Updated Android.mk for 5.0 (no IKEv1 support yet).

updated tnc-pdp plugin for 5.0.0

updated testing.conf for 5.0.0

two new options for 5.0.0 UML testing

NEWS about route reinstallation added.

Route reinstallation in kernel_ipsec_t implementations is not needed anymore.

Reinstall routes in kernel-netlink plugin, if interfaces get reactivated or IPs reappear.

Keep track of installed source routes in kernel-netlink plugin.

NEWS about bus_t refactorings added.

Loggers specify what log messages they want to receive during registration.

This also allows us to generate the log message only once for all
loggers that need it (avoids calls to custom printf specifier callbacks).

To update the log levels loggers can simply be registered again.

Ensure that multi-line log messages are not torn apart.

Added recursive read_lock support to our own implementation of rwlock_t.

Use a separate interface for loggers.

The new interface does not allow loggers to unregister themselves from
the bus.  This allows us to use a rwlock_t for them.

The latter also means that loggers can now be called concurrently by
multiple threads.

Use a separate list and mutex for loggers.

This avoids deadlocks caused by extensive listener_t implementations
which might want to acquire a lock which is currently held by another
thread wanting to log messages. Since the latter requires that thread
to acquire the same lock the initial thread currently holds this
previously resulted in a deadlock.

With this change logging messages does not require threads to acquire
the main lock in bus_t and thus avoids the deadlock.

Fixed return value of controller_t functions if callback returns FALSE.

Use wrapped semaphore in callback_job_t.

Removed remaining parts of controller_t.listen() implementation.

Remove obsolete bus_t.listen() method.

Implement wait_for_listener in controller_t with semaphores.

This eliminates even the slightest chance of a deadlock.

Added a wrapper class around POSIX semaphores.

Implement bus_t.listen() directly in controller_t (the only user).

This will hopefully allow us to later simplify bus_t.

Add plugin features support to stroke plugin

Certificate decoding soft-depends on public key decoding of specific types

PEM loading plugin features depend on the same feature, they are helpers only

Don't depend on a feature that has a dependency to the same feauture during unload

Merge branch 'ikev1'

Conflicts:
configure.in
man/ipsec.conf.5.in
src/libcharon/encoding/generator.c
src/libcharon/encoding/payloads/notify_payload.c
src/libcharon/encoding/payloads/notify_payload.h
src/libcharon/encoding/payloads/payload.c
src/libcharon/network/receiver.c
src/libcharon/sa/authenticator.c
src/libcharon/sa/authenticator.h
src/libcharon/sa/ikev2/tasks/ike_init.c
src/libcharon/sa/task_manager.c
src/libstrongswan/credentials/auth_cfg.c

Added a dedicated sender flush method, delay sender destruction until users gone

Documented strongswan.conf options for radattr plugin.

add AUTH_RULE_SUBJECT_CERT for raw public keys

added missing whitespace

Properly initialize optional subject in PEM builder.

Typo fixed.

version bump to 4.6.3

output validity of raw public key if available

ikev2/net2net-pubkey scenario does not need dnskey plugin

added ikev2/net2net-pubkey scenario

added ikev2/net2net-rsa scenario

added support for raw RSA public keys to stroke

added ikev2/rw-eap-md5-id-prompt scenario

Fixed Android null terminated password fixup in xauth-eap

Fixed null-pointer dereference in smp plugin.

CERT_TRUSTED_PUBKEY stores notBefore, notAfter and subject information

pluto: Fix for null-terminated XAuth secrets (as sent by Android 4).

activated cmac plugin in UML test suites

isolate a TNC client if an error occurs

version bump to 4.6.3rc2

exit if TBOOT dummy measurements are not defined

Option added to set identifier for syslog(3) logging.

This identifier is added to each log message by syslog.

Removed auth_cfg_t.replace_value() and replaced usages with add().

replace_value() was used to replace identities. Since for these the latest is
now returned by get(), adding the new identity with add() is sufficient.

Changed the order and semantics of rules we expect only once in auth_cfg_t.

These rules are now inserted at the front of the internal list, this
allows to retrieve the rule added last with get(). For other rules the
order in which they are added is maintained (this allows to properly
enumerate them).

Store password with remote ID to tie it stronger to a specific connection.

Added stroke user-creds command, to set username/password for a connection.

Added method to add additional shared secrets to stroke_cred_t.

Additional prompt keyword added to stroke.

Typo fixed.

Keep COOKIEs enabled once threshold is hit, until we see no COOKIEs for a few secs

Toggling COOKIEs on/off is problematic: After doing a COOKIE exchange as
initiator, we can't know if the completing IKE_SA_INIT message is to our first
request or the one with the COOKIE. If the responder just enabled/disabled
COOKIEs and packets get retransmitted, both might be true. Avoiding COOKIE
behavior toggling improves the situation, but does not solve the problem during
the initial COOKIE activation.

Added a note about DH/keymat lifecycle for custom implementations

Reuse existing DH value when retrying IKE_SA_INIT with a COOKIE

Fix iteration through half-open IKE_SA table

Use IP address as ID as responder if not configured or no IDr received.

Fall back on IP address as IDi if none is configured at all.

Use auth_cfg_t.replace_value where appropriate.

Added a simple method to replace the value of a rule in auth_cfg_t.

Fixed IDi in case neither left nor leftid is configured.

fixed parsing of port ranges in Scanner IMV

Typo fixed in NEWS.

Don't invoke child_updown hook twice as responder

Accept zero-length certificate request payloads

Properly initialize src in ike_sa_t.is_any_path_valid().

checksum need a libradius_init() symbol

version bump to 4.6.3rc1

remove leading zero in ASN.1 encoded serial numbers

ASN.1 two's complement encoding prevents overflow in CRL serial number

Make AES-CMAC actually usable for IKEv2.

Added another bunch of commonly used IKEv1 NATT vendor IDs

represent 0 as a single byte

moved chunk_skip_zero to chunk.h

added IKEv2 Generic Secure Password Authentication Method

added IKEv2 Generic Secure Password Authentication Method

added GSPM IKEv2 payload

fixed typo

Doxygen fixes.

Added NEWS about cmac plugin.

Added test vectors for AES-CMAC.

Implemented AES-CMAC based PRF and signer.

The cmac plugin implements AES-CMAC as defined in RFC 4493 and the
signer and PRF based on it as defined in RFC 4494 and RFC 4615,
respectively.

Fixed GNU license header in hmac and xcbc plugins.

More detailed NEWS about RADIUS extensions

updated supported EAP methods

Add support for dnQualifier in DNs.

remove leading zeros in ASN.1 encoded serial numbers

Added NEWS about resolvconf support.

Make resolvconf interface prefix configurable.

Added support for the resolvconf framework in resolve plugin.

If /sbin/resolvconf is found nameservers are not written directly to
/etc/resolv.conf but instead resolvconf is invoked.

Use single DBG2 statements in kernel_netlink plugin (i.e. ignore mark.value).

Don't cast second argument of mem_printf_hook (%b) to size_t.

Also treat the given number as unsigned int.

Due to the printf hook registration the second argument of
mem_printf_hook (if called via printf etc.) is always of type int*.
Casting this to a size_t pointer and then dereferencing that as int does
not work on big endian machines if int is smaller than size_t (e.g. on ppc64).

In order to make this change work if the argument is of a type larger
than int, size_t for instance, the second argument for %b has to be casted
to (u_)int.

smp: Use proper signed type to get return value of read(2).

pluto: Use time_monotonic() instead of a custom implementation.

Don't include individual glib headers in nm plugin.

Expections are glib/gi18n.h, glib/gi18n-lib.h, glib/gprintf.h and
glib/gstdio.h.

Fix null-terminated XAuth passwords, as sent by Android 4

Store authentication info of a XAUTH round on IKE_SA