android: Added function to include source files from plugin subdirectories

libimcv: Android.mk added

Cosmetics

Scanner IMV without workitems provides immediate recommendation, too

attr-sql: Add unity_split_exclude as alias for unity_local_lan

attr-sql: Fix double free when adding subnets for unknown attribute types

Attestion IMV provides recommendation only once

skip enforcement if a recent measurement was successful

libtncif: Android.mk updated

android: Disable listening on IPv6

As we have to use UDP encapsulation and the Linux kernel currently does
not support that this avoids issues with dual-stack gateways.

socket-default: Add options to disable address families

ike: Resolve hosts only for address families currently supported

net: Socket implementations report the address families they support

Added config-3.10

Version bump to 5.1.0dr2

Always return a result string for a processed workitem

Make Block stronger than Isolate in default policy

Register packages under Debian 7.0 x86_64

openssl: RAND_pseudo_bytes() returns 0 if bytes are not cryptographically strong

For our purposes with RNG_WEAK this is fine, so accept a zero return value.

Ping from dave before shutting down tcpdump in libipsec/rw-suite-b test case

libipsec: Properly handle expiration if no lifetime is set

charon-cmd: Ignore generated man page

Enable libipsec and charon-cmd in strongSwan recipe

Fixed libipsec/rw-suite-b scenario

eap-radius: fix add_attribute/framed_ip method signatures

Added libipsec/rw-suite-b scenario

Fixed index.txt for strongSwan EC CA

Don't backup old package lists

Reuse reqid when restarting CHILD_SAs for dpd|closeaction=restart

Reuse reqid for trap policies installed for dpd|closeaction=hold

Added libipsec/net2net-cert scenario

Add type=transport to tkm/host2host-* connections

Explicitly specify transport mode in connection configuration of the
responding host (sun).

5.1.0 changes for test cases

processor: Simplified the main loop

processor: Don't hold the lock while destroying jobs

If a lock is held when queue_job() is called and the same lock is
required during the destruction of a job, holding the internal lock
in the processor while calling destroy() could result in a deadlock.

dhcp: Use chunk_hash_static() to calculate ID-based MAC addresses

integrity-checker: Use chunk_hash_static() to calculate checksums

chunk: Add predictable hash function

Since chunk_hash() is randomized its output is not predictable, that is,
it is only within the same process.

stroke: Changed how proto/port are specified in left|rightsubnet

Using a colon as separator conflicts with IPv6 addresses.

plugin-loader: Removed unused path argument of load() method

Multiple additional search paths can be added with the add_path()
method.

tnc-pdp: Initialize TNC-PDP in plugin callback with proper dependencies

Attestation IMV requests platform info if not received

integrity-checker: Fix checksum calculation after randomizing chunk_hash()

unit-tests: Print loaded plugins

unit-tests: RSA key generation might take longer than 4 seconds

Check uses a default timeout of 4 seconds for each test case, generating
keys of 6 different key sizes might take longer than that.

tests: Properly load plugins from build directory

Calling load() incrementally does not really work as dependencies
wouldn't be resolved properly if a required feature was to be provided
by a plugin that is loaded later with a separate call to load().

plugin-loader: Method added to provide additional search paths for plugins

Support blacklist field in PTS database

Updated PTS demo database

Device can be member of multiple groups

Adding NEWS for 5.1.0

Merge branch 'check-caps'

Plugins may now ensure the process has all the required capabilities.
Some minor changes to UID/GID handling are also included.

capabilities: Return effective UID/GID if user did not configure anything

capabilities: Make the user and group charon(-nm) changes to configurable

capabilities: Report effective UID/GID after dropping capabilities

capabilities: CAP_CHOWN might be required by many plugins opening UNIX sockets

But as the sockets will be created with the user/group of the running
process this might not be required as no change may be needed.

capabilities: Handle CAP_CHOWN specially as it might not be required

capabilities: Check effective UID as fallback if capabilities are not supported

kernel-netlink: Make CAP_NET_ADMIN capability optional

It is not required to use the kernel-net part of the plugin.

farp: Require CAP_NET_RAW capability to open AF_PACKET socket

dhcp: Require CAP_NET_BIND_SERVICE and CAP_NET_RAW to open/bind sockets

socket-default: Require CAP_NET_BIND_SERVICE for ports < 1024

Since we don't know which ports are used with socket-dynamic we can't
demand the capability there, but it might still be required.

capabilities: Only plugins that require CAP_NET_ADMIN demand it

The daemon as such does not require this capability.

capabilities: Move global capabilities_t instance to libstrongswan

capabilities: Ensure required capabilities are actually held by the process/user

ikev2: keep the CHILD_SA we delete as initiator in the list to destroy

If the responder not correctly send the correct protocol or SPI in the delete
response, we should remove the CHILD_SA regardless.

Some IMV policy managers expect a TEXT string

Assign default group to newly created devices

Set device creation date if it hasn't been set yet

unit-tester: RSA test was removed

Aligned AR Identity types to IF-IMV 1.4 R5 draft

Send PA-TNC assessment result even if no workitems are available

Some pacman fixes

version bump to 5.1.0dr1

Some PTS database fixes

Implemented pacman in a more reliable way

Define protocol string

Generate result string for port scan workitems

Ignore non-matching protocols

Introduced workitems to Scanner IMV

Removed obsoleted strongswan.conf options

Added ITA components to database

Added soft dependency on database plugin

fixed SQL query

Shortened names of default policy groups

Store device with product ID

Database changes needed to integrate Cygnet backend

Implemented get|set_action_flag() methods

Implemented hierarchical policy groups

Introduced workitems to Attestation IMV

pts_meas_algo_probe() and pts_dh_group_probe() got lost

Converted all IMVs to use generic IF-IMV API

Remove the constructor from the IMV agent interface

Defined a generic IMV agent interface

Moved all functionality into imv_os_agent_t class turning imv_os_t into an IF-IMV skeleton

Moved batch_ending into separate source file

do not process workitems with NULL result

fixed enumeration of workitems for a given session

generate workitems based on group policy

Added file and directory reference measurements to workitems