ax_code_coverage.m4: updated to latest macro

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

Merge branch 'fix-nettle-check' into 'master'

build: pass NETTLE_LIBS together with HOGWEED_LIBS

See merge request gnutls/gnutls!903

Merge branch 'fix-pkcs11-mechs' into 'master'

build: do not generate mech-list.h if p11-kit is not available

See merge request gnutls/gnutls!904

build: do not generate mech-list.h if p11-kit is not available

Compiling GnuTLS with no p11-kit installed will result in a serie of
warnings during build time because mech-list.h will be generated even if
pkcs11 tool compilation is disabled. Move mech-list.h generation to
happen only if pkcs11 is enabled, thus removing these warnings.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

build: pass NETTLE_LIBS together with HOGWEED_LIBS

libhogweed might depend on exact non-system-wide nettle, so let's pass
NETTLE_LIBS flags together when using HOGWEED_LIBS.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Merge branch 'tmp-fix-sni-error' into 'master'

Amend error code when SNI name is not accepted

Closes #683

See merge request gnutls/gnutls!891

Add GNUTLS_E_RECEIVED_DISALLOWED_NAME for illegal SNI names

An illegal/disallowed SNI server name previously generated
the misleading message "An illegal parameter has been received.".

This commit changes it to
  "A disallowed SNI server name has been received.".

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

Merge branch 'nettle-stdint' into 'master'

lib/nettle: replace nettle-stdint.h with just stdint.h

See merge request gnutls/gnutls!901

Merge branch 'tmp-update-glimport-and-docs' into 'master'

Fix 'make glimport' and update CONTRIBUTING.md

See merge request gnutls/gnutls!900

lib/nettle: replace nettle-stdint.h with just stdint.h

Nettle library is going to drop nettle-stdint.h. Replace this include
with with just <stdint.h>.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Fix 'make glimport' and update CONTRIBUTING.md

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

Merge branch 'tmp-fix-guile-unused-var' into 'master'

Fix unused var warning in guile/src/core.c

See merge request gnutls/gnutls!895

Merge branch 'guile' into 'master'

build: detect previous supported guile

See merge request gnutls/gnutls!898

Merge branch 'gitignore' into 'master'

.gitignore: add test files

See merge request gnutls/gnutls!899

.gitignore: add test files

Signed-off-by: Alon Bar-Lev <alon.barlev@gmail.com>

build: detect previous supported guile

A recent change in the m4 macro of guile enforces latest guile:
---
AC_DEFUN([GUILE_PROGS],
 [_guile_required_version="m4_default([$1], [$GUILE_EFFECTIVE_VERSION])"
  if test -z "$_guile_required_version"; then
    _guile_required_version=2.2
  fi
---

The result:
---
checking for guile-snarf... /usr/bin/guile-snarf
checking for guild... /usr/bin/guild
checking for guile-2.2... no
checking for guile2.2... no
checking for guile-2... no
checking for guile2... no
checking for guile... /usr/bin/guile
checking for Guile version >= 2.2... configure: error: Guile 2.2 required, but 2.0.14 found
---

Probably best to specify the supported version explicitly when calling
GUILE_PROGS, to keep existing behavior calling the GUILE_PKG detects the
existing packages.

Signed-off-by: Alon Bar-Lev <alon.barlev@gmail.com>

Fix unused var warning in guile/src/core.c

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

Merge branch 'tmp-fix-abi-check' into 'master'

Fix abi-check failure

See merge request gnutls/gnutls!896

Fix abi-check failure

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

NEWS: updated

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

src/Makefile.am: remove .bak files before autogenerating

This avoids errors due to files pre-existing but not being
writable.

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

bumped versions

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

Makefile.am: require guile-2.2 for release

That's because guile.m4 from previous releases has issues
with the latest version.

Resolves: #631

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

priorities: when %NO_EXTENSIONS is specified disable TLS1.3

This makes the behavior of this priority string option well-defined
even when TLS1.3 is enabled.

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

Merge branch 'tmp-fix-no-extensions' into 'master'

The flag %NO_EXTENSIONS is disabling extension support while being functional

See merge request gnutls/gnutls!870

Merge branch 'tmp-ametzler-certtool-manpage-formatting' into 'master'

certtool.1: fix formatting

See merge request gnutls/gnutls!892

certtool.1: fix formatting

Apostroph at start of a line is a control character in manpages, avoid
it. Also drop wrong indent.
See https://bugs.debian.org/920215

Signed-off-by: Andreas Metzler <ametzler@bebt.de>

Merge branch 'tmp-record-size-limit-fixes' into 'master'

Fix record_size_limit extension handling when resuming

See merge request gnutls/gnutls!886

tlsfuzzer: update to the latest upstream for record_size_limit tests

Signed-off-by: Daiki Ueno <dueno@redhat.com>

Merge branch 'tmp-fix-macosx' into 'master'

.travis.yml: make macosx builds compile again

See merge request gnutls/gnutls!890

configure.ac: fix substitution for libatomic

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Merge branch 'tmp-fix-udp-serv' into 'master'

gnutls-serv: improvements in UDP server

Closes #632

See merge request gnutls/gnutls!863

Merge branch 'tmp-priority-linear' into 'master'

set_ciphersuite_list(): Use linear approach to cleanup priorities

Closes #679

See merge request gnutls/gnutls!889

.travis.yml: avoid installing submodules

They are not necessary for building and testing the basic
test suite.

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

update on "Fix gnutls.pc for multiarch builds"

This replaces LTLIBUNISTRING with LIBUNISTRING in Makefile.am.
The former is no longer produced by configure.ac.

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

Merge branch 'master' into 'master'

configure.ac: check if libatomic is needed

See merge request gnutls/gnutls!878

Merge branch 'tmp-test-tickets' into 'master'

tests: added tests for multiple ticket reception

Closes #511

See merge request gnutls/gnutls!887

set_ciphersuite_list(): Use linear approach to cleanup priorities

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

tests: check record_size_limit is reset after resumption

Signed-off-by: Daiki Ueno <dueno@redhat.com>

constate: don't restore max_record_recv_size from resumed data

Signed-off-by: Daiki Ueno <dueno@redhat.com>

ext/record_size_limit: mark it as mandatory extension

In a resuming session record_size_limit is always renegotiated, and
thus the server should parse the extension always.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

ext/record_size_limit: reject too large extension payload

Signed-off-by: Daiki Ueno <dueno@redhat.com>

gnutls-serv: improvements in UDP server

This modifies the server to deinitialize the session after use
(avoiding leaks), and to only send the hello verify request when
a client hello is seen.

This also adds a basic unit test of gnutls-serv with the --udp option.

Resolves #632

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

Merge branch 'tmp-key-rsa-pss' into 'master'

gnutls_pkcs11_privkey_import_url: enable RSA-PSS only when an RSA key can sign

Closes #667

See merge request gnutls/gnutls!884

configure.ac: add comment for -latomic

Signed-off-by: Fabrice Fontaine <fontaine.fabrice@gmail.com>

tests: added tests for multiple ticket reception

This introduces tests for the reception (parsing) of multiple tickets
by a gnutls client. It uses the tlslite-ng server because unlike a gnutls
server, tlslite-ng does send multiple tickets in a single record. That
way we test that we can parse both ways of sending tickets.

Resolves: #511

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

Merge branch 'tmp-update-gnulib' into 'master'

Update gnulib

Closes #653

See merge request gnutls/gnutls!888

Merge branch 'tmp-alerts-fix' into 'master'

Various alert-related fixes

Closes #672

See merge request gnutls/gnutls!885

Update gnulib

Closes #653 (printf %n crashes on Android)

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

gnutls_alert_send_appropriate: do not send alert to peer on all errors

That is, do not send alerts for success, or for errors indicating that
an alert has been received. This changes the documented function behavior
but does not break any existing caller expectations.

Relates: #672

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

Merge branch 'tmp-fix-libs-private' into 'master'

Fix libs.private in gnutls.pc for multiarch builds

Closes #675

See merge request gnutls/gnutls!877

gnutls_pkcs11_privkey_import_url: enable RSA-PSS only when an RSA key can sign

In gnutls_pkcs11_privkey_import_url() we only enabled RSA-PSS functionality to
the key if the CKM_RSA_PKCS_PSS mechanism is available to the token. However,
if the specific key is not marked for use with digital signatures (CKA_SIGN
set), then we may have still ended-up using it and fail when using it. We
now test whether CKA_SIGN is set prior to enabling such keys for PSS.

Resolves: #667

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

Merge branch 'tmp-fix-fuzzer-timeout' into 'master'

Avoid excessive CPU usage in gnutls_idna_map()

See merge request gnutls/gnutls!881

alert: associate unsupported curve alerts with handshake failure

Resolves: #672

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

Merge branch 'tmp-check-if-signed' into 'master'

Check for Signed-off-by: in CI

Closes #668

See merge request gnutls/gnutls!874

Check for Signed-off-by: in CI

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

Avoid excessive CPU usage in gnutls_idna_map()

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

Merge branch 'tmp-fix-crypto-selftests' into 'master'

crypto-selftests.c: Fix checking return value

See merge request gnutls/gnutls!880

Merge branch 'tmp-init-var-x509dn' into 'master'

Fix uninitialized variable in tests/x509dn.c

See merge request gnutls/gnutls!882

Fix uninitialized variable in tests/x509dn.c

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

crypto-selftests.c: Fix checking return value

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

Merge branch 'tmp-authors' into 'master'

auto-generate the AUTHORS file

See merge request gnutls/gnutls!872

auto-generate the AUTHORS file

The original file was unmaintained since long time. This is now
auto-generated from the git shortlog, at release time.

Relates: #606

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

configure.ac: check if libatomic is needed

gnutls source code uses the C++11 <atomic> functionality since
https://github.com/gnutls/gnutls/commit/7978a733460f92b31033affd0e487c86d66c643d,
which internally is implemented using the __atomic_*() gcc built-ins

On certain architectures, the __atomic_*() built-ins are implemented in
the libatomic library that comes with the rest of the gcc runtime. Due
to this, code using <atomic> might need to link against libatomic,
otherwise one hits build issues such as:

../lib/.libs/libgnutls.so: undefined reference to `__atomic_fetch_sub_4'

on an architecture like SPARC.

To solve this, a configure.ac check is added to know if we need to
link against libatomic or not. The library is also added to gnutls.pc.

Fixes:
 - http://autobuild.buildroot.org/results/6c749bd592ceffeacadd2ab570d127936cce64b2
 - http://autobuild.buildroot.org/results/30aa83d3cf3482af8a59250c196c85f4a278d343

Signed-off-by: Fabrice Fontaine <fontaine.fabrice@gmail.com>

Fix gnutls.pc for multiarch builds

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

Merge branch 'tmp-fix-certtools' into 'master'

certtool: data encipherment is disabled by default

See merge request gnutls/gnutls!875

certtool: data encipherment is disabled by default

For the TLS protocol this option is not necessary, and if enabled
by mistake (as default) and no other option is set, then the
generated key will be unusable. Thus we disable it, to generate
working keys by default.

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

Merge branch 'tmp-autogen-bak-revert' into 'master'

Revert "build: remove src/*.bak from distribution"

See merge request gnutls/gnutls!869

.travis.yml: use ./bootstrap instead of make autoreconf

The latter is no longer available after the removal of
GNUMakefile.

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

The flag %NO_EXTENSIONS is disabling extension support while being functional

That is, the %NO_EXTENSIONS option is the only documented way to disable
extensions completely from a session. Clarify that message, mention that
its behavior is undefined when combine with TLS1.3, and make sure that it
is functional. The latter makes sure that safe renegotiation and extended
master secret extensions remain disabled when this flag is given.

That simplifies testing certain scenarios under TLS1.0 or TLS1.1 when
no extensions must be used.

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

Merge branch 'tmp-fix-regression-ext-size' into 'master'

When sending no extensions do not include a zero length

See merge request gnutls/gnutls!868

Merge branch 'aclocal' into 'master'

build: install all m4 macros

See merge request gnutls/gnutls!865

When sending no extensions do not include a zero length

According to RFC5246:
   The presence of extensions can be detected by determining whether
   there are bytes following the compression_method field at the end of
   the ServerHello.

and as such we correct our behavior to not send the zero length bytes.
This was our behavior in 3.5.x and 3.3.x branch, and thus this corrects
a regression of gnutls with these branches.

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>
Signed-off-by: David Woodhouse <dwmw2@infradead.org>

Merge branch 'tmp-rsa-pss-tls12' into 'master'

tls-sig: check RSA-PSS signature key compatibility also in TLS 1.2

Closes #659 and #645

See merge request gnutls/gnutls!854

Avoid calling sign_algorithm_get_name() when we already have pointer to the algorithm.

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

tls-sig: check RSA-PSS signature key compatibility also in TLS 1.2

This extends commit 51d21634 to cover the optional TLS 1.2 cases,
which RFC 8446 4.2.3 suggests: "Implementations that advertise support
for RSASSA-PSS (which is mandatory in TLS 1.3) MUST be prepared to
accept a signature using that scheme even when TLS 1.2 is negotiated".

Signed-off-by: Daiki Ueno <dueno@redhat.com>

tlsfuzzer: update to the latest upstream for the TLS 1.2 CV tests

Signed-off-by: Daiki Ueno <dueno@redhat.com>

alert: map GNUTLS_E_UNKNOWN_COMPRESSION_ALGORITHM to illegal_parameter

This alert is more appropriate according to the tlsfuzzer test:
https://github.com/tomato42/tlsfuzzer/commit/4b6a4aa8b00cf3f3bcb2388d1bfdad985610ed1d

Signed-off-by: Daiki Ueno <dueno@redhat.com>

Merge branch 'gnutls_write_new_general_fix' into 'master'

Fix _gnutls_write_new_general_name() result checking

See merge request gnutls/gnutls!866

Revert "build: remove src/*.bak from distribution"

This reverts commit 9ba397aa841730e4824d2bf8537aa15e711ad9b3, as it
turned out to be not practical.  See !862 for the discussion.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

_gnutls_hello_ext_set_datum: removed unnecessary remark [ci skip]

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

Fix _gnutls_write_new_general_name() result checking

build: install all m4 macros

having all m4 macros in m4/ directory enables easier autoreconf process for
downstream as dependency programs that provide these macros are not required.

both gtk-doc and guile requires huge dependency list, and currently are
required per any change (patch) in autotools.

Signed-off-by: Alon Bar-Lev <alon.barlev@gmail.com>

Merge branch 'tmp-fix-signing' into 'master'

_gnutls13_handshake_sign_data: properly fail on signing error

See merge request gnutls/gnutls!855

Merge branch 'tmp-msvc-fixes' into 'master'

ext/pre_shared_key: avoid unnecessary use of VLA for MSVC

See merge request gnutls/gnutls!861

Merge branch 'tmp-unroll-ci-commands' into 'master'

Unroll MinGW CI runner commands

See merge request gnutls/gnutls!857

Merge branch 'tmp-fix-typos-in-lib' into 'master'

Fix typos in lib/

See merge request gnutls/gnutls!850

Merge branch 'tmp-tests-fail-on-signals' into 'master'

tests: treat all signals as error

Closes #623

See merge request gnutls/gnutls!856

ext/pre_shared_key: avoid unnecessary use of VLA for MSVC

Suggested by Gisle Vanem in:
https://github.com/gnutls/gnutls/commit/fd8c1ec8fe155861dffa28811127f101b6697b4b#r31802648

Signed-off-by: Daiki Ueno <dueno@redhat.com>

Fix typos in lib/

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

Unroll MinGW CI runner commands

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

tests: treat all signals as error

Previously we were only treating SIGSEGV as error though there is
no reason to treat other signals as success and they may hide an
actual error case (e.g., when SIGPIPE is received). With this change we
treat any signals received by the child except SIGTERM as error, and
we ensure that SIGPIPE is ignored in all tests.

This also updates tests/slow/cipher-api-test.c to test failures with
SIGABRT or otherwise consistently.

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

Merge branch 'tmp-revert-835' into 'master'

Revert "verify-high2: Fix cert dir iteration on Win32"

See merge request gnutls/gnutls!860

Revert "verify-high2: Fix cert dir iteration on Win32"

This was failing CI (x509cert-tl) but was not detected due to
a bug.

This reverts commit 362a0c30b79ccede7e5bc3a7747c3e7f1d30889a.

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

Merge branch 'tmp-fix-typos-in-doc' into 'master'

Fix typos in doc/

See merge request gnutls/gnutls!849

Merge branch 'master' into 'master'

Fix typo when checking for ed25519 support

See merge request gnutls/gnutls!858

Fix typo when checking for ed25519 support

Fix typos in doc/

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

_gnutls13_handshake_sign_data: properly fail on signing error

When signing failed, gnutls would return an invalid signed message
(with no data) instead of failing.

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

Merge branch 'tmp-update-gnulib' into 'master'

Update gnulib

See merge request gnutls/gnutls!851