libcharon: Use lib->ns instead of charon->name

libhydra: Remove unused hydra->daemon

libhydra: Use lib->ns instead of hydra->daemon

libtls: Move settings to <ns>.tls with fallback to libtls

attr-sql: Use namespace for attr-sql config, with fallback

lib: All settings use configured namespace

lib: Add default config fallback for configured namespace

All settings in the configured global namespace fall back to libstrongswan.

unit-tests: Test how settings_t handles some invalid data

settings: Add method that allows to define fallback sections for other sections

The fallbacks are currently only used for single value lookups.
Enumerators are not affected by them.

settings: Make print_key() not rely on null-terminated beginning of key buffer

The key to print (e.g. until the next .) still has to be
null-terminated.

unit-tests: Add tests for includes and file loading in settings_t

settings: Allow empty strings in section key

unit-tests: Add tests for enumerators in settings_t

unit-tests: Add tests for setters in settings_t

unit-tests: Add basic tests for settings_t

lib: Add global config namespace

pool: Typo in Makefile fixed

Merge branch 'sql-install'

SQL schemas and example data (IMV) are now part of the distribution and
installed in $prefix/share/strongswan.  This way no extra copy is needed
for the test suite and distributions can easily pack those files together
with the plugins.

pool: Install SQL schemas from src/pool

This allows us to install the schemas if either the attr-sql or sql
plugin is enabled, since both use the same schema (at least in parts).

sql: Set default values for some fields in addresses table

testing: Use installed PTS SQL schema and data instead of local copy

testing: Use installed SQL schema instead of local copy

libimcv: Install SQL files in /usr/share/strongswan/templates/database

sql: Install SQL schemas in /usr/share/strongswan/templates/database

sql: Remove unused cred.sql snippet

asn1: Support dates before 1970-01-01 (i.e. when time_t gets negative)

On x86 we allow "overflows" around 1969/1970 but not for other dates.

Fixes #509.

asn1: Add additional validation for parsed ASN.1 date/time values

ikev1: Fix config switching due to failed authentication during Aggressive mode

The encoded ID payload gets destroyed by the authenticator, which caused
a segmentation fault after the switch.

Fixes #501.

kernel-pfroute: Don't cache route entries if installation fails

kernel-netlink: Don't cache route entries if installation fails

Fixes #500.

identification: Fix printing of empty RDNs on FreeBSD

On FreeBSD (null) is printed for NULL even if the precision is 0.

tests: Fix test for printing NULL on FreeBSD

Fixed description of ikev1/rw-ntru-psk scenario

Updated test kvm tests to Linux 3.13 kernel

Added ikev1/net2net-ntru-cert and ikev1/rw-ntru-psk scenarios

testing: Add ssh script to distribution

unit-tests: added asn1_parser tests

unit-tests: added some more ASN.1 length tests

leak_detective: Assign return value of realloc to buf

If realloc return a pointer value different from the value to be
reallocated, a double free can occur in this context.

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

rdrand: Provide get_features() regardless of RDRAND availability

As having no get_features() raises a deprecated warning, we return no features
instead.

rdrand: Move RDRAND detection log to level 2

When having RDRAND support, these log messages might be confusing when using
pki or other tools.

updown: Return an empty DNS server enumerator if no IKE_SA available

The one existing caller does not handle a NULL return and always expects
an enumerator; and returning FALSE does not make sense anyway.

Merge branch 'cmd-proposals'

Introduce --ike/esp/ah-proposal options to offer custom proposals, and requests
an IPv6 virtual IP if an IPv6 --remote-ts is given.

Fixes #508.

charon-cmd: Request an IPv6 virtual IP if an IPv6 remote subnet given

charon-cmd: Document new proposal options in manpage

charon-cmd: Add --esp/--ah-proposal options to specify CHILD_SA proposals

charon-cmd: Add an --ike-proposal option to specify non-default IKE proposals

charon-cmd: Block SIGUSR1 on worker threads

To properly shut down charon-cmd with leak reports, only the main thread
should catch SIGUSR1 to shut down the application. Work threads should ignore
SIGUSR1 to avoid any hard application termination.

Document ipsec attest --session command

Allow output of session time in UTC

Added missing semicolon in SQL statements

Added Android 4.3.1 to products database table

Added new Android versions to PTS database

testing: Fetch the FreeRADIUS tarball from the "old" directory

Fixes #483.

unit-tests: Add some test cases for HTTP GET/POST fetches

unit-tests: Fix test_runner_run() apidoc

pki: Declare correct section in pki --issue man page

NEWS: Add unit testing improvements

ike: Restart inactivity counter after doing a CHILD_SA rekey

When doing a rekey for a CHILD_SA, the use counters get reset. An inactivity
job is queued for a time unrelated to the rekey time, so it might happen
that the inactivity job gets executed just after rekeying. If this happens,
inactivity is detected even if we had traffic on the rekeyed CHILD_SA just
before rekeying.

This change implies that inactivity checks can't handle inactivity timeouts
for rekeyed CHILD_SAs, and therefore requires that inactivity timeout is shorter
than the rekey time to have any effect.

child-sa: Add a getter for CHILD_SA install time

Merge branch 'pam-session'

Add support for PAM session management in xauth-pam.

NEWS: Introduce PAM session management

man: Document xauth-pam session option

xauth-pam: Open/close a PAM session for each connected client

Signed-off-by: Andrea Bonomi <a.bonomi@endian.com>

xauth-pam: Sanitize XAuth attributes before passing them to PAM

Merge branch 'vendor-ids'

Refactors IKEv2 vendor ID handling, and introduces some IDs seen when talking
to Cisco devices.

ikev2: Add Cisco FRAGMENTATION vendor ID

Courtesy of C.J. Adams-Collier, ZeroLag Communications, Inc.

ikev2: Add Cisco Copyright vendor ID

Courtesy of C.J. Adams-Collier, ZeroLag Communications, Inc.

ikev2: Add Cisco Delete Reason vendor ID

Courtesy of C.J. Adams-Collier, ZeroLag Communications, Inc.

ikev2: Use a more dynamic vendor ID database, as we use with IKEv1

Merge branch 'chunk-mmap'

Introduces file mmap/munmap() wrappers and provides a fallback if mmap() is not
supported. Replaces all mmap() uses by the new functions.

libpts: Use chunk_map() instead of non-portable mmap()

tnccs: Use chunk_map() instead of non-portable mmap()

pem: Use chunk_map() instead of non-portable mmap()

stroke: Use chunk_map() instead of non-portable mmap()

radattr: Use chunk_map() instead of non-portable mmap()

libfast: Use chunk_map() instead of non-portable mmap()

integrity-checker: Use chunk_map() instead of non-portable mmap()

chunk: Externalize error reporting in chunk_write()

This avoids passing that arbitrary label just for error messages, and gives
greater flexibility in handling errors.

chunk: Provide a fallback chunk_map() if mmap is not available

chunk: Use dynamically allocated buffer in chunk_from_fd()

When acting on files, we can use fstat() to estimate the buffer size. On
non-file FDs, we dynamically increase an allocated buffer.

Additionally we slightly change the function signature to properly handle
zero-length files and add appropriate unit tests.

chunk: Add functions to map file contents to a chunk

Merge branch 'unity-fixes'

Improves compatibility with the Cisco and Shrew clients.

Fixes #445.

unity: Send all traffic selectors in a single UNITY_SPLIT_INCLUDE attribute

Cisco clients only handle the first such attribute.

unity: Change local TS to 0.0.0.0/0 as responder

Cisco clients and Shrew expect a remote TS of 0.0.0.0/0 if Unity is
used, otherwise Quick Mode fails.

unity: Send UNITY_SPLIT_INCLUDE attributes with proper padding

The additional 6 bytes are not actually padding but are parsed by the
Cisco client as protocol and src and dst ports (each two bytes but
strangely only the first two in network order).

Merge branch 'ipcomp'

Fixes compatibility issues between firewall rules (leftfirewall=yes)
and IPComp (compress=yes), plus issues with IPComp when used with
multiple subnets in left|rightsubnet.

Fixes #436.

testing: Add ikev2/host2host-transport-nat scenario

testing: Add ipv6/rw-compress-ikev2 scenario

testing: Add ikev2/compress-nat scenario

testing: Enable firewall for ikev2/compress scenario

Additionally, send a regular (small) ping as the kernel does not
compress small packets and handles those differently inbound.

kernel-netlink: Set selector on transport mode IPComp SAs

kernel-netlink: Selectively add selector on SAs that use IPComp

Don't add a selector to tunnel mode SAs, these might serve multiple
traffic selectors but with only one selector on the SA only the traffic
matching the first one would actually get tunneled.

updown: Increase buffer size for script and environment variables

updown: Allow IPIP traffic if IPComp was negotiated

The kernel implicitly creates an IPIP SA if an IPComp SA is installed.
This SA is used inbound for small packets that are not compressed.

Since the addresses are different (they are the tunnel addresses not
those of the tunneled traffic) additional rules are required if the
traffic selector does not cover the tunnel addresses (e.g. due to a NAT).

For SAs with multiple traffic selectors duplicate rules will get installed.

updown: Add PLUTO_IPCOMP to indicate if IPComp was negotiated

curl: Replace spaces in URIs with %20

cURL requires the URIs to be URL-encoded. Apparently, some CAs encode CRL
URIs with spaces in them.

Fixes #454.

utils: Add strreplace function

stroke: Ensure the buffer of strings in a stroke_msg_t is null-terminated

Otherwise a malicious user could send an unterminated string to cause
unterminated reads.

stroke: Add an option to prevent log level changes via stroke socket