- up to 1.0.2k; fixes CVE-2017-3731, CVE-2017-3732, CVE-2016-7055

- up to 1.0.2j; fixes CVE-2016-7052

BR: pkgconfig, zlib-devel

which: no pkg-config in (/bin:/usr/bin:/usr/sbin:/sbin:/usr/X11R6/bin)
zlib-devel -- c_zlib.c:25:19: fatal error: zlib.h: No such file or directory

OpenSSL 1.0.2i [22 Sep 2016]; SWEET32 mitigation and typical CVE fixes

- OCSP Status Request extension unbounded memory growth (CVE-2016-6304)
- SWEET32 Mitigation (CVE-2016-2183)
- OOB write in MDC2_Update() (CVE-2016-6303)
- Malformed SHA512 ticket DoS (CVE-2016-6302)
- OOB write in BN_bn2dec() (CVE-2016-2182)
- OOB read in TS_OBJ_print_bio() (CVE-2016-2180)
- Pointer arithmetic undefined behaviour (CVE-2016-2177)
- Constant time flag not preserved in DSA signing (CVE-2016-2178)
- DTLS buffered message DoS (CVE-2016-2179)
- DTLS replay protection DoS (CVE-2016-2181)
- Certificate message OOB reads (CVE-2016-6306)

https://www.openssl.org/news/openssl-1.0.2-notes.html

up to 1.0.2i-snap

The OpenSSL project team would like to announce the forthcoming
release of OpenSSL versions 1.1.0a, 1.0.2i, 1.0.1u.

These releases will be made available on 22nd September 2016 at
approximately 0800 UTC.  They will fix several security defects: one
classfied as severity "high", one as "moderate", and the rest "low".

https://mta.openssl.org/pipermail/openssl-announce/2016-September/000076.html

use https url

the ftp interface will be taken down
https://mta.openssl.org/pipermail/openssl-announce/2016-September/000075.html

up to OpenSSL 1.0.2h [3 May 2016]

- Prevent padding oracle in AES-NI CBC MAC check (CVE-2016-2107)
- Fix EVP_EncodeUpdate overflow (CVE-2016-2105)
- Fix EVP_EncryptUpdate overflow (CVE-2016-2106)
- Prevent ASN.1 BIO excessive memory allocation (CVE-2016-2109)
- EBCDIC overread (CVE-2016-2176)
- Modify behavior of ALPN to invoke callback after SNI/servername callback, such that updates to the SSL_CTX affect ALPN.
- Remove LOW from the DEFAULT cipher list. This removes singles DES from the default.
- Only remove the SSLv2 methods with the no-ssl2-method option.

Merge branch 'dev-1.0.2h'

up to 1.0.2h snap

The release will be made available on 3rd May 2016 between approximately
1200-1500 UTC. It will fix several security defects with maximum
severity "high".

drop conflicts

sslv2 restored

- rebuild with sslv2 support
- release 7 (by relup.sh)

bconds were fixed in 2a82d45

- fixed bcond ssl2/ssl3 to force build with SSLv2/SSLv3 support

sslv2 bcond likely doesn't work after 1.0.2g

qt4 QtNetwork rebuild

python3 rebuild

python2 rebuild

- release 5 (by relup.sh)

curl rebuild

configure:29155: checking for curl_easy_perform in -lcurl
configure:29180: ccache gcc -o conftest -O2 -fwrapv -pipe -Wformat -Werror=format-security -gdwarf-4 -fno-debug-types-section -fvar-tracking-assignments -g2 -Wp,-D_FORTIFY_SOURCE=2
/usr/lib/gcc/i686-pld-linux/5.3.0/../../../libcurl.so: undefined reference to `SSLv2_client_method'
collect2: error: ld returned 1 exit status

altho this dependency is compile time, it's easier to mark it here than
all rebuilt programs that link with curl (php55-openssl, php56-openssl, ...)

php 5.4 rebuild needed

fix php versions

php 5.2 rebuild needed

$ php52 -m
PHP Warning:  PHP Startup: Unable to load dynamic library '/usr/lib/php52/openssl.so' - /usr/lib/php52/openssl.so: undefined symbol: SSLv2_server_method in Unknown on line 0

php 5.6 rebuild needed

oot@jenkins httpd/modules#
$ php56 -m
PHP Warning:  PHP Startup: Unable to load dynamic library '/usr/lib/php56/openssl.so' - /usr/lib/php56/openssl.so: undefined symbol: SSLv2_client_method in Unknown on line 0

php rebuild

$ php55 -m
PHP Warning:  PHP Startup: Unable to load dynamic library '/usr/lib/php55/openssl.so' - /usr/lib/php55/openssl.so: undefined symbol: SSLv2_server_method in Unknown on line 0

php 5.3 rebuild needed

$ php -m
PHP Warning:  PHP Startup: Unable to load dynamic library '/usr/lib/php53/openssl.so' - /usr/lib/php53/openssl.so: undefined symbol: SSLv2_server_method in Unknown on line 0

mod_ssl epoch

apache 2.2 bump

https://github.com/pld-linux/apache/commit/0bc39fbc11debf1f75be420bf6886097f802bf32

require rebuilt ruby

/usr/share/ruby/2.0/rubygems/core_ext/kernel_require.rb:55:in `require': /usr/lib64/ruby/2.0/openssl.so: undefined symbol: SSLv2_method - /usr/lib64/ruby/2.0/openssl.so (LoadError)
        from /usr/share/ruby/2.0/rubygems/core_ext/kernel_require.rb:55:in `require'
        from /usr/share/ruby/2.0/openssl.rb:17:in `<top (required)>'
        from /usr/share/ruby/2.0/rubygems/core_ext/kernel_require.rb:55:in `require'
        from /usr/share/ruby/2.0/rubygems/core_ext/kernel_require.rb:55:in `require'
        from /usr/share/ruby/2.0/net/https.rb:22:in `<top (required)>'
        from /usr/share/ruby/2.0/rubygems/core_ext/kernel_require.rb:55:in `require'

up to 1.0.2g, "DROWN" CVE-2016-0800 and "Cachebleed"

Merge branch '1.0.2g'

up to 1.0.2g snapshot

x32 patch is probably outdated

Merge branch 'mrcage-patch-1'

Added support for *.cer *.crt *.crl to c_rehash

This is aimed to keep the functionality in sync with OpenSSL 1.0.2

See https://www.openssl.org/docs/man1.0.2/apps/c_rehash.html

Merge branch 'private-perms'

Merge branch 'dev-1.0.2f'

1.0.2f release. CVE-2016-0701, CVE-2015-3197 fixes

- DH small subgroups (CVE-2016-0701)
- SSLv2 doesn't block disabled ciphers (CVE-2015-3197)

https://www.openssl.org/news/openssl-1.0.2-notes.html

test build upcoming 1.0.2f

the release is to be made somewhere in:
php -r 'echo strftime("%x %X%z\n", strtotime("28 jan 2016 1:00 pm utc"));'

update ca-certificates dep, recovered from 9afa51db

doc files were removed on purpose

https://github.com/openssl/openssl/issues/491#issuecomment-161755535

third error was from pld specific man-namespace patch

https://github.com/openssl/openssl/issues/491#issuecomment-161766747

dropping that chunk, as rpm build macros convert symlinks to man links
in post process anyway

repackaged tarball fixed two issues, but not the third one

https://github.com/openssl/openssl/issues/491

fix for missing bctest

https://github.com/openssl/openssl/issues/493

doc/openssl_button.gif doc/openssl_button.html are missing as well

damn buggy release it is

but not sure if intentional, so commenting them out for now.

hack for pod2man test

https://github.com/openssl/openssl/issues/490

pod2man tool missing

https://github.com/openssl/openssl/issues/490

hack a fix for packaging error

https://github.com/openssl/openssl/issues/491

however build still fails for :

make[1]: *** No rule to make target 'bctest', needed by 'test_bn'.  Stop.

and then:

/bin/sh: ./pod2mantest: not found

up to 1.0.2e, fails to build on carme jpaketest.c

- release 5 (by relup.sh)

update conflict for neon on ac

add ntpd conflict

see
https://github.com/pld-linux/ntp/commit/6a22ef3dfdfc575e06af5df4eaef25a4c546f257

add missing openssh-clients dependency update

update openssh conflict for ac

add LTS note

- up to 1.0.2d; fixes CVE-2015-1793/high

- up to 1.0.2c

- updated optflags patch

add comment what optflags does

from fc48a532a33e2694f46765f137c584f9fbde718f

drop obsolete cpuid.patch

up to 1.0.2b; fixes for CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1792, CVE-2015-1791

- up to 1.0.2a

stddef.patch applied upstream (order is irrelevant)

- elevated x32 patch to hackery
- rel 3

- x32 rebuild
- release 2 (by relup.sh)

- up to 1.0.2
- removed unnecessary patches and renumbered remaining

up to 1.0.1l

Build fixes for the Windows and OpenVMS platforms

up to 1.0.1k, fixes for CVE-2014-3571 CVE-2015-0206 CVE-2014-3569 CVE-2014-3572 CVE-2015-0204 CVE-2015-0205 CVE-2014-8275 CVE-2014-3570

fix gcc -E not dumping output with .s ext, works with .S

3a24c9cc conflicts don't apply for ac

- add x32 support

- rel 3 then

- zlib, sslv2 and sslv3 enabled by default

- fix bconds

sslv2/sslv3/zlib bconds; discussion about their default state in progress on devel lists

- rel 2; disable unsecure protocols
(zlib: CRIME attack; SSLv2: uses md5; SSLv3: POODLE)
- enable enable-ec_nistp_64_gcc_128 on x86_64

- handle unpackaged man files

report unpackaged files

up to OpenSSL 1.0.1j [15 Oct 2014]:
- Fix for CVE-2014-3513
- Fix for CVE-2014-3567
- Mitigation for CVE-2014-3566 (SSL protocol vulnerability)
- Fix for CVE-2014-3568

- rel 2; add support for TLS_FALLBACK_SCSV which should help mitigate latest SSLv3 SECURITY issue (CVE-2014-3566)

- up to 1.0.1i
- fixes for CVE-2014-3512 CVE-2014-3511 CVE-2014-3510 CVE-2014-3507
  CVE-2014-3506 CVE-2014-3505 CVE-2014-3509 CVE-2014-5139 CVE-2014-3508

- up to 1.0.1h; fixes:
 * SSL/TLS MITM vulnerability (CVE-2014-0224)
 * DTLS recursion flaw (CVE-2014-0221)
 * DTLS invalid fragment vulnerability (CVE-2014-0195)
 * SSL_MODE_RELEASE_BUFFERS NULL pointer dereference (CVE-2014-0198)
 * SSL_MODE_RELEASE_BUFFERS session injection or denial of service (CVE-2010-5298)
 * Anonymous ECDH denial of service (CVE-2014-3470)

- wrong patch...

- wrrr rel up...

- add patch from upstream
https://rt.openssl.org/Ticket/Display.html?id=3265
and fix:
http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=94d1f4b0f3d262edf1cf7023a01d5404945035d5

- up to 1.0.1g; fixes CVE-2014-0160, CVE-2014-0076

- up to 1.0.1f; fixes CVE-2013-4353, CVE-2013-6449, CVE-2013-6450

keep /etc/openssl/private dir private

conflict on packages not having strict openssl dependency

- rel 2; add debian fixes

- cleanup (drop Titanium stuff)

- -j1 also for make install

- updated to 1.0.0e (fixes CVE-2012-2686 CVE-2013-0166 CVE-2013-0169)

- fixed and updated optflags patch
- running perlpath.pl and passing PERL to Configure is enough, no need to replace /usr/local/bin/perl manually

- up to 1.0.1c

/var/lib/openssl -> /etc/openssl trigger improvements from AC-branch

- up to 1.0.0j, fixes CVE-2012-2333

Changed files:
    openssl.spec -> 1.241

- up to 1.0.0i; fixes CVE-2012-2110

Changed files:
    openssl.spec -> 1.240

- updated to 1.0.0h (fixes CVE-2012-0884 CVE-2011-4619)

Changed files:
    openssl.spec -> 1.239

- updated to 1.0.0g

Changed files:
    openssl.spec -> 1.238

- release 2

Changed files:
    openssl.spec -> 1.237

- updated to 1.0.0f
- solves CVE-2011-4108, CVE-2011-4109, CVE-2011-4576, CVE-2011-4577,
  CVE-2011-4619, CVE-2012-0027)

Changed files:
    openssl.spec -> 1.236

- up to 1.0.0e (fixes CVE-2011-3207, CVE-2011-3210, EC timming attacs)

Changed files:
    openssl.spec -> 1.235

- tsget is perl script

Changed files:
    openssl.spec -> 1.234