python-wheel: Add new host-only package

From the README:

This library is the reference implementation of the Python wheel
packaging standard, as defined in PEP 427.

Signed-off-by: Jeffery To <jeffery.to@gmail.com>
(cherry picked from commit afd6f8e44524a4452927c702ab272f7248b5bb17)

python-flit-core: Add host-only package

From the README:

This provides a PEP 517 build backend for packages using Flit. The only
public interface is the API specified by PEP 517, at flit_core.buildapi.

Signed-off-by: Jeffery To <jeffery.to@gmail.com>
(cherry picked from commit 2f37a616afe3f537aa23f8953ed55fc9e5f5fa25)

python-packaging: Update to 23.0, add host build

This also adds myself as maintainer, and marks the target package as
BROKEN (for now) as the update requires proper support for
pyproject.toml-based builds.

Signed-off-by: Jeffery To <jeffery.to@gmail.com>
(cherry picked from commit e9dd1a1dfc0dc924a1e9d7ea448ca27591574557)

python: Better host pip options

pip by default will read system-wide and per-user configuration
files[1]. Setting PIP_CONFIG_FILE=/dev/null instructs pip to not read
any config files[2].

pip will spawn child processes of itself to do work, but not all options
are passed down to the child processes[3]. Setting global options as
environment variables[4] ensures they are passed down to any child
processes.

[1]: https://pip.pypa.io/en/stable/topics/configuration/#configuration-files
[2]: https://pip.pypa.io/en/stable/topics/configuration/#pip-config-file
[3]: https://github.com/pypa/pip/issues/9081#issue-733819665
[4]: https://pip.pypa.io/en/stable/topics/configuration/#environment-variables

Signed-off-by: Jeffery To <jeffery.to@gmail.com>
(cherry picked from commit 8c2abb74031e2403dde83536a8e7f13c63cdd4ab)

python: Add pyproject.toml-based builds for host Python packages

Using pip to install host packages with pyproject.toml-based (PEP 517)
builds is problematic:

* If build isolation is used, pip will create an isolated build
  environment, install any build dependencies for the requested package,
  then build the requested package.

  It does not appear currently possible to have pip install the build
  dependencies with hash-checking mode enabled[1].

* If build isolation is not used, any build dependencies must be
  installed in the build environment before invoking pip to build the
  requested package[2].

  This would require creating a package dependency resolution system to
  install build dependencies, and any dependencies of dependencies, in
  the correct order.

* It is very difficult to patch the packages installed by pip.

This adds a new include file (python3-host-build.mk) with recipes to
install host Python packages with pyproject.toml-based builds. This is
backwards-compatible with packages that require running setup.py.

Besides addressing the above issues (the OpenWrt build system already
resolves dependencies between packages, checks all source downloads
against known hashes, and supports patching packages), host packages
also:

* Capture package licensing and maintainer information
* Enable uscan checking for package updates/CVEs
* Are a known concept for OpenWrt packagers/developers

The existing functionality of using host pip to install packages will
remain for now, but should be considered deprecated and expected to be
removed in the future.

This also updates Py3Build/CheckHostPipVersionMatch for the case where
the host-pip-requirements directory does not exist or is empty.

[1]: https://pip.pypa.io/en/stable/user_guide/#changes-to-the-pip-dependency-resolver-in-20-3-2020
[2]: https://pip.pypa.io/en/stable/cli/pip_install/#cmdoption-no-build-isolation

Signed-off-by: Jeffery To <jeffery.to@gmail.com>
(cherry picked from commit fe78c07a316b1722b8d35b63772a7067dfd87c5e)

python-build: add support for pyproject.toml files

A new PEP 517 (https://www.python.org/dev/peps/pep-0517/) has defined that
Python packages can be shipped without any `setup.py` file, and that a
`pyproject.toml` file is sufficient.

A `setup.py` shim layer is suggested as a method for running the build.

For these cases, we will add a support in the OpenWrt build-system to
provide the default `setup.py` shim layer in case this file does not exist,
but there is a `pyproject.toml` file.

We also seem to need to tweak the shim layer with the PKG_VERSION,
otherwise the detected version is 0.0.0.
We will need to see if this will be fixed later in setuptools{-scm}.

Signed-off-by: Alexandru Ardelean <ardeleanalex@gmail.com>
(cherry picked from commit 61f202c0170785addbbc449e4de61cc5886f0833)

python: Unset Python environment variables

This will prevent the user's environment variables from affecting host
Python, removing the need to manually override these variables.

It is also not necessary to set PYTHONPATH (when not working on target
Python packages) because the given directories are already included in
Python's search path by default.

Signed-off-by: Jeffery To <jeffery.to@gmail.com>
(cherry picked from commit 6ef46bb9194b5d3f5fc17471d8869bcae729d215)

Werkzeug: Update to 2.3.4, rename source package

This renames the source package from Werkzeug to python-werkzeug to
match other Python packages.

This also updates the package title, description, and list of
dependencies.

Signed-off-by: Jeffery To <jeffery.to@gmail.com>
(cherry picked from commit 574d43fca627bdaee03f43a1be10ba35dd9dd26d)

Werkzeug: update to version 2.2.2

Version 2.2.2
Released 2022-08-08

  Fix router to restore the 2.1 strict_slashes == False behaviour
  whereby leaf-requests match branch rules and vice versa.
  pallets/werkzeug#2489

  Fix router to identify invalid rules rather than hang parsing them,
  and to correctly parse / within converter arguments.
  pallets/werkzeug#2489

  Update subpackage imports in werkzeug.routing to use the import as
  syntax for explicitly re-exporting public attributes.
  pallets/werkzeug#2493

  Parsing of some invalid header characters is more robust.
  pallets/werkzeug#2494

  When starting the development server, a warning not to use it in a
  production deployment is always shown. pallets/werkzeug#2480

  LocalProxy.__wrapped__ is always set to the wrapped object when the
  proxy is unbound, fixing an issue in doctest that would cause it to
  fail. pallets/werkzeug#2485

  Address one ResourceWarning related to the socket used by run_simple.
  pallets/werkzeug#2421

Version 2.2.1
Released 2022-07-27

  Fix router so that /path/ will match a rule /path if strict slashes
  mode is disabled for the rule. pallets/werkzeug#2467

  Fix router so that partial part matches are not allowed i.e. /2df
  does not match /<int>. pallets/werkzeug#2470

  Fix router static part weighting, so that simpler routes are matched
  before more complex ones. pallets/werkzeug#2471

  Restore ValidationError to be importable from werkzeug.routing.
  pallets/werkzeug#2465

Version 2.2.0
Released 2022-07-23

  Deprecated get_script_name, get_query_string, peek_path_info,
  pop_path_info, and extract_path_info. pallets/werkzeug#2461

  Remove previously deprecated code. pallets/werkzeug#2461

  Add MarkupSafe as a dependency and use it to escape values when
  rendering HTML. pallets/werkzeug#2419

  Added the werkzeug.debug.preserve_context mechanism for restoring
  context-local data for a request when running code in the debug
  console. pallets/werkzeug#2439

  Fix compatibility with Python 3.11 by ensuring that end_lineno and
  end_col_offset are present on AST nodes. pallets/werkzeug#2425

  Add a new faster matching router based on a state machine.
  pallets/werkzeug#2433

  Fix branch leaf path masking branch paths when strict-slashes is
  disabled. pallets/werkzeug#1074

  Names within options headers are always converted to lowercase. This
  matches RFC 6266 that the case is not relevant. pallets/werkzeug#2442

  AnyConverter validates the value passed for it when building URLs.
  pallets/werkzeug#2388

  The debugger shows enhanced error locations in tracebacks in Python
  3.11. pallets/werkzeug#2407

  Added Sans-IO is_resource_modified and parse_cookie functions based
  on WSGI versions. pallets/werkzeug#2408

  Added Sans-IO get_content_length function. pallets/werkzeug#2415

  Don’t assume a mimetype for test responses. pallets/werkzeug#2450

  Type checking FileStorage accepts os.PathLike. pallets/werkzeug#2418

Version 2.1.2
Released 2022-04-28

  The development server does not set Transfer-Encoding: chunked for
  1xx, 204, 304, and HEAD responses. pallets/werkzeug#2375

  Response HTML for exceptions and redirects starts with <!doctype
  html> and <html lang=en>. pallets/werkzeug#2390

  Fix ability to set some cache_control attributes to False.
  pallets/werkzeug#2379

  Disable keep-alive connections in the development server, which are
  not supported sufficiently by Python’s http.server.
  pallets/werkzeug#2397

Version 2.1.1
Released 2022-04-01

  ResponseCacheControl.s_maxage converts its value to an int, like
  max_age. pallets/werkzeug#2364

Version 2.1.0
Released 2022-03-28

  Drop support for Python 3.6. pallets/werkzeug#2277

  Using gevent or eventlet requires greenlet>=1.0 or PyPy>=7.3.7.
  werkzeug.locals and contextvars will not work correctly with older
  versions. pallets/werkzeug#2278

  Remove previously deprecated code. pallets/werkzeug#2276

    Remove the non-standard shutdown function from the WSGI environ
    when running the development server. See the docs for alternatives.

    Request and response mixins have all been merged into the Request
    and Response classes.

    The user agent parser and the useragents module is removed. The
    user_agent module provides an interface that can be subclassed to
    add a parser, such as ua-parser. By default it only stores the
    whole string.

    The test client returns TestResponse instances and can no longer be
    treated as a tuple. All data is available as properties on the
    response.

    Remove locals.get_ident and related thread-local code from locals,
    it no longer makes sense when moving to a contextvars-based
    implementation.

    Remove the python -m werkzeug.serving CLI.

    The has_key method on some mapping datastructures; use key in data
    instead.

    Request.disable_data_descriptor is removed, pass shallow=True
    instead.

    Remove the no_etag parameter from Response.freeze().

    Remove the HTTPException.wrap class method.

    Remove the cookie_date function. Use http_date instead.

    Remove the pbkdf2_hex, pbkdf2_bin, and safe_str_cmp functions. Use
    equivalents in hashlib and hmac modules instead.

    Remove the Href class.

    Remove the HTMLBuilder class.

    Remove the invalidate_cached_property function. Use del obj.attr
    instead.

    Remove bind_arguments and validate_arguments. Use Signature.bind()
    and inspect.signature() instead.

    Remove detect_utf_encoding, it’s built-in to json.loads.

    Remove format_string, use string.Template instead.

    Remove escape and unescape. Use MarkupSafe instead.

  The multiple parameter of parse_options_header is deprecated.
  pallets/werkzeug#2357

  Rely on PEP 538 and PEP 540 to handle decoding file names with the
  correct filesystem encoding. The filesystem module is removed.
  pallets/werkzeug#1760

  Default values passed to Headers are validated the same way values
  added later are. pallets/werkzeug#1608

  Setting CacheControl int properties, such as max_age, will convert
  the value to an int. pallets/werkzeug#2230

  Always use socket.fromfd when restarting the dev server.
  pallets/werkzeug#2287

  When passing a dict of URL values to Map.build, list values do not
  filter out None or collapse to a single value. Passing a MultiDict
  does collapse single items. This undoes a previous change that made
  it difficult to pass a list, or None values in a list, to custom URL
  converters. pallets/werkzeug#2249

  run_simple shows instructions for dealing with “address already in
  use” errors, including extra instructions for macOS.
  pallets/werkzeug#2321

  Extend list of characters considered always safe in URLs based on RFC
  3986. pallets/werkzeug#2319

  Optimize the stat reloader to avoid watching unnecessary files in
  more cases. The watchdog reloader is still recommended for
  performance and accuracy. pallets/werkzeug#2141

  The development server uses Transfer-Encoding: chunked for streaming
  responses when it is configured for HTTP/1.1. pallets/werkzeug#2090,
  pallets/werkzeug#1327, pallets/werkzeug#2091

  The development server uses HTTP/1.1, which enables keep-alive
  connections and chunked streaming responses, when threaded or
  processes is enabled. pallets/werkzeug#2323

  cached_property works for classes with __slots__ if a corresponding
  _cache_{name} slot is added. pallets/werkzeug#2332

  Refactor the debugger traceback formatter to use Python’s built-in
  traceback module as much as possible. pallets/werkzeug#1753

  The TestResponse.text property is a shortcut for
  r.get_data(as_text=True), for convenient testing against text instead
  of bytes. pallets/werkzeug#2337

  safe_join ensures that the path remains relative if the trusted
  directory is the empty string. pallets/werkzeug#2349

  Percent-encoded newlines (%0a), which are decoded by WSGI servers,
  are considered when routing instead of terminating the match early.
  pallets/werkzeug#2350

  The test client doesn’t set duplicate headers for CONTENT_LENGTH and
  CONTENT_TYPE. pallets/werkzeug#2348

  append_slash_redirect handles PATH_INFO with internal slashes.
  pallets/werkzeug#1972, pallets/werkzeug#2338

  The default status code for append_slash_redirect is 308 instead of
  301. This preserves the request body, and matches a previous change
  to strict_slashes in routing. pallets/werkzeug#2351

  Fix ValueError: I/O operation on closed file. with the test client
  when following more than one redirect. pallets/werkzeug#2353

  Response.autocorrect_location_header is disabled by default. The
  Location header URL will remain relative, and exclude the scheme and
  domain, by default. pallets/werkzeug#2352

  Request.get_json() will raise a 400 BadRequest error if the
  Content-Type header is not application/json. This makes a very common
  source of confusion more visible. pallets/werkzeug#2339

Version 2.0.3
Released 2022-02-07

  ProxyFix supports IPv6 addresses. pallets/werkzeug#2262

  Type annotation for Response.make_conditional,
  HTTPException.get_response, and Map.bind_to_environ accepts Request
  in addition to WSGIEnvironment for the first parameter.
  pallets/werkzeug#2290

  Fix type annotation for Request.user_agent_class.
  pallets/werkzeug#2273

  Accessing LocalProxy.__class__ and __doc__ on an unbound proxy
  returns the fallback value instead of a method object.
  pallets/werkzeug#2188

  Redirects with the test client set RAW_URI and REQUEST_URI correctly.
  pallets/werkzeug#2151

Signed-off-by: Daniel Golle <daniel@makrotopia.org>
(cherry picked from commit d99b5473e512ced7097c44c0d60ed6a784284bb2)

Jinja2: Update to 3.1.2, rename source package

This renames the source package from Jinja2 to python-jinja2 to match
other Python packages.

This also updates the package license files, title, and list of
dependencies.

Signed-off-by: Jeffery To <jeffery.to@gmail.com>
(cherry picked from commit 572387f0cb41f21c72a33533280a58723b7ed570)

Jinja2: get rid of deprecated AUTORELEASE

Signed-off-by: Šimon Bořek <simon.borek@nic.cz>
(cherry picked from commit b4c6c4e7c1af92444765185be5f342a876bc779b)

python-babel: Update to 2.12.1, add host build

Also updated dependencies for the new version.

Signed-off-by: Jeffery To <jeffery.to@gmail.com>
(cherry picked from commit 0174cea69757589be50b9dd774394ce18cf61dae)

python-flask-babel: Update to 3.1.0

The package changed to the poetry-core build backend.

Signed-off-by: Jeffery To <jeffery.to@gmail.com>
(cherry picked from commit c579a4ab0e71b6112a593969ffb900faa46af7e5)

mariadb: Update to version 10.6.15

For list of changes, see:

* https://mariadb.com/kb/en/mariadb-10-6-15-release-notes/
* https://mariadb.com/kb/en/mariadb-10-6-14-release-notes/
* https://mariadb.com/kb/en/mariadb-10-6-13-release-notes/
* https://mariadb.com/kb/en/mariadb-10-6-12-release-notes/
* https://mariadb.com/kb/en/mariadb-10-6-11-release-notes/

Signed-off-by: Michal Hrusecky <michal.hrusecky@turris.com>

curl: Update to version 8.4.0

For detailed changes, see https://curl.se/changes.html#8_4_0
Switching to tar.bz2 for the time being as tar.xz is not yet available.
Fixes CVE-2023-38546 and CVE-2023-38545.

Signed-off-by: Michal Hrusecky <michal.hrusecky@turris.com>
(cherry picked from d353218c320073bf6c2b48f4b9eeab5d4aeeed1c)

nextdns: Update to version 1.41.0

Signed-off-by: Olivier Poitrey <rs@nextdns.io>

net-snmp: move to PCRE2 library

Add upstream patch adding support for pcre2 and update dependency to
require libpcre2 instead of libpcre.

--with-pcre2-8 is now needed to exclude support for pcre and only
require pcre2 as net-snmp still use and try to use pcre by default.

Signed-off-by: Christian Marangi <ansuelsmth@gmail.com>
(cherry picked from commit daf29ecbb2e17adce7ba9c25759b60c9afff9c01)

net-snmp: rename stop_service to service_stopped

The commands in the function 'stop_service' do not stop the service.
Rather, they are commands that are to be executed when the service has
already been stopped. By renaming the function, the commands are now
executed after the service has been stopped.

Signed-off-by: Florian Eckert <fe@dev.tdt.de>
(cherry picked from commit 9b67f7d1340abe08e6a0c2c80fb32572577a1441)

net-snmp: fix whitespaces

Replace spaces with tabs

Signed-off-by: Florian Eckert <fe@dev.tdt.de>
(cherry picked from commit d6edd837f5d8ae18f53b474910358fad2930aa32)

libvpx: update to 1.13.1

v1.13.0

This release includes more Neon and AVX2 optimizations, adds a new codec
control to set per frame QP, upgrades GoogleTest to v1.12.1, and includes
numerous bug fixes.

v1.13.1

This release contains two security related fixes. One each for VP8 and VP9.

- https://crbug.com/1486441 (CVE-2023-5217)
- Fix bug with smaller width bigger size (CVE-2023-44488)

Fixes #22318

Signed-off-by: Luiz Angelo Daros de Luca <luizluca@gmail.com>
(cherry picked from commit 36566a99af9074334eee3293a6d5a0aa7f4e8246)

libvpx: update to 1.12.0

Signed-off-by: Rosen Penev <rosenp@gmail.com>
(cherry picked from commit d4410f7750aa3201cf438f61566c90e1d1047f0e)

exim: update to version 4.96.1

This is a security release.

JH/01 Bug 2999: Fix a possible OOB write in the external authenticator, which
      could be triggered by externally-supplied input.  Found by Trend Micro.
      CVE-2023-42115

JH/02 Bug 3000: Fix a possible OOB write in the SPA authenticator, which could
      be triggered by externally-controlled input.  Found by Trend Micro.
      CVE-2023-42116

JH/03 Bug 3001: Fix a possible OOB read in the SPA authenticator, which could
      be triggered by externally-controlled input.  Found by Trend Micro.
      CVE-2023-42114

Signed-off-by: Daniel Golle <daniel@makrotopia.org>
(cherry picked from commit 7c8f4a2a1c2e883ae3ebd62aab96bb45e31b4d55)

python3: avoid unnecessary rebuilds

Move the order in which BuildPackage is called, so that the libpython
package is built ahead of the module packages, to avoid forcing a
clean-build of the package when 'make package/python3/compile' is called
a second time without changes.

The library must be built first, so that when the buildsystem checks for
ABI version changes using libpython3.version, its timestamp should be
older than the dependent package's STAMP_PREPARED file.

Signed-off-by: Eneas U de Queiroz <cotequeiroz@gmail.com>
(cherry picked from commit c230d7bd7f8a794032d2414588f1cdfc1a5ec74e)

crowdsec-firewall-bouncer: new upstream release version 0.0.28

Signed-off-by: S. Brusch <ne20002@gmx.ch>
Maintainer: Kerma Gérald <gandalf@gk2.net>
Run tested: mediatek/filogic, BPI-R3, Openwrt 23.05.0-rc3

Description: Update crowdsec-firewall-bouncer to latest upstream release version 0.0.28
(cherry picked from commit 401d2428ac24abcd90dcaa7bf5bc32ef33e6769b)

atftp: move to PCRE2

Move atftp to PCRE2 as PCRE is flagged as EOL and won't receive security
updates anymore.

Signed-off-by: Christian Marangi <ansuelsmth@gmail.com>
(cherry picked from commit f81a1a1212c17f460721fe6f4d4497e66ee418c6)

atftp: bump to release 0.8.0

Bump to release 0.8.0. Autorecong is now needed to correctly compile the
package.

Signed-off-by: Christian Marangi <ansuelsmth@gmail.com>
(cherry picked from commit 364fe00b17ddfeb9f2bdf16298eda84866d58d27)

ffmpeg: Add avi muxer

Otherwise one cannot produce *.avi containers needed for some H.264
camera codecs.

Signed-off-by: Jan Kratochvil <jan@jankratochvil.net>
(cherry picked from commit 62f01d7b36ca621f3b9e2e01c78a64e897dbf4e8)

btrfs-progs: update to version 6.5.1

Release notes:
https://github.com/kdave/btrfs-progs/releases/tag/v6.5.1

Signed-off-by: Josef Schlehofer <pepe.schlehofer@gmail.com>
(cherry picked from commit 16e484cad1d2e9686916c0cfcafd54cf3777378f)
(cherry picked from commit c6656a6289d1335a229e4ddf11efbd0a1350b5f7)

btrfs-progs: Update to 6.3

Fixed build issue with musl 1.2.4.

Signed-off-by: Tianling Shen <cnsztl@immortalwrt.org>
(cherry picked from commit c2b8dbd08586d7fa225d8164c9a29e3d2aae1186)

wget: Update to 1.21.4

Removed upstreamed patches and unneeded autoreconf.

Signed-off-by: Tianling Shen <cnsztl@immortalwrt.org>
(cherry picked from commit 54593c0ba9a52ca72c69a1041b11bc9ef558db77)

syslog-ng: update to version 4.4.0

- Release notes:
https://github.com/syslog-ng/syslog-ng/releases/tag/syslog-ng-4.4.0

- Bump version in config file

Signed-off-by: Josef Schlehofer <pepe.schlehofer@gmail.com>
(cherry picked from commit 4dd49d7c3cd571107958154f1ed1ec8d8dba7464)

prometheus-node-exporter-lua: drop bmx6 package

In the OpenWrt routing feed, package bmx6 and luci-app-bmx6 were removed because the LuCI app was vulnerable to several CVEs, as found by dependabot. It has been reporting it for a few months and has even created an issue. These two packages are not maintained in OpenWrt as well in upstream.

Users should switch to the bmx7 package.

Fixes: 9fb9d9343ea27d6dbb5008ece10c0c843dd2c781 ("bmx6: drop package") in the routing feed
Signed-off-by: Josef Schlehofer <pepe.schlehofer@gmail.com>
(cherry picked from commit 9c2bf859005ada11c17835f74826b356cdb0fb7b)

exim: apply hotfix for some ZDI reported vulnerabilities

Apply preliminary hotfix for some (three?) of the 0-day
vulnerabilities reported by ZDI.

Signed-off-by: Daniel Golle <daniel@makrotopia.org>
(cherry picked from commit db85d9ead6c3258757e199ad1fbd5bd20c9aac5f)

apache: bump to release 2.4.57

Bump apache to release 2.4.57 and refresh patch automatically.

Signed-off-by: Christian Marangi <ansuelsmth@gmail.com>
(cherry picked from commit 86f9af41c1cb8670e56be5d0fec8b64daf7c7499)

apache: move to PCRE2

Move apache to PCRE2 now that PCRE is flagged EOL and won't receive any
security update.

Signed-off-by: Christian Marangi <ansuelsmth@gmail.com>
(cherry picked from commit d14fe0c51c0be8d66772b83a165c7fb3c4850af0)

bind: bump to 9.18.19

Fixes CVEs:

CVE-2023-3341 - Previously, sending a specially crafted message over the
control channel could cause the packet-parsing code to run out of available
stack memory, causing named to terminate unexpectedly.

CVE-2023-4236 - A flaw in the networking code handling DNS-over-TLS queries
could cause named to terminate unexpectedly due to an assertion failure under
significant DNS-over-TLS query load.

Signed-off-by: Noah Meyerhans <frodo@morgul.net>
(cherry picked from commit 835b1051511b592d69bc0b8a7d5d993337f890da)

openvswitch: disable groff manpage check

The openvswitch build trips over a number of warnings during the
manpage-check step if groff 1.23 is installed on the build host,
resulting in a failed build.

As this check is optional, and we don't even install the manpages, simply
override the groff configure check to never detect groff.

Signed-off-by: Matthias Schiffer <mschiffer@universe-factory.net>
(cherry picked from commit db34f33cc712ef2c6c4ca2f7ace1f428e83f316c)

tunneldigger: set PKG_SOURCE_DATE

opkg requires monotonically increasing version numbers to know which
version of a package is newer. As git commit IDs do not satisfy this
condition, PKG_SOURCE_DATE must be set to the date of the referenced
commit, resulting in the complete version number '2021-03-08-4f72b305-1'.

As the source date also becomes part of the paths inside the download
archive, the source hash must be updated as well.

Signed-off-by: Matthias Schiffer <mschiffer@universe-factory.net>
(cherry picked from commit 0a3e5dd122abb92f215369eeb0a957114b61746f)

tunneldigger: add group option to UCI config

The group can be used for policy routing and similar purposes.

Signed-off-by: Matthias Schiffer <mschiffer@universe-factory.net>
(cherry picked from commit 21dd77f6c48f5c59beee5dccc4aee9a2afa3e137)

netbird: update to 0.21.7

1. Release notes:
   https://github.com/netbirdio/netbird/releases/tag/v0.21.2
   https://github.com/netbirdio/netbird/releases/tag/v0.21.3
   https://github.com/netbirdio/netbird/releases/tag/v0.21.4
   https://github.com/netbirdio/netbird/releases/tag/v0.21.5
   https://github.com/netbirdio/netbird/releases/tag/v0.21.6
   https://github.com/netbirdio/netbird/releases/tag/v0.21.7
2. Update GO_PKG_LDFLAGS, because of https://github.com/netbirdio/netbird/commit/292ee260ad564d1e65199b1cb3430b0cd7ba9646
3. Define the configuration file.

Signed-off-by: Salem Huang <solohoh@hotmail.com>
(cherry picked from commit 35b668b6ca432425e3b10b080f43344c15903380)

netbird: update to 0.21.1

Release notes: https://github.com/netbirdio/netbird/releases

Signed-off-by: Oskari Rauta <oskari.rauta@gmail.com>
(cherry picked from commit 9bc2733f31fb9ef083d7b2ed8235ffef9dbc3b21)

netbird: update to 0.14.5

Release Notes

Management

 - Introduce a new ACL engine based on Rego (Open Policy Agent) for firewall control
 - Personal access tokens generation as a first iteration toward public API release
 - Add Keycloak support as an IDP manager

Agent

 - Introduce a Firewall interface to apply granular access control (e.g., connection direction, port, or protocol level)
 - Make the agent run on Android (mobile support)

Changelog

 - Feat rego default policy
 - Don't drop Rules from file storage after migration to Policies
 - Add version info command to signal server
 - Feat firewall controller interface
 - Adding Personal Access Token generation
 - Exchange proxy mode via signal
 - Fix connstate indication
 - Mobile
 - PAT persistence
 - Add Keycloak Idp Manager
 - Adjustments for the change server flow
 - Disable peer expiration of peers added with setup keys
 - Add JWT middleware validation failure log

Signed-off-by: Oskari Rauta <oskari.rauta@gmail.com>
(cherry picked from commit 12f8ebc4b1adf63989c366c36509b54da59ba426)

netbird: update to 0.14.4

Bug fixes & refactor
Fix: send remote agents updates when peer re-authenticates

Signed-off-by: Oskari Rauta <oskari.rauta@gmail.com>
(cherry picked from commit ab573bdb4d7b30d5dc46e70941cb025800d4cabd)

netbird: update to 0.14.3

Bug fixes & refactor

Release notes:
 - Fix: send remote agents updates when peer re-authenticates

Signed-off-by: Oskari Rauta <oskari.rauta@gmail.com>
(cherry picked from commit f9e3af87f516b285daffc01636083f2db369c27b)

netbird: update to 0.14.2

Update from 0.12.0 -> 0.14.2
Release notes: https://github.com/netbirdio/netbird/releases

Signed-off-by: Oskari Rauta <oskari.rauta@gmail.com>
(cherry picked from commit 58fcaf8fc4d56c929a43be14fcd5c10d349502ec)

netbird: new package

Netbird is similar vpn service as tailscale and zerotier.

Description:
NetBird is an open-source VPN management platform built on top of WireGuard® making it easy to create secure private networks for your organization or home.
It requires zero configuration effort leaving behind the hassle of opening ports, complex firewall rules, VPN gateways, and so forth.

Signed-off-by: Oskari Rauta <oskari.rauta@gmail.com>
(cherry picked from commit a4d8d2459aa4fc0de453b23c34355311366f8d3b)

crowdsec: new upstream release version 1.5.4

Update crowdsec to latest upstream release version 1.5.4

Signed-off-by: S. Brusch <ne20002@gmx.ch>
Maintainer: Kerma Gérald <gandalf@gk2.net>
Build tested: package build checked, no run test due to limited space

Description: update to latest version of upstream
(cherry picked from commit 7528bf76821eb9234d4665752371c85496ca5b89)

apfree-wifidog: Update to v6.08.1950

Fixed some memory leak bug

Signed-off-by: Dengfeng Liu <liudf0716@gmail.com>
(cherry picked from commit 5b3e517be4a1d2674fc12ea81a60ba885423758a)

xfrpc: update to version 2.9.644

Release notes:
https://github.com/liudf0716/xfrpc/releases/tag/2.9.644

Signed-off-by: Dengfeng Liu <liudf0716@gmail.com>
(cherry picked from commit 6cd80e07273d7e7f291f15601f0cf77f88732351)

git: update to version 2.34.8

Fixes CVE:
CVE-2023-25652
CVE-2023-25815
CVE-2023-29007

Release notes:
https://github.com/git/git/commit/abcb63fb70a69956a892fa830f3866098797787c

Signed-off-by: Josef Schlehofer <pepe.schlehofer@gmail.com>

samba4: update to 4.18.6

Update to the version of samba4 from 23.05 as version 4.14 is no longer
supported by upstream since 2022-09-13:

https://wiki.samba.org/index.php/Samba_Release_Planning#General_information

Signed-off-by: Michal Hrusecky <michal.hrusecky@turris.com>

czmq: drop libpcre dependency

It seems like the libpcre dependency was added by mistake.
While checking in the source code of czmq (Makefile.am, CMakeLists.txt),
I see there are several dependencies, but there isn't PCRE.

Fixes: 936a48a ("czmq: add new package")
Signed-off-by: Josef Schlehofer <pepe.schlehofer@gmail.com>
(cherry picked from commit e3ab95185cb67e6d5753b2d7380bac74c4ef4acd)

mg: switch pcre to pcre2

Switch pcre to pcre2
https://github.com/openwrt/packages/issues/22006

Signed-off-by: Hirokazu MORIKAWA <morikw2@gmail.com>
(cherry picked from commit 3d11e5c197e250f0a32ca813ff07d480b59311d0)

msmtp: update to version 1.8.24

Release notes:
https://github.com/marlam/msmtp-mirror/commit/ef62463e4d0dc1f8e7f1db4f8dd35650999c13f9X

Signed-off-by: Josef Schlehofer <pepe.schlehofer@gmail.com>
(cherry picked from commit 29a9a6a4a7b797097992eb7ff2cfd84d11920b25)

postfix: Fix compile against glibc 2.36

This backports a change from postfix 3.8, I do not know exactly why it
detects Linux 6 here, but this is needed to fix compilation with glibc
2.36.

Signed-off-by: Hauke Mehrtens <hauke@hauke-m.de>
(cherry picked from commit 33786efe661f8aef720914926c6f5ad2f0ba8187)

glib2: disable gnulib printf

A compiler bug (suspiciously) blocks gnulib compilation for
mipsel_24kc_24kf. While we had this patch to disable gnulib, it was
accidentally removed by 5d27631d9fbca076eb6377fc8c10f474ce9f4fea. Add it
back to fix the long broken build for mipsel_24kc_24kf.

Fixes: #19511
Signed-off-by: Jitao Lu <dianlujitao@gmail.com>
(cherry picked from commit 68f23a9c333671e9ea69e014824943e2e00aaa41)

glib2: fix host build offline download

If buildsystem does not have a internet connection, then the build
fails. This is because of the fact, that glib2 is downloading and building
the missing dependencies during host compilation.

This cannot be allowed to happen. The package must also be built without
an internet connection.

Adding the missing host build dependency and removing the 'forcefallback'
fixes this issue.

Signed-off-by: Florian Eckert <fe@dev.tdt.de>
(cherry picked from commit c664b83535c24df35d6a1ec46440b4fb04d270ec)

fastd: update repository URL

I've changed my username to neocturne.

Signed-off-by: Matthias Schiffer <mschiffer@universe-factory.net>
(cherry picked from commit ac897e05dd6a30be498897494843962db4633436)

libuecc: update repository URL

I've changed my username to neocturne.

Signed-off-by: Matthias Schiffer <mschiffer@universe-factory.net>
(cherry picked from commit 1df594bc01b0c7be34cd6eb477ebd1621959d15d)

bind: update to version 9.18.18

Release notes:
https://downloads.isc.org/isc/bind9/9.18.18/doc/arm/html/notes.html#notes-for-bind-9-18-18
https://downloads.isc.org/isc/bind9/9.18.17/doc/arm/html/notes.html#notes-for-bind-9-18-17

Signed-off-by: Josef Schlehofer <pepe.schlehofer@gmail.com>
(cherry picked from commit 6a8d3565f0a99fe22cac6db9a8bbf553b7dff5a5)

rclone: Update to 1.64.0

Signed-off-by: Tianling Shen <cnsztl@immortalwrt.org>
(cherry picked from commit 1b75de7e5ca20280ba9e0b4672506abd1a7e2823)

samba4: update to 4.14.14
* update to 4.14.14
* fixes: CVE-2022-2031, CVE-2022-32744, CVE-2022-32745, CVE-2022-32746, CVE-2022-32742

Signed-off-by: Andrew Sim <andrewsimz@gmail.com>
(cherry picked from commit 5cf95dbf051e1072833e9a3d770c51feaa140985)

samba4: drop maintainership

drop maintainership:
* samba4
* ksmbd-tools
* perl-parse-yapp
* libtirpc
* softethervpn5
* wsdd2
* rpcsvc-proto

Signed-off-by: Andy Walsh <andy.walsh44+github@gmail.com>
(cherry picked from commit cd49a8fb277f58d013b4bfc229aef6db18252146)

samba4: fix build on macos

This commit fixes two issues on macos:
1. Added a patch to fix 'echo -n' issue with MacOS shell
(backported from upstream)
2. Redefined sys.platform='linux' for target build if build host is
MacOS (otherwise, build script tries to use MacOS logic for
OpenWrt(Linux) target build)

Signed-off-by: Sergey V. Lobanov <sergey@lobanov.in>
(cherry picked from commit 510d44d988282abef81011b7281591b1bca88c90)

emailrelay: update to v2.4.1

The patch seems not needed anymore.
Also remove deprecated PKG_RELEASE:=$(AUTORELEASE)

Signed-off-by: Sergey Ponomarev <stokito@gmail.com>
(cherry picked from commit 735cba83ce3851e0a6fdf279a51683ed9bd00481)

alpine: disable parallel build

Parallel build does not work because it may reach a point where OSTYPE
might be needed before it is actually built.  They appear to run
parallel to each other:

echo slx > OSTYPE
[...]
cat: OSTYPE: No such file or directory
sh: line 1: test: too many arguments
cat: OSTYPE: No such file or directory
Already built for -- you must do "make clean" first
make[6]: *** [Makefile:706: rebuild] Error 1
make[6]: *** Waiting for unfinished jobs....

Signed-off-by: Eneas U de Queiroz <cotequeiroz@gmail.com>
(cherry picked from commit 0e652e244928afd3ac9490589542de0263b89e44)

alpine: fix old URL

Signed-off-by: Rosen Penev <rosenp@gmail.com>
(cherry picked from commit 40c685e616f5a83202da1c6e91744bd9c3e39e76)

ipfs-http-client: remove package

This package lacks proper maintenance in both upstream and here.

Signed-off-by: Tianling Shen <cnsztl@immortalwrt.org>
(cherry picked from commit 72c8977b3b4b3b8c905bd53db7557cf6bc8963db)

sudo: bump to verison 1.9.14p3

Signed-off-by: Alexandru Ardelean <alex@shruggie.ro>
(cherry picked from commit a1edb560836c4710b6f536b34df042ee4549fdf2)

sudo: bump to verison 1.9.14p1

Signed-off-by: Alexandru Ardelean <alex@shruggie.ro>
(cherry picked from commit 7953466d7f78ba4ff28a9a4b705f09e46585e2eb)

sudo: bump to verison 1.9.13p3

Signed-off-by: Alexandru Ardelean <alex@shruggie.ro>
(cherry picked from commit 2d9e475444a12240013c68dcfbf89776bdab5c4f)

sudo: bump to version 1.9.12p2

Signed-off-by: Alexandru Ardelean <alex@shruggie.ro>
(cherry picked from commit 18ce78753061e44b18e49513f352c25c5578f056)

sudo: bump to verison 1.9.12p1

Fixes: https://github.com/openwrt/packages/issues/19816
Signed-off-by: Alexandru Ardelean <ardeleanalex@gmail.com>
(cherry picked from commit 8e2091c6adc9b0dd78369f76e224867a40757ef1)

sudo: bump to version 1.9.12

Signed-off-by: Alexandru Ardelean <ardeleanalex@gmail.com>
(cherry picked from commit b40372da41303711bcc6c5b7640f7a3c00c47d54)

sudo: don't build with MIPS16

GCC12 doesn't implement some security flags used by sudo.

Signed-off-by: Rosen Penev <rosenp@gmail.com>
(cherry picked from commit 97e986e5eda7de83e0c725586ef00f575d76b8be)

sudo: bump to verison 1.9.11p3

Signed-off-by: Alexandru Ardelean <ardeleanalex@gmail.com>
(cherry picked from commit b083d9b82bb89e3f27d3783dddd906f3fabeb693)

knot: update to version 3.3.1

Signed-off-by: Jan Hák <jan.hak@nic.cz>
(cherry picked from commit 2a6dc24882721b6c93623c8d55175de04c76852c)

libreswan: update to 4.12
fix CVE-2023-38710, CVE-2023-38711, CVE-2023-38712

Signed-off-by: Lucian Cristian <lucian.cristian@gmail.com>
(cherry picked from commit 5a1b878010217c0404483099b52e3cd30319ced2)

libreswan: update to 4.11

Fixes https://libreswan.org/security/CVE-2023-30570

Signed-off-by: Lucian Cristian <lucian.cristian@gmail.com>
(cherry picked from commit a5c2eececb64037a96163c62d41135b893f36ba8)

ffmpeg: update to version 5.1.3

Fixes CVEs:
CVE-2022-3964 [1]
CVE-2022-3965 [2]

[1] https://nvd.nist.gov/vuln/detail/CVE-2022-3964
[2] https://nvd.nist.gov/vuln/detail/CVE-2022-3965

Signed-off-by: Josef Schlehofer <pepe.schlehofer@gmail.com>
(cherry picked from commit 87b2a2bb57c42b3c91393a387cd02367e59910f5)

Merge pull request #22123 from stangri/openwrt-22.03-https-dns-proxy

[22.03] https-dns-proxy: improve boot up startup

https-dns-proxy: improve boot up startup

Signed-off-by: Stan Grishin <stangri@melmac.ca>
(cherry picked from commit 22d21e28a79a5246e4f6068cbc0be59e5226c486)

Merge pull request #22116 from stangri/openwrt-22.03-curl

[22.03] curl: update to version 8.3.0

unbound: update to version 1.17.1

- Refreshed one patch
- Removed deprecated AUTORELEASE

Signed-off-by: Josef Schlehofer <pepe.schlehofer@gmail.com>
(cherry picked from commit 97e69ec89c8bdb1c6d092eb5e8491467a06a9963)

ffmpeg: update to 5.1.2

Bump to latest upstream version

Signed-off-by: John Audia <therealgraysky@proton.me>
(cherry picked from commit 6b71d2fbde0be2f2f332ac542be09e37b3cb3ca9)

ffmpeg: update to 5.1.1

Bump to latest upstream version

Signed-off-by: John Audia <therealgraysky@proton.me>
(cherry picked from commit 73e02994fbd8176b43fe8138fb876329538b611d)

python-sentry-sdk: Update to 1.29.2, update list of dependencies

Signed-off-by: Jeffery To <jeffery.to@gmail.com>
(cherry picked from commit f279ae9418fff4f83bd16b353ef008e548d82cd7)

treewide: change my no longer used email

Since February 2023, I decided to no longer work with Turris, I mean CZ.NIC company
due to some reasons how the development goes and since that day my work address is not
available and not sure if there is some redirect to someone else, but if anyone wants to
reach me, use my email address, where they can find me.

Signed-off-by: Josef Schlehofer <pepe.schlehofer@gmail.com>
(cherry picked from commit 1e1b2051db47a82513f4eb4e9da892207785b7e2)

curl: update to version 8.3.0

Release notes:
https://curl.se/changes.html#8_3_0

Fixes:
CVE-2023-38039 [1]

[1] https://curl.se/docs/CVE-2023-38039.html

Signed-off-by: Josef Schlehofer <pepe.schlehofer@gmail.com>
(cherry picked from commit 07c0a5eab8fe073fabcba999e6176fec93bd696b)

nextdns: Update to version 1.40.1

Signed-off-by: Olivier Poitrey <rs@nextdns.io>

openssh: update to 9.3p2

Signed-off-by: Sibren Vasse <github@sibrenvasse.nl>
(cherry picked from commit 731f0d70a8392f1d3abf1877334cfe25c6a0786f)

openssh: sftp no longer needs crypto or zlib.

OpenSSH 9.1p1 removed remaining dependencies and stopped linking sftp,
sftp-server and scp against libcrypto or libz.  This change moves those
package dependencies from the default to those that still need them.
In particular, this will allow sftp-server to be installed for use with
Dropbear without needing to install zlib or openssl.

Signed-off-by: Darren Tucker <dtucker@dtucker.net>
(cherry picked from commit 74c4ad2c0c0e2d7c277cda212ffe7027582214e9)

openssh: Use CDN first for source downloads.

Also point to https for website.

Signed-off-by: Darren Tucker <dtucker@dtucker.net>
(cherry picked from commit 1daddd582f7fec1058ecb2ecf0d66e6a2951f56c)

openssh: preserve authorized_keys

The root user is usually the user that clients ssh into with, so in most
cases its authorized_keys determines what clients are allowed to ssh
into this device. Without preserving this file, they could potentially
be locked out after upgrading.

Signed-off-by: Glen Huang <me@glenhuang.com>
(cherry picked from commit e36a55c9ed293bd608d18918cdda8dceffad9d96)

openssh: update to 9.3p1

Signed-off-by: Sibren Vasse <github@sibrenvasse.nl>
(cherry picked from commit 2c755759dfabf5414f38b12914677c871e744824)

openssh: actually build openssh-server-pam with pam support

Signed-off-by: Sibren Vasse <github@sibrenvasse.nl>
(cherry picked from commit d41e918a36026ef9319084930fa411e81f93ac26)

openssh: update to 9.2p1

Signed-off-by: Sibren Vasse <github@sibrenvasse.nl>
(cherry picked from commit 5c43c1bade7a4cedfb0966e1f1bba2f1bf9c17e4)

openssh: update to 9.1p1

Signed-off-by: Sibren Vasse <github@sibrenvasse.nl>
(cherry picked from commit ba8cb7c16c45bed6404cac9c76b4959c540d7db6)

openssh: update to 9.0p1
Remove upstreamed patches.

Signed-off-by: Sibren Vasse <github@sibrenvasse.nl>
(cherry picked from commit 08b45115d7aa6291de0bb0b885750fa63a3a6e2f)

glib2: update to 2.74.0

Remove upstreamed patch and delete pointless one.

Signed-off-by: Rosen Penev <rosenp@gmail.com>
(cherry picked from commit 5d27631d9fbca076eb6377fc8c10f474ce9f4fea)