modules: check gl.modules before iterates on it when freeing

In some circumstances, as described in the BZ, can happen that
free_modules_when_no_refs_unlocked() is called multiple times
when the module destructor is invoked.
We should check gl.modules before iterates on it in the
free_modules_when_no_refs_unlocked() functions, to avoid
a SIGSEGV.

Bugzilla: https://bugzilla.redhat.com/show_bug.cgi?id=1680963

trust: Ignore unreadable content in anchors

This amends eb503f3a1467f21a5ecc9ae84ae23b216afc102f.  Instead of
failing C_FindObjectsInit, treat any errors internally and accumulates
the successfully loaded certificates.

Reported by Andrej Kvasnica in:
https://bugzilla.redhat.com/show_bug.cgi?id=1675441

extract-jks: Prefer _p11_extract_jks_timestamp to SOURCE_DATE_EPOCH

Give _p11_extract_jks_timestamp precedence over SOURCE_DATE_EPOCH so
that the test results are not affected by the envvar settings.

Release 0.23.15

pem: Fix assert condition

If the PEM header is "-----BEGIN -----", *type should be an empty
string and the parser shouldn't fail.  Reported by Han Han in:
https://bugzilla.redhat.com/show_bug.cgi?id=1665172

test: Add test that exercises duplicated certs in JKS

trust: Fix alias generation in JKS extractor

When there is a duplicate, the JKS extractor previously assigned
somewhat obscure name "-<digit>" (not "<name>-<digit>").

trust: Continue parsing if the file cannot be read as persist format

A corrupted file that contains "[p11-kit-object-v1]" can be a valid
PEM certs file.  Continue with the next format if it cannot be read as
a persistent format.

trust: p11_token_load: Treat parse error as failure

Those conditions can happen when the trust file is corrupted, so it
makes more sense to treat them as a failure instead of programmer
error.

trust: Fail if trust anchors are not loaded from a file

If the trust path is a file, treat parse error as fatal and abort the
C_FindObjectsInit call.

trust: Propagate library verbosity to module through init_args

Previously, even when the -v option is used with the 'trust' command,
the messages from p11-kit-trust.so module were suppressed because the
verbosity setting is not propagated to the module.

build: Fix typo spotted by codespell

doc: Make log-calls match the rest of the document style

build: Simplify assertions

Let it leak memory when we assert, so not to confuse static analyzers
as if this is the normal case.

travis: Add cppcheck profile

travis: Allow profile override

build: Suppress cppcheck errors

tests: Ensure p11_proxy_module_cleanup is called

Reported and suggested in #197.

url: Prefer upper-case letters in hex characters when encoding

This makes it more compliant with RFC 3986, where the use of
upper-case letters is recommended (as "SHOULD").

Suggested by Sumit Bose.

trust/extract-jks.c: also honor SOURCE_DATE_EPOCH time

For reproducible builds, accept a define timestamp for the java
keystore.

See https://reproducible-builds.org/docs/source-date-epoch/

build: Require pkg.m4 >= 0.29 at bootstrap

virtual: Prefer fixed closures to libffi closures

On some circumstances (such as when loading p11-kit-proxy from httpd),
it is known that creation of libffi closure always fails, due to
SELinux policy.  Although this is harmless, it pollutes the journal
and gives wrong hints when troubleshooting.  This patch changes the
order of preference of libffi vs pre-compiled closures to avoid that.

trust: Check index->buckets is allocated on cleanup

rpc-server: Check calloc failure

trust: Set umask before calling mkstemp

proxy: Fix null dereference when reusing slots

rpc-server: p11_kit_remote_serve_tokens: Fix memleak

build: Check return value of p11_rpc_buffer_get_uint64

build: Check return value of p11_dict_set

build: Free memory before return{,_val}_if_* macros

build: Call va_end() always when leaving the function

debug: Work around cppcheck false-positives

https://trac.cppcheck.net/ticket/8794

common: use /proc only on Linux

Non-Linux systems do not have /proc, so do not attempt to open it and
eliminate an unnecessary access() syscall on those systems.

pkcs11: Don't redefine CKM_CAMELLIA_KEY_GEN

Also reorder the CKM_CAMELLIA_* definitions.

Release 0.23.14

virtual: Tighten error handling when fixed closures are exhausted

virtual: Don't be too loud about recoverable failure

trust: Factor out module initialization into separate file

This prevents double call to p11_library_init() in test-module.c, once
from the ELF constructor, and secondly from the test itself.

common: Factor out common initializer code into a header

travis: Manually install cpp-coveralls

To accommodate the gcov format change in gcc 8.1:
https://github.com/eddyxu/cpp-coveralls/pull/127
which is not yet available in the pip version.

travis: Check valgrind exit code more strictly

README.md: Add CII Best Practices badge

README.md: Mention contact method for security issues

Revert "build: Explicitly link threaded test programs to libpthread"

This reverts commit dc4a6eaddbb36a344cc6a9c7eb12cab9df4899b0.

Revert "build: Stop linking the library with libpthread when possible"

This reverts commit 50f8906e63c9413a7687bab6608496d83c29a222.

Revert "common: Prefer __register_atfork() to pthread_atfork() if possible"

This reverts commit ce3cec7f8742254b8627b9db48973b81e91cbfc8.

Revert "build: Link to libpthread, if pthread_atfork() needs to be used"

This reverts commit 541d79cb651cfd3238b9aa41fce70208df8e9496.

Update pkcs11 header to allow SoftHSMv2 to compile

Replace vendor-specific values with the IDs from PKCS11 v3.0 for those
constants that were already standardized.

travis: Check that proxy module can be loaded and unloaded

proxy: Avoid invalid memory access when unloading proxy module

When loading and unloading p11-kit-proxy.so with pkcs11-tool, it
accesses already free'd memory area:

$ valgrind pkcs11-tool --module p11-kit-proxy.so -L
==25173== Invalid read of size 8
==25173==    at 0x64BF493: p11_proxy_module_cleanup (proxy.c:1724)
==25173==    by 0x64BD028: _p11_kit_fini (proxy-init.c:65)
==25173==    by 0x401477C: _dl_close_worker (in /usr/lib64/ld-2.27.so)
==25173==    by 0x4014E1D: _dl_close (in /usr/lib64/ld-2.27.so)
==25173==    by 0x5E08C4E: _dl_catch_exception (in /usr/lib64/libc-2.27.so)
==25173==    by 0x5E08CDE: _dl_catch_error (in /usr/lib64/libc-2.27.so)
==25173==    by 0x58B1724: _dlerror_run (in /usr/lib64/libdl-2.27.so)
==25173==    by 0x58B1113: dlclose (in /usr/lib64/libdl-2.27.so)
==25173==    by 0x11E5A7: ??? (in /usr/bin/pkcs11-tool)
==25173==    by 0x110023: ??? (in /usr/bin/pkcs11-tool)
==25173==    by 0x5CF624A: (below main) (in /usr/lib64/libc-2.27.so)
==25173==  Address 0x61231c8 is 552 bytes inside a block of size 584 free'd
==25173==    at 0x4C2FDAC: free (vg_replace_malloc.c:530)
==25173==    by 0x6548492: p11_virtual_unwrap (virtual.c:2902)
==25173==    by 0x64BF492: p11_proxy_module_cleanup (proxy.c:1723)

build: Link to libpthread, if pthread_atfork() needs to be used

On non-glibc systems (e.g., FreeBSD), pthread_atfork() stub is
provided as a nop and our fork detection mechanism doesn't work.  Pull
in the actual implementation from libpthread in that case.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

build: Don't install systemd unit files when "make distcheck"

Release 0.23.13

common: Prefer __register_atfork() to pthread_atfork() if possible

build: Stop linking the library with libpthread when possible

common: Use thread-local storage class when possible

This eliminates the unconditional use of pthread_{get,set}specific()
and pthread_key_{create,delete}(), which glibc doesn't provide the stubs.

build: Explicitly link threaded test programs to libpthread

Some test programs use pthread_create(), which glibc doesn't provide
the stub.  Link those programs with -lpthread.

common, p11-kit, trust: Use pthread_once only when necessary

If the ELF constructor is usable, we don't really need the once-init
function because it is guaranteed that the code runs only once in the
constructor.

common: Use static mutex initializer when possible

This eliminates the use of pthread_mutexattr_* functions, which glibc
doesn't provide the stubs.

server: Avoid FD leak in error cases

Spotted by coverity.

trust: Clarify C_Login behavior that returns an error

proxy: Fail early if there is no slot mappings

travis: Install pip for coveralls

rpc-server: p11_kit_remote_serve_tokens: Allow exporting all modules

This patch removes the restriction of p11_kit_remote_serve_tokens()
that were not capable of serving tokens across multiple modules.

build: Use separate p11-kit-{remote,server} executable for testing

Otherwise, the p11-kit-remote program called from p11-kit-server would
load the system modules instead of the local fixtures.

proxy: Allow proxy to be created from the library

Previously, to aggregate multiple modules into one, there was no other
way than loading the proxy module.  From the p11-kit applications,
however, it is not possible to load that module because of the
recursive loading check (p11_proxy_module_check).

This patch adds another means to aggregate modules, through a library
function p11_proxy_module_create.

proxy: Turn global variables module local

build: Make reallocarray detection robuster

On NetBSD, reallocarray is not declared until _OPENBSD_SOURCE is
defined.  Reported by Patrick Welche in:
https://lists.freedesktop.org/archives/p11-glue/2018-July/000691.html

server: Enable socket activation through systemd

This enables socket activation of "p11-kit server" through systemd.
The feature provided is essentially the same as commit
a4fb2bb5 (reverted), but implemented with "p11-kit server" and
libsystemd API instead of wrapping "p11-kit remote" in the unit file.

Note that, while it exposes all tokens through the socket, it doesn't
increase attack surface beyond the PKCS#11 binary interface provided
by p11-kit-proxy.so, because the service is per-user.

build: Ease issetugid() check when cross-compiling

When cross-compiling, the configure check for issetugid() aborts,
because of the pessimistic default of AC_RUN_IFELSE.  This patch
provides the non-pessimistic default to AC_RUN_IFELSE and wrap the
macro invocation with AC_CACHE_CHECK so that the user can override the
check by setting ac_cv_issetugid_openbsd=yes, as suggested in:
https://www.gnu.org/savannah-checkouts/gnu/autoconf/manual/autoconf-2.69/html_node/Runtime.html#Runtime

Release 0.23.12

travis: Add build scripts for macOS

travis: Use matrix

test: Avoid unnecessary memory allocation

common: Fix runtime directory detection when given prefix is long

common: Don't rely on issetugid() when it is broken

On macOS and FreeBSD, issetugid() has different semantics from the
original OpenBSD implementation and cannot reliably detect if the
process made setuid/setgid:
https://gist.github.com/nicowilliams/4daf74a3a0c86848d3cbd9d0cdb5e26e

This should fix:
https://bugs.freedesktop.org/show_bug.cgi?id=67451
https://bugs.freedesktop.org/show_bug.cgi?id=100287

build: Don't use locale funcs if locale_t is not defined in locale.h

On macOS, locale_t is not defined in <locale.h>.  Although it is
defined in <xlocale.h>, we rather not use locales at all for POSIX
compliance.

pkcs11: Exercise GNU calling convention at compile time

build: Simplify README inclusion

Use symlink in the repository, instead of copying.

NEWS: Mention latest changes

build: Delay building mock-six.la until "make check"

build: Include README in the distribution

As we removed README from the repository, it is no longer
automatically picked up for the distribution by Automake.

build: Fix ChangeLog generation

build: Remove obsolete upload rules

build: Include p11-kit/test-messages.sh in distribution

uri: Make scheme comparison case-insensitive

RFC 3986 suggests that implementations should accept uppercase letters
as equivalent to lowercase in scheme names.

common: Make case conversion locale independent

The tolower()/toupper() functions take into account of the current
locale settings, which p11-kit doesn't want.  Add replacement
functions that work as if they are called under the C locale.

Improve const correctness for P11KitUri

This does not improve const for the getters. The reason for this is that
they are usually passed into the PKCS#11 APIs directly and these APIs
are not const correct. Trying to force const correctnesss here would
result in pain for library consumers.

This is an API and ABI compatible change.

README: replace by README.md

That is, use README.md as primary source to generate README as
README is required by the GNU guidelines. We don't try to convert
to "real" plain text as markdown is readable, and to avoid introducing
another dependency (e.g., pandoc).

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

NEWS: mark the 0.23 series as stable

Resolves #80

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

README.md: added reference to Daiki's key

Resolves #153

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

Release 0.23.11

common: Pacify clang-analyzer

trust: Avoid array overflow

trust: Don't null terminate PKCS #11 string fields

proxy: Don't null terminate PKCS #11 string fields

test: Avoid exceeding maximum pathname length of Unix socket

library: Use dedicated locale object for printing error

Revert "build: Check strerror_l() and uselocale() seperately"

This reverts commit 173ad93cc54057886b2055f3d73ea64a047127d1.

We should rather use newlocale() when per-thread locale is not set.
Otherwise uselocale() could return LC_GLOBAL_LOCALE on some
platforms (e.g. musl-libc) and calling strerror_l() with it leads to
an undefined behavior.

build: Check strerror_l() and uselocale() seperately

NetBSD deliberately doesn't support per-thread locale and our
thread-safe replacement of strerror() using strerror_l() cannot be
used.  Fallback to strerror_r() in that case.