]> git.ipfire.org Git - ipfire-2.x.git/commit
projects / ipfire-2.x.git / commit
? search:
summary | shortlog | log | commit | commitdiff | tree
(parent: efeb1d3) | patch
gnutls: Update to version 3.8.9
authorAdolf Belka <adolf.belka@ipfire.org>
Fri, 4 Jul 2025 16:32:59 +0000 (18:32 +0200)
committerMichael Tremer <michael.tremer@ipfire.org>
Sat, 5 Jul 2025 09:48:05 +0000 (09:48 +0000)
commit9af3d99a92ba1d0c359485fecc60269e7297e723
tree2a6a2cb5582b18d21ccd4fa67254d7268f8a047atree | snapshot
parentefeb1d3bda767bbea062da70105fcbda59cbc594commit | diff
gnutls: Update to version 3.8.9

- Update from version 3.8.8 to 3.8.9
- Update of rootfile
- I found that gnutls was using its own bundled versions of libtasn1 and libunistring
   and that there had been some CVE's with libtasn1  which were then fixed later in the
   gnutls bundled version together with some fixes in the gnutls code. So this patch,
   as well updating the version has also removed the options to use the included
   versions of the libtasn1 and libunistring libraries. libtasn1 was already in IPFire
   and just needed to be moved to before gnutls. libunistring had to be added in.
- The disable-guile option was removed as the guile bindings were removed in
   gnutls-3.8.0 and the option is no longer recognised.
- Changelog
    3.8.9
** libgnutls: leancrypto was added as an interim option for PQC
   The library can now be built with leancrypto instead of liboqs for
   post-quantum cryptography (PQC), when configured with
   --with-leancrypto option instead of --with-liboqs.
** libgnutls: Experimental support for ML-DSA signature algorithm
   The library and certtool now support ML-DSA signature algorithm as
   defined in FIPS 204 and based on
   draft-ietf-lamps-dilithium-certificates-04. This feature is
   currently marked as experimental and can only be enabled when
   compiled with --with-leancrypto or --with-liboqs.
   Contributed by David Dudas.
** libgnutls: Support for ML-KEM-1024 key encapsulation mechanism
   The support for ML-KEM post-quantum key encapsulation mechanisms
   has been extended to cover ML-KEM-1024, in addition to ML-KEM-768.
   MLKEM1024 is only offered as SecP384r1MLKEM1024 hybrid as per
   draft-kwiatkowski-tls-ecdhe-mlkem-03.
** libgnutls: Fix potential DoS in handling certificates with numerous name
   constraints, as a follow-up of CVE-2024-12133 in libtasn1. The
   bundled copy of libtasn1 has also been updated to the latest 4.20.0
   release to complete the fix.  Reported by Bing Shi (#1553).
   [GNUTLS-SA-2025-02-07, CVSS: medium] [CVE-2024-12243]
** API and ABI modifications:
   GNUTLS_PK_MLDSA44: New enum member of gnutls_pk_algorithm_t
   GNUTLS_PK_MLDSA65: New enum member of gnutls_pk_algorithm_t
   GNUTLS_PK_MLDSA87: New enum member of gnutls_pk_algorithm_t
   GNUTLS_SIGN_MLDSA44: New enum member of gnutls_sign_algorithm_t
   GNUTLS_SIGN_MLDSA65: New enum member of gnutls_sign_algorithm_t
   GNUTLS_SIGN_MLDSA87: New enum member of gnutls_sign_algorithm_t

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
config/rootfiles/common/gnutls diff | blob | blame | history
lfs/gnutls diff | blob | blame | history
IPFire 2.x development tree