build: Include <stdint.h> for SIZE_MAX

Fixes issue #95.

Release 0.23.8

build: Include <stdint.h> for SIZE_MAX

client: Fix order of cleanup

In C_GetFunctionList, state->virt is wrapped with a destroyer function
free().  Thus p11_rpc_transport_free must be called before
p11_virtual_unwrap.

test: Add checks for duplicate vendor attributes

uri: Make vendor query attribute handling reliable

Previously we used p11_dict to keep track of vendor query attributes.
This had a couple of limitations: duplicate attributes are not allowed
while they are actually allowed in RFC 7512, and the order of
attributes is unpredictable.

This patch switches to using an array instead of p11_dict and ensures
that the attributes are sorted in alphabetical order.

Fixes #88.

common: New p11_array_insert function

common: Use reallocarray instead of realloc as appropriate

reallocarray is a new POSIX function added in glibc 2.26, with
built-in overflow checks.  Take advantage of that function for
internal array allocation.

pkcs11.h: updated information

The scute project no longer exists, and the PKCS#11 standard is
from OASIS group.

pkcs11.h: added OTP-related mechanisms

pkcs11.h: added definitions of GOST CKA attributes

pkcs11.h: added definitions of GOST mechanisms

This follows the definitions in PKCS#11 v2.40:
  http://docs.oasis-open.org/pkcs11/pkcs11-curr/v2.40/os/pkcs11-curr-v2.40-os.html

test: Fix failure on 32-bit big endian platform

The value given to p11_rpc_buffer_add_ulong_value() must be a pointer
of CK_ULONG.  Similarly, the value returned from
p11_rpc_buffer_get_ulong_value() must be converted to CK_ULONG before
comparison.

Reported by Andreas Metzler in:
https://lists.freedesktop.org/archives/p11-glue/2017-July/000665.html

trust: Fix build error with -Werror=return-type

conf: Introduce P11_KIT_NO_USER_CONFIG

Currently `ca-certificates.spec` in Fedora ends up doing in `%post`:
```
/usr/bin/p11-kit extract --format=openssl-bundle --filter=certificates --overwrite --comment $DEST/openssl/ca-bundle.trust.crt
```
etc.

And due to this bit of code in p11-kit, we end up looking for the home
directory for configuration.  In this case, `/root`.

It's categorically wrong to do this; the root user is distinct from
"the system".  This issue is equivalent to one I fixed in Pango:
https://git.gnome.org/browse/pango/commit/?id=aecbe27c1b08f517c0e05f03308d3ac55cef490c

Fast forward to today, and the reason I'm making this change is I'm working on
`rpm-ostree ex container`, which builds containers as *non-root* (like
gnome-continuous does, but now with RPMs), keeping the invoking uid. And this
bug causes the `ca-certificates` `%post` to fail because it's trying to look for
my uid 1000 which doesn't exist in the target rootfs' password database.

Again, there's no reason to be looking for a home directory for system triggers,
regadless of UID, so once this patch lands, I'll update `ca-certificates` to use
it, and traditional RPM `%post` will stop looking in `/root` too.

common: always use p11_dl_close wrapper

Solaris doesn't like it when dlclose is referenced using a define,
resulting in a linker error looking for a symbol version.  Simply
calling the function in a normal way (instead of storing its address)
solves this linking error.
The error message seen by GNU ld is:
  dlclose: invalid version 7 (max 0)

p11_get_upeer_id: implement case using ucred.h

Solaris can retrieve this information via getpeerucred().

configure: pull in -lnsl -lsocket for socket functions

Solaris has socket() etc. in these two libs.

Be silent by default and do not print messages on stderr

As p11-kit is a library there are cases where it is not desirable
to log on stderr by default. See for example this report
https://bugzilla.redhat.com/show_bug.cgi?id=1464490
where wget prints an error due to an unconfigured pkcs11 module.

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

doc: Use correct PKCS#11 URI syntax

build: Allow use of _GNU_SOURCE

This reverts commit 6b457ffc, which forbids the use of GNU extension
for the incompatibility of strerror_r.  However, now that strerror_l
is used instead on glibc systems, it has no point to do that.

debug: Add p11_debug_err to prevent use of strerror

compat: Prefer strerror_l to strerror_r

strerror_r is being obsolete in the next POSIX specification:
http://austingroupbugs.net/view.php?id=655

Release 0.23.7

trust: Suppress dead-assignment warnings from clang-analyzer

rpc: Avoid use-after-free when creating socket base directory

Spotted by clang-analyzer.

rpc: Avoid calling memcmp() on NULL buffer

Spotted by clang-analyzer.

proxy: Don't call realloc() with size 0

Spotted by clang-analyzer.

build: Delay building test programs until "make check"

This is to disable clang-analyzer against test programs, which can
contain several false-positives.

travis: Enable clang-analyzer

server: Avoid use-after-free

Reported by Mantas Mikulėnas in:
https://bugs.freedesktop.org/show_bug.cgi?id=101212

Release 0.23.6

test: Check the size of unsigned long

rpc: Load advapi32.dll on the fly

remote: Remove unnecessary declaration

doc: Clarify p11-kit server documentation

server: Port to Windows

Instead of a Unix domain socket on Unix, use a named pipe on Windows.

rpc: New p11_kit_remote_serve_tokens function

remote: Name command line options consistently

rpc: Convert mechanism parameters for portability

This is similar to commit ba49b85e, but for mechanism parameters.

pkcs11: Define RSA-PSS mechanism parameter

pkcs11: Make CK_RSA_PKCS_OAEP_PARAMS useful

rpc: Fix typo in encoding CK_DATE value

rpc: Factor out attribute value serializer definitions

rpc: Add a comment why we call _get_attribute() twice

rpc: Convert attribute value for portability

When using the RPC across multiple architectures, where data models
are different, say LP64 vs ILP32, there can be unwanted truncation of
attribute values.

This patch converts the values into portable format for the known
attributes.

Co-authored-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

rpc: Return early if call_id of request is ERROR

Otherwise it will cause assertion failure in a few lines below.
Spotted by amrican fuzzy lop.

build: Add fuzzer using AFL

trust: Simplify the check for the magic

Instead of reusing the CKA_X_GENERATED attribute, check the file
contents directly in the caller side.

trust: Check magic comment in persist file for modifiablity

A persistent file written by the trust module starts with the line "#
This file has been auto-generated and written by p11-kit".  This can
be used as a magic word to determine whether the objects read from a
.p11-kit file are read-only.

Revert "trust: Honor "modifiable" setting in persist file"

This reverts commit 8eed1e60b0921d05872e2f43eee9088cef038d7e, which
broke "trust anchor --remove".

remote: Fix typo when writing a credential byte

out_fd is not always 1 when p11_kit_remote_serve_module() is used for
writing a custom server.

correct text for --user-config option

Release 0.23.5

build: Remove systemd unit files for now

Given that the remote proxy service shall be only used by NetworkManager
and not generally useful, revert commit
a4fb2bb587fb1a0146cf97f039b671d3258488f9 for now.

Once the necessary command that runs the proxy module is implemented in
p11-kit, maybe NetworkManager itself could install those files.

systemd: Fix location of p11-kit-remote

The p11-kit-remote executable is now located under $libexecdir, but we
should use the p11-kit command to launch the subcommand.

fixed license in unix peer file

build: add missing includes for FreeBSD

Include signal.h for kill(2) and SIGKILL on FreeBSD.

build: check for getpeereid

In common/unix-peer.c, we are checking if HAVE_GETPEEREID is defined,
however, we never actually check if getpeereid() is available, so
fix that by checking this function using AC_CHECK_FUNCS().

Release 0.23.4

uri: Support vendor query attributes

If an unknown attribute is present in the query part of the PKCS#11 URI,
the parser treated it as unrecognized and subsequent matches failed.

Instead, keep track of such attributes and provide a set of API to deal
with them.

rpc: Make it less verbose about connection failure

The connection failure here is not fatal.  Use p11_debug() instead of
p11_message().

rpc: Try $XDG_CACHE_HOME before ~/.cache

This is unset on most systems, but might as well follow the Base
Directory spec properly.

trust: Honor "modifiable" setting in persist file

Previously, all objects read from p11-kit persist files are marked as
modifiable when parsing, regardless of the explicit "modifiable: false"
setting in the file.

Reported by Kai Engert in:
https://bugs.freedesktop.org/show_bug.cgi?id=99797

rpc: Add PKCS#11 module that connects to socket

This patch adds a PKCS#11 module that connects to the p11-kit server
exposed on the filesystem.  The filename of the socket is determined in
the following order:

- $P11_KIT_SERVER_ADDRESS, if the envvar is available
- $XDG_RUNTIME_DIR/p11-kit/pkcs11, if the envvar is available
- /run/$(id -u)/p11-kit/pkcs11, if /run/$(id -u) exists
- /var/run/$(id -u)/p11-kit/pkcs11, if /var/run/$(id -u) exists
- ~/.cache/p11-kit/pkcs11.

Note that the program loading this module may have called setuid() and
secure_getenv() which we use for fetching envvars could return NULL.

remote: Add API to serve a token

remote, server: Recognize PKCS#11 URI

p11-kit: Add 'p11-kit server' command

This adds a new tool to the p11-kit command called 'server', which
allows us to access a PKCS#11 module over a Unix domain socket.

Internally, it is implemented as a wrapper around 'p11-kit remote'.
Upon connection it executes 'p11-kit remote' in a forked process.

common: New p11_get_upeer_id() function

rpc: New rpc_unix transport based on Unix socket

common: Add path encoding functions

This adds p11_path_{encode,decode}(), following the escaping rule
described in:
https://dbus.freedesktop.org/doc/dbus-specification.html#addresses

Although they are merely a wrapper around p11_url_{decode,encode}(),
having dedicated functions hides the implementation details.

travis: Enable mingw64 cross build

trust: Fix uninitialized value in anchor command

library: Initialize p11_virtual_mutex for Windows

test: Fix modules test for Windows

Synchronize the fixture module to the non-Unix one and enable
"/modules/test_filename".

trust: Fix saving trust file on Windows

test: Fix Windows test case for p11_path_expand

rpc: Port exec transport to Windows

On Windows, use _spawnv() to create a subprocess and two unidirectional
pipe created with _pipe() to communicate with it.  If we can assume
WinSock, it might be simpler to use a socketpair() replacement from:
https://github.com/ncm/selectable-socketpair.

build: Adjust executable/module names for Windows

Append EXEEXT or SHLEXT to the filename if needed.

build: Avoid undefined reference to rpc_exec_init

build: Include <unistd.h> for execv

build: Check *asprintf on all platforms

argv: Fix misinterpretation of backslash in quotes

Don't append the backslash character twice to the output.  It is
interpolated a few lines below, if it is really required.

compat: Fix character generation in mk{s,d}temp()

Fix a typo in "x-cetrificate-value", see also https://bugs.freedesktop.org/show_bug.cgi?id=99600

Support loading new NSS attribute CKA_NSS_MOZILLA_CA_POLICY from .p11-kit files.
See also NSS bug https://bugzilla.mozilla.org/show_bug.cgi?id=1334976
and p11-kit bug https://bugs.freedesktop.org/show_bug.cgi?id=99453

library: Deinit p11_virtual_mutex

Follow-up fix for commit 4d228aa0, which forgot to clear
p11_virtual_mutex on library finalization.

virtual: Move mutex into p11_library_init()

We used to provide p11_virtual_fixed_{,un}init() to only initialize a
mutex used in virtual.c.  That required all the tests calling virtual
functions to call p11_virtual_fixed_{,un}init() in main().

For simplicity, move the mutex variable initialization into
p11_library_init().

trust: Revert to the original 'extract' behavior

Since commit f4384a40, due to a missing ex->flags setting, the 'trust
extract' command didn't retrieve correlation between related objects and
that was causing assertion failure when writing PEM files.

https://bugs.freedesktop.org/show_bug.cgi?id=99795

filter: New virtual wrapper for access control

iter: Enable iteration over slots/tokens/modules

While PKCS#11 URI can identify slots/tokens/modules, P11KitIter is only
capable of iterating over objects.

This patch adds new behaviors to P11KitIter to support iterations over
slots/tokens/modules, using the C coroutine trick as described in:
http://www.chiark.greenend.org.uk/~sgtatham/coroutines.html

uri: Relax pin-* parsing for compatibility

While 'pin-source' and 'pin-value' are defined as query atttribute, they
were defined as path attribute in earlier drafts, and some
implementations still stick to it.

For backward compatibility, accept those in path attributes when
parsing (but not when formatting).

Reported by Andreas Metzler in:
https://lists.freedesktop.org/archives/p11-glue/2017-January/000637.html

trust: Implement a 'trust dump' command

This dumps all the PKCS#11 objects in the internal .p11-kit
persistence format.

This is part of the trust command and tooling, even though
at some point it could go in the p11-kit command. The reason
for this is that the code related to the internal .p11-kit
objects is in the trust code, and consumed solely by the
trust related modules.

trust: Don't encode spaces when writing .p11-kit format

These should not be encoded by default for readability in
strings.

trust: Add an "all" filter option for trust commands

trust: Make extraction and correlation of certificate info optional

This is so that the code can be shared by the upcoming 'trust dump'
command where correlation between related objects is not desired.

trust: Load all attributes for each object when enumerating

We load all known attributes for each object we're enumerating
over in the 'trust list' and 'trust extract' commands.

virtual: Make virtual-fixed internal API cleaner

Add proper inclusion guard to virtual-fixed.h and move the declarations
of the (un)initialization functions there.

test: Release transport mock module

To prevent leaks of fixed closures, p11_kit_module_release() needs to be
called on the mock module itself.

test: Check exhaustion of fixed closures