Jan 2024 15:08:31 +0000 (16:08 +0100)] 
kernel: update to 6.6.10

Signed-off-by: Arne Fitzenreiter <arne_f@ipfire.org>
9 months agoCore Update 183: Ship bash
Peter Müller [Sun, 7 Jan 2024 14:06:14 +0000 (14:06 +0000)] 
Core Update 183: Ship bash

Signed-off-by: Peter Müller <peter.mueller@ipfire.org>
9 months agobash: Update the patches applied to bash
Adolf Belka [Mon, 18 Dec 2023 17:28:52 +0000 (18:28 +0100)] 
bash: Update the patches applied to bash

- Update the patches to include patches 16 to 21
- Update of rootfile not required
- Changelog
patch 21: fix for expanding command substitutions in a word expansion in a
  here-document
patch 20: allow time reserved word as first token in command substitution
patch 19: fix case where background job set the terminal process group
patch 18: fix for returning unknown tokens to the bison parser
patch 17: fix for optimizing forks when using the . builtin in a subshell
patch 16: fix for a crash if one of the expressions in an arithmetic for command
  expands to NULL

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Reviewed-by: Peter Müller <peter.mueller@ipfire.org>
9 months agoopenssl: fix riscv build
Arne Fitzenreiter [Fri, 5 Jan 2024 18:20:14 +0000 (19:20 +0100)] 
openssl: fix riscv build

openssl 3.x need correct arch configuration or disable
asm optimisation with no-asm config parameter.

Signed-off-by: Arne Fitzenreiter <arne_f@ipfire.org>
9 months agohaproxy: Update to 2.8.5
Peter Müller [Sat, 30 Dec 2023 14:37:00 +0000 (14:37 +0000)] 
haproxy: Update to 2.8.5

Please refer to
https://www.mail-archive.com/search?l=haproxy%40formilux.org&q=announce+subject%3A%22[ANNOUNCE]+haproxy-2.8.5%22+-subject%3A%22re:%22
for this version's release announcement.

Signed-off-by: Peter Müller <peter.mueller@ipfire.org>
9 months agoTor: Update to 0.4.8.10
Peter Müller [Sat, 30 Dec 2023 14:35:00 +0000 (14:35 +0000)] 
Tor: Update to 0.4.8.10

Changes in version 0.4.8.10 - 2023-12-08
  This is a security release fixing a high severity bug (TROVE-2023-007)
  affecting Exit relays supporting Conflux. We strongly recommend to update as
  soon as possible.

  o Major bugfixes (TROVE-2023-007, exit):
    - Improper error propagation from a safety check in conflux leg
      linking lead to a desynchronization of which legs were part of a
      conflux set, ultimately causing a UAF and NULL pointer dereference
      crash on Exit relays. Fixes bug 40897; bugfix on 0.4.8.1-alpha.

  o Minor features (fallbackdir):
    - Regenerate fallback directories generated on December 08, 2023.

  o Minor features (geoip data):
    - Update the geoip files to match the IPFire Location Database, as
      retrieved on 2023/12/08.

  o Minor bugfixes (bridges, statistics):
    - Correctly report statistics for client count over Pluggable
      transport. Fixes bug 40871; bugfix on 0.4.8.4

Signed-off-by: Peter Müller <peter.mueller@ipfire.org>
9 months agolibplist: Update to version 2.3.0
Adolf Belka [Sun, 31 Dec 2023 20:50:18 +0000 (21:50 +0100)] 
libplist: Update to version 2.3.0

- Update from version 2.2.0 to 2.3.0
- Update of rootfile
    2.3.0
- Changes:
  * Rename PLIST_UINT to PLIST_INT and add plist_new_int() and plist_get_int_val()
  * Add support for JSON format
  * Add support for OpenStep format
  * Introduce error codes and format constants
  * Add return value to import/export functions to allow returning error codes
  * Add new plist_sort function
  * Add several human-readable output-only formats
  * Add new plist_write_to_string/_stream/_file functions
  * Add new plist_print function
  * Add new plist_read_from_file function
  * Add new plist_mem_free() function
  * Add a few C++ methods
  * Add C++ interface test
  * Add PLIST_NULL type
  * Some code housekeeping (mostly clang-tidy)
- Breaking:
  * plist_from_memory() gets additional parameter
- Bugfixes:
  * Fix multiple bugs in all of the parsers
  * Fix handling of PLIST_UID nodes

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
9 months agonqptp: Update to version 1.2.4
Adolf Belka [Sun, 31 Dec 2023 20:50:17 +0000 (21:50 +0100)] 
nqptp: Update to version 1.2.4

- Update from version commit ad384f9ed3b2cc31e97012ab6bfe5a214ffc65a2 (between 1.2.1 and
   1.2.2) to 1.2.4
- Update of rootfile not required
- Changelog
    1.2.4
Following on from the security update of 1.2.3, some further changes are
 introduced to make the communication path between NQPTP and Shairport Sync
 resistant to outside interference. On Linux, nqptp now runs as a restricted user
 but with special permission to access ports 319 and 320.
These changes have necessitated changing the SMI interface. The SMI interface is
 now at version 10, and Shairport Sync must also be updated to be compatible with
 it.
Before updating, it is important that you remove the startup service file as
 described in the README.
Please read the Release Notes for more details.
    1.2.3
This important update fixes a crashing bug whereby a maliciously-crafted message
 to the control port could crash NQPTP. (Supersedes 1.2.2.)
    1.2.2
Superseded by version 1.2.3

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
9 months agoshairport-sync: Update to version 4.3.2
Adolf Belka [Sun, 31 Dec 2023 20:50:16 +0000 (21:50 +0100)] 
shairport-sync: Update to version 4.3.2

- Update from version 4.1.1 to 4.3.2
- Update of rootfile not required.
- Updating shairport-sync to 4.2 or later also requires an update of nqptp as the newer
   version of shairport-sync requires NQPTP with Shared Memory Interface Version smi9 and
   will not work with older versions.
- Changelog
    4.3.2
This update contains a brand new PipeWire backend with full synchronisation --
 your feedback is welcome on this. The update also contains a number of bug fixes.
Enhancements
    A totally new PipeWire backend featuring full synchronisation.
Bug Fixes
    Stability improvements for the PulseAudio backend.
    Fix a crash when the Avahi subsystem became disconnected. This is normally a
     rare occurrence, but Shairport Sync was not dereferencing obsolete data
     correctly when it happened.
    Set and reset Bonjour flags correctly when it's a Classic Airplay session in
     AirPlay 2 operation.
    Fix a number of FreeBSD compilation errors and warnings.
    Fix various errors when breaking into an existing session to terminate it.
     Thanks again to aaronk6.
    Fix some debug message errors, sigh. Thanks to Nathan Gray.
    4.3.1
         Bug Fixes
    This release, 4.3.1, fixes a bug in Version 4.3 that prevented Shairport
     Sync from being added to Home.
    4.3
This update contains important security updates, bug fixes and enhancements.
 NQPTP must also be updated, and it should be updated before updating Shairport
 Sync.
The Shared Memory Interface version of both Shairport Sync and NQPTP is now 10,
 i.e. smi10.
Notes
    When updating NQPTP on Linux, be sure to remove the old service file as
     directed in the README.
    Having completed both updates and installations, remember to restart NQPTP
     first and then restart Shairport Sync.
Security Updates
    A crashing bug in NQPTP has been fixed.
    The communications protocol used between NQPTP and Shairport Sync has been
     revised and made more resilient to attempted misuse.
    In Linux systems, NQPTP no longer runs as root -- instead it runs as the
     restriced user nqptp, with access to ports 319 and 320 set by the installer
     via the setcap utility.
Enhancements
    A new volume control profile called dasl-tapered has been added in which
     halving the volume control setting halves the output level.
    For example, moving the volume slider from full to half reduces the output
     level by 10dB, which roughly corresponds with a perceived halving of the
     audio volume level.
    Moving the volume slider from half to a quarter reduces the output level by
     a further 10dB.
    The tapering rate is slightly modified at the lower end of the range if the
     device's attenuation range is restricted (less than about 55dB).
    To activate the dasl-tapered profile, set the volume_control_profile to
     "dasl_tapered" in the configuration file and restart Shairport Sync.
     Many thanks to David Leibovic, aka dasl-, for this.
    On graceful shutdown, an active_end signal should now be generated if the
     system was in the active state. Addresses issue #1647. Thanks to Tucker
     Kern for raising the issue.
Bug Fixes
    Fixed a bug that causes the Docker image to crash occasionally when OwnTone
     interrupted an existing iOS session. Thanks to aaronk6 for the report.
    Fixed a cross-compliation error caused by not looking for the correct
     version of the ar tool. The fix was to substitute the correct version
     during the autoreconf phase. Thanks to sternenseemann for raising the
     issue and the PR containing the fix.
    Updated the mDNS strings for the Classic AirPlay feature of AP2, so that it
     does not appear to provide MFi authentication. Addresses this discussion.
    Always uses a revision number of 1 when looking for status updates on the
     DACP remote control port. This follows a suggestion in Issue #1658. Thanks
     to ejurgensen, as ever, for the report and the suggested fix.
    Fixed a statistics bug (the minimum buffer size was incorrectly logged) and
     also tidy up the statistics logging interval logic for resetting min and
     max counters.
    Added an important missing format string argument to a call in the Jack
     Audio backend. Many thanks to michieldwitte for their PR.
Maintenance
    Stopped using a deprecated FFmpeg data structure reference.
    Stopped using deprecated OpenSSL calls. Thanks to yubiuser for their PR --
     which did some of the updating -- and for their guidance.
    Run workflow-based tests on PRs automatically. Thanks to yubiuser for their PR.
    4.2
This release consists of enhancements and important bug fixes to Shairport Sync
 Version 4.1. For information on the new features of 4.1, including AirPlay 2
 support, please see the Version 4.1 Release Note.
Important
If you are updating an existing installation of Shairport Sync, you must
 also update NQPTP. The reason is that this update to Shairport Sync
 requires NQPTP with Shared Memory Interface Version smi9 and will not
 work with older versions.
For details of the enhancements and bug fixes in this release, please
 refer to the RELEASENOTES.

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
9 months agosudo: Update to version 1.9.15p5
Adolf Belka [Sun, 31 Dec 2023 20:49:27 +0000 (21:49 +0100)] 
sudo: Update to version 1.9.15p5

- Update from version 1.9.15p4 to 1.9.15p5
- Update of rootfile not required
- Changelog
    1.9.15p5
    Fixed evaluation of the lecture, listpw, verifypw, and fdexec sudoers Defaults
     settings when used without an explicit value. Previously, if specified
     without a value they were evaluated as boolean false, even when the negation
     operator (’!’) was not present.
    Fixed a bug introduced in sudo 1.9.14 that prevented LDAP netgroup queries
     using the NETGROUP_BASE setting from being performed.
    Sudo will now transparently rename a user’s lecture file from the older
     name-based path to the newer user-ID-based path. GitHub issue #342.
    Fixed a bug introduced in sudo 1.9.15 that could cause a memory allocation
     failure if sysconf(_SC_LOGIN_NAME_MAX) fails. Bug #1066

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Reviewed-by: Peter Müller <peter.mueller@ipfire.org>