wireguard: version bump to 0.0.20171017

This is a simple version bump. Changes:

  * noise: handshake constants can be read-only after init
  * noise: no need to take the RCU lock if we're not dereferencing
  * send: improve dead packet control flow
  * receive: improve control flow
  * socket: eliminate dead code
  * device: our use of queues means this check is worthless
  * device: no need to take lock for integer comparison
  * blake2s: modernize API and have faster _final
  * compat: support READ_ONCE
  * compat: just make ro_after_init read_mostly

  Assorted cleanups to the module, including nice things like marking our
  precomputations as const.

  * Makefile: even prettier output
  * Makefile: do not clean before cloc
  * selftest: better test index for rate limiter
  * netns: disable accept_dad for all interfaces

  Fixes in our testing and build infrastructure. Now works on the 4.14 rc
  series.

  * qemu: add build-only target
  * qemu: work on ubuntu toolchain
  * qemu: add more debugging options to main makefile
  * qemu: simplify shutdown
  * qemu: open /dev/console if we're started early
  * qemu: phase out bitbanging
  * qemu: always create directory before untarring
  * qemu: newer packages
  * qemu: put hvc directive into configuration

  This is the beginning of working out a cross building test suite, so we do
  several tricks to be less platform independent.

  * tools: encoding: be more paranoid
  * tools: retry resolution except when fatal
  * tools: don't insist on having a private key
  * tools: add pass example to wg-quick man page
  * tools: style
  * tools: newline after warning
  * tools: account for padding being in zero attribute

  Several important tools fixes, one of which suppresses a needless warning.

Signed-off-by: Jason A. Donenfeld <Jason@zx2c4.com>
(cherry picked from commit f6c4a9c045797d9be12310eebc6341050fd260ce)

wireguard: add wireguard to base packages

Move wireguard from openwrt/packages to base a package.

This follows the pattern of kmod-cake and openvpn. Cake is a fast-moving
experimental kernel module that many find essential and useful. The
other is a VPN client. Both are inside of core. When you combine the two
characteristics, you get WireGuard. Generally speaking, because of the
extremely lightweight nature and "stateless" configuration of WireGuard,
many view it as a core and essential utility, initiated at boot time
and immediately configured by netifd, much like the use of things like
GRE tunnels.

WireGuard has a backwards and forwards compatible Netlink API, which
means the userspace tools should work with both newer and older kernels
as things change. There should be no versioning requirements, therefore,
between kernel bumps and userspace package bumps.

Signed-off-by: Kevin Darbyshire-Bryant <ldir@darbyshire-bryant.me.uk>
Signed-off-by: Jason A. Donenfeld <Jason@zx2c4.com>
Acked-by: Jo-Philipp Wich <jo@mein.io>
Acked-by: Felix Fietkau <nbd@nbd.name>
(cherry picked from commit 699c6fcc314225f79156a26db418e15bbc6bf10f)

hostapd: add wpa_disable_eapol_key_retries option

Commit b6c3931ad6554357a108127797c8d7097a93f18f introduced an AP-side
workaround for key reinstallation attacks. This option can be used to
mitigate KRACK on the station side, in case those stations cannot be
updated. Since many devices are out there will not receive an update
anytime soon (if at all), it makes sense to include this workaround.

Unfortunately this can cause interoperability issues and reduced
robustness of key negotiation, so disable the workaround by default, and
add an option to allow the user to enable it if he deems necessary.

Signed-off-by: Stijn Tintel <stijn@linux-ipv6.be>
(cherry picked from commit c5f97c9372da3229350184fb263c97d9ea8944c5)

hostapd: backport extra changes related to KRACK

While these changes are not included in the advisory, upstream
encourages users to merge them.
See http://lists.infradead.org/pipermail/hostap/2017-October/037989.html

Added 013-Add-hostapd-options-wpa_group_update_count-and-wpa_p.patch so
that 016-Optional-AP-side-workaround-for-key-reinstallation-a.patch
applies without having to rework it.

Signed-off-by: Stijn Tintel <stijn@linux-ipv6.be>

mac80211: backport kernel fix for CVE-2017-13080

Signed-off-by: Stijn Tintel <stijn@linux-ipv6.be>
(cherry picked from commit 2f701194c29da50bfda968a83c6609843f74a7f4)

Fixes:
- CERT case ID: VU#228519
- CVE-2017-13077
- CVE-2017-13078
- CVE-2017-13079
- CVE-2017-13080
- CVE-2017-13081
- CVE-2017-13082
- CVE-2017-13086
- CVE-2017-13087
- CVE-2017-13088

For more information see:
https://w1.fi/security/2017-1/wpa-packet-number-reuse-with-replayed-messages.txt

Pulled from upstream

ramips: restore support for the GnuBee Personal Cloud One

Restore support for the GnuBee Personal Cloud One.

Signed-off-by: L. D. Pinney <ldpinney@gmail.com>

Fix repository default link

Fix TPE-R1100 bug

Add updated curl patches and ap121f reference board

Fresh pull from upstream lede-17.01 branch to fix several outstanding
bugs. Some support may have regressed as a result.

Bump dnsmasq version to v2.78 to fix several CVEs Fixes CVE-2017-14491, CVE-2017-14492, CVE-2017-14493, CVE-2017-14494, 2017-CVE-14495, 2017-CVE-14496

Update luci

Bump OpenVPN version to 2.4.4 (pulled from upstream)

Merge remote-tracking branch 'personal/v1.4.1' into v1.4.1

refresh ramips patches from upstream for new kernel

Bump version to v1.4.1

Add updtream support for GL USB150 (needs a lot of work). Might revert back to ver. in libreCMC master

update opkg

v1.4.1 refesh based upon upstrea 17.01 branch

Merge branch 'master' of RISCI_ATOM/libreCMC into master

Update toolchain/gdb to 7.12.1

Merge branch 'master' of ldpinney/GnuBee-libreCMC into master

automake: Perl-5.22-and-later.patch

Import patch from upstream to fix build issues with Perl 5.22 and later.

Signed-off-by: L. D. Pinney <ldpinney@gmail.com>

Merge branch 'master' of ldpinney/GnuBee-libreCMC into master

Merge branch 'master' of RISCI_ATOM/libreCMC into master

Add basic support for the GL-USB150 microuter

ramips: Update GB-PC1 device tree source file

Signed-off-by: L. D. Pinney <ldpinney@gmail.com>

Merge branch 'master' of ldpinney/GnuBee-libreCMC into master

ramips: GnuBee Personal Cloud One updates.

    The GnuBee Personal Cloud One crowdfunded on https://www.crowdsupply.com
    It is a low-cost, low-power, network-attached storage device.

    Specifications:
    - SoC: MediaTek MT7621AT
    - RAM: DDR3 512 MB
    - Flash: 32 MB
    - Six SATA ports for 2.5" Drives
    - One USB 3.0
    - Two USB 2.0
    - One micro SDcard
    - Gigabit Ethernet: 1 x WAN and 1 x LAN
    - UART 3.5mm Audio Jack or 3 pins on PCB - 57600 8N1
    - Four GPIOs available on a pin header

    Flash instructions:
    The GnuBee Personal Cloud One ships with libreCMC installed.
    One can upgrade using the webinterface or sysupgrade.

    Das U-Boot has multiple options for recovery or updates including :
    - USB
    - http
    - tftp

Signed-off-by: L. D. Pinney

Remove http mirrors and --no-check-certificate / --insecure flags from scripts/download.pl

Add libreCMC keyring

Change repository links to reflect different versions of libreCMC {,core,legacy}

Bump OpenSSL to 1.0.2l

Bump'ed openvpn to 2.4.3 to fix various sec. issues

Fix u-boot in tools/mkimage

Enable wifi by default w/ default password

Change libreCMC status from RC* to release

Remove upstrem references for pulling sources from download.pl

Fix Ben Nanonote support

samba: fix CVE-2017-7494 (Pulled from upstream)

Update OpenVPN from upstream

Add v1.4 package feed

Remove FTP mirrors from libreCMC core (Makefiles and download.pl)

Fix branding on imagebuilder in target/imagebuilder/Config.in

Add support for the GnuBee Personal Cloud One from master

Remove kmod-r8169 from x86 target default selection

Change version to reflect RC1 status

Add partial support for tpe-r1100

Removed targets with dependencies on ath10k (support was was stripped before committing upstream pull)

Update commit commit hash in scripts/getver.sh

Fresh pull from upstream 17.01 branch

update .gitignore

Revert "Second attempt at pull from upstream package/{luci,system,utils}"

This reverts commit 7872e94f9e17b314d88efa980d7c86632187633a.

Second attempt at pull from upstream package/{luci,system,utils}

Revert "Pull package/{luci,system,network} from upstream"

This reverts commit e836e894693e13d83e3078feab6787e194a260fa.

Pull package/{luci,system,network} from upstream

Fix branding in base-files/image-config.in

add libreCMC src repository to scripts/download.pl

changed kernel sha256 hash. Upstream broke kernel

Resolve issue #2 https://gogs.librecmc.org/libreCMC/libreCMC/issues/2

Merge branch 'v1.4-stage' of ldpinney/GnuBee-libreCMC into v1.4-stage

Merge remote-tracking branch 'upstream/v1.4-stage' into v1.4-stage

Removed u-boot omap and fixed luci-ssl collection

Add support for the GnuBee Personal Cloud One

Revert "Add support for the GnuBee Personal Cloud One"

This reverts commit c6b3499a021c04e9ed7be3cf88e87a016903d66d.

Add support for the GnuBee Personal Cloud One

added support for omap (BeagleBone Black)

Fixed 3.18.43 kernel hash; uboot-xburst name, removed x86 nic dep. ; fixed up missing rt2800-soc deps.

Fix git commit hash in scripts/getver.sh

Fresh pull from upstream

Fixed x86 GRUB config label

Added libreCMC package feed.

Add luci to packages/ instead of using a feed

sp

Fixed string in uboot-ar71xx/Makefile

Fixed missing \ from package/boot/uboot-ar71xx/Makefile

Temp. scripts/getver.sh fix (update git SHA1)

First git repo commit for the libreCMC project