Adds System Log documentation

Add / fix carl9170 firmware

Bump kernel to 4.4.115

Fix CVE 2018-5332

The Linux kernel through 4.14.13, the rds_message_alloc_sgs() function does not
validate a value that is used during DMA page allocation, leading to a heap-based
out-of-bounds write (related to the rds_rdma_extra_size function in net/rds/rdma.c).

Patch based upon:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=c095508770aebf1b9218e77026e48345d719b17c

Merge branch 'fix_ar300m_flashing' of somenut/libreCMC into v1.4

Fix flash as RISC_ATOM's sugguestions

change the last step to reflect the two buttons

Merge branch 'v1.4' of somenut/libreCMC into v1.4

Added GL-AR300M documentation.
The router is currently unsupported by Librecmc at the moment

Merge branch 'v1.4' of https://gogs.librecmc.org/libreCMC/libreCMC into v1.4

Fix broken link

dnsmasq: backport validation fix in dnssec security fix

A DNSSEC validation error was introduced in the fix for CVE-2017-15107

Backport the upstream fix to the fix (a simple typo)

Signed-off-by: Kevin Darbyshire-Bryant <ldir@darbyshire-bryant.me.uk>
(backported from commit adaf1cbcc8b253ea807dbe0416b4b04c33dceadf)

dnsmasq: backport dnssec security fix for 17.01

CVE-2017-15107

An interesting problem has turned up in DNSSEC validation. It turns out
that NSEC records expanded from wildcards are allowed, so a domain can
include an NSEC record for *.example.org and an actual query reply could
expand that to anything in example.org  and still have it signed by the
signature for the wildcard. So, for example

!.example.org NSEC zz.example.org

is fine.

The problem is that most implementers (your author included, but also
the Google public DNS people, powerdns and Unbound) then took that
record to prove the nothing exists between !.example.org and
zz.example.org, whereas in fact it only provides that proof between
*.example.org and zz.example.org.

This gives an attacker a way to prove that anything between
!.example.org and *.example.org doesn't exists, when it may well do so.

Signed-off-by: Kevin Darbyshire-Bryant <ldir@darbyshire-bryant.me.uk>

Merge branch 'port-forwarding-doc' of pi31415/libreCMC-cmh into v1.4

Minor edits to Port Forwards doc

Adds images and corrections to Port Forwards doc

Adds initial Port Forwarding doc

Update 'docs/unbrick_with_uboot_mod.md'

Fix missing .1

Fix table

Testing Image_support.md page...

Merge branch 'basic-wifi-settings' of pi31415/libreCMC-cmh into v1.4

Adds images plus several edits to Basic Wireless Settings doc

Fixes typo in Basic Wireless Settings doc

Adds core content for Basic Wireless Settings doc

Merge branch 'bridge-mode-doc' of pi31415/libreCMC-cmh into v1.4

Fixes a small typo in Bridge Mode doc

A correction to the last edit in Bridge Mode doc

Moves a misplaced image in Bridge Mode doc

Adds edits and more material for Bridge Mod doc

Adds Bridge_Mode doc

Adds images for planned bridging mode doc

Merge branch 'v1.4' of pi31415/libreCMC-cmh into v1.4

OpenVPN docs: converted to utf-8-unix encoding to remove DOS line endings

OpenVPN docs: tweaks and additional material

- Adds introductory material and warnings
- Removes references to LEDE project

Link fix in TPE-R1100 documentation

Adds more material to OpenVPN Layer 2 Server doc

Add README.md to /docs

Fix uboot-ar71xx uboot pkg. version

Bump openvpn and wireguard

Add basic unbrick inst. for u-boot_mod

Revert package feed back to v1.4

update kmod-sched-cake and iproute2

Merge branch 'v1.4' of https://gogs.librecmc.org/libreCMC/libreCMC into v1.4

Bump kernel to 4.4.108

Merge branch 'v1.4' of pi31415/libreCMC-cmh into v1.4

Seed commit of OpenVPN Layer 2 Server documention

Testing markdown

Testing markdown

Testing markdown

Testing markdown

Testing markdown

Fix LINUX_KERNEL_HASH to reflect version bump

Bump kernel to 4.4.107

Fixes GL AR150 (breaks GL USB150) Fix later...

Bump openssl to 1.0.2n

Add ath9k_htc firmware

Remove linux-libre-firmware until rework

Add ath9k_htc and carl9170fw firmware to librecmc (does not build on some distros)

Update 'docs/Ben_Nanonote.md'

Start cleaning up Ben Nanonote page.

Add back cve2017-16544 busybox patch from master

Add cjdns, sqm-scripts and adblock to core

Fix uboot-envtools and mkimage

opkg: bump to version 2017-12-08

This updates package to the latest commit from the lede-17.01 branch. It
contains few fixes backported from the master:
1) SHA256 fix
2) URL encoding which allows hosting packages on some more picky servers

Changes:
9f61f7a opkg_download: decode file:/ URLs
3c46c88 file_util: implement urldecode_path()
79908c2 file_util: consolidate hex/unhex routines
793fbac opkg: encode archive filenames while constructing download URLs
a6bb5cb file_util: implement urlencode_path() helper
098e774 libopkg: fix SHA256 calculation for big endian system

Signed-off-by: Rafał Miłecki <rafal@milecki.pl>

hostapd: backport fix for wnm_sleep_mode=0

wpa_disable_eapol_key_retries can't prevent attacks against the Wireless
Network Management (WNM) Sleep Mode handshake. Currently, hostapd
processes WNM Sleep Mode requests from clients regardless of the setting
wnm_sleep_mode. Backport Jouni Malinen's upstream patch 114f2830 in
order to ignore such requests by clients when wnm_sleep_mode is disabled
(which is the default).

Signed-off-by: Timo Sigurdsson <public_timo.s@silentcreek.de>
[rewrite commit subject (<= 50 characters), bump PKG_RELEASE]
Signed-off-by: Stijn Tintel <stijn@linux-ipv6.be>
(cherry picked from commit bd45e15d0afe64dfed5a02a50a634f7947b50144
 fixed PKG_RELEASE and renumbered patch)

Conflicts:
package/network/services/hostapd/Makefile

hostapd: Expose the tdls_prohibit option to UCI

wpa_disable_eapol_key_retries can't prevent attacks against the
Tunneled Direct-Link Setup (TDLS) handshake. Jouni Malinen suggested
that the existing hostapd option tdls_prohibit can be used to further
complicate this possibility at the AP side. tdls_prohibit=1 makes
hostapd advertise that use of TDLS is not allowed in the BSS.

Note: If an attacker manages to lure both TDLS peers into a fake
AP, hiding the tdls_prohibit advertisement from them, it might be
possible to bypass this protection.

Make this option configurable via UCI, but disabled by default.

Signed-off-by: Timo Sigurdsson <public_timo.s@silentcreek.de>
(cherry picked from commit 6515887ed9b3f312635409702113dca7c14043e5)

dnsmasq: backport infinite dns retries fix

If all configured dns servers return refused in response to a query in
strict mode; dnsmasq will end up in an infinite loop retransmitting the
dns query resulting into high CPU load.
Problem is fixed by checking for the end of a dns server list iteration
in strict mode.

Signed-off-by: Hans Dedecker <dedeckeh@gmail.com>

curl: apply CVE 2017-8816 and 2017-8817 security patches

This commit adds the upstream patches for CVE 2017-8816 and 2017-8817 to the 17.01
Curl package.

Compile-tested on ar71xx, ramips and x86.

Signed-off-by: Stijn Segers <foss@volatilesystems.org>

samba36: backport an upstream fix for an information leak (CVE-2017-15275)

Signed-off-by: Felix Fietkau <nbd@nbd.name>

Add patch from domino-team to add support for later rev. gl-ar300M (spi nand flash)

Fix toolchain and other branding bugs

fix branding in package/base-files

Remove omap support

Move wiki docs to /docs

Remove r8169

Remove ramips/0063-set-CM_GCR_BASE_CMDEFTGT_MEM-according-to-datasheet.patch : broken fix later

Fix default package set

Fix base-files librecmc-keyring dep.

Fix default IP address

Fresh pull from upstream lede-17.01 branch @ commit d77fe9219af17dce2d00147d904267d4489ae841

iw: fix build on musl host

Update tools/cmake from upstream

tools/mkimage: fix musl build

Fix target/linux/ar71xx Makefile

Package cleanup first round..

Bump version to v1.4.2 and add small-router cat.

Bump busybox pkg revision

Remove mislabeled patch

Merge branch 'master' of https://gogs.librecmc.org/libreCMC/libreCMC

Fix Busybox CVE-2017-16544 issue

Fix Busybox CVE-2017-16544 issue

openssl: update to 1.0.2m

don't set no-ssl3-method when CONFIG_OPENSSL_WITH_SSL3 di disabled otherwise the compile breaks with this error:

../libssl.so: undefined reference to `SSLv3_client_method'

Fixes CVE: CVE-2017-3735, CVE-2017-3736

Signed-off-by: Peter Wagner <tripolar@gmx.at>

Merge branch 'spi-reset' of ldpinney/GnuBee-libreCMC into master

ramips: restore the mediatek-4-byte-spi-reset.patch

patch was dropped in commit 447cf1a2b7efa3949c8562d08bddcfaba3a5d809

Signed-off-by: L. D. Pinney <ldpinney@gmail.com>

Add GL-AR300M NAND Flash support
This was based upon commit : 333ccb0e158edaf80cb1ca696e328f9435f7d3eb in repo.  github.com/domino-team/lede-ar300m

Fix omitted gl-ar150

Backport support for the GL-USB150 micro-router

wireguard: version bump to 0.0.20171017

This is a simple version bump. Changes:

  * noise: handshake constants can be read-only after init
  * noise: no need to take the RCU lock if we're not dereferencing
  * send: improve dead packet control flow
  * receive: improve control flow
  * socket: eliminate dead code
  * device: our use of queues means this check is worthless
  * device: no need to take lock for integer comparison
  * blake2s: modernize API and have faster _final
  * compat: support READ_ONCE
  * compat: just make ro_after_init read_mostly

  Assorted cleanups to the module, including nice things like marking our
  precomputations as const.

  * Makefile: even prettier output
  * Makefile: do not clean before cloc
  * selftest: better test index for rate limiter
  * netns: disable accept_dad for all interfaces

  Fixes in our testing and build infrastructure. Now works on the 4.14 rc
  series.

  * qemu: add build-only target
  * qemu: work on ubuntu toolchain
  * qemu: add more debugging options to main makefile
  * qemu: simplify shutdown
  * qemu: open /dev/console if we're started early
  * qemu: phase out bitbanging
  * qemu: always create directory before untarring
  * qemu: newer packages
  * qemu: put hvc directive into configuration

  This is the beginning of working out a cross building test suite, so we do
  several tricks to be less platform independent.

  * tools: encoding: be more paranoid
  * tools: retry resolution except when fatal
  * tools: don't insist on having a private key
  * tools: add pass example to wg-quick man page
  * tools: style
  * tools: newline after warning
  * tools: account for padding being in zero attribute

  Several important tools fixes, one of which suppresses a needless warning.

Signed-off-by: Jason A. Donenfeld <Jason@zx2c4.com>
(cherry picked from commit f6c4a9c045797d9be12310eebc6341050fd260ce)

wireguard: add wireguard to base packages

Move wireguard from openwrt/packages to base a package.

This follows the pattern of kmod-cake and openvpn. Cake is a fast-moving
experimental kernel module that many find essential and useful. The
other is a VPN client. Both are inside of core. When you combine the two
characteristics, you get WireGuard. Generally speaking, because of the
extremely lightweight nature and "stateless" configuration of WireGuard,
many view it as a core and essential utility, initiated at boot time
and immediately configured by netifd, much like the use of things like
GRE tunnels.

WireGuard has a backwards and forwards compatible Netlink API, which
means the userspace tools should work with both newer and older kernels
as things change. There should be no versioning requirements, therefore,
between kernel bumps and userspace package bumps.

Signed-off-by: Kevin Darbyshire-Bryant <ldir@darbyshire-bryant.me.uk>
Signed-off-by: Jason A. Donenfeld <Jason@zx2c4.com>
Acked-by: Jo-Philipp Wich <jo@mein.io>
Acked-by: Felix Fietkau <nbd@nbd.name>
(cherry picked from commit 699c6fcc314225f79156a26db418e15bbc6bf10f)

hostapd: add wpa_disable_eapol_key_retries option

Commit b6c3931ad6554357a108127797c8d7097a93f18f introduced an AP-side
workaround for key reinstallation attacks. This option can be used to
mitigate KRACK on the station side, in case those stations cannot be
updated. Since many devices are out there will not receive an update
anytime soon (if at all), it makes sense to include this workaround.

Unfortunately this can cause interoperability issues and reduced
robustness of key negotiation, so disable the workaround by default, and
add an option to allow the user to enable it if he deems necessary.

Signed-off-by: Stijn Tintel <stijn@linux-ipv6.be>
(cherry picked from commit c5f97c9372da3229350184fb263c97d9ea8944c5)

hostapd: backport extra changes related to KRACK

While these changes are not included in the advisory, upstream
encourages users to merge them.
See http://lists.infradead.org/pipermail/hostap/2017-October/037989.html

Added 013-Add-hostapd-options-wpa_group_update_count-and-wpa_p.patch so
that 016-Optional-AP-side-workaround-for-key-reinstallation-a.patch
applies without having to rework it.

Signed-off-by: Stijn Tintel <stijn@linux-ipv6.be>

mac80211: backport kernel fix for CVE-2017-13080

Signed-off-by: Stijn Tintel <stijn@linux-ipv6.be>
(cherry picked from commit 2f701194c29da50bfda968a83c6609843f74a7f4)