release 3.2.6

note recent changes

starent dictionaries: Fix spelling

"auxilliary" -> "auxiliary"

Cisco documents do seem to use the correct spelling, e.g.
https://www.cisco.com/c/en/us/td/docs/wireless/asr_5000/21-28/rcr/21-28-change-reference/m_5g-cell-id-support.html
https://www.cisco.com/c/en/us/td/docs/wireless/asr_5000/21-28/epdg-admin/21-28-epdg-admin.pdf

Signed-off-by: John Thacker <johnthacker@gmail.com>

Update dictionary.iea

Update dictionary.iea with Air Marshal RADIUS attributes provided by
Peter Deacon, an IEA Software employee, in
https://gitlab.com/wireshark/wireshark/-/issues/6486

These vendor RADIUS attributes are attested in
https://www.iea-software.com/docs/airmarshal2/airmarshalv2.pdf

Signed-off-by: John Thacker <johnthacker@gmail.com>

wire in a timestamp for Client-Lost so rlm_detail does not use 1970-01-01

note recent changes

loosen "auto" checks for wildcard clients

Debian sid has OpenSSL legacy providers in an optional package

Correct docs

set correct flag.  Fixes #5397

add debug example

better clean up packets with bad secrets.  Helps with #5397

warn on short shared secrets

Delayed write_handler only applies to builds with TLS

quiet clang scan

delay write_handler until listener is KNOWN

write_handler() returns 0 on error

make sure to delete FD from the event list

Check if fd has been closed by write handler

Ensure fd event removed when removing listener

typos again

typo

signal the main thread that there are event updates.  #5310

mysql_version.h should not be included by clients

add more close.  Fixes #5392

Manually build repo entry for EPEL on CentOS 7

The old package has been removed

Correct changelog format

thaw on WANT_READ

Tidy up

If OpenSSL handshake fails during Client Hello report cipher lists

Helps get to the bottom of "no shared cipher" errors.

set write callback for SSL_connect()

as connect() may need to wait until the socket is writable

it helps to clear the set of writable FDs

Update 3GPP2 from latest standard revision

Debian sid appears to have dropped gcc-10

Correct ZTE dictionary

To match real packets seen in active systems.

don't read length field if there might not be a length field

close directory.  Closes #5381

Ensure all received application data is processed

OpenSSL 3.0.8 source download path has changed

Correct comparison

Correctly handle TLS application data containing more than one RADIUS packet

Remove failed listener from home->listeners before freeing

Listeners only have nonblock options when built with TLS

Use TCP home server listener "nonblock" option when creating client socket

Avoid mutex deadlock with rbtree_deletebydata

WS

Better error handling on reading dynamic clients at startup

minor fixes

simplify deletebydata

so that it doesn't do multiple lock / unlock cycles

add rb_first API

use urandom

add hexdump for *BSD.  Helps with #5375

Revert "lock the proxy mutex when deleting home listeners"

This reverts commit 0cd5846595b9ed3b92f579a2ecfd0218ae1009cd.

update docs

inherit from the main dynamic client definition

lock the proxy mutex when deleting home listeners

make it more portable.  Address #5375

print out full value of VP

note recent changes

add proxy by Home-Server-Pool, etc. just like acct.c

remove extraneous assert

note recent changes

populate new flags from the main config, too

Handle auth+acct home servers in %{home_server_dynamic:}

Bump for 3.2.6

Allow TLS dynamic home servers to be auth+acct

Update 3gpp2 dictionary

According to https://frp.3gpp2.org/Public_html/X/VSA-VSE.cfm and packets
seen in the wild

Correct docs

fill the random pool

which should only make a difference is /dev/urandom doesn't
return a lot of data in one call

use INSTALL, not PROGRAM_INSTALL

we always use jlibtool

so remove all options to do anything else.  Those options were
left over from pre-3.0 development.  It hasn't been possible to
use anything other than jlibtool for a long time.

bump version

ignore home server "ping" packets.  Fixes #5363

release 3.2.5

Config docs: Clients aggregators may be RADIUS proxies and set proxy-state

handle dynamic require Message-Authenticator

don't enforce require_ma on packet reception

Changelog for 3.2.5

typos and clarifications

implement and document "require_message_authenticator = auto"

add more helpful error messages

implement and document "limit_proxy_state = auto"

Also add a standard function which complains loudly about security
issues.

Enforce BlastRADIUS checks for TCP sockets, too.

Though TBH, no one should use TCP for anything.

Add M-A processing for Status-Server and replies from home server

add Blast RADIUS checks to radclient

word smithing

use and enforce limit_proxy_state for Access-Request packets

make limit_proxy_state the default for clients

add and document global limit_proxy_state

add Message-Authenticator to all Access-Request packets

add and set require_message_authenticator for home servers

always add Message-Authenticator for replies to Access-Request

add tls flag to packets

and set it for TLS transport send / receive.  This lets the
packet encoder and verification routines behave differently for
TLS and non-TLS transport

make require_message_authenticator the default for clients

and document the behavior change

add and use "ignore default" flag

which means that if the configuration item is missing, we do not
set the value from the default.

This change allows the value to be set before the configuration
file is parsed, and then only changed if the named configuration
item exists, and is manually set by the admin

rename for consistency

add and document global require_message_authenticator

Fixups for CentOS 7 which is now EOL

note recent changes

There may be multiple intermediate certs