Prevent a MITM from forcing a NULL cipher for UDP (CVE-2018-16758)

If a man-in-the-middle has intercepted the TCP connection it might be
able to force plaintext UDP packets between two nodes for up to
a PingInterval period.

Prevent oracle attacks (CVE-2018-16737, CVE-2018-16738)

The authentication protocol allows an oracle attack that could
potentially be exploited. This commit contains several mitigations:

- Connections are no longer closed immediately on error, but put in
  a "tarpit".
- The authentication protocol now requires a valid CHAL_REPLY from the
  initiator of a connection before sending a CHAL_REPLY of its own.
- Only a limited amount of connections per second are accepted.
- Null ciphers or digests are no longer allowed in METAKEYs.
- Connections that claim to have the same name as the local node are
  rejected.

Fixing typo

Releasing 1.0.34.

Remove redundant 'break'.

I'm henry wong, from Qihoo360 CodeSafe Team. We found a issue about dead
code.

Properly implement tinc.texi's dependency on tincinclude.texi.

With this, make distcheck succeeds even without the info-in-builddir
option to AM_INIT_AUTOMAKE.

Fix SEGFAULT when trying to connect to IPv6 peer in non-IPv6 environment

Using my tinc setup I observe spurious SEGFAULTs in the daemon process.

My configuration comprises a proxy (type exec) and the peer's address is
given by its domain name. The domain resolves to both IPv4 and IPv6.
As IPv6 is not working in my environment, all connection attempts to the
resolved IPv6 addresses fail. Sometimes, after such a failure, the
segfault occurs.

Apparently, the issue is caused by a use after free due to failing to
reset a pointer.

Fix all spelling errors found by codespell.

Document how to enable tinc at boot time using systemd.

Rename distro/ to systemd/.

Systemd service files are not supposed to be distribution-specific.

Make systemd service file handling identical to tinc 1.1.

This removes hardcoded paths from systemd unit files, and sets the default
systemd unit path to ${libdir}/systemd/system. The configure option is now
renamed to --with-systemd[=PATH]. These changes now also ensure that
make distcheck runs without any errors.

Closes #160 on GitHub.

Don't use SOL_IP and SOL_IPV6.

These macros do not exist on all platforms, instead one should use
IPPROTO_IP and IPPROTO_IPV6. This fixes a bug on macOS where the
IPV6_V6ONLY flag would not be applied and could result in IPv4 sockets
not working.

Fix #ifdefs that were broken due to commit d178b58.

Fix building documentation when using OpenBSD's make.

Add missing thanks to the NEWS message.

Releasing 1.0.33.

Update THANKS.

Fix compilation errors when --enable-uml is used.

Const correctness.

Support autoconf's --runstatedir option.

Put the PID file in @runstatedir@ instead of @localstatedir@/run. This
requires autoconf 2.70, which is not released yet, so add a fallback to
use @localstatedir@/run if @runstatedir@ is not set.

Ensure all parameters have names in header files.

Remove unused functions.

Realign comments.

Fix all -Wall -W compiler warnings.

Disable PMTU discovery when TCPOnly is used.

Handle tun/tap device returning EPERM or EBUSY.

Often when tun/tap is used any errors during setup will be confuse tinc
and it will then assume it is an Ethertap device. Try to avoid this by
checking errno after a failed TUNSETIFF; if it's EPERM or EBUSY then
we can be sure it was not an Ethertap device, and we should report an
error instead.

Closes #157 on GitHub.

Add some information about the requirements of a chroot environment.

Fix some "make distcheck" errors.

The only issue left is the installation of systemd service files, which
is done to a custom data directory. Make distcheck calls install without
DESTDIR it seems, but running "make install" manually works fine.

Remove obsolete m4/README.

Remove more obsolete autoconf checks.

Unconditionally include stdbool.h and inttypes.h.

Don't call ERR_remove_state().

It's impossible to write portable code that properly cleans up after
OpenSSL without resulting in compile time warnings, so don't try.

Reformat all code using astyle.

Convert sizeof foo to sizeof(foo).

While technically sizeof is an operator and doesn't need the parentheses
around expressions it operates on, except if they are type names, code
formatters don't seem to handle this very well.

Update all header guards.

Don't start with underscores, as those are reserved for system
libraries. Make sure all start with TINC_, and that they appear at
the top of the file.

Remove xmalloc.c, backport xalloc.h from tinc 1.1.

We are requiring a C99-compliant compiler, so we don't need to work
around buggy malloc() implementations.

Use getcwd() instead of get_current_dir_name().

Remove unused/obsolete checks from configure.ac.

Fix a few minor memory leaks.

Use stack-allocated strings for temporary filenames.

Never remove items from cmdline_conf.

We should treat cmdline_conf as const, so we can call read_config_options()
more than once with prefix = NULL.

Closes #155 on GitHub.

Prepare for automatic code formatting using Artistic Style.

Give absolute path for #include to AC_CHECK_HEADERS().

Taken from Etienne Dechamp's patch to support VPATH builds for tinc 1.1.

Use AC_CONFIG_MACRO_DIR().

Allow compilation from a build directory

fix tinc.conf for OpenBSD

Fix a potential memory leak.

Found by the Clang static analyzer.

Udpate THANKS.

Releasing 1.0.32.

Don't try to bind Proxy = exec sockets to an address.

Set status.proxy_passed early for Proxy = exec.

Fix Proxy = exec.

Don't forget about outgoing connections on host file read errors.

If the host config file for an outgoing connection cannot be read, or if
it doesn't contain any Address, don't forget about the ConnectTo, but go
straight to MaxTimeout seconds for retries.

Set KillMode=mixed in the systemd service file.

This ensures only the main process is sent the SIGTERM, and not anything
else that might have started in the same control group, including the
tinc-down script.

Closes #145 on GitHub.

Move logging of "would block" messages to debug level 4.

Bind outgoing TCP sockets.

This is important for multi-homed users that want to ensure the source
address of outgoing TCP connections is the same as the address that tinc
is listening on.

Binding is done automatically if there is exactly one listening address
for a given address family.

Fix Solaris DeviceType = tap in router Mode.

Use getmsg()/putmsg() instead of read()/write() on Solaris.

This fixes a problem where read() returns packets from the IP layer before
fragmentation is done.

Use /dev/udp instead of /dev/ip on Solaris.

Merge remote-tracking branch 'VittGam/master'

Don't dereference myself->incipher if it's NULL.

This fixes #142 on GitHub.

Releasing 1.0.31.

Remove ExecStop in tinc@.service

This avoid tinc to receive SIGTERM twice (through ExecStop and through systemd
directly) which prevented tinc-down script to be executed.

Releasing 1.0.30.

Use CFB mode for meta-connections to improve security.

Use AES in CTR mode instead of OFB mode for meta-connections.

This gives a very nice speedup while preserving the stream characteristics.

Really fix byte budget calculation.

We want to use the underlying cipher's block length, but if it's a stream
mode this will be 1. In that case, use the IV length. Ensure we never get
a budget that cannot be stored in a 64 bits integer.

Thanks to Wessel Dankers for helping getting this right.

Fix bit shifting arithmetic so the code actually does what the last commit message says.

Enforce maximum amount of bytes sent/received on meta-connections.

This is sqrt(2^{block_length_in_bits}).

Use AES256 and SHA256 by default, also for the meta-connections.

At the start of the decade, there were still distributions that shipped
with versions of OpenSSL that did not support these algorithms. By now
everyone should support them. The old defaults were Blowfish and SHA1,
both of which are not considered secure anymore.

The meta-protocol now always uses AES in OFB mode, but the key length
will adapt to the one specified by the Cipher option. The digest for the
meta-protocol is hardcoded to SHA256.

Delay sending the real ID request until after a proxy request is granted.

Log only the first line of a proxy request rejection message.

Fix proxy reply parsing broken by the previous commit.

Allow non-empty lines after status code from a HTTP proxy.

route: Support ToS/DiffServ priority inheritance when routing IPv6 packets.

Signed-off-by: Vittorio Gambaletta <openwrt@vittgam.net>

Releasing 1.0.29.

Fix compiler warnings about format string errors on BSD.

Fix possibly unitialized variable.

Add ax_require_defined.m4.

Add a copy of ax_append_flag.m4.

This is a dependency of ax_cflags_warn_all.m4.

Log warnings about dropped packets only with debug level 5 or higher.

Force nul-termination of strings after vsnprintf().

Apparently, on Windows this function might not always be properly
terminated.

Check return value of RSA_generate_key_ex().

Add -Wall to CFLAGS.

Ensure compatibility with OpenSSL 1.1.0.

Preserve IPv6 scope_id in edges.

When creating an edge after authenticating a peer, we copy the address
used for the TCP connection, but change the port to that used for UDP.
But the way we did it discarded the scope_id for IPv6 addresses. This
prevented UDP communication from working correctly when connecting to a
peer on the same LAN using an IPv6 link-local address.

Thanks to Rafał Leśniak for pointing out this issue.

Releasing 1.0.28.

Update links in the documentation.

Explicitly mention that LibreSSL can be used as well.

Ensure the service files are in the tarball.

Update .gitignore.

Add systemd service files.

Really remove use of __DATE__ and __TIME__ to facilitate reproducible builds.

Fix compiling bsd/device.c on systems without utun.

Releasing 1.0.27.

Add support for OS X utun interfaces.

Enable silent builds by default.

Cleaner build messages make it easier to spot compiler warnings and errors.
Use make V=1 to get the verbose output back.

Use SIOCGIFADDR on BSDs that support it.

Use devname() if available to support devfs cloning on BSD.

Some BSD flavors allow opening /dev/tun and/or /dev/tap, which automatically
create a new tun or tap interface with an unused number. To find out which
number the interface got, you have to call devname() on the device file
that was opened.

The semantics are different from the way Linux's /dev/tun works though.
In particular, after closing the device, the interface will continue to exist.
Restarting tincd would cause the old interface to stay around, and a new
one to be created. One could add a tinc-down script with the following line:

ifconfig $INTERFACE destroy

But that is still no guarantee that restarting tinc will give you the same
interface. So the default tun and tap device will stay /dev/tun0 and /dev/tap0
for all BSD flavors to avoid surprises for existing users.

Every BSD flavor has a tap device nowadays.