CHANGELOG

   1 ## v1.20220208.0
   2
   3 -doh and -dot mode use uTLS to camouflage their TLS Client Hello
   4 fingerprint. The fingerprint to use is chosen randomly from a weighted
   5 distribution. You can control this distribution using the new -utls
   6 option. Use "-utls none" to disable uTLS if you encounter TLS errors
   7 with your chosen server. This change means that it is no longer possible
   8 to use a proxy in -doh mode by setting the HTTP_PROXY or HTTPS_PROXY
   9 environment variables; this was an undocumented side effect of using the
  10 Go net/http package with no TLS camouflage.
  11
  12
  13 ## v1.20210812.0
  14
  15 Fixed an injection vulnerability in the dnstt-server log message
  16 "NXDOMAIN: not authoritative for %s". This log message contains a
  17 potentially attacker-controlled name. Because DNS labels may contain any
  18 byte value, the log message allowed an attacker to write arbitrary bytes
  19 to the dnstt-server log, with a variety of effects:
  20 * A label containing a newline could break the format of the log, or be
  21   used to inject false log lines.
  22 * Log output to a terminal could contain terminal escape sequences which
  23   could, for example, change the color of text, or have worse effects
  24   with older terminal emulators (https://seclists.org/bugtraq/2003/Feb/315).
  25 * DNS names with a label that contained the dot character (\x2e) would
  26   be logged in an ambiguous way, with the intra-label dot appearing as a
  27   label separator.
  28 DNS names are now logged using backslash hex escapes for unusual bytes.
  29 This vulnerability was called to mind by "Injection Attacks Reloaded:
  30 Tunnelling Malicious Payloads over DNS" by Jeitner and Shulman.
  31 https://www.usenix.org/conference/usenixsecurity21/presentation/jeitner
  32
  33 Inhibited some "io: read/write on closed pipe" log messages.
  34
  35
  36 ## v1.20210803.0
  37
  38 Performance tuning. Enlarge some buffers and network receive windows to
  39 permit faster downloads in some configurations. Adjusted the dynamic
  40 polling model to work more as intended, and tweaked the server send loop
  41 to continue bundling outgoing packets as long as some are immediately
  42 available.
  43
  44 Reduce idle timeout from 10 minutes to 2 minutes. Terminated sessions
  45 will be reclaimed more quickly.
  46
  47 Documentation updates.
  48
  49
  50 ## v0.20210424.0
  51
  52 dnstt was part of a software security audit done by Cure53. The report
  53 found issues of severity levels Low–Medium in dnstt and in one of its
  54 dependencies, a package used for Noise cryptography. This release fixes
  55 the following issues:
  56  * UCB-02-002: Memory leak in acceptStreams() routine of dnstt server (Low)
  57  * UCB-02-003: Potential nonce overflow in Noise protocol (Medium)
  58  * UCB-02-004: Deprecated DH25519 Golang API used by Noise (Low)
  59  * UCB-02-006: DoS due to unconditional nonce increment (Low)
  60  * UCB-02-007: DoS due to missing socket timeouts (Low)
  61 Unaddressed in this release are:
  62  * UCB-02-005: Client ID security considerations & Noise authenticated data (Low)
  63  * UCB-02-008: Lack of rate limiting in Snowflake and dnstt (Info)
  64 Two other issues in the report, UCB-02-001 and UCB-02-009, do not have
  65 to do with dnstt. For more details and the text of the report, see
  66 https://www.bamsoftware.com/software/dnstt/security.html#cure53-turbotunnel-2021
  67
  68 Added man pages for dnstt-client and dnstt-server.
  69
  70
  71 ## v0.20200506.0
  72
  73 Documentation updates.
  74
  75
  76 ## v0.20200504.0
  77
  78 Documentation updates and link to web page.
  79 https://www.bamsoftware.com/software/dnstt/
  80
  81
  82 ## v0.20200430.0
  83
  84 Send leftover packets (those that were too big to fit in the current DNS
  85 response) to the correct client in the future. Before, such leftover
  86 packets were included in the next response to be sent, regardless of the
  87 client it was intended for.
  88
  89 Fix the loop that packs packets into responses in the server. Before, if
  90 there were not a packet immediately available, the response would always
  91 be empty. Now, a packet has until the response timeout to be included.
  92
  93 Buffer the DoT transport in the client so that length prefixes and DNS
  94 queries happen in the same send.
  95
  96 Don't look for encoded packets in a response that was too short to
  97 contain a ClientID.
  98
  99
 100 ## v0.20200426.0
 101
 102 Added the -mtu command-line option to the server.
 103
 104 Documentation fixes.
 105
 106
 107 ## v0.20200419.0
 108
 109 Initial public release and announcement.
 110 https://github.com/net4people/bbs/issues/30