wpa_gui-qt4: Handle UNKNOWN COMMAND reply during peer window update

Avoid an infinite loop if wpa_supplicant is not built with AP support.

Add parsed information from WPS IE(s) into scan results

This makes it easier for external programs to show WPS information
since they do not need to parse the WPS IE themselves anymore.

WPS: Add parsing of AP Setup Locked attribute

Fix driver_test for hostapd

Commit 0b55b934ee6243f2682524b0a733cc1468e20050 broke this by not
initializing drv->ap = 1 in hostapd case since the mode updating
code ended up unlinking the socket file. Setting drv->ap = 1
removes the mode change and as such, unlinking of the socket file.

Convert WPS IE concat routine to a generic helper

This may also be needed in wpa_supplicant and potentially for other
IE types, too.

driver_test: Update BSS data when using wpa_supplicant AP mode

driver_test: Implement set_mode for wpa_supplicant AP deinit

driver_test: Preliminary support for wpa_supplicant AP functionality

driver_test: Share the same deinit() for hostapd and wpa_supplicant

driver_test: Merge socket_dir into test_dir

driver_test: Some additional merging of send_mlme

driver_test: Claim AP mode capability for wpa_supplicant

driver_test: Build most of code in unconditionally

It is simpler to just build in all the test driver code regardless
of whether this is for hostapd or wpa_supplicant (which will eventually
get AP mode support with driver_test, too).

driver_test: Merge wpa_supplicant and hostapd data structures

There is no real need to keep these in separate data structures with
different names.

wpa_gui-qt4: Add context menu for peers dialog

Replace the clicked() event with more appropriate context menu
and add a WPS PIN entry as an example command.

radius_server: clean up completed sessions sooner

radius_server_encapsulate_eap() resets sess->eap->if->eap{Success,Fail}
to FALSE, such that the completion condition is never true.

The net effect is that completed sessions would linger for
RADIUS_SESSION_TIMEOUT seconds.

Signed-off-by: Alex Badea <vamposdecampos@gmail.com>
Previously, the default settings allowed 100 sessions in 60 seconds.
With this fix, the default limit is now 100 sessions per 10 seconds.
[Bug 329]

wpa_gui-qt4: Include cstdio to avoid some compiler issues

It looks like some build systems do not find snprintf() here unless
cstdio is included explicitly.

wpa_gui-qt4: Add a new window for showing peer information

This provides some initial functionality for showing peer information,
i.e., showing information about other devices that has been discovered.
Currently, information is only available in the AP mode (list of
associated stations), but this is expected to increase in the future
(e.g., show the current AP in station mode, other stations in IBSS,
etc.). Furthermore, there will be actions available for doing things
like providing a WPS PIN for a station.

Add station table query to wpa_supplicant AP ctrl_iface

"wpa_cli all_sta" and "wpa_cli sta <addr>" can now be used to fetch
information about stations associated with the
wpa_supplicant-controlled AP.

Move STA list ctrl_iface handlers to a separate file

This makes it easier to share the hostapd station table query
functionality with wpa_supplicant AP mode operations.

WPS: Store device info and make it available through AP ctrl_iface

Store a copy of device attributes during WPS protocol run and make it
available for external programs via the control interface STA MIB
command for associated stations. This gives access to device name and
type which can be useful when showing user information about associated
stations.

WPS: Add support for AP reconfiguration with wps_reg

wpa_supplicant can now reconfigure the AP by acting as an External
Registrar with the wps_reg command. Previously, this was only used
to fetch the current AP settings, but now the wps_reg command has
optional arguments which can be used to provide the new AP
configuration. When the new parameters are set, the WPS protocol run
is allowed to continue through M8 to reconfigure the AP instead of
stopping at M7.

Fix WPA reconfiguration to update GTK

The group key state machine needs to be re-initialized with possible
updated GTK length when restarting WPA (e.g., when WPS was used to
reconfigure the AP).

Delay processing of EAPOL frames when not associated

If an EAPOL frame is received while wpa_supplicant thinks the driver is
not associated, queue the frame for processing at the moment when the
association event is received. This is a workaround to a race condition
in receiving data frames and management events from the kernel.

The pending EAPOL frame will not be processed unless an association
event is received within 100 msec for the same BSSID.

nl80211: Ignore connect/roam/disconnect events when using SME

Getting double association/disassociation events can get core code
confused, so better filter out the extra events.

nl80211: Connect API support

If the driver does not support separate authentication and association
steps, use the connect API instead.

nl80211: Add connect/disconnect event processing

nl80211: Check whether the driver support separate auth/assoc commands

This is an initial step in adding support for the new connect command.
For now, we just add the capability query. The actual use of the new
command will be added separately.

nl80211: Use defines for cipher suite selectors

Fix comment in wpa_supplicant_event_associnfo

Found what I think is a copy/paste error in the comments for the .11r
code.

OpenBSD: wired IEEE 802.1X for OpenBSD

This is a patch for OpenBSD wired IEEE 802.1X. This is only for wired,
not wireless, because OpenBSD uses wpa_supplicant only on wired now.

http://www.openbsd.org/cgi-bin/cvsweb/ports/security/wpa_supplicant/

I have tested with these.
OS : OpenBSD 4.5
EAP : EAP-TLS
Switch : CentreCOM 8724SL

WPS: Aggregate deinit calls in WPS OOB

In WPS OOB, deinit_func() is called from 3 locations.
This patch aggregates these to one.

Fix a bug with ap_rx_from_unknown_sta() recursion

ap_rx_from_unknown_sta was going into infinite recursion,
or could even crash because of corrupted pointer cast.

nl80211: Use two sockets to avoid mixing command replies with events

Previously, both the command replies and unsolicited events were
received from the same socket. This could cause problems if an event
message is received between a command and the response to that command.
Using two sockets avoids this issue.

Disable PMTU discovery for RADIUS packets (sent them without DF)

When Linux has Path MTU discovery enabled, it sets by default the DF bit
on all outgoing datagrams, also UDP ones. If a RADIUS message is bigger
than the smallest MTU size to the target, it will be discarded.

This effectively limits RADIUS messages to ~ 1500 Bytes, while they can
be up to 4k according to RFC2865. In practice, this can mean trouble
when doing EAP-TLS with many RADIUS attributes besides the EAP-Message.
[Bug 326]

Disable PMTU discovery for RADIUS packets (sent them without DF)

When Linux has Path MTU discovery enabled, it sets by default the DF bit
on all outgoing datagrams, also UDP ones. If a RADIUS message is bigger
than the smallest MTU size to the target, it will be discarded.

This effectively limits RADIUS messages to ~ 1500 Bytes, while they can
be up to 4k according to RFC2865. In practice, this can mean trouble
when doing EAP-TLS with many RADIUS attributes besides the EAP-Message.
[Bug 326]

Reject X.509 certificate strings with embedded NUL characters

These could, at least in theory, be used to generate unexpected common
name or subject alternative name matches should a CA sign strings with
NUL (C string termination) in them. For now, just reject the certificate
if an embedded NUL is detected. In theory, all the comparison routines
could be made to compare these strings as binary blobs (with additional
X.509 rules to handle some exceptions) and display NUL characters
somehow. Anyway, just rejecting the certificate will get rid of
potential problems with the C string getting terminated and it should
not really be used in certificates, so this should not break valid use
cases.

Sync with linux/nl80211.h from wireless-testing.git

Remove unneeded aes_i.h inclusion from number of places

The BLOCK_SIZE define can be made more specific by using AES_ prefix and
by moving it to aes.h. After this, most aes-*.c do not really need to
include anything from the internal aes_i.h header file. In other words,
aes_i.h can now be used only for the code that uses the internal AES
block operation implementation and none of the code that can use AES
implementation from an external library do not need to include this
header file.

Verify that EAPOL-Key MIC generation succeeds

This can now fail, e.g., if trying to use TKIP in FIPS mode.

Verify that RC4 operation succeeds

Fix crypto_cipher_init() EVP initialization

Better not specify EVP_CIPHER again for the second init call since that
will override key length with the default value. The previous version
was likely to work since most use cases would be likely to use the
default key length. Anyway, better make this handle variable length
ciphers (mainly, RC4), too, just in case it is needed in the future.

Use OpenSSL for RC4 instead of internal implementation

Move RC4 into crypto.h as a replaceable crypto function

This allows crypto library wrappers to override the internal RC4
implementation in the same way as can already be done for other crypto
algorithms.

Remove rc4() wrapper

This is not really of that much use since rc4_skip() can be used as
easily. In addition, rc4 has caused some symbol conflicts in the past,
so it is easier to live without that as an exported symbol.

Fix build with non-FIPS capable OpenSSL

Verify CHAP/MSCHAPv2 return code

Check the return code in some (but not yet all) places where the
functions from ms_funcs.c are used.

Fix OpenSSL build (internal SHA256 not used anymore)

Fix FIPS mode build of eapol_test

Allow non-FIPS MD5 to be used with TLS PRF even in FIPS mode

This is allowed per FIPS1402IG.pdf since the TLS PRF depends fully on
both MD5 and SHA-1.

Pass digest return value to CHAP/MSCHAPv2 caller

Preliminary support for FIPS mode operation with OpenSSL

wpa_supplicant can now be built with FIPS capable OpenSSL for FIPS mode
operation. Currently, this is only enabling the FIPS mode in OpenSSL
without providing any higher level enforcement in wpa_supplicant.
Consequently, invalid configuration will fail during the authentication
run. Proper configuration (e.g., WPA2-Enterprise with EAP-TLS) allows
the connection to be completed.

Pass error values from digest calls to ms_funcs callers

These function calls can now fail, so better let the caller know if that
happened.

OpenSSL: Use library version of SHA256

There is no need to use the internal SHA256 implementation when using
OpenSSL.

OpenSSL: Use EVP_Digest*() functions

Instead of using low level, digest-specific functions, use the generic
EVP interface for digest functions. In addition, report OpenSSL errors
in more detail.

Make hash functions return error value

Some crypto libraries can return in these functions (e.g., if a specific
hash function is disabled), so we better provide the caller a chance to
check whether the call failed. The return values are not yet used
anywhere, but they will be needed for future changes.

Enable SHA256 digest support in OpenSSL

This is needed to allow X.509 certificates with SHA256 digest to be
used. [Bug 323]

Use LDFLAGS in all linker commands

When building hostapd and wpa_supplicant, the build system does not
respect the LDFLAGS selected in the environment in some cases. [Bug 311]

Use PEM format RSA private key with eap_example

It looks like GnuTLS does not know how to parse the previously used
DER-formatted PKCS#1 private key (server.key). To work around this, use
a PEM-formatted version of the same key. This format can now be used by
OpenSSL, GnuTLS, and the internal TLS implementation.

Add GnuTLS build option for eap_example

Support PEM format RSA private key with internal TLS implementation

Set current ssid when entering AP mode

After successful starting AP mode, current_ssid field is set to
ssid used to create AP.

NetBSD: Fix wired IEEE 802.1X problem

On NetBSD 5.0, when I use wired 802.1X, "Invalid argument" occurs
on SIOCADDMULTI ioctl and 802.1X fails.

I tried FreeBSD code, but "Address family not supported by protocol family"
occurs on SIOCADDMULTI ioctl and 802.1X fails, too.

This patch solves this issue.

I have tested with these:
OS : NetBSD 5.0
EAP : EAP-MD5
Switch : CentreCOM 8724SL

Added new SHA1 files into VS project files to fix the build

WPS: Workaround mixed-mode WPA+WPA2 auth type in credentials

An SMC router was reported to use 0x22 (WPAPSK + WPA2PSK) in the
authentication type of the provisioned credential and wpa_supplicant
rejected this as invalid. Work around this by replacing WPAPSK + WPA2PSK
with WPA2PSK.

Figure out absolute path for the pid file before daemonizing

This allows relative path to be used in the same way as was already
supported by wpa_supplicant.

Force rebuilding of src/drivers between hostapd and wpa_supplicant

This is a (hopefully) temporary workaround to allow the same source code
tree to be used for building hostapd and wpa_supplicant without having
to manually force recompilation of some files. Currently, some of the
driver wrapper files need to be built separately for hostapd and
wpa_supplicant (#ifdef's in the files based on AP functionality).

This is somewhat racy as far as parallel make execution is concerned,
i.e., it may be necessary to run "make -j#" twice (plain "make" works
fine. Since this is supposed to be a temporary workaround, there is not
much point in trying to fix this with any more complex make processing.

Replace NEED_MLME with NEED_AP_MLME

This makes it clearer that it's about the AP, not client-side MLME, even
when built into the client (wpa_supplicant).

Create a common drivers makefile snippet

Instead of having all driver stuff collected across wpa_supplicant
and hostapd, create a common snippet that they both include and
that handles the build configuration.

wpa_passphrase does not need FIPS PRF, MD4, or AES extra functionality

Avoid a theoretical integer overflow in base64_encode()

If base64_encode() were to be used with a huge data array, the
previous version could have resulted in overwriting the allocated
buffer due to an integer overflow as pointed out in
http://www.freebsd.org/cgi/query-pr.cgi?pr=137484. However, there
are no know use cases in hostapd or wpa_supplicant that would do that.
Anyway, the recommended change looks reasonable and provides additional
protection should the base64_encode() function be used for something
else in the future.

Fix hlr_auc_gw build after crypto build cleanup

Ignore the generated libeap.a file

Fix eap_example build after the crypto build cleanup

Crypto build cleanup: remove CONFIG_NO_AES_*

Instead of using a defines and conditional building of AES parts,
move the conditional functionality into separate files.

Remove some more crypto ifdef, fix a few small bugs

Crypto build cleanup: remove CONFIG_NO_AES_ENCRYPT

Instead of using a define and conditional building of AES parts,
move the AES encryption routines into a separate file.

Crypto build cleanup: remove CONFIG_NO_AES_DECRYPT

Instead of using a define and conditional building of AES parts,
move the AES decryption routines into a separate file.

Crypto build cleanup: remove CONFIG_NO_PBKDF2

Instead of using a define and conditional building of sha1.c parts,
move the PBKDF2 implementation into a separate file.

Crypto build cleanup: remove CONFIG_NO_TLS_PRF

Instead of using a define and conditional building of sha1.c parts,
move the TLS PRF implementation into a separate file.

Crypto build cleanup: remove CONFIG_NO_T_PRF

Instead of using a define and conditional building of sha1.c parts,
move the T-PRF implementation into a separate file.

Crypto build cleanup: remove NEED_FIPS186_2_PRF

Instead of using a define and conditional building of crypto wrapper
parts, move the FIPS 186-2 PRF implementation into separate files.

Crypto build cleanup: remove INTERNAL_MD5

Instead of using a define and conditional building of md5.c parts,
move the internal-MD5 into a separate file.

Crypto build cleanup: remove INTERNAL_MD4

In addition, rename md4.c to md4-internal.c to match in style with
SHA-1 conditionally built internal implementation.

Crypto build cleanup: remove INTERNAL_SHA256

Instead of using a define and conditional building of sha256.c parts,
move the internal-SHA256 into a separate file.

Crypto build cleanup: remove INTERNAL_AES

In addition, rename aes.c to aes-internal.c to match in style with
SHA-1 conditionally built internal implementation.

Crypto build cleanup: remove INTERNAL_DES

In addition, rename des.c to des-internal.c to match in style with
SHA-1 conditionally built internal implementation.

Crypto build cleanup: remove INTERNAL_SHA1

Instead of using a define and conditional building of sha1.c parts,
move the internal-SHA-1 into a separate file.

CONFIG_WIRELESS_EXTENSION need not be in CFLAGS

CONFIG_WIRELESS_EXTENSION is purely internal to the Makefile

make the build process quieter to see warnings

Remove mac80211_hwsim code

The hwsim code here can only compile with a very specific kernel
version, but is shipped with current kernels so you just need to enable
it in your kernel instead.

Clean up some more binaries in wpa_supplicant 'make clean'

nl80211: Fix WEP key configuration

Current wpa_supplicant has a bug with WEP keys, it adds a zero-length
sequence counter field to netlink which the kernel doesn't accept.

Signed-off-by: Johannes Berg <johannes@sipsolutions.net>

hostapd: fix auth encryption

hostapd currently tries to encrypt all auth frames,
except for "OPEN" and "SHARED with transaction 3".
This means that it will send an encrypted "unknown
auth algorithm" reply for all other algorithsm. Fix
this by changing the logic to only encrypt shared
key auth frames with transaction 3.

Signed-off-by: Johannes Berg <johannes@sipsolutions.net>

Allow wpa_supplicant to use libnl-2.0

Change existing CONFIG_LIBNL20 compatibility code in
driver_nl80211.c to be used by both wpa_supplicant
and hostapd, but take care of nl_handle too now.

Propagate CONFIG_LIBNL20 out of .config file and onto
CFLAGS in the Makefile.

Use libnl-gen now too.

Signed-off-by: Jon Loeliger <jdl@bigfootnetworks.com>
---

Set state to COMPLETE when AP mode has been initialized successfully

Fix eap_example build with renamed EAP_* server defines

1e5839e06fbc20945044239984b652da9c3fc772 renamed the defines for EAP
server, but did not update the eap_example Makefile to match. This
broke the server side of the EAP example (no methods were actually
enabled).

Fix EAP-TNC peer memory leak on an error path

Add root .gitignore file to cleanup ignore lists

This removes need for local configuration to ignore *.o and *~
and allows the src/*/.gitignore files to be removed (subdirectories
will inherit the rules from the root .gitignore).