android: Make excluded subnets configurable in the GUI

android: Import excluded subnets from profile file

android: Exclude configured subnets from the VPN

android: Implement Iterable interface and addAll() for range set

android: Add ability to remove a range set from another

android: Parse two addresses separated by - as range

android: Add property for excluded subnets to VPN profiles

android: Add class to manage a set of IP address ranges/subnets

android: Add class to handle IP ranges and subnets

android: Log some information about the Android version and the device

android: Escape backslashes in settings values

For usernames that use domain specifiers.

android: Use a specific action to disconnect from the VPN

android: Try to load existing user cert when importing VPN profile

android: Enable revocation plugin

android: Add a simple HTTP(S) fetcher for CRLs

android: Use LOCAL_LDLIBS to link libdl

Newer NDKs fail otherwise as there is no actual module anymore.

android: Make log view more efficient

This bunches several log messages together before posting Runnables.

Fixes #2148.

android: Don't update state fragment if not attached to an Activity

When the bound state service finally connects we might not actually be
attached to an Activity.

android: Make sure every listener at the VPN state service is only registered once

We register when the service connects but also in onStart() (as we
unregister in onStop() to avoid updates when not shown).  So this could
theoretically cause the listener to get registered twice if the service
is connected before onStart() is called (it seems it usually isn't).

android: Add menu item to import VPN profile via Storage Access Framework

This is useful in case the proper MIME type was not set for a downloaded
profile.

android: Add translation for Traditional Chinese

Courtesy of Chris Chiang.

android: Move Simplified Chinese translation to values-zg-rCN folder

android: Update Gradle plugin and wrapper

configure: Install charon-systemd.conf

Fixes #2370.

ikev1: Only delete redundant CHILD_SAs if configured

If we find a redundant CHILD_SA (the peer probably rekeyed the SA before
us) we might not want to delete the old SA because the peer might still
use it (same applies to old CHILD_SAs after rekeyings).  So only delete
them if configured to do so.

Fixes #2358.

configure: Enable coverage for all plugins via PLUGIN_CFLAGS

ipsec: Remove `starter` as valid command in --help

`start` is basically the same thing.

Fixes #2362.

openssl: Properly handle flags in key usage extension

charon-tkm: Return cloned host from tkm_kernel_sad_t::get_dst_host()

When an expire is triggered while rekeying, the CHILD_SA might be deleted
while the returned host is still used to queue a rekey job for the CHILD_SA.

configure: Use pkg-config to determine Ruby CFLAGS/LIBS

nm: Version bump to 1.4.2

Version bump to 5.5.3

NEWS: Add info about CVE-2017-9022/23

x509: nameConstraints sequence does not require a loop

Fixes: CVE-2017-9023

unit-tests: Updated asn1-parser tests

asn1-parser: Fix CHOICE parsing

Fixes: CVE-2017-9023

gmp: Make sure the modulus is odd and the exponent not zero

Unlike mpz_powm() its secure replacement mpz_powm_sec() has the additional
requirement that the exponent must be > 0 and the modulus has to be odd.
Otherwise, it will crash with a floating-point exception.

Fixes: CVE-2017-9022
Fixes: 3e35a6e7a1b0 ("Use side-channel secured mpz_powm_sec of libgmp 5, if available")

imv-swid:  Fixed memory leak in http REST interface

leak-detective: Whitelisted memory leaks in FHH IMCs and IMVs

imv-test: Fixed memory leak in server retry use case

libtnccs: Fixed memory leak of global variables in libxml2

ike-cfg: Fix memory leak when matching against ranges

traffic_selector_t::to_subnet() always sets the net/host (unless the
address family was invalid).

Fixes: 3070697f9f7c ("ike: support multiple addresses, ranges and subnets in IKE address config")

NEWS: Added some news

ike: Apply retransmission_limit before applying the jitter

eap-sim-file: Remove redundant enumerator allocation

sql: Remove redundant enumerator allocation

Interestingly, this doesn't show up in the regression tests because the
compiler removes the first assignment (and thus the allocation) due to
-O2 that's included in our default CFLAGS.

testing: Add wrapper around service command

When charon is started via service command LEAK_DETECTIVE_LOG is not set
because the command strips the environment.  Since we only want the
variable to be set during the automated test runs we can't just set it
in /etc/default/charon.  Instead, we do so in this wrapper when charon is
started and remove the variable again when it is stopped.

Fixed some typos, courtesy of codespell

apidoc: Add legacy README so links get properly resolved

Also reorders the input files so the READMEs are listed first in the
navigation menu on the left.

testing: Added swanctl/rw-eap-md5-id-rsa scenario

README: Converted to swanctl configuration scheme

Merge branch 'variadic-enumerators'

This adds several changes to enumerator_t and linked_list_t to improve
portability.  In particular to Apple's ARM64 iOS platform, whose calling
convention for variadic and regular functions are different.  This means
that assigning a non-variadic function to a variadic function pointer,
as we did with our enumerator_t::enumerate() implementations and several
callbacks, will result in crashes as the called function will access the
arguments differently than the caller provided them.

To avoid this issue the enumerator_t interface is now fully variadic.
A new mandatory method is added, venumerate(), that takes a va_list with
the arguments provided while enumerating.  enumerate() is replaced with
a generic implementation that prepares a va_list and calls the
enumerator's venumerate() implementation.  As this allows passing the
arguments of one enumerator to another it avoids the five pointer hack
used by enumerator_create_nested() and enumerator_create_cleaner().
To simplify the implementation of venumerate() a helper macro is provided
that assigns values from a given va_list to local variables.

The signature of the callback passed to enumerator_create_filter() has
also changed significantly.  It's now required to enumerate over the
original enumerator in the callback as this avoids the previous in/out
pointer hack. The arguments to the outer enumerator are provided in a
va_list.

Similar changes to avoid such five pointer hacks affect the signatures
of the callbacks for linked_list_t's invoke_function() and find_first()
methods.  For the latter the return type also changed from status_t to
bool, which is important as SUCCESS is defined as 0, so checks for ==
SUCCESS will now fail.

linked-list: Change return value of find_first() and signature of its callback

This avoids the unportable five pointer hack.

linked-list: Change interface of callback for invoke_function()

This avoids the unportable five pointer hack.

linked-list: invoke_offset() doesn't take any additional arguments anymore

Change interface for enumerator_create_filter() callback

This avoids the unportable 5 pointer hack, but requires enumerating in
the callback.

Migrate all enumerators to venumerate() interface change

enumerator: Add venumerate() method to enumerator_t that takes a va_list

This will allow us to implement e.g. enumerator_cleaner without having to
use that unportable 5 pointer forwarding or having to define a callback for
each instance.

A generic implementation for enumerate() is provided so only venumerate()
has to be implemented, which may be simplified by using the VA_ARGS_VGET()
macro.

utils: Add helper macros to read variadic arguments into local variables

testing: Fix ikev2/two-certs scenario

Since 6a8a44be88b0 the certificate received by the client is verified
first, before checking the cached certificates for any with matching
identities.  So we usually don't have to attempt to verify the signature
with wrong certificates first and can avoid this message.

Merge branch 'sha-256-96'

Adds an option to locally configure 96-bit truncation for HMAC-SHA256
when negotiated using the official algorithm identifier.  This is for
compatibility with peers that incorrectly use this shorter truncation
(like Linux does by default).

Fixes #1353.

vici: Make 96-bit truncation for SHA-256 configurable

stroke: Make 96-bit truncation for SHA-256 configurable

child-cfg: Optionally use 96-bit truncation for HMAC-SHA-256

The correct truncation is 128-bit but some implementations insist on
using 96-bit truncation.  With strongSwan this can be negotiated using
an algorithm identifier from a private range.  But this doesn't work
with third-party implementations.  This adds an option to use 96-bit
truncation even if the official identifier is used.

android-log: Link against liblog

unit-tests: Fix test_chunk_eq() if arguments have side-effects

Merge branch 'avoid-rekey-loss'

This changes the behavior during IKEv2 CHILD_SA rekeyings to avoid
traffic loss.  When responding to a CREATE_CHILD_SA request to rekey a
CHILD_SA the responder already has everything available to install and
use the new CHILD_SA.  However, this could lead to lost traffic as the
initiator won't be able to process inbound packets until it processed the
CREATE_CHILD_SA response and updated the inbound SA.  To avoid this the
responder now only installs the new inbound SA and delays installing the
outbound SA until it receives the DELETE for the replaced CHILD_SA.  The
messages transporting these DELETEs could reach the peer before packets
sent with the deleted outbound SAs reach the respective peer.  To reduce
the chance of traffic loss due to this the inbound SA of the replaced
CHILD_SA is not removed for a configurable amount of seconds after
the DELETE has been processed.

Fixes #1291.

unit-tests: Check installed IPsec SAs in child-rekey tests

unit-tests: Add assert to check for installed IPsec SAs

unit-tests: Migrate cached IPsec SAs to new IKE_SAs during rekeying

unit-tests: Keep track of installed IPsec SAs in mock kernel_ipsec_t implementation

child-delete: Delay the removal of the inbound SA of rekeyed CHILD_SAs

After deleting a rekeyed CHILD_SA we uninstall the outbound SA but don't
destroy the CHILD_SA (and the inbound SA) immediately.  We delay it
a few seconds or until the SA expires to allow delayed packets to get
processed. The CHILD_SA remains in state CHILD_DELETING until it finally
gets destroyed.

delete-child-sa-job: Add new constructor that takes the unique ID of a CHILD_SA

This makes sure we delete the right SA in case the addresses got updated
in the mean time.

child-sa: Remove state to track installation of half the SA again

unit-tests: Overload helper macro to check for outbound SA state

child-sa: Expose state of the outbound SA

child-sa: Add method to remove the outbound SA and policies

child-sa: Keep track whether the outbound SA has been installed or not

child-delete: Track flags per individual CHILD_SA

ikev2: Delay installation of outbound SAs during rekeying on the responder

The responder has all the information needed to install both SAs before
the initiator does.  So if the responder immediately installs the outbound
SA it might send packets using the new SA which the initiator is not yet
able to process.  This can be avoided by delaying the installation of the
outbound SA until the replaced SA is deleted.

child-sa: Add log message for CHILD_SA state changes

child-sa: Add method to associate rekeyed CHILD_SAs with their replacement

child-sa: Add methods that allow partial installation of CHILD_SA

Using install() for the inbound SA and register_outbound() for the
outbound SA followed by install_policies(), will delay the installation of
the outbound SA as well as the installation of the outbound policies
in the kernel until install_outbound() is called later.

child-sa: Add new state to track installation of only the inbound SA

child-sa: Change API used to set/install policies

This way we only have to pass the traffic selectors once.

child-sa: Split in- and outbound policy de-/installation

Only install outbound fallback policies.

child-create: Trigger NARROW_RESPONDER_POST hook before installing SAs

This makes sure we use the same set of traffic selectors when installing
the SAs and installing the policies.

Merge branch 'fuzzing'

Adds support for fuzzing the certificate parser provided by the default
plugins (x509, pem, gmp etc.) on Google's OSS-Fuzz infrastructure (or
generally with libFuzzer). Fixes several issues that were found while
fuzzing these plugins.

When building the libraries monolithically and statically the
plugin constructors are now hard-coded in each library so the plugin
code is not removed by the linker because it thinks none of their symbols
are ever referenced.

tnc-ifmap: Null-terminate buffer to make sscanf()-calls safe

libimcv: Make sure the first argument to sscanf() is null-terminated

asn1: Make sure the first argument to sscanf() is null-terminated

x509: Fix leak when parsing CDPs if an invalid one follows valid ones

pem: Ensure a value before checking Proc-Type in PEM header

chunk: Correctly parse Base64 text where four = follow in a row

That's not correct Base64 but invalid data could trigger this. Since
outlen would get reduced four times, but is only ever increased three
times per iteration, this could result in an integer underflow and then
a potential buffer overflow.

configure: Don't modify CFLAGs if fuzzing is enabled

Just rely on the flags passed by the build process.

plugin-loader: Disable some logging output when building fuzz targets

This avoids evaluating %N. An alternative would be to define a printf-hook
for plugin features.

x509: Manually print CRL/OCSP URIs when fuzzing

This avoids a warning about the custom %Y printf specifier.

processor: Move priority threads assignment to set_threads()

This avoids the evaluation of %N even if the thread pool is never used.
We need to avoid as many custom printf specifiers as possible when
fuzzing our code to avoid excessive log messages.

fuzz: Change how fuzz_certs is built

We mainly do this because we have to create a self-contained executable
and it isn't so easy to actually get libtool to link e.g. libgmp
statically.

Add plugin constructor registration for all libraries that provide plugins

Unfortunately, we can't just add the generated C file to the sources in
Makefile.am as the linker would remove that object file when it notices
that no symbol in it is ever referenced.  So we include it in the file
that contains the library initialization, which will definitely be
referenced by the executable.

This allows building an almost stand-alone static version of e.g. charon
when building with `--enable-monolithic --enable-static --disable-shared`
(without `--disable-shared` libtool will only build a version that links
the libraries dynamically).  External libraries (e.g. gmp or openssl) are
not linked statically this way, though.