silcd: disconnect packet errors with random timeout

Packet engine: moved packet sanity checks after MAC check

Removed extra semicolons from SILC_ASSERT and SILC_VERIFY macros

Merge branch 'master' of git://valera-ext.nynaeve.net/silc into silc.1.1.branch

Code cleanup during merge.

Reverted External IP commit

Reverted changes to silcsocketstream API.  The user context can be now
set to SilcClientConnectionParams.  Increased shared library revision to
avoid backwards incompatiblity.

Signed-off-by: Pekka Riikonen <priikone@silcnet.org>

Cancel silc_server_connect_to_router_retry when connecting.

There exists a crash bug such that an un-cancelled timeout callback for
silc_server_connect_to_retry fires after the connection object has
already been cleaned up.  Any router_retry requests must be cancelled
when we are deleting the associated connect object.  The fix that was
implemented was to cancel silc_server_connect_to_router_retry in
addition to silc_server_connect_to_router when a call to
silc_server_create_connections is made.  (This routine is called when
we are to make new server connections if reconnects are enabled.)

The problem would typically occur after a long enough time with silcd
trying to connect to a router server over and over; there is a race
condition component that can delay the initial use-after-free condition
for some time.

Mark outbound initiated server to server connections as local.

This fixes an issue where if a disconnect packet is received by the
server for an outbound silc connection (i.e. a server to server link)
and there is an outstanding async operation, such as an SKE or
connection auth, the server will corrupt the heap due to not properly
calling the async abort routine.

This issue would typically happen when we have a silcd setup to connect
to a remote router server, where both ends of the connection have public
keys configured, but the initiator server's IP is wrong.  In this case,
we will get past key exchange and then fail at the connection auth
packet, typically crashing the initiator silcd after heap corruption.

Merge branch 'master' of git://valera-ext.nynaeve.net/silc

Prevent continuing of an already finished FSM.

Another fix for another crash relating to misuse of FSM and callback logic in
the SKE library.

Fix crash on SKE failure.

Adds checks to prevent SKE failure notification callbacks from being called
multiple times for the same SKE instance.  This would often happen, for
example, if we aborted an SKE.

Fix crash on expired keyboard prompts

Add reference counting to SilcClientEntry/SilcServerEntry for getkey response.

This is necessary in case the entry goes away before the user responds to the
keyboard input request.  (Fix for getkey crash if a user logs off before one
responds to the getkey prompt.)

Fix initialization/deinitialization of various Silc*Entry objects.

A number of init/deinit cases were failing to clean up
certain resources.

Fix reference counting for SilcServerEntry objects,

analogous to the previous fixes for the broken
reference counting for SilcChannelEntry and
SilcClientEntry objects.

Add support for autosendcmd on channel entries to the

SILC client.  Note that we don't support botmasks yet,
but this can be used to send a command on join of a
channel on connect/reconnect/reattach detached session.

Assert that the client count is positive prior to decrementing it.

A situation has been observed where a silcd has clients connected to it,
but reports 0 local users.  It is believed that when these users log
off, the server underflows and refuses new connections.  Assert that no
underflow occurs, which should prove or disprove this theory.

Add ``ExternalIp'' config directive to ServerInfo tag in

silcd.conf.  This allows server linking with a server
behind a NAT connecting out to a router.

Fix reference counting for key exchange handling.

When a key exchange times out, the SKE can be freed before the user
responds.  Switch the SKE callbacks to obtain their own reference to the
object to prevent this.

Prevent continuing of an already finished FSM.

Another fix for another crash relating to misuse of FSM and callback logic in
the SKE library.

Fix crash on SKE failure.

Adds checks to prevent SKE failure notification callbacks from being called
multiple times for the same SKE instance.  This would often happen, for
example, if we aborted an SKE.

Revert "Don't delete packet stream"

This reverts commit 544d0faa279dc3a3ca8f635665bd2cb57e92342b.

Don't delete packet stream

Fix crash on expired keyboard prompts

Add reference counting to SilcClientEntry/SilcServerEntry for getkey response.

This is necessary in case the entry goes away before the user responds to the
keyboard input request.  (Fix for getkey crash if a user logs off before one
responds to the getkey prompt.)

Fix initialization/deinitialization of various Silc*Entry objects.

A number of init/deinit cases were failing to clean up
certain resources.

Fix reference counting for SilcServerEntry objects,

analogous to the previous fixes for the broken
reference counting for SilcChannelEntry and
SilcClientEntry objects.

Add support for autosendcmd on channel entries to the

SILC client.  Note that we don't support botmasks yet,
but this can be used to send a command on join of a
channel on connect/reconnect/reattach detached session.

Assert that the client count is positive prior to decrementing it.

A situation has been observed where a silcd has clients connected to it,
but reports 0 local users.  It is believed that when these users log
off, the server underflows and refuses new connections.  Assert that no
underflow occurs, which should prove or disprove this theory.

Add ``ExternalIp'' config directive to ServerInfo tag in

silcd.conf.  This allows server linking with a server
behind a NAT connecting out to a router.

Fix reference counting for key exchange handling.

When a key exchange times out, the SKE can be freed before the user
responds.  Switch the SKE callbacks to obtain their own reference to the
object to prevent this.

Fixed channel MAC key setting in JOIN notify and command reply

In JOIN notify when MAC algo changes wrong key was set to the new MAC.

In JOIN command reply in backup router the channel key may not be set
in command reply because backup reiceives also CHANNEL_KEY packet from
router and hence clients receive it too, but new MAC context was still
allocated in the command reply, hence using empty MAC without key with
channel messages.

silcd: fixed memory leaks

Merge branch 'topic/mm-fixes' of git://208.110.73.182/silc into silc.1.1.branch

Signed-off-by: Pekka Riikonen <priikone@silcnet.org>

Disconnect problem: Mark incoming connections immediately local

This fixes the problem of SKE remaining running in the background
even though the conncection is closed because it was never aborted
because the connection wasn't marked local.  After SKE timeout a
crash may occur.

Fixed more backup router reconnecting problems

Fixed also possible buffer overflows.

Fixed server/backup router reconnecting

Documented public_ip configuration option

Fixed backup router shutdown crash

SKE: Verify initiator's public key always

We used to verify initiator's public key only if we were doing mutual
authentication.  We now verify it always because calling application
may need the public key initiator sent.

Merge branch 'topic/code-cleanup' of git://208.110.73.182/silc into silc.1.1.branch

Merge branch 'topic/null-fixes' of git://208.110.73.182/silc into silc.1.1.branch

Merge branch 'topic/type-safety' of git://208.110.73.182/silc into silc.1.1.branch

Fix reference count bug leading to memory corruption on duplicate deletions.

Make packet stream reference counts 32 bits.

Packet streams: make packet handling callback pointers read only.

The function pointers for the packet handling callbacks are never
modified, so make them read only.

Reorder #if 0/#endif block to avoid splitting a basic block across the #if 0.

The bracing convention caused a #if 0/#endif to exclude the close of one
block and the open of another.  This compiled correctly, but confused
other tools that expect to see a block fully present or fully absent.
Move the ending brace of the preceding block out of the #if 0 and the
ending brace of the excluded block into the #if 0 to fix that.

Fix double free in silcd.

Packet streams: avoid double free if silc_id_id2str fails.

In silc_packet_set_ids, the old ID is freed before silc_id_id2str is
called.  If silc_id_id2str fails, then silc_packet_set_ids returns
without resetting the ID pointer.  The pointer is then free, but not
NULL.  When the packet stream is destroyed, silc_packet_stream_destroy
will free the pointer again.  Reset the ID pointer to NULL immediately
after freeing it to prevent this.

Packet streams: fix memory leak on dlist allocation failure.

If silc_dlist_init fails to allocate a SilcDList for stream->process,
then silc_packet_stream_link_va leaks the newly allocated
SilcPacketProcess.  Fix that by calling silc_free(p) on the error path.

ASN1: Fix NULL pointer dereference on stack allocation failure.

If the second silc_stack_alloc fails, then asn1->stack2 is NULL.  Thus,
when silc_asn1_init calls silc_stack_free(asn1->stack2), it is
equivalent to silc_stack_free(NULL).  However, silc_stack_free does not
check for a NULL pointer.  Fix silc_asn1_init to free asn1->stack1, as
was intended.

Avoid NULL dereference when leaving a channel with a private key.

Split out a patch from Skywing <skywing@valhallalegends.com> to fix a
NULL pointer dereference when the client leaves a +k channel and the
local user had set a key for the channel.

ASN1: Fix stack variable overwrite when encoding OID.

The call to sscanf specifies a format string of "%lu", a long unsigned
int.  The pointer argument was cast to unsigned long *, but this is
wrong for 64 bit systems.  On 64 bit systems, unsigned long is 64 bits,
but the oid value is a SilcUInt32 on all systems.  As a result, sscanf
will overwrite a neighboring variable on the stack.  Fix this by
changing the format string to "%u" and removing the cast.

Types: make SilcUInt32 an unsigned int in most cases.

On typical 32-bit systems, both unsigned int and unsigned long are 32
bits wide.  However, they have different format specifiers, so they
cannot be used interchangeably.  On typical 64-bit systems, unsigned int
is 32 bits and unsigned long is 64 bits.  To allow for a more consistent
format string, reorder the type size checks so that SilcUInt32 is an
unsigned int on both 32 bit and 64 bit systems.

Type sanity: add compile time check that integers are of the expected size.

The comments in silctypes.h guarantee that certain types are of
particular sizes.  Add compile time checks that will fail if these
guarantees are not met.

Server: always drop privileges, even in foreground mode.

Foreground mode is often used as a debugging aid for live
configurations, so the server may be started with root privileges to let
it bind to its native port.  Since the server already has the ability to
drop root privileges, use that ability to make foreground mode a little
safer.

Handle failed memory allocations in packet sending

silc_stack_free can now be called with NULL stack

Handle EAGAIN and EINTR correctly in silc_get_input in case of error

Mark client entry invalid when killed and when notified non-existing

Fixed command calling crash

If command finishes synchronously the command context is not valid
anymore and cannot be accessed.  Reported by Sami Farin.

Changed packet_error structure const correctly

Fixed resuming to work even when there are no joined channels

Fixed channel private key deleting to restore original keys correctly

Resolve channel in INVITE notify if we don't have it yet

Fixes bug that user cannot se INVITE notifications sent by other users.

Remove client from expired client list before deleting it

Fixed the silc_parse_userqfdn argument handling, again.

Fixed silc_parse_userfqdn argument check

Make sure client entry is not expired more than once

Close socket if TCP connecting fails to avoid leaking sockets

Add non-executing stack when compiling AES asm for GNU/ELF.

Patch by Kp <kp@valhallalegends.com>bg

Signed-off-by: Pekka Riikonen <priikone@silcnet.org>

Fixed automatic reconnection to router and malloc failure handlings

If remote router disconnects while still being in Unkonwn state reconnect
to the router after disconnecting.  This should prevent the bugs where
server doesn't reconnect to router after being disconnected at the early
connection state.

Fixed various memory allocation failure handlings.

Free sock user data before disconnecting remote peer

More disconnection crash fixes.

Make sure the server conncection is always freed when the connection
is freed.

Handle memory allocation failures when unformatting data

Add non-executing stack when compiling AES asm for GNU/ELF.

Patch by Kp <kp@valhallalegends.com>

Signed-off-by: Pekka Riikonen <priikone@silcnet.org>

Fixed crash when packet stream creation fails.

Fixes to connection freeing crashes

Cancel rekey timeout when closing connection.

Fixed KILL command related crash in silcd

Free connection data correctly when disconnecting the remote peer.

The silc_server_free_sock_user_data must be called if the
silc_server_disconnect_remote is called.

Fixed many 64-bit alignment issues from silcd.

Check for valid packet stream when counting number of connections in silcd.

SILC_IS_FD_STREAM and SILC_IS_SOCKET_STREAM now checks for NULL stream.

Fixed silc_skr_init to not fail if threads support are not compiled in.

Removed wrong SILC_LOG_ERROR and assert check from silc_idcache_add.

In some cases it is not fatal error to attempt to add entry that already
exists.  Removed the assert and changed the error to debug message.

Compute packet sums using sha512sum.

Mark scheduler task unscheduled after silc_schedule_unset_listen_fd.

Affects epoll() version of schduler.  If it isn't marked unscheduled
next time fd's events are changed they expect the fd to be in epoll()
which they are not.  Setting unscheduled will add them again to epoll().

Fixed QoS data limit handling in socket stream when reading data.

Fixed packet stream destroy crashes when closing connections.

Take a reference of the packet stream and then destroy it.  The final
reference is freed in the timeout callback.  Any operation in the mean
time will detect the stream is destroyed and won't do anything.

Accept 0600 and 0640 for server private key permissions.

Fixed busy-loop in WATCH command when adding public keys.

If the public key decoding failed the command ended up
decoding and failing the same public key for ever.

Fixed possible buffer overflow in PKCS#1 message decoding.

Vulnerability reported by Core Security Technologies.  Thanks.

Fixed NEW_CLIENT packet processing crash when the packet doesn't
include nickname.

Fixed partial encryption in CTR mode.   Does not affect interop
in SILC.

Fixed fingerprint generation.  RedHat bug 372021.

Fixed unix signal delivery.

updates.

updates.

Sun Nov 18 16:43:04 CET 2007  Jochen Eisinger <coffee@silcnet.org>

* Add -avoid-version and -rpath flags when compiling the plugin.
  Affected file is apps/irssi/src/fe-common/silc/Makefile.in

updates.

new keys.