Merge version 1.4.1.6-4+rpi1 and 1.4.2.4-1 to produce 1.4.2.4-1+rpi1

Merge 389-ds-base (1.4.2.4-1) import into refs/heads/workingbranch

drop-old-man

Gbp-Pq: Name drop-old-man.diff

Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

fix-systemctl-path

Gbp-Pq: Name fix-systemctl-path.diff

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

389-ds-base (1.4.2.4-1) unstable; urgency=medium

  * New upstream release.
    - CVE-2019-14824 deref plugin displays restricted attributes
      (Closes: #944150)
  * fix-obsolete-target.diff: Dropped, obsolete
    drop-old-man.diff: Refreshed
  * control: Add python3-packaging to build-depends and python3-lib389 depends.
  * dev,libs.install: Nunc-stans got dropped.
  * source/local-options: Add some files to diff-ignore.
  * rules: Refresh list of files to purge.
  * rules: Update dh_auto_clean override.

[dgit import unpatched 389-ds-base 1.4.2.4-1]

Import 389-ds-base_1.4.2.4.orig.tar.bz2

[dgit import orig 389-ds-base_1.4.2.4.orig.tar.bz2]

Import 389-ds-base_1.4.2.4-1.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.2.4-1 389-ds-base_1.4.2.4-1.debian.tar.xz]

Merge version 1.4.1.5-1+rpi1 and 1.4.1.6-4 to produce 1.4.1.6-4+rpi1

Merge 389-ds-base (1.4.1.6-4) import into refs/heads/workingbranch

drop-old-man

Gbp-Pq: Name drop-old-man.diff

Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

fix-systemctl-path

Gbp-Pq: Name fix-systemctl-path.diff

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

fix-obsolete-target

Gbp-Pq: Name fix-obsolete-target.diff

389-ds-base (1.4.1.6-4) unstable; urgency=medium

  * tests: Redirect stderr to stdout.

[dgit import unpatched 389-ds-base 1.4.1.6-4]

Import 389-ds-base_1.4.1.6-4.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.1.6-4 389-ds-base_1.4.1.6-4.debian.tar.xz]

Import 389-ds-base_1.4.1.6.orig.tar.bz2

[dgit import orig 389-ds-base_1.4.1.6.orig.tar.bz2]

Merge version 1.4.0.22-1+rpi1 and 1.4.1.5-1 to produce 1.4.1.5-1+rpi1

Merge 389-ds-base (1.4.0.22-1+rpi1) import into refs/heads/workingbranch

fix-dsctl-remove

Gbp-Pq: Name fix-dsctl-remove.diff

fix-nss-path

Gbp-Pq: Name fix-nss-path.diff

icu_pkg-config

Gbp-Pq: Name icu_pkg-config.patch

perl-use-move-instead-of-rename

Gbp-Pq: Name perl-use-move-instead-of-rename.diff

Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

fix-systemctl-path

Gbp-Pq: Name fix-systemctl-path.diff

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

fix-obsolete-target

Gbp-Pq: Name fix-obsolete-target.diff

rename-online-scripts

Gbp-Pq: Name rename-online-scripts.diff

use-bash-instead-of-sh

Gbp-Pq: Name use-bash-instead-of-sh.diff

389-ds-base (1.4.0.22-1+rpi1) bullseye-staging; urgency=medium

  [changes brought forward from 1.4.0.19-2+rpi1 by Peter Michael Green <plugwash@raspbian.org> at Thu, 27 Dec 2018 01:27:25 +0000]
  * Add -latomic to LDFLAGS on armhf too.

[dgit import unpatched 389-ds-base 1.4.0.22-1+rpi1]

Import 389-ds-base_1.4.0.22-1+rpi1.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.0.22-1+rpi1 389-ds-base_1.4.0.22-1+rpi1.debian.tar.xz]

Merge 389-ds-base (1.4.1.5-1) import into refs/heads/workingbranch

perl-use-move-instead-of-rename

Gbp-Pq: Name perl-use-move-instead-of-rename.diff

Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

fix-systemctl-path

Gbp-Pq: Name fix-systemctl-path.diff

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

fix-obsolete-target

Gbp-Pq: Name fix-obsolete-target.diff

rename-online-scripts

Gbp-Pq: Name rename-online-scripts.diff

use-bash-instead-of-sh

Gbp-Pq: Name use-bash-instead-of-sh.diff

389-ds-base (1.4.1.5-1) unstable; urgency=medium

  * New upstream release.
  * watch: Use https.
  * control: Bump policy to 4.4.0.
  * Bump debhelper to 12.
  * patches: fix-dsctl-remove.diff, fix-nss-path.diff, icu_pkg-config.patch
    removed, upstream. Others refreshed.
  * rules: Pass --enable-perl, we still need the perl tools.
  * *.install: Updated.

[dgit import unpatched 389-ds-base 1.4.1.5-1]

Import 389-ds-base_1.4.1.5.orig.tar.bz2

[dgit import orig 389-ds-base_1.4.1.5.orig.tar.bz2]

Import 389-ds-base_1.4.1.5-1.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.1.5-1 389-ds-base_1.4.1.5-1.debian.tar.xz]

Merge 389-ds-base (1.4.0.22-1) import into refs/heads/workingbranch

Import 389-ds-base_1.4.0.22.orig.tar.bz2

[dgit import orig 389-ds-base_1.4.0.22.orig.tar.bz2]

fix-dsctl-remove

Gbp-Pq: Name fix-dsctl-remove.diff

fix-nss-path

Gbp-Pq: Name fix-nss-path.diff

icu_pkg-config

Gbp-Pq: Name icu_pkg-config.patch

perl-use-move-instead-of-rename

Gbp-Pq: Name perl-use-move-instead-of-rename.diff

Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

fix-systemctl-path

Gbp-Pq: Name fix-systemctl-path.diff

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

fix-obsolete-target

Gbp-Pq: Name fix-obsolete-target.diff

rename-online-scripts

Gbp-Pq: Name rename-online-scripts.diff

use-bash-instead-of-sh

Gbp-Pq: Name use-bash-instead-of-sh.diff

389-ds-base (1.4.0.22-1) unstable; urgency=medium

  * New upstream bugfix release.
  * control: Drop 389-ds-base from -legacy-tools Depends. (Closes:
    #924265)
  * fix-dsctl-remove.diff: Don't hardcode sysconfig. (Closes: #925221)

[dgit import unpatched 389-ds-base 1.4.0.22-1]

Import 389-ds-base_1.4.0.22-1.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.0.22-1 389-ds-base_1.4.0.22-1.debian.tar.xz]

Merge 389-ds-base (1.4.0.21-1) import into refs/heads/workingbranch

fix-nss-path

Gbp-Pq: Name fix-nss-path.diff

icu_pkg-config

Gbp-Pq: Name icu_pkg-config.patch

perl-use-move-instead-of-rename

Gbp-Pq: Name perl-use-move-instead-of-rename.diff

Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

fix-systemctl-path

Gbp-Pq: Name fix-systemctl-path.diff

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

fix-obsolete-target

Gbp-Pq: Name fix-obsolete-target.diff

rename-online-scripts

Gbp-Pq: Name rename-online-scripts.diff

use-bash-instead-of-sh

Gbp-Pq: Name use-bash-instead-of-sh.diff

389-ds-base (1.4.0.21-1) unstable; urgency=medium

  * New upstream release.
  * Run offline upgrade only when upgrading from versions below 1.4.0.9,
    ns-slapd itself handles upgrades in newer versions.
  * rules: Actually install the minified javascript files. (Closes:
    #913820)

[dgit import unpatched 389-ds-base 1.4.0.21-1]

Import 389-ds-base_1.4.0.21.orig.tar.bz2

[dgit import orig 389-ds-base_1.4.0.21.orig.tar.bz2]

Import 389-ds-base_1.4.0.21-1.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.0.21-1 389-ds-base_1.4.0.21-1.debian.tar.xz]

Merge 389-ds-base (1.4.0.20-3) import into refs/heads/workingbranch

fix-nss-path

Gbp-Pq: Name fix-nss-path.diff

icu_pkg-config

Gbp-Pq: Name icu_pkg-config.patch

perl-use-move-instead-of-rename

Gbp-Pq: Name perl-use-move-instead-of-rename.diff

Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

fix-systemctl-path

Gbp-Pq: Name fix-systemctl-path.diff

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

fix-obsolete-target

Gbp-Pq: Name fix-obsolete-target.diff

rename-online-scripts

Gbp-Pq: Name rename-online-scripts.diff

use-bash-instead-of-sh

Gbp-Pq: Name use-bash-instead-of-sh.diff

389-ds-base (1.4.0.20-3) unstable; urgency=medium

  * control: 389-ds-base should depend on the legacy tools for now.
    (Closes: #919420)

[dgit import unpatched 389-ds-base 1.4.0.20-3]

Import 389-ds-base_1.4.0.20-3.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.0.20-3 389-ds-base_1.4.0.20-3.debian.tar.xz]

Import 389-ds-base_1.4.0.20.orig.tar.bz2

[dgit import orig 389-ds-base_1.4.0.20.orig.tar.bz2]

Merge 389-ds-base (1.4.0.19-3) import into refs/heads/workingbranch

icu_pkg-config

Gbp-Pq: Name icu_pkg-config.patch

perl-use-move-instead-of-rename

Gbp-Pq: Name perl-use-move-instead-of-rename.diff

dont-build-new-manpages

Gbp-Pq: Name dont-build-new-manpages.diff

Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

fix-systemctl-path

Gbp-Pq: Name fix-systemctl-path.diff

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

fix-obsolete-target

Gbp-Pq: Name fix-obsolete-target.diff

rename-online-scripts

Gbp-Pq: Name rename-online-scripts.diff

use-bash-instead-of-sh

Gbp-Pq: Name use-bash-instead-of-sh.diff

389-ds-base (1.4.0.19-3) unstable; urgency=medium

  [ Jelmer Vernooij ]
  * Use secure copyright file specification URI.
  * Trim trailing whitespace.
  * Use secure URI in Vcs control header.

  [ Hugh McMaster ]
  * control: Mark 389-ds-base-libs{,-dev} M-A: same, cockpit-389-ds M-A:
    foreign and arch:all. (Closes: #916118)
  * Use pkg-config to detect icu. (Closes: #916115)

[dgit import unpatched 389-ds-base 1.4.0.19-3]

Import 389-ds-base_1.4.0.19-3.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.0.19-3 389-ds-base_1.4.0.19-3.debian.tar.xz]

Merge 389-ds-base (1.4.0.19-2) import into refs/heads/workingbranch

perl-use-move-instead-of-rename

Gbp-Pq: Name perl-use-move-instead-of-rename.diff

dont-build-new-manpages

Gbp-Pq: Name dont-build-new-manpages.diff

Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch