test: Rewrite test-server.sh in TAP style

test: Take advantage of TAP test driver

common: Add assert_skip() and assert_todo()

test-server.sh: Fix bashism

Release 0.23.10

maint: Point to the new URLs

test-server: Add test for detecting address

test-server: Fix compilation error on FreeBSD

common, client: Move runtime directory detection to libp11-common

common: Make p11_test_directory_delete() work recursively

test: Improve temporary directory handling

p11_kit_remote_serve_tokens: Read "write-protected" setting from URI

filter: Respect CKF_WRITE_PROTECTED setting when allowing a token

test: Add test for client-server interaction

The test spawns a process running the server command and connects to
it through p11-kit-client.so.  It's is a bit tricky that the child
process requires to preload libasan.so when ASan is in in effect, to
properly load a mock module.

server: Print envvars even when running in foreground

test-transport: Make sure to initialize addrlen given to accept

client: Fix memleaks in the module

test: Fix unconditional jump in test-proxy.c

doc: Replace links to freedesktop.org to github pages

trust: Forcibly mark "Default Trust" read-only

The "Default Trust" token is typically mounted as $datadir, which is
considered as read-only on modern OSes.

Suggestd by Kai Engert in:
https://bugzilla.redhat.com/show_bug.cgi?id=1523630

po: Update translations from transifex

build: Add more files to .gitignore

travis: Exclude generated files from coverage

build: Split out generated code from p11-kit/virtual.c

trust: Filter out duplicate extensions

The trust policy module keeps all the objects in the database, while
PKIX doesn't allow multiple extensions identified by the same OID can
be attached to a certificate.  Add a check to C_FindObjects to exclude
any duplicates and only return the first matching object.

It would be better if the module rejects such duplicates when loading,
but it would make startup slower.

https://bugzilla.redhat.com/show_bug.cgi?id=1141241

build: Delay compilation of test-related stuff

proxy: Remove dead code

Since the libffi became optional (commit 9f632bed), the fallback code
path in proxy.c has never taken.

proxy: Reuse the existing slot ID mapping after fork

While the proxy module reassigns slot IDs in C_Initialize(), some
applications assume that valid slot IDs should never change across
multiple calls to C_Initialize().  This patch mitigates this by
preserving the slot IDs, if they are known to the proxy module.

server: Avoid null-dereference of timespec value on timeout

Spotted by clang-analyzer.

Added p11-kit remoting page in manual

build: Add README.md to display build status

travis: Exclude test programs from coveralls

travis: Supply necessary envvars to container for coveralls

travis: Use in-tree build for coverage

The coverage tools (gcov, cpp-coveralls, etc) cannot detect source
files if the project is built out-of-tree.  Use the same directory for
$srcdir and $builddir for the build with --enable-coverage.

test: Improve code coverage of filter.c

travis: Use coveralls for measuring coverage

p11_kit_override_system_files: introduced new function

That allows overriding the default module and configuration
locations, for use in test suites, etc.

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

p11_kit_modules_load*: enhanced documentation on flags

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

build: Take advantage of parallel-tests

server: Better shell integration

This adds -k, -c, and -s options to the "p11-kit server" command,
which allows you to terminate the server process, select which C-shell
or Bourne shell command line is printed on startup, respectively.

server: Make it possible to eval envvar settings

Previously, calling "eval $(p11-kit server)" from shell hung because
the program didn't properly close stdout before forking.

Release 0.23.9

trust: Respect anyExtendedKeyUsage in CA certificates

rpc: Fix crash when retrieving attribute length

It is possible that NULL is given to the serializers, when
C_GetAttributeValue() just wants to know the size of an attribute.
Previously, this resulted in giving NULL to memcpy().

server: Make it work only when token URI is provided

Previously, when "p11-kit server" started only with a token URI, it
couldn't properly find and initialize the module which provides the
token.  This was because of the wrong order of cleanup of the modules.

common: Re-add placeholder definition of p11_debug

This was mistakenly removed in commit efe6dc56c.
Pointed by Lars Wendler in issue #97.

build: Include <stdint.h> for SIZE_MAX

Fixes issue #95.

Release 0.23.8

build: Include <stdint.h> for SIZE_MAX

client: Fix order of cleanup

In C_GetFunctionList, state->virt is wrapped with a destroyer function
free().  Thus p11_rpc_transport_free must be called before
p11_virtual_unwrap.

test: Add checks for duplicate vendor attributes

uri: Make vendor query attribute handling reliable

Previously we used p11_dict to keep track of vendor query attributes.
This had a couple of limitations: duplicate attributes are not allowed
while they are actually allowed in RFC 7512, and the order of
attributes is unpredictable.

This patch switches to using an array instead of p11_dict and ensures
that the attributes are sorted in alphabetical order.

Fixes #88.

common: New p11_array_insert function

common: Use reallocarray instead of realloc as appropriate

reallocarray is a new POSIX function added in glibc 2.26, with
built-in overflow checks.  Take advantage of that function for
internal array allocation.

pkcs11.h: updated information

The scute project no longer exists, and the PKCS#11 standard is
from OASIS group.

pkcs11.h: added OTP-related mechanisms

pkcs11.h: added definitions of GOST CKA attributes

pkcs11.h: added definitions of GOST mechanisms

This follows the definitions in PKCS#11 v2.40:
  http://docs.oasis-open.org/pkcs11/pkcs11-curr/v2.40/os/pkcs11-curr-v2.40-os.html

test: Fix failure on 32-bit big endian platform

The value given to p11_rpc_buffer_add_ulong_value() must be a pointer
of CK_ULONG.  Similarly, the value returned from
p11_rpc_buffer_get_ulong_value() must be converted to CK_ULONG before
comparison.

Reported by Andreas Metzler in:
https://lists.freedesktop.org/archives/p11-glue/2017-July/000665.html

trust: Fix build error with -Werror=return-type

conf: Introduce P11_KIT_NO_USER_CONFIG

Currently `ca-certificates.spec` in Fedora ends up doing in `%post`:
```
/usr/bin/p11-kit extract --format=openssl-bundle --filter=certificates --overwrite --comment $DEST/openssl/ca-bundle.trust.crt
```
etc.

And due to this bit of code in p11-kit, we end up looking for the home
directory for configuration.  In this case, `/root`.

It's categorically wrong to do this; the root user is distinct from
"the system".  This issue is equivalent to one I fixed in Pango:
https://git.gnome.org/browse/pango/commit/?id=aecbe27c1b08f517c0e05f03308d3ac55cef490c

Fast forward to today, and the reason I'm making this change is I'm working on
`rpm-ostree ex container`, which builds containers as *non-root* (like
gnome-continuous does, but now with RPMs), keeping the invoking uid. And this
bug causes the `ca-certificates` `%post` to fail because it's trying to look for
my uid 1000 which doesn't exist in the target rootfs' password database.

Again, there's no reason to be looking for a home directory for system triggers,
regadless of UID, so once this patch lands, I'll update `ca-certificates` to use
it, and traditional RPM `%post` will stop looking in `/root` too.

common: always use p11_dl_close wrapper

Solaris doesn't like it when dlclose is referenced using a define,
resulting in a linker error looking for a symbol version.  Simply
calling the function in a normal way (instead of storing its address)
solves this linking error.
The error message seen by GNU ld is:
  dlclose: invalid version 7 (max 0)

p11_get_upeer_id: implement case using ucred.h

Solaris can retrieve this information via getpeerucred().

configure: pull in -lnsl -lsocket for socket functions

Solaris has socket() etc. in these two libs.

Be silent by default and do not print messages on stderr

As p11-kit is a library there are cases where it is not desirable
to log on stderr by default. See for example this report
https://bugzilla.redhat.com/show_bug.cgi?id=1464490
where wget prints an error due to an unconfigured pkcs11 module.

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

doc: Use correct PKCS#11 URI syntax

build: Allow use of _GNU_SOURCE

This reverts commit 6b457ffc, which forbids the use of GNU extension
for the incompatibility of strerror_r.  However, now that strerror_l
is used instead on glibc systems, it has no point to do that.

debug: Add p11_debug_err to prevent use of strerror

compat: Prefer strerror_l to strerror_r

strerror_r is being obsolete in the next POSIX specification:
http://austingroupbugs.net/view.php?id=655

Release 0.23.7

trust: Suppress dead-assignment warnings from clang-analyzer

rpc: Avoid use-after-free when creating socket base directory

Spotted by clang-analyzer.

rpc: Avoid calling memcmp() on NULL buffer

Spotted by clang-analyzer.

proxy: Don't call realloc() with size 0

Spotted by clang-analyzer.

build: Delay building test programs until "make check"

This is to disable clang-analyzer against test programs, which can
contain several false-positives.

travis: Enable clang-analyzer

server: Avoid use-after-free

Reported by Mantas Mikulėnas in:
https://bugs.freedesktop.org/show_bug.cgi?id=101212

Release 0.23.6

test: Check the size of unsigned long

rpc: Load advapi32.dll on the fly

remote: Remove unnecessary declaration

doc: Clarify p11-kit server documentation

server: Port to Windows

Instead of a Unix domain socket on Unix, use a named pipe on Windows.

rpc: New p11_kit_remote_serve_tokens function

remote: Name command line options consistently

rpc: Convert mechanism parameters for portability

This is similar to commit ba49b85e, but for mechanism parameters.

pkcs11: Define RSA-PSS mechanism parameter

pkcs11: Make CK_RSA_PKCS_OAEP_PARAMS useful

rpc: Fix typo in encoding CK_DATE value

rpc: Factor out attribute value serializer definitions

rpc: Add a comment why we call _get_attribute() twice

rpc: Convert attribute value for portability

When using the RPC across multiple architectures, where data models
are different, say LP64 vs ILP32, there can be unwanted truncation of
attribute values.

This patch converts the values into portable format for the known
attributes.

Co-authored-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

rpc: Return early if call_id of request is ERROR

Otherwise it will cause assertion failure in a few lines below.
Spotted by amrican fuzzy lop.

build: Add fuzzer using AFL

trust: Simplify the check for the magic

Instead of reusing the CKA_X_GENERATED attribute, check the file
contents directly in the caller side.

trust: Check magic comment in persist file for modifiablity

A persistent file written by the trust module starts with the line "#
This file has been auto-generated and written by p11-kit".  This can
be used as a magic word to determine whether the objects read from a
.p11-kit file are read-only.

Revert "trust: Honor "modifiable" setting in persist file"

This reverts commit 8eed1e60b0921d05872e2f43eee9088cef038d7e, which
broke "trust anchor --remove".

remote: Fix typo when writing a credential byte

out_fd is not always 1 when p11_kit_remote_serve_module() is used for
writing a custom server.

correct text for --user-config option

Release 0.23.5