f2fs-tools: fixup SPDX license

The f2fs-tools have a wrong PKG_LICENSE with is not SPDX compatible.

Signed-off-by: Paul Spooren <mail@aparcar.org>
(cherry picked from commit 35a70d626239424fb47e4cc50b565da7622eb2a6)

nghttp2: deduplicate files in libnghttp2

libnghttp2 accidentally ships library twice:

$ tar -Oxzf libnghttp2-14_1.38.0-1_mips_24kc.ipk ./data.tar.gz | tar -tzvf -
drwxr-xr-x root/root         0 2019-06-07 23:14 ./
drwxr-xr-x root/root         0 2019-06-07 23:14 ./usr/
drwxr-xr-x root/root         0 2019-06-07 23:14 ./usr/lib/
-rw-r--r-- root/root    144412 2019-06-07 23:14 ./usr/lib/libnghttp2.so.14
-rw-r--r-- root/root    144412 2019-06-07 23:14 ./usr/lib/libnghttp2.so.14.17.3

after fix, there's library and symlink (as designed):

$ tar -Oxzf libnghttp2-14_1.38.0-2_mips_24kc.ipk ./data.tar.gz | tar -tzvf -
drwxr-xr-x root/root         0 2019-06-07 23:14 ./
drwxr-xr-x root/root         0 2019-06-07 23:14 ./usr/
drwxr-xr-x root/root         0 2019-06-07 23:14 ./usr/lib/
lrwxrwxrwx root/root         0 2019-06-07 23:14 ./usr/lib/libnghttp2.so.14 -> libnghttp2.so.14.17.3
-rw-r--r-- root/root    144412 2019-06-07 23:14 ./usr/lib/libnghttp2.so.14.17.3

Binary package size reduced accordingly: 134621 -> 66593.

Compile/run-tested: ar71xx/generic.

Signed-off-by: Konstantin Demin <rockdrilla@gmail.com>
(cherry picked from commit 38b22b1e7022d6b386ce25f39d05cc33fc659240)

odhcpd: various fixes

8f1347b odhcpd: router: Fix out of scope memory access
d37736e dhcpv6-ia: free assignment when validity timer expires

Signed-off-by: Hans Dedecker <dedeckeh@gmail.com>

Add libreCMC Keyring

Add core additional core pkgs feed/master commit : f564008b9d6b458d2e5291414ef4ac05cc2d4ce2

Add mbedtls and ca-bundle as default pkgs to provide ssl support for pkg repo.

Add luci, based upon commit : ae8ddb0ca6dfe98cb842fe2c01b36c4df55a0894

Update libreCMC version to v1.5.0-rc1

Add nat64 back

The deblobbing script removed it by accident.

Tmp. remove pkg feeds

Update gitignore

Fix kernel version

Add correct kernel hash and add KERNEL_LIBRE to download.pl

Remove upstream src. mirror

Upstream refresh for v1.5.0-rc1 : Upstream 19.07 : 4fb6b8c553f692eeb5bcb203e0f8ee8df099e77e

Add luci mirror repository

Change repo URL to reflect beta status

Fix scripts/getver.sh git hash

Forgot to remove wrt350nv2-builder since we don't support orion targets

Rebase from upstream commit : 3bb9dcf44627ffdd313fe92c563ae454b6ff8aa6

Fix broken repository link in target/makeccs

Forgot to update scripts/getver.sh git check-in hash.

Rebased from upstream / out of band repository.

Bump version to v1.5 and start work on adding 4.19 kernel suppot

Add sha256sums/signatures link to supported / popular router pages

Fix formatting in image list?

Add link to current libreCMC images on popular / supported router pages

Change wording to make it clear that Main images work on targets with 8M of flash

Add missing word

remove a word.

Merge branch 'v1.4' of https://gogs.librecmc.org/librecmc/librecmc into v1.4

Add image flavor description

Fix issue link

Bump Wireguard to 0.0.20181006

Update status of TL-WR1043N v5, still has not been tested!

Fix TL-WR1043N v5 image generation

Bump bzip2 and curl

Bump mbedtls to 2.12.0

Bump firewall version

bump tor to 0.3.4.8

Bump wireguard to 0.0.20180925

Bump kernel to 4.4.159
 - Removed ar71xx/203-MIPS-ath79-fix-restart.patch : upstreamed
 - Removed generic/051-000{1,2,5}-ovl-*.patch : Upstreamed, excluding is_merge rename

Pull in updated {bison,m4,e2fsprogs,findutils} to fix build issues with newer glibc.

TP-Link TL-WR1043N v5 appears to be identical to the TL-WR1043ND v4,
except that the USB port has been removed and there is no longer a
removable antenna option.

The software is more in line with the Archer series in that it uses a
nested bootloader scheme.

Specifications:

 - QCA9563 at 775 MHz
 - 64 MB RAM
 - 16 MB flash
 - 3 (non-detachable) Antennas / 450 Mbit
 - 1x/4x WAN/LAN Gbps Ethernet (QCA8337)
 - reset and Wi-Fi buttons

Based upon upstream commit : 673793d753717dc49e5a6f9b1bba52658cae63fc

Note: This commit has not been tested on actual hardware!!!

Fix redundant TARGET_CFLAGS in hnsd Makefile

Move libexpat, unbound into core and introduce hnsd

hnsd is the Handshake SPV name resolver daemon for the Handshake
network. see https://handshake.org and https://github.com/handshake-org/hnsd

Currently, hnsd needs some more work.

Merge branch 'v1.4' of https://gogs.librecmc.org/librecmc/librecmc into v1.4

update x86 kernel config to reflect last kernel bump

wireguard: bump to 0.0.20180904

* Kconfig: use new-style help marker
* global: run through clang-format
* uapi: reformat
* global: satisfy check_patch.pl errors
* global: prefer sizeof(*pointer) when possible
* global: always find OOM unlikely

Tons of style cleanups.

* crypto: use unaligned helpers

We now avoid unaligned accesses for generic users of the crypto API.

* crypto: import zinc

More style cleanups and a rearrangement of the crypto routines to fit how this
is going to work upstream. This required some fairly big changes to our build
system, so there may be some build errors we'll have to address in subsequent
snapshots.

* compat: rng_is_initialized made it into 4.19

We therefore don't need it in the compat layer anymore.

* curve25519-hacl64: use formally verified C for comparisons

The previous code had been proved in Z3, but this new code from upstream
KreMLin is directly generated from the F*, which is preferable. The
assembly generated is identical.

* curve25519-x86_64: let the compiler decide when/how to load constants

Small performance boost.

* curve25519-arm: reformat
* curve25519-arm: cleanups from lkml
* curve25519-arm: add spaces after commas
* curve25519-arm: use ordinary prolog and epilogue
* curve25519-arm: do not waste 32 bytes of stack
* curve25519-arm: prefix immediates with #

This incorporates ASM nits from upstream review.

Signed-off-by: Jason A. Donenfeld <Jason@zx2c4.com>
Pulled from upstream commit : 4ccbe7de6cb20766fd309bc3824c7591e33b0b96

Merge branch 'v1.4' of https://gogs.librecmc.org/librecmc/librecmc into v1.4

Update dropbear

Update dropbear

Bump kernel to 4.4.153 and fix generic/051-0005-ovl-proper-cleanup-of-workdir.patch

Merge branch 'v1.5' into v1.4

Bump libreCMC version #

This commit adds support for the GL-AR750 (2.4G radio only)

While this router does have an 802.11ac chipset (QCA9887) which
requires non-free firmware (loadable firmware blobs), the main raido in the SoC
can still be used and does not require non-free firmware / blobs since it
is an ath9k chipset...

As it stands, it is not possible to use the 802.11ac radio due to lack of
drivers, the firmware loading mech. has been removed (linux-libre kernel)
and libreCMC does not include or pull needed firmware. The libreCMC project is
not endorsing the usage of the non-free chpset and the barriers are sufficient
that no one can use libreCMC with the non-free components.

TLDR; It is not possible to use the non-free chipset with libreCMC but the device
can still be used as a wireless router without non-free blobs.

Specification:

- 650/597/216 MHz (CPU/DDR/AHB)
- 128 MB of RAM (DDR2)
- 16 MB of FLASH (SPI NOR)
- 3x 10/100 Mbps Ethernet
- 2T2R 2.4 GHz (QCA9531)
- 1T1R 5 GHz (QCA9887)
- 1x USB 2.0 (power controlled by GPIO)
- 1x microSD (GL857L)
- 3x LED (all driven by GPIO)
- 1x button (reset)
- 1x 2-pos switch
- header for optional PoE module
- 1x micro USB for main power input
- UART + I2C header on PCB

Based upon upstream commit : 2e5252d346e2ec832a203af778b5c1d949f0ae5f

Bump hostapd package revision

wpa_supplicant: fix CVE-2018-14526

Unauthenticated EAPOL-Key decryption in wpa_supplicant

Published: August 8, 2018
Identifiers:
- CVE-2018-14526
Latest version available from: https://w1.fi/security/2018-1/

Vulnerability

A vulnerability was found in how wpa_supplicant processes EAPOL-Key
frames. It is possible for an attacker to modify the frame in a way that
makes wpa_supplicant decrypt the Key Data field without requiring a
valid MIC value in the frame, i.e., without the frame being
authenticated. This has a potential issue in the case where WPA2/RSN
style of EAPOL-Key construction is used with TKIP negotiated as the
pairwise cipher. It should be noted that WPA2 is not supposed to be used
with TKIP as the pairwise cipher. Instead, CCMP is expected to be used
and with that pairwise cipher, this vulnerability is not applicable in
practice.

When TKIP is negotiated as the pairwise cipher, the EAPOL-Key Key Data
field is encrypted using RC4. This vulnerability allows unauthenticated
EAPOL-Key frames to be processed and due to the RC4 design, this makes
it possible for an attacker to modify the plaintext version of the Key
Data field with bitwise XOR operations without knowing the contents.
This can be used to cause a denial of service attack by modifying
GTK/IGTK on the station (without the attacker learning any of the keys)
which would prevent the station from accepting received group-addressed
frames. Furthermore, this might be abused by making wpa_supplicant act
as a decryption oracle to try to recover some of the Key Data payload
(GTK/IGTK) to get knowledge of the group encryption keys.

Full recovery of the group encryption keys requires multiple attempts
(128 connection attempts per octet) and each attempt results in
disconnection due to a failure to complete the 4-way handshake. These
failures can result in the AP/network getting disabled temporarily or
even permanently (requiring user action to re-enable) which may make it
impractical to perform the attack to recover the keys before the AP has
already changes the group keys. By default, wpa_supplicant is enforcing
at minimum a ten second wait time between each failed connection
attempt, i.e., over 20 minutes waiting to recover each octet while
hostapd AP implementation uses 10 minute default for GTK rekeying when
using TKIP. With such timing behavior, practical attack would need large
number of impacted stations to be trying to connect to the same AP to be
able to recover sufficient information from the GTK to be able to
determine the key before it gets changed.

Vulnerable versions/configurations

All wpa_supplicant versions.

Acknowledgments

Thanks to Mathy Vanhoef of the imec-DistriNet research group of KU
Leuven for discovering and reporting this issue.

Possible mitigation steps

- Remove TKIP as an allowed pairwise cipher in RSN/WPA2 networks. This
can be done also on the AP side.

- Merge the following commits to wpa_supplicant and rebuild:

WPA: Ignore unauthenticated encrypted EAPOL-Key data

This patch is available from https://w1.fi/security/2018-1/

- Update to wpa_supplicant v2.7 or newer, once available

Pulled from upstream commit : b3983323a1f25c936ddfcc129c454b282e90eeed

update cjdns

Bump kernel to 4.4.150

openssl: update to version 1.0.2p

    This fixes the following security problems:
     * CVE-2018-0732: Client DoS due to large DH parameter
     * CVE-2018-0737: Cache timing vulnerability in RSA Key Generation

Cherry pick'ed from upstream commit : e11df1eac62f23263e90c54d87bc69a7021e72b7

Bump kernel to 4.4.146

wireguard: bump to 0.0.20180802

Changelog taken from the version announcement
>
> == Changes ==
>
>   * chacha20poly1305: selftest: split up test vector constants
>
>   The test vectors are encoded as long strings -- really long strings -- and
>   apparently RFC821 doesn't like lines longer than 998.
>   https://cr.yp.to/smtp/message.html
>
>   * queueing: keep reference to peer after setting atomic state bit
>
>   This fixes a regression introduced when preparing the LKML submission.
>
>   * allowedips: prevent double read in kref
>   * allowedips: avoid window of disappeared peer
>   * hashtables: document immediate zeroing semantics
>   * peer: ensure resources are freed when creation fails
>   * queueing: document double-adding and reference conditions
>   * queueing: ensure strictly ordered loads and stores
>   * cookie: returned keypair might disappear if rcu lock not held
>   * noise: free peer references on failure
>   * peer: ensure destruction doesn't race
>
>   Various fixes, as well as lots of code comment documentation, for a
>   small variety of the less obvious aspects of object lifecycles,
>   focused on correctness.
>
>   * allowedips: free root inside of RCU callback
>   * allowedips: use different macro names so as to avoid confusion
>
>   These incorporate two suggestions from LKML.
>
> This snapshot contains commits from: Jason A. Donenfeld and Jann Horn.

Taken from upstream commit : 68e2ebe64a0f27eb25c0e56ef1125ce1318e2279

Bump kernel up to 4.4.145 and fix usb.ids hash

Revert kernel (vanilla) commit b699d0035836f6712917a41e7ae58d84359b8ff9 : see vanilla kernel commit f4eb17e1efe538d4da7d574bedb00a8dafcc26b7

Update odhcpd to fix verbose logging bug

Update OpenVPN, ustream-ssl, add wolfssl and remove cyassl

Update rpcd

Bump kernel to 4.4.138

Update tor and add tinc to core

Bump wireguard version to 20180625

Pull in openssl from upstream master

Update mbedtls hash

Fix modules directory location, update usbutils (github vs project repo) and fix default wifi ssid

Add luci

v1.5 branch refresh based upon upstream master @ c8677ca89e53e3be7988d54280fce166cc894a7e

(tmp) update usbutils usb.ids hash

Switch to using git mirror controlled by the libreCMC project

Remove @GITHUB from include/download.mk, fix up PROJECT_GIT and package/utils/usbutils

Remove GitHub from download.pl and add libreCMC's GNU mirror

Note: Not all ref. have been removed from the project.

Add Archer C7 V2 support (still needs replacement wifi card). Use at own riskgit status!

Update mbedtls and ustream-ssl

- mbedtls was bumped to 2.9.0 to fix various security issues :
https://tls.mbed.org/tech-updates/releases/mbedtls-2.9.0-2.7.3-and-2.1.12-released

- upstream-ssl was bumped to reflect proposed changes in upstream lede-17.01 branch.

Merge branch 'v1.4' of pi31415/libreCMC-cmh into v1.4

shellinabox: alters zlib dependency type

Without this patch, shellinabox is invisible in menuconfig until
zlib is first selected, which likely is not what was intended.

Merge branch 'doc1' of iank/libreCMC into v1.4

fix releases link

wireguard: bump to 20180519 from upstream lede-17.01

Bump kernel to 4.4.132

Merge branch 'v1.4' of systema/libreCMC into v1.4

Update 'docs/How_To_Build_libreCMC.md'

Add a note about building with multiple cores

Merge branch 'v1.4' into v1.5

Merge branch 'v1.4' of pi31415/libreCMC-cmh into v1.4

Clarification in Bridge mode doc

Advanced section in bridge mode doc

Merge branch 'ar300m' of somenut/libreCMC into v1.4

fix the company name and added nand update information

Update src. package hash

Revert procd to fix issue #50

Bump OpenSSL to 1.0.2o

Add flock to procd dep