build: Check strerror_l() and uselocale() seperately

NetBSD deliberately doesn't support per-thread locale and our
thread-safe replacement of strerror() using strerror_l() cannot be
used.  Fallback to strerror_r() in that case.

travis: Optimize dnf install invocation

test: Add installcheck script to test trust module

Currently it only checks that "disable-in: p11-kit-proxy" properly
prevents the trust module being loaded by the proxy module.

trust: Prevent trust module being loaded by proxy module

Otherwise, when the proxy module were registerd in NSS database, the
trust module would be loaded twice and degrade search performance.

travis: Run "make installcheck"

trust: Fix memleak in p11_enumerate_opt_filter

p11_kit_iter_add_filter() takes the ownership of given attributes.
Spotted by address sanitizer.

test: Factor out common harness from test-extract.in

test: Add test for JKS extractor

Piggybacking commit de963b96, this adds a multi-cert test case for the
Java keystore extractor.

test: Add test for p11_attrs_purge()

mock-module-ep: Properly override C_GetFunctionList

modules: Add option to control module visibility from proxy

This enables to control whether a module will be loaded from the proxy
module.  The configuration reuses the "enable-in" and "disable-in"
options, with a special literal "p11-kit-proxy" as the value.

trust: add unit test for the "edk2-cacerts" extractor

Add a multi-cert test case for the edk2 extractor, heavily based on the
"/openssl/test_file_multiple" test case.

Bugzilla: https://bugzilla.redhat.com/show_bug.cgi?id=1559580
Signed-off-by: Laszlo Ersek <lersek@redhat.com>

trust: implement the "edk2-cacerts" extractor

Extract the DER-encoded X.509 certificates in the EFI_SIGNATURE_LIST
format that is

- defined by the UEFI 2.7 spec (using one inner EFI_SIGNATURE_DATA object
  per EFI_SIGNATURE_LIST, as specified for EFI_CERT_X509_GUID),

- and expected by edk2's HttpDxe when it configures the certificate list
  for HTTPS boot from EFI_TLS_CA_CERTIFICATE_VARIABLE (see the
  TlsConfigCertificate() function in "NetworkPkg/HttpDxe/HttpsSupport.c").

The intended command line is

  p11-kit extract \
    --format=edk2-cacerts \
    --filter=ca-anchors \
    --overwrite \
    --purpose=server-auth \
    $DEST/edk2/cacerts.bin

Bugzilla: https://bugzilla.redhat.com/show_bug.cgi?id=1559580
Signed-off-by: Laszlo Ersek <lersek@redhat.com>

trust: introduce the "edk2-cacerts" extractor skeleton

Introduce the p11_extract_edk2_cacerts() skeleton. At the moment it always
fails, silently.

Bugzilla: https://bugzilla.redhat.com/show_bug.cgi?id=1559580
Signed-off-by: Laszlo Ersek <lersek@redhat.com>

modules: Fix memleak in re-initialization case

Treat CKR_CRYPTOKI_ALREADY_INITIALIZED correctly

In p11_kit_modules_initialize(), treat a return code
of CKR_CRYPTOKI_ALREADY_INITIALIZED as identical to
CKR_OK.

travis: Disallow failure on mingw

test: Add missing seven.module in Windows fixtures

travis: Use LOG_COMPILER to run tests under wine

build: Enable make check with wine

common: Fix compilation of runtime.c under mingw

test: Add failing test for CKR_CRYPTOKI_ALREADY_INITIALIZED

test: Add test for error messages

test: Use _exit() in child process to immediately close open FDs

test: Rewrite test-server.sh in TAP style

test: Take advantage of TAP test driver

common: Add assert_skip() and assert_todo()

test-server.sh: Fix bashism

Release 0.23.10

maint: Point to the new URLs

test-server: Add test for detecting address

test-server: Fix compilation error on FreeBSD

common, client: Move runtime directory detection to libp11-common

common: Make p11_test_directory_delete() work recursively

test: Improve temporary directory handling

p11_kit_remote_serve_tokens: Read "write-protected" setting from URI

filter: Respect CKF_WRITE_PROTECTED setting when allowing a token

test: Add test for client-server interaction

The test spawns a process running the server command and connects to
it through p11-kit-client.so.  It's is a bit tricky that the child
process requires to preload libasan.so when ASan is in in effect, to
properly load a mock module.

server: Print envvars even when running in foreground

test-transport: Make sure to initialize addrlen given to accept

client: Fix memleaks in the module

test: Fix unconditional jump in test-proxy.c

doc: Replace links to freedesktop.org to github pages

trust: Forcibly mark "Default Trust" read-only

The "Default Trust" token is typically mounted as $datadir, which is
considered as read-only on modern OSes.

Suggestd by Kai Engert in:
https://bugzilla.redhat.com/show_bug.cgi?id=1523630

po: Update translations from transifex

build: Add more files to .gitignore

travis: Exclude generated files from coverage

build: Split out generated code from p11-kit/virtual.c

trust: Filter out duplicate extensions

The trust policy module keeps all the objects in the database, while
PKIX doesn't allow multiple extensions identified by the same OID can
be attached to a certificate.  Add a check to C_FindObjects to exclude
any duplicates and only return the first matching object.

It would be better if the module rejects such duplicates when loading,
but it would make startup slower.

https://bugzilla.redhat.com/show_bug.cgi?id=1141241

build: Delay compilation of test-related stuff

proxy: Remove dead code

Since the libffi became optional (commit 9f632bed), the fallback code
path in proxy.c has never taken.

proxy: Reuse the existing slot ID mapping after fork

While the proxy module reassigns slot IDs in C_Initialize(), some
applications assume that valid slot IDs should never change across
multiple calls to C_Initialize().  This patch mitigates this by
preserving the slot IDs, if they are known to the proxy module.

server: Avoid null-dereference of timespec value on timeout

Spotted by clang-analyzer.

Added p11-kit remoting page in manual

build: Add README.md to display build status

travis: Exclude test programs from coveralls

travis: Supply necessary envvars to container for coveralls

travis: Use in-tree build for coverage

The coverage tools (gcov, cpp-coveralls, etc) cannot detect source
files if the project is built out-of-tree.  Use the same directory for
$srcdir and $builddir for the build with --enable-coverage.

test: Improve code coverage of filter.c

travis: Use coveralls for measuring coverage

p11_kit_override_system_files: introduced new function

That allows overriding the default module and configuration
locations, for use in test suites, etc.

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

p11_kit_modules_load*: enhanced documentation on flags

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

build: Take advantage of parallel-tests

server: Better shell integration

This adds -k, -c, and -s options to the "p11-kit server" command,
which allows you to terminate the server process, select which C-shell
or Bourne shell command line is printed on startup, respectively.

server: Make it possible to eval envvar settings

Previously, calling "eval $(p11-kit server)" from shell hung because
the program didn't properly close stdout before forking.

Release 0.23.9

trust: Respect anyExtendedKeyUsage in CA certificates

rpc: Fix crash when retrieving attribute length

It is possible that NULL is given to the serializers, when
C_GetAttributeValue() just wants to know the size of an attribute.
Previously, this resulted in giving NULL to memcpy().

server: Make it work only when token URI is provided

Previously, when "p11-kit server" started only with a token URI, it
couldn't properly find and initialize the module which provides the
token.  This was because of the wrong order of cleanup of the modules.

common: Re-add placeholder definition of p11_debug

This was mistakenly removed in commit efe6dc56c.
Pointed by Lars Wendler in issue #97.

build: Include <stdint.h> for SIZE_MAX

Fixes issue #95.

Release 0.23.8

build: Include <stdint.h> for SIZE_MAX

client: Fix order of cleanup

In C_GetFunctionList, state->virt is wrapped with a destroyer function
free().  Thus p11_rpc_transport_free must be called before
p11_virtual_unwrap.

test: Add checks for duplicate vendor attributes

uri: Make vendor query attribute handling reliable

Previously we used p11_dict to keep track of vendor query attributes.
This had a couple of limitations: duplicate attributes are not allowed
while they are actually allowed in RFC 7512, and the order of
attributes is unpredictable.

This patch switches to using an array instead of p11_dict and ensures
that the attributes are sorted in alphabetical order.

Fixes #88.

common: New p11_array_insert function

common: Use reallocarray instead of realloc as appropriate

reallocarray is a new POSIX function added in glibc 2.26, with
built-in overflow checks.  Take advantage of that function for
internal array allocation.

pkcs11.h: updated information

The scute project no longer exists, and the PKCS#11 standard is
from OASIS group.

pkcs11.h: added OTP-related mechanisms

pkcs11.h: added definitions of GOST CKA attributes

pkcs11.h: added definitions of GOST mechanisms

This follows the definitions in PKCS#11 v2.40:
  http://docs.oasis-open.org/pkcs11/pkcs11-curr/v2.40/os/pkcs11-curr-v2.40-os.html

test: Fix failure on 32-bit big endian platform

The value given to p11_rpc_buffer_add_ulong_value() must be a pointer
of CK_ULONG.  Similarly, the value returned from
p11_rpc_buffer_get_ulong_value() must be converted to CK_ULONG before
comparison.

Reported by Andreas Metzler in:
https://lists.freedesktop.org/archives/p11-glue/2017-July/000665.html

trust: Fix build error with -Werror=return-type

conf: Introduce P11_KIT_NO_USER_CONFIG

Currently `ca-certificates.spec` in Fedora ends up doing in `%post`:
```
/usr/bin/p11-kit extract --format=openssl-bundle --filter=certificates --overwrite --comment $DEST/openssl/ca-bundle.trust.crt
```
etc.

And due to this bit of code in p11-kit, we end up looking for the home
directory for configuration.  In this case, `/root`.

It's categorically wrong to do this; the root user is distinct from
"the system".  This issue is equivalent to one I fixed in Pango:
https://git.gnome.org/browse/pango/commit/?id=aecbe27c1b08f517c0e05f03308d3ac55cef490c

Fast forward to today, and the reason I'm making this change is I'm working on
`rpm-ostree ex container`, which builds containers as *non-root* (like
gnome-continuous does, but now with RPMs), keeping the invoking uid. And this
bug causes the `ca-certificates` `%post` to fail because it's trying to look for
my uid 1000 which doesn't exist in the target rootfs' password database.

Again, there's no reason to be looking for a home directory for system triggers,
regadless of UID, so once this patch lands, I'll update `ca-certificates` to use
it, and traditional RPM `%post` will stop looking in `/root` too.

common: always use p11_dl_close wrapper

Solaris doesn't like it when dlclose is referenced using a define,
resulting in a linker error looking for a symbol version.  Simply
calling the function in a normal way (instead of storing its address)
solves this linking error.
The error message seen by GNU ld is:
  dlclose: invalid version 7 (max 0)

p11_get_upeer_id: implement case using ucred.h

Solaris can retrieve this information via getpeerucred().

configure: pull in -lnsl -lsocket for socket functions

Solaris has socket() etc. in these two libs.

Be silent by default and do not print messages on stderr

As p11-kit is a library there are cases where it is not desirable
to log on stderr by default. See for example this report
https://bugzilla.redhat.com/show_bug.cgi?id=1464490
where wget prints an error due to an unconfigured pkcs11 module.

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

doc: Use correct PKCS#11 URI syntax

build: Allow use of _GNU_SOURCE

This reverts commit 6b457ffc, which forbids the use of GNU extension
for the incompatibility of strerror_r.  However, now that strerror_l
is used instead on glibc systems, it has no point to do that.

debug: Add p11_debug_err to prevent use of strerror

compat: Prefer strerror_l to strerror_r

strerror_r is being obsolete in the next POSIX specification:
http://austingroupbugs.net/view.php?id=655

Release 0.23.7

trust: Suppress dead-assignment warnings from clang-analyzer

rpc: Avoid use-after-free when creating socket base directory

Spotted by clang-analyzer.

rpc: Avoid calling memcmp() on NULL buffer

Spotted by clang-analyzer.

proxy: Don't call realloc() with size 0

Spotted by clang-analyzer.

build: Delay building test programs until "make check"

This is to disable clang-analyzer against test programs, which can
contain several false-positives.

travis: Enable clang-analyzer