Releasing 1.0.35. release-1.0.35
authorGuus Sliepen <guus@tinc-vpn.org>
Fri, 5 Oct 2018 12:26:44 +0000 (14:26 +0200)
committerGuus Sliepen <guus@tinc-vpn.org>
Mon, 8 Oct 2018 08:48:21 +0000 (10:48 +0200)
NEWS
README
configure.ac

diff --git a/NEWS b/NEWS
index aefcd40b61c0cfa4446ae8ae26b936831abc84fa..4a342f7e8cead421763884fdbe4121f054ba34fb 100644 (file)
--- a/NEWS
+++ b/NEWS
@@ -1,3 +1,8 @@
+Version 1.0.35               October 5 2018
+
+ * Prevent oracle attacks (CVE-2018-16737, CVE-2018-16738).
+ * Prevent a MITM from forcing a NULL cipher for UDP (CVE-2018-16758).
+
 Version 1.0.34               June 12 2018
 
  * Fix a potential segmentation fault when connecting to an IPv6 peer via a
diff --git a/README b/README
index 02c2cab585a57afc839c0881c8c41b3e34572058..f47cc299484bc10bd42504f3ea01e1f2adb830a8 100644 (file)
--- a/README
+++ b/README
@@ -1,4 +1,4 @@
-This is the README file for tinc version 1.0.34. Installation
+This is the README file for tinc version 1.0.35. Installation
 instructions may be found in the INSTALL file.
 
 tinc is Copyright (C) 1998-2018 by:
@@ -41,6 +41,15 @@ issues are being addressed in the tinc 1.1 branch.
 
 The Sweet32 attack affects versions of tinc prior to 1.0.30.
 
+On September 6th, 2018, Michael Yonly contacted us and provided
+proof-of-concept code that allowed a remote attacker to create an
+authenticated, one-way connection with a node, and also that there was a
+possibility for a man-in-the-middle to force UDP packets from a node to be sent
+in plaintext. The first issue was trivial to exploit on tinc versions prior to
+1.0.30, but the changes in 1.0.30 to mitigate the Sweet32 attack made this
+weakness much harder to exploit. These issues have been fixed in tinc 1.0.35.
+The new protocol in the tinc 1.1 branch is not susceptible to these issues.
+
 Cryptography is a hard thing to get right. We cannot make any
 guarantees. Time, review and feedback are the only things that can
 prove the security of any cryptographic product. If you wish to review
@@ -50,7 +59,7 @@ tinc or give us feedback, you are strongly encouraged to do so.
 Compatibility
 -------------
 
-Version 1.0.31 is compatible with 1.0pre8, 1.0 and later, but not with older
+Version 1.0.35 is compatible with 1.0pre8, 1.0 and later, but not with older
 versions of tinc. Note that since version 1.0.30, tinc requires all nodes in
 the VPN to be compiled with a version of LibreSSL or OpenSSL that supports the
 AES256 and SHA256 algorithms.
index 2564bf3b645111a31d4d4ab3bb41fa3da59dd0c3..6de03132d2a94460f67d8e3bd37916b6d14495a3 100644 (file)
@@ -1,7 +1,7 @@
 dnl Process this file with autoconf to produce a configure script.
 
 AC_PREREQ(2.61)
-AC_INIT([tinc], [1.0.34])
+AC_INIT([tinc], [1.0.35])
 AC_CONFIG_SRCDIR([src/tincd.c])
 AM_INIT_AUTOMAKE([1.11 check-news std-options subdir-objects nostdinc silent-rules -Wall])
 AC_CONFIG_HEADERS([config.h])