Release 0.23.5

build: Remove systemd unit files for now

Given that the remote proxy service shall be only used by NetworkManager
and not generally useful, revert commit
a4fb2bb587fb1a0146cf97f039b671d3258488f9 for now.

Once the necessary command that runs the proxy module is implemented in
p11-kit, maybe NetworkManager itself could install those files.

systemd: Fix location of p11-kit-remote

The p11-kit-remote executable is now located under $libexecdir, but we
should use the p11-kit command to launch the subcommand.

fixed license in unix peer file

build: add missing includes for FreeBSD

Include signal.h for kill(2) and SIGKILL on FreeBSD.

build: check for getpeereid

In common/unix-peer.c, we are checking if HAVE_GETPEEREID is defined,
however, we never actually check if getpeereid() is available, so
fix that by checking this function using AC_CHECK_FUNCS().

Release 0.23.4

uri: Support vendor query attributes

If an unknown attribute is present in the query part of the PKCS#11 URI,
the parser treated it as unrecognized and subsequent matches failed.

Instead, keep track of such attributes and provide a set of API to deal
with them.

rpc: Make it less verbose about connection failure

The connection failure here is not fatal.  Use p11_debug() instead of
p11_message().

rpc: Try $XDG_CACHE_HOME before ~/.cache

This is unset on most systems, but might as well follow the Base
Directory spec properly.

trust: Honor "modifiable" setting in persist file

Previously, all objects read from p11-kit persist files are marked as
modifiable when parsing, regardless of the explicit "modifiable: false"
setting in the file.

Reported by Kai Engert in:
https://bugs.freedesktop.org/show_bug.cgi?id=99797

rpc: Add PKCS#11 module that connects to socket

This patch adds a PKCS#11 module that connects to the p11-kit server
exposed on the filesystem.  The filename of the socket is determined in
the following order:

- $P11_KIT_SERVER_ADDRESS, if the envvar is available
- $XDG_RUNTIME_DIR/p11-kit/pkcs11, if the envvar is available
- /run/$(id -u)/p11-kit/pkcs11, if /run/$(id -u) exists
- /var/run/$(id -u)/p11-kit/pkcs11, if /var/run/$(id -u) exists
- ~/.cache/p11-kit/pkcs11.

Note that the program loading this module may have called setuid() and
secure_getenv() which we use for fetching envvars could return NULL.

remote: Add API to serve a token

remote, server: Recognize PKCS#11 URI

p11-kit: Add 'p11-kit server' command

This adds a new tool to the p11-kit command called 'server', which
allows us to access a PKCS#11 module over a Unix domain socket.

Internally, it is implemented as a wrapper around 'p11-kit remote'.
Upon connection it executes 'p11-kit remote' in a forked process.

common: New p11_get_upeer_id() function

rpc: New rpc_unix transport based on Unix socket

common: Add path encoding functions

This adds p11_path_{encode,decode}(), following the escaping rule
described in:
https://dbus.freedesktop.org/doc/dbus-specification.html#addresses

Although they are merely a wrapper around p11_url_{decode,encode}(),
having dedicated functions hides the implementation details.

travis: Enable mingw64 cross build

trust: Fix uninitialized value in anchor command

library: Initialize p11_virtual_mutex for Windows

test: Fix modules test for Windows

Synchronize the fixture module to the non-Unix one and enable
"/modules/test_filename".

trust: Fix saving trust file on Windows

test: Fix Windows test case for p11_path_expand

rpc: Port exec transport to Windows

On Windows, use _spawnv() to create a subprocess and two unidirectional
pipe created with _pipe() to communicate with it.  If we can assume
WinSock, it might be simpler to use a socketpair() replacement from:
https://github.com/ncm/selectable-socketpair.

build: Adjust executable/module names for Windows

Append EXEEXT or SHLEXT to the filename if needed.

build: Avoid undefined reference to rpc_exec_init

build: Include <unistd.h> for execv

build: Check *asprintf on all platforms

argv: Fix misinterpretation of backslash in quotes

Don't append the backslash character twice to the output.  It is
interpolated a few lines below, if it is really required.

compat: Fix character generation in mk{s,d}temp()

Fix a typo in "x-cetrificate-value", see also https://bugs.freedesktop.org/show_bug.cgi?id=99600

Support loading new NSS attribute CKA_NSS_MOZILLA_CA_POLICY from .p11-kit files.
See also NSS bug https://bugzilla.mozilla.org/show_bug.cgi?id=1334976
and p11-kit bug https://bugs.freedesktop.org/show_bug.cgi?id=99453

library: Deinit p11_virtual_mutex

Follow-up fix for commit 4d228aa0, which forgot to clear
p11_virtual_mutex on library finalization.

virtual: Move mutex into p11_library_init()

We used to provide p11_virtual_fixed_{,un}init() to only initialize a
mutex used in virtual.c.  That required all the tests calling virtual
functions to call p11_virtual_fixed_{,un}init() in main().

For simplicity, move the mutex variable initialization into
p11_library_init().

trust: Revert to the original 'extract' behavior

Since commit f4384a40, due to a missing ex->flags setting, the 'trust
extract' command didn't retrieve correlation between related objects and
that was causing assertion failure when writing PEM files.

https://bugs.freedesktop.org/show_bug.cgi?id=99795

filter: New virtual wrapper for access control

iter: Enable iteration over slots/tokens/modules

While PKCS#11 URI can identify slots/tokens/modules, P11KitIter is only
capable of iterating over objects.

This patch adds new behaviors to P11KitIter to support iterations over
slots/tokens/modules, using the C coroutine trick as described in:
http://www.chiark.greenend.org.uk/~sgtatham/coroutines.html

uri: Relax pin-* parsing for compatibility

While 'pin-source' and 'pin-value' are defined as query atttribute, they
were defined as path attribute in earlier drafts, and some
implementations still stick to it.

For backward compatibility, accept those in path attributes when
parsing (but not when formatting).

Reported by Andreas Metzler in:
https://lists.freedesktop.org/archives/p11-glue/2017-January/000637.html

trust: Implement a 'trust dump' command

This dumps all the PKCS#11 objects in the internal .p11-kit
persistence format.

This is part of the trust command and tooling, even though
at some point it could go in the p11-kit command. The reason
for this is that the code related to the internal .p11-kit
objects is in the trust code, and consumed solely by the
trust related modules.

trust: Don't encode spaces when writing .p11-kit format

These should not be encoded by default for readability in
strings.

trust: Add an "all" filter option for trust commands

trust: Make extraction and correlation of certificate info optional

This is so that the code can be shared by the upcoming 'trust dump'
command where correlation between related objects is not desired.

trust: Load all attributes for each object when enumerating

We load all known attributes for each object we're enumerating
over in the 'trust list' and 'trust extract' commands.

virtual: Make virtual-fixed internal API cleaner

Add proper inclusion guard to virtual-fixed.h and move the declarations
of the (un)initialization functions there.

test: Release transport mock module

To prevent leaks of fixed closures, p11_kit_module_release() needs to be
called on the mock module itself.

test: Check exhaustion of fixed closures

build: Make libffi closure optional

libffi's closure support is not available on all platforms and may fail
at run time if running under a stricter SELinux policy.  Fallback to
pre-compiled closures if it is not usable.

https://bugs.freedesktop.org/show_bug.cgi?id=97611

maint: Add .dir-locals.el file for Emacs

travis: Enable strict code compilation

Fix compiler warnings on FreeBSD

 * common/compat.c: Fix "implicit declaration of function 'issetugid'"
   warning. On FreeBSD, it's required to define __BSD_VISIBLE to make
   issetugid(2) visible
 * common/test-message.c: Fix "implicit declaration of function
   'asprintf'" by including <stdio.h>
 * p11-kit/test-iter.c: Fix "format '%lu' expects argument of
   type 'long unsigned int', but argument 3 has type 'int'" by
   changing format string to "%d"

systemd: add per-user remoting socket

This allows daemons outside user's session to use per-user PKCS#11
modules. Useful for letting VPN daemons or wpa_supplicant use
certificates stored in user's GNOME keyring, etc.

common: use recursive pthread mutex for library lock

This allows us to do nested locking within one thread avoiding a lockup
when remoting the p11-kit-proxy.so module:

  #0  0x00007f190f35838d in __lll_lock_wait () from /lib64/libpthread.so.0
  #1  0x00007f190f351e4d in pthread_mutex_lock () from /lib64/libpthread.so.0
  #2  0x00007f190f98657f in C_GetFunctionList (list=0x7ffe7ec3f798) at p11-kit/proxy.c:2355
  #3  0x00007f190f993cc9 in dlopen_and_get_function_list (funcs=0x7ffe7ec3f798, path=0x7ffe7ec40926 "/usr/local/lib/p11-kit-proxy.so", mod=0x249e3d0) at p11-kit/modules.c:337
  #4  load_module_from_file_inlock (name=name@entry=0x0, path=path@entry=0x7ffe7ec40926 "/usr/local/lib/p11-kit-proxy.so", result=result@entry=0x7ffe7ec3f7e8) at p11-kit/modules.c:382
  #5  0x00007f190f99587f in p11_kit_module_load (module_path=module_path@entry=0x7ffe7ec40926 "/usr/local/lib/p11-kit-proxy.so", flags=flags@entry=0) at p11-kit/modules.c:2427
  #6  0x0000000000401c4b in serve_module_from_file (file=0x7ffe7ec40926 "/usr/local/lib/p11-kit-proxy.so") at p11-kit/remote.c:105
  #7  main (argc=1, argv=<optimized out>) at p11-kit/remote.c:169

The Windows NT mutex is aready recursive by default.

uri: Support query attributes to specify module

Accept and produce 'module-name' and 'module-path' query attributes
defined in RFC 7512.

uri: Avoid typecasting confusion on s390x

Like memcpy(), the 'void *' argument of p11_buffer_add() points to the
memory area ordered in host's endianness.  Add typecast of int->char to
avoid the confusion.

Reported by Andreas Metzler in:
https://lists.freedesktop.org/archives/p11-glue/2017-January/000633.html

uri: fix producing the query attributes

Put the pin-* attributes where they belong: to the query part.

uri: fix the query attribute parsing

The pin-* attributes belong to the query part. We should not parse them
until we see a '?' and they're separated with a '&'.

This might be an important thing -- some of the query attributes may
have security implications reaching outside scope of the token itself, to the
host system itself. E.g. a pin-source may cause the consumer to access a file
or module-path (unimplemented) execute code. The user may want to just chop the
attribute part off if they want the consumer access the token and not take the
security considerations into account.

build: improve p11-kit-proxy symlink handling

 - Current command for creation of the p11-kit-proxy symlink
   uses shell brace expansion that isn't supported by all
   the shells (e.g. FreeBSD's /bin/sh does not support that).
   Replace it with the old-fashioned 'for' loop
 - Match extension of the source and the target, i.e. so links
   to so, dylib links to dylib (previously dylib linked to so)
 - Add an uninstall-local target to clean up the symlink

Release version 0.23.3

doc: More tweaks for gtk-doc

doc: Mention new API functions

rpc: Fix typo flagged by lintian

test: Remove setgid()ed copy of frob-getenv

Otherwise the file is left in builddir, after make distclean.

test: Fix privatedir substitution in test-extract

Since $privatedir expands to "${libexecdir}/p11-kit", $libexecdir must
be substituted in the script beforehand.

pkcs11: Update CRYPTOKI_VERSION to 2.40

pkcs11: Add CK_RSA_PKCS_OAEP_PARAMS definition

https://bugzilla.redhat.com/show_bug.cgi?id=1191209

pkcs11: Add CKA_COPYABLE definition

https://bugzilla.redhat.com/show_bug.cgi?id=1191231

pkcs11: Add AES key wrap mechanisms

https://bugzilla.redhat.com/show_bug.cgi?id=1191231

proxy: Remove redundant NULL check

https://bugs.freedesktop.org/show_bug.cgi?id=93589

modules: Remove redundant NULL check

https://bugs.freedesktop.org/show_bug.cgi?id=93588

proxy: Check return value of calloc()

https://bugs.freedesktop.org/show_bug.cgi?id=92815

mock: Check return value of calloc()

https://bugs.freedesktop.org/show_bug.cgi?id=92813

doc: State 'p11-kit trust' is a deprecated form

https://bugzilla.redhat.com/show_bug.cgi?id=1160783

trust: Don't add CKA_TRUSTED to extension object

While 'trust anchor' command tries to add CKA_TRUSTED attribute to any
object, it is only valid for a certificate object.

https://bugzilla.redhat.com/show_bug.cgi?id=1158926

common, trust: Avoid integer overflow

This fixes issues pointed in:
https://bugzilla.redhat.com/show_bug.cgi?id=985445
except for p11-kit/conf.c:read_config_file(), which was rewritten using
mmap() and thus length calculation is no longer needed.

move privatedir from libdir to libexecdir

According to the GNU Coding Standards[1], private executables should be
installed to libexecdir, not libdir.

Move privatedir to libexecdir.

[1] https://www.gnu.org/prep/standards/

https://bugs.freedesktop.org/show_bug.cgi?id=98817

trust: Avoid confusion in DER/PEM decoding

Previously p11-kit-trust.so tried to interpret certificate as PEM format
first.  This could cause potential conflict if the certificate were
actually in DER format and contained a PEM marker strings.

https://bugs.freedesktop.org/show_bug.cgi?id=92063

doc: Update documentation to point towards GitHub

The p11-kit code has moved to GitHub. The documentation needs
an update.

test-conf: don't create the setuid copy in /tmp

The temporary directory is often mounted with nosuid, thus whatever runs
from there doesn't get AT_SECURE in auxv.

trust: Clarify the error message of 'extract'

https://bugzilla.redhat.com/show_bug.cgi?id=1154693

trust: Mention anchor --remove option in help

https://bugzilla.redhat.com/show_bug.cgi?id=1158467

trust: Reject invalid UTF-8 input

Merge changes from utf8.c in FreeBSD's libc:
https://svnweb.freebsd.org/base/head/lib/libc/locale/utf8.c?revision=290494&view=markup#l196

https://bugzilla.redhat.com/show_bug.cgi?id=985449

pkg-config: Expose p11_trust_paths variable

The variable is mentioned in the manual but wasn't exposed from the
pkg-config.

build: Remove *.in files from EXTRA_DIST

The files created with AC_CONFIG_FILES are automatically added to the
distribution.

build: Don't update po files on every make run

Update po/Makevars to the latest template and take advantage of
PO_DEPENDS_ON_POT = no.

travis: Enable GCC sanitizers

travis: Disable silent rules

test: Remove /proxy/deinit-after-fork test

This test hasn't been working since the removal of the pthread_atfork()
deinit code.  To properly clean up, the child process needs to call
C_Initialize() and C_Finalize(), and it is already tested by
/proxy/initialize-child.

test: Fix memleak in test-token cleanup

GCC's asan spotted this:
  Direct leak of 338 byte(s) in 13 object(s) allocated from:
      #0 0x7f54f03fee20 in malloc (/lib64/libasan.so.3+0xc6e20)
      #1 0x445e8c in p11_path_build ../common/path.c:222
      #2 0x4385bd in expand_tempdir ../common/test.c:334
      #3 0x43869c in p11_test_directory ../common/test.c:361
      #4 0x4033e3 in setup_temp ../trust/test-token.c:79

modules: Reset the init count on fork()

Reset mod->init_count when forkid has changed.  Otherwise C_Finalize
does not get called.

GCC's asan spotted this:
  Direct leak of 48 byte(s) in 1 object(s) allocated from:
      #0 0x7f89bc7bfe20 in malloc (/lib64/libasan.so.3+0xc6e20)
      #1 0x7f89bc47a1f1 in p11_dict_new ../common/dict.c:278
      #2 0x7f89bc42143d in managed_C_Initialize ../p11-kit/modules.c:1477
      #3 0x7f89bc464c72 in binding_C_Initialize ../p11-kit/virtual.c:121
      #4 0x7f89bc1b0a51 in ffi_closure_unix64_inner (/lib64/libffi.so.6+0x5a51)
      #5 0x7f89bc1b0dbf in ffi_closure_unix64 (/lib64/libffi.so.6+0x5dbf)
      #6 0x7f89bc44f9e8 in rpc_C_Initialize ../p11-kit/rpc-server.c:691

modules: Fix memleak when loading remote module

Make sure to call p11_virtual_uninit() on managed module.  Otherwise the
associated lower_module will not be released.

GCC's asan spotted this:
  Direct leak of 56 byte(s) in 1 object(s) allocated from:
      #0 0x7f6c5368dfe0 in calloc (/lib64/libasan.so.3+0xc6fe0)
      #1 0x4436ba in p11_rpc_client_init ../p11-kit/rpc-client.c:2082
      #2 0x42c147 in p11_rpc_transport_new ../p11-kit/rpc-transport.c:850
      #3 0x415d95 in setup_module_for_remote_inlock ../p11-kit/modules.c:411

rpc: Fix memleak in rpc_socket cleanup

GCC's asan spotted this:
  Direct leak of 120 byte(s) in 1 object(s) allocated from:
      #0 0x7f8d4f221fe0 in calloc (/lib64/libasan.so.3+0xc6fe0)
      #1 0x427f55 in rpc_socket_new ../p11-kit/rpc-transport.c:100
      #2 0x42bc1b in rpc_exec_connect ../p11-kit/rpc-transport.c:767

uri: Port to PKCS#11 GNU calling convention

https://bugs.freedesktop.org/show_bug.cgi?id=97245

uri: Fix buffer overflow in memcmp()

The commit 63644dc introduced several memcmp() calls without checking
the length of the first argument.

https://bugs.freedesktop.org/show_bug.cgi?id=97245

travis: Enable build on the CI

rpc: Send x-init-reserved to remote module

Signed-off-by: Stef Walter <stefw@redhat.com>
 * Fixed up indentation

https://bugs.freedesktop.org/show_bug.cgi?id=80519

test: Fix p11_virtual_init() usage

p11_virtual_init() should take a CK_FUNCTION_LIST as the 3rd argument,
if the 2nd argument is &p11_virtual_base.

https://bugs.freedesktop.org/show_bug.cgi?id=87192

Fix link of p11-kit-proxy.dylib on Mac OS X

However, on Mac OS X the library is named libp11-kit.dylib so
in the above command the source of the link resolves to nothing,
the destination becomes the source and the link to a non-existent
file is created in the working directory.

https://bugs.freedesktop.org/show_bug.cgi?id=98022

test: Make test-module work --without-trust-module

The test-module program currently depends on TRUST_PATHS, which is
determined by the configure script and normally points to a resource
outside of the build tree.  To make the test system-independent, use
a crafted path for testing.

https://bugs.freedesktop.org/show_bug.cgi?id=89027

iter: Utilize 'slot-id' URI path attribute

https://bugs.freedesktop.org/show_bug.cgi?id=97245