Update NEWS

Update faq.txt

Send cmdmon error replies only to allowed hosts

The status codes STT_BADPKTVERSION, STT_BADPKTLENGTH, STT_NOHOSTACCESS
were sent even to hosts that were not allowed by cmdallow. Deprecate
STT_NOHOSTACCESS and ignore packets from hosts not allowed by cmdallow
completely.

Support previous protocol version in chronyc

This adds compatibility with chronyd using the previous protocol version
(chrony versions 1.27, 1.28, 1.29).

Add padding to cmdmon requests to prevent amplification attack

To prevent an attacker using chronyd in an amplification attack, change
the protocol to include padding in request packets so that the largest
possible reply is not larger than the request. Request packets that
don't include this padding are ignored as invalid.

This is an incompatible change in the protocol. Clients from chrony
1.27, 1.28 and 1.29 will receive NULL reply with STT_BADPKTVERSION and
print "Protocol version mismatch". Clients from 1.26 and older will not
receive a reply as it would be larger than the request if it was padded
to be compatible with their protocol.

Set maximum number of samples in manual list reply to 16

In chronyd the maximum number of manual samples is 16, so there is no
need to keep room for 32 samples in the command reply. This limits the
maximum assumed size of the reply packet.

Update NEWS

Drop support for SUBNETS_ACCESSED and CLIENT_ACCESSES commands

Support for the SUBNETS_ACCESSED and CLIENT_ACCESSES commands was
enabled in chronyd, but in chronyc it was always disabled and the
CLIENT_ACCESSES_BY_INDEX command was used instead. As there is no plan
to enable it in the future, remove the support completely.

Don't send uninitialized data in command replies

The RPY_SUBNETS_ACCESSED and RPY_CLIENT_ACCESSES command replies can
contain uninitalized data from stack when the client logging is disabled
or a bad subnet is requested. These commands were never used by chronyc
and they require the client to be authenticated since version 1.25.

Fix buffer overflow when processing crafted command packets

When the length of the REQ_SUBNETS_ACCESSED, REQ_CLIENT_ACCESSES
command requests and the RPY_SUBNETS_ACCESSED, RPY_CLIENT_ACCESSES,
RPY_CLIENT_ACCESSES_BY_INDEX, RPY_MANUAL_LIST command replies is
calculated, the number of items stored in the packet is not validated.

A crafted command request/reply can be used to crash the server/client.
Only clients allowed by cmdallow (by default only localhost) can crash
the server.

With chrony versions 1.25 and 1.26 this bug has a smaller security
impact as the server requires the clients to be authenticated in order
to process the subnet and client accesses commands. In 1.27 and 1.28,
however, the invalid calculated length is included also in the
authentication check which may cause another crash.

Update chrony.conf.example2

Don't mention pre 2.2 Linux kernels in documentation

Update NEWS

Treat address bind errors as non-fatal

Update chrony.spec.sample

Update copyright in chronyc GPL string

Update NEWS

Update example config files more

Document port directive set to 0 as random port

Use texi2html only if it's available

Don't ship faqgen.pl

Fix possible leaks of temporary file names

Fix memset calls

Update documentation

Update example config files

Create /etc and /var/lib/chrony on installation

Avoid sentences written in first person

Update comparison with ntpd

Remove fixed problems from FAQ

Update copyright years

Don't call finalise functions on fatal error

Also, return with non-zero exit code.

Combine source frequencies by skew

Add minimum skew limit to sourcestats

Fix printing of outlier status

Add more entries to tracking log

Add number of combined sources, remaining offset correction from
previous update and estimated stddev of the combined offset.

Fix maxchange offset check

Call maybe_log_offset and update_leap_status after adjusting clock

Fix spelling

Log manual entries with MANU refid in tracking log

Fix log message to not include newline

Fix printing of negative offset with settime command

Reuse REF_SetReference code with manual reference

Write freq and skew to drift file with six decimal places

Use fscanf to read drift file

Modify minimum skew checking

Replace bzero with memset

Remove changelog from conf.c

Cleanup including of system headers

Don't abort on EINTR select errors

Replace LOG_FATAL call with assert in SCH_MailLoop

Don't apply outlyer penalty at beginning

Wait until the reach register is full to allow marking a source as
outlyer for 32 updates. This makes start nicer with iburst.

Add minsamples and maxsamples directives

Allow configuration of the maximum and minimum number of samples per
source.

Modify SST_GetSelectionData to return only necessary data

Use UTI_DiffTimevalsToDouble to calculate theta

Fix fabs use on delay

Limit sources included in combining

Combine only sources whose distance is shorter than distance of the
selected source multiplied by the value of combinelimit and their
estimated frequencies are close to the frequency of the selected source.
Add outlyer status for sources which are selectable, but not included in
the combining. The status is displayed as '-' in the chronyc sources
output.

Resurrect source combining

This is based on the code that was removed in CVS revision 1.3 of
sources.c. The weighting is simplified and the code is moved to a new
function.

Remove unnecessary adjtimex calls

Fix rounding in UTI_AddDoubleToTimeval with negative increments

Adjust last_select_ts on slew

Rename SCH_GetFileReadyTime() and extend it to return raw time

Drop duplicated int64_to_timeval()

Fix UTI_DoubleToInt32 to check for overflow

Move NTP_int32 conversion functions to util.c

Add --enable-trace to configure

Fix configure help message

Abort on parse errors in refclock directive

Fix burst command with specified address

This was broken in commit 0f8def4ca4237495f13a93384ded9245495e3c8f.

Allow hostnames in offline, online and burst commands

Don't use uninitialized value in receive_packet()

Fix stratum setting when source with non-minimum stratum is selected

Improve peer polling in symmetric mode

If the remote stratum is higher than ours, try to lock on the peer's
polling to minimize our response time by slightly extending our delay or
waiting for the peer to catch up with us as the random part in the
actual interval is reduced. If the remote stratum is equal to ours, try
to interleave evenly with the peer.

Save remote poll only with valid packets

Fix peer polling with shorter remote poll

If the remote peer uses a polling interval shorter than the local
minimum, the local peer will be unable to send any packets as the
timeout will be updated on every received valid packet and will never
expire.

Modify the delay calculation to aim at poll interval away since the last
transmit.

Also, share the delay calculation code with transmit_timeout().

Requeue transmit timeout only with valid packets

Ignore packets from offline sources

Rework the logic in transmit_timeout() to change the online status on
the following timeout to allow ignoring packets from offline sources.

Set stratum from last sample instead of best

Drop unused SST_GetReferenceData()

Make receive_packet() more readable

In burst count only accumulated samples as good

Slew only non-zero local timestamps in ntp core

Fix poll timeout with symmetric peer and poll 0

Remove unncessary return statements

Add recommendation on password security to keyfile description

Add option to generate command key on start

With generatecommandkey directive, if no command key is found in the key
file on start, one will be generated automatically from /dev/urandom.

Fix some error messages

Create sockets only in selected family with -4 or -6 option

Set paths in documentation by configure

Document default value of commandkey

Add option to authenticate automatically on chronyc start

Refactor key parsing

Try linking readline without ncurses first

Various spelling fixes

Reviewed-By: Rogério Theodoro de Brito <rbrito@ime.usp.br>

Refactor command parsing

- normalize command line before parsing
- compare whole words
- check for missing/extra arguments in config parsing
- use strdup for string allocation
- share code for reporting syntax errors
- avoid using function pointers
- cleanup the code a bit

Abort on errors when parsing config

Log online/offline status change for burst sources too.

Don't send uninitialized fields in dump and local requests

Accept float value as initstepslew threshold

Update .gitignore

Terminate batch processing in chronyc on quit command