android: New release after adding OCSP, CRL cache and some other stuff

testing: Reduce log level of SSH client

This should suppress the "Permanently added ... to the list of known
hosts" warnings that occasionally come up for no apparent reason.

ike: Reset local SPI if retrying to connect in state IKE_CONNECTING

In case we send retransmits for an IKE_SA_INIT where we propose a DH
group the responder will reject we might later receive delayed responses
that either contain INVALID_KE_PAYLOAD notifies with the group we already
use or, if we retransmitted an IKE_SA_INIT with the requested group but
then had to restart again, a KE payload with a group different from the
one we proposed.  So far we didn't change the initiator SPI when
restarting the connection, i.e. these delayed responses were processed
and might have caused fatal errors due to a failed DH negotiation or
because of the internal retry counter in the ike-init task.  Changing
the initiator SPI avoids that as we won't process the delayed responses
anymore that caused this confusion.

ike-sa-manager: Add method to change the initiator SPI of an IKE_SA

ike-init: Fail if DH group in KE payload does not match proposed group

Merge branch 'android-updates'

Caches CRLs in the app directory, adds support for OCSP, adds a button
to reconnect to the "already connected" dialog, only apply/configure app
selection on Android >= 5 (older versions don't support the API), and catches
some random exceptions.

android: Add disconnect button to dialog if already connected to profile

android: Load x509 plugin to generate OCSP requests and parse responses

BoringSSL does not support OpenSSL's OCSP API.

android: Add support to POST data via SimpleFetcher

That's required for OCSP verification.

android: Add option to clear cached CRLs

android: Cache CRLs in app directory

Fixes #2405.

android: Pass absolute path to the app's data directory via JNI

android: Hide app selection in profile editor on Android < 5

android: Only apply app filter on Android 5 and newer

android: Catch OutOfMemoryError when importing profiles

Not sure if this is actually caused because e.g. the file is too large
or due to some encoding issue.

android: Catch NullPointerException when parsing invalid certificates

android: Catch NullPointerException when calling VpnService.prepare()

According to the Play Console this occurs occasionally.

Version bump to 5.6.1dr1

imv-os: Updated security update evaluation

libimcv: Updated database scheme

sec-updater: Checks for security updates

sec-updater checks for security updates and backports in Debian/
Ubuntu repositories and sets the security flags in the strongTNC
policy database accordingly.

imv-attestation: Fixed file hash measurements

The introduction of file versions broke file hash measurements.
This has been fixed by using a generic product versions having an
empty package name.

ike-cfg: Fix memory leak when checking for configured address

sw-collector.8: Some cleanups

kernel-netlink: Set usable state whenever an interface appears

If an interface is renamed we already have an entry (based on the
ifindex) allocated but previously only set the usable state once
based on the original name.

Fixes #2403.

libimcv: Updated Android.mk after move of swid-gen(-info)

coverage: Use absolute path when removing paths with lcov

There is a bug in some versions of lcov that causes it to fail writing
to files via relative paths after it issued warnings (e.g. due to
negative counts in the tracefile).

traffic-selector: Use single buffer for both address families

The generic field of size 0 in the union that was used previously
triggered index-out-of-bounds errors with the UBSAN sanitizer that's
used on OSS-Fuzz.  Since the two family specific union members don't
really provide any advantage, we can just use a single buffer for both
families to avoid the errors.

testing: Make removal of SWID tags work with different releases

The regid.2004-03.org.strongswan directory might not exist in new images.

fuzzing: Also run input that previously caused crashes

configure: Detect mpz_powm_sec() when built with -Werror

travis: Use the same ASAN_OPTIONS as used by OSS-Fuzz

plugin-loader: Move indent variables into !USE_FUZZING block

This avoids compile errors on Travis.

travis: Run fuzz targets

fuzzing: Run local fuzz targets on given corpora during `make check`

The base directory of the corpora must be set in FUZZING_CORPORA.

fuzzing: Add driver to run fuzz targets on a given list of files

This is enabled if the path to libFuzzer.a is not specified when running
the configure script.

charon-tkm: Build fix for kernel SAD tests

Commit 7729577... added a flag to the get_esa_id function but the unit
tests were not adjusted.

Version bump to 5.6.0

NEWS: Add info about CVE-2017-11185

gmp: Fix RSA signature verification for m >= n

By definition, m must be <= n-1, we didn't enforce that and because
mpz_export() returns NULL if the passed value is zero a crash could have
been triggered with m == n.

Fixes CVE-2017-11185.

Version bump to 5.6.0rc2

sw-collector: Moved info class to libimcv

NEWS: Added some news

conf: Descriptions of several settings updated

libimcv: Cast chunk length to int when printing as string

sw-collector: Cast chunk length to int when printing as string

sw-collector: Fix memory leak after failing to open DB

sw-collector: Use correct variable to report failure to open history file

Revert "apidoc: Update Doxyfile"

This reverts commit 8ec979fd64bca07e73f6f255a7cf26e587bb55d8.

Mainly because Travis is still on Trusty and this generates lots of
warnings.

Version bump to 5.6.0rc1

imv-database: Improve performance by creating file_hashes index

sw-collector: Add missing Doxygen group

Fix location of two classes.

libimcv: Add missing Doxgen group for SWIMA-related classes

Fix location of swima_error_t.

apidoc: Update Doxyfile

Fixed some typos, courtesy of codespell

testing: Add -v option to do-tests to prefix commands with timestamps

testing: Move collector.db in tnc/tnccs-20-ev-pt-tls scenario to /etc/db.d

Also move initialization to the pretest script (it's way faster in the
in-memory database).

kernel-netlink: Wipe buffer used to read Netlink messages

When querying SAs the keys will end up in this buffer (the allocated
messages that are returned are already wiped). The kernel also returns
XFRM_MSG_NEWSA as response to XFRM_MSG_ALLOCSPI but we can't distinguish
this here as we only see the response.

References #2388.

sha2: Write final hash directly to output buffer

This avoids having the last output in internal memory that's not wiped.

References #2388.

prf-plus: Wipe seed and internal buffer

The buffer contains key material we handed out last and the seed can
contain the DH secret.

References #2388.

child-sa: Allow requesting different unique marks for in/out

When requiring unique flags for CHILD_SAs, allow the configuration to
request different marks for each direction by using the %unique-dir keyword.

This is useful when different marks are desired for each direction but the
number of peers is not predefined.

An example use case is when implementing a site-to-site route-based VPN
without VTI devices.

A use of 0.0.0.0/0 - 0.0.0.0/0 traffic selectors with identical in/out marks
results in outbound traffic being wrongfully matched against the 'fwd'
policy - for which the underlay 'template' does not match - and dropped.

Using different marks for each direction avoids this issue as the 'fwd' policy
uses the 'in' mark will not match outbound traffic.

Closes strongswan/strongswan#78.

conf: Match more characters in _ and **

\w does not match e.g. / but \S does.

trap-manager: Don't require that remote is resolvable during installation

Initiation might later fail, of course, but we don't really
require an IP address when installing, that is, unless the remote
traffic selector is dynamic. As that would result in installing a
0.0.0.0/0 remote TS which is not ideal when a single IP is expected as
remote.

child-create: Don't log CHILD_SA initiation until we know the unique ID

child-rekey: Add CHILD_SA name and unique ID to collision log messages

child-sa: Suppress CHILD_SA state changes if there is no change

Merge commit 'child-sa-rekey-tkm'

This fixes CHILD_SA rekeying with TKM and changes how we switch to the
outbound IPsec SA with Netlink/XFRM (using SPIs on the outbound policy
instead of installing the outbound SA delayed).

For charon-tkm it changes when esa_select() and esa_reset() are called,
now with the outbound policy and the inbound SA, respectively, instead
of the outbound SA in both cases.

Also fixed is a potential traffic loss when a rekey collision is lost.

charon-tkm: Call esa_reset() when the inbound SA is deleted

After a rekeying the outbound SA and policy is deleted immediately, however,
the inbound SA is not removed until a few seconds later, so delayed packets
can still be processed.

This adds a flag to get_esa_id() that specifies the location of the
given SPI.

charon-tkm: Remove unused get_other_esa_id() method

child-rekey: Don't install outbound SA in case of lost collisions

This splits the SA installation also on the initiator, so we can avoid
installing the outbound SA if we lost a rekey collision, which might
have caused traffic loss depending on the timing of the DELETEs that are
sent in both directions.

testing: Also capture stderr during test cases

The output was not correct otherwise due to the reordering of commands.

testing: Clearly mark the tests that failed

testing: Add tkm/xfrmproxy-rekey scenario

Similar to the xfrmproxy-expire scenario but here the TKM host is the
responder to a rekeying.

testing: Add pfkey/net2net-rekey scenario

testing: Add ikev2/net2net-rekey scenario

testing: Add support for counting matching lines in tests

Specifying an integer instead of YES in evaltest.dat causes the number to get
compared against the actual number of lines matching the pattern.

This may be used to count matching packets or log lines.

bus: Don't trigger child_updown() for rekeyed CHILD_SAs

We don't trigger it either when they are deleted individually.

charon-tkm: Don't select new outbound SA until the policy is installed

This tries to avoid packet loss during rekeying by delaying the usage of
the new outbound IKE_SA until the old one is deleted.

Note that esa_select() is a no-op in the current TKM implementation. And
the implementation also doesn't benefit from the delayed deletion of the
inbound SA as it calls esa_reset() when the outbound SA is deleted.

charon-tkm: Claim to support SPIs on policies

This fixes rekeying as the delayed installation of the outbound SA
caused the nonce context to be expired already.

child-sa: Install outbound SA immediately if kernel supports SPIs on policies

child-sa: Use flags to track installation of outbound SA and policies separately

kernel-netlink: Set SPI on outbound policy

This should cause the right SA to get used if there are multiple outbound
SAs and the policies are installed properly.

kernel-interface: Not all kernel interfaces support SPIs on policies

Version bump to 5.6.0dr4

testing: Added tnc/tnccs-20-ev-pt-tls scenario

swid-gen: Share SWID generator between sw-collector, imc-swima and imc-swid

sw-collector: Added --full option

sw-collector: Added --installed/removed options

Merge branch 'appveyor'

Build and run unit tests on AppVeyor Windows containers.

appveyor: Build against OpenSSL

This is mainly for the RNG needed for the exchange tests.

unit-tests: Double escape backslashes in Windows paths in settings test

That's required when these are used as include paths in settings file
strings.

unit-tests: Stringify direction in message asserts early

x86_64-w64-mingw32-gcc on Windows requires this.

unit-tests: iv_gen_seq has a dependency on RNG_STRONG

We currently don't have an RNG in Windows builds.

appveyor: Run tests on AppVeyor Windows containers

We can't enable leak detective as it is so slow then that we run into a
timeout (60 minutes).

peer-cfg: Use an rwlock instead of a mutex to safely access child-cfgs

If multiple threads want to enumerate child-cfgs and potentially lock
other locks (e.g. check out IKE_SAs) while doing so a deadlock could
be caused (as was the case with VICI configs with start_action=start).
It should also improve performance for roadwarrior connections and lots
of clients connecting concurrently.

Fixes #2374.

credential-manager: Log issuer identity if not found

auth-cfg: Don't limit subjectAltName check to received certificates

Otherwise this won't work if the certificate is only locally available.

swanctl: Read default socket from swanctl.socket option

Also read from swanctl.plugins.vici.socket so we get
libstrongswan.plugins.vici.socket if it is defined.

Fixes #2372.

swanctl: Include config snippets from conf.d subdirectory

Fixes #2371.

conf: Add support to generate include statements in .conf files