as sent via email

add debian 12 bookworm to CI

don't stop on eapol_test compile warnings

docker/crossbuild: backport Dockerfile updates from 3.2

commits:

9806381bd3 docker: remove duplicate lines
13091819c3 docker: remove obsolete OSes
d35586d463 generate dockerfiles from m4 templates
ac339f4731 docker: add debian 12 bookworm
2a89b55398 docker: add rocky9
37db20c784 crossbuild: remove centos8
dc67a0492c crossbuild: generate Dockerfiles from m4 templates
707e0eb90a crossbuild: add recent OSes
e4bccf5ef7 crossbuild: update docs
80670757cc crossbuild: don't set rpm BUILDDIR
e88c86b25b crossbuild: newer systems disable TLS1.1 but we need it for testing
deb77d22b0 CI: add job to check all crossbuild docker images work
720709d0b4 docker: use similar m4 template system as for crossbuild

allow for EOL of UDP sockets, too.

which also helps when building without TCP.

document nonblock=yes

note recent changes

fix compiler warning when building without TCP.  Fixes #5054

Auth Lost: Free the state's opaque and ctx storage.  Fixes #5055

CI: fix with latest mariadb 11 docker image

ref https://jira.mariadb.org/browse/MDBF-568

document retries.  Fixes #5040 / #5041

free check_tmp after using it.  Fixes #5035

mark "inst" as unused, and relax checks a bit more

for now, we will only check if the EAP message length is correct.
This prevents "middle box" effect, where the protocol cannot be
upgraded, because middle boxes aren't upgraded.

There is a near-zero chance that EAP will be updated to allow
supplicants to send something other than 1 (Response).  But for
general protocol correctness and paranoia, let's allow for that

build without TLS

allow for non-blocking TCP connections, too

relax the pre_proxy checks a bit

to allow any EAP type, even if it currently doesn't make sense

fix typo.  #5026 and #5028

add Error-Cause = Invalid EAP Packet (Ignored)

when rejecting EAP packets in the pre-proxy stage

more checks and sanity

allow extended types

check EAP header byte 0, too, and add debug messages

add pre_proxy method which catches invalid EAP packets.

Because "._udp.local" is not a valid EAP message

add check for FreeBSD

but not these bits...

backport RPM spec updates from 3.2

CI: backport changes from v3.2.x

configuration and scripts to test high load UDP -> TLS proxying

ported from v3.2.x as one large commit

compile fixes

check for blocking in TLS sockets.

compile fixes

updates.  Helps with #5016

updates from the WBA

move documentation to be in a common location

use correct name

no need to build or call mutex functions if they're not needed

check for blocking sockets, and do cleanups as necessary

add write handler to event code

just use sock->limit always

add, parse, and set "nonblock" for listeners

cleanups and move to common function

there's no need for duplication here

add and set connection timeout to outbound listeners

don't allow duplicates

and minor whitespace

add connect_timeout for realms and set up for tracking listeners

be more careful about session established.  Fixes #4878

add proxy_listener freeze / thaw API

add "nonblock" configuration to home servers

stats: Make Status-Server stats attributes available within the virtual server (#4868)

use correct assert.  Fixes #4995

note recent changes

note that the msg_version is the TLS version

and therefore print it as hex

as found on the net.

note that we don't support "-=".  Fixes #3475

force packet type foo when running post-auth-type foo.  Helps with #4980

Clear any old module instances before reloading

Avoids bursting memory usage when reloading large modules e.g. rlm_files
with large data files.

call afr_atomic_queue_free() instead of talloc_free.  Fixes #4987

allow auth+acct for accounting packets, too

Debian 9 is EOL and no longer in repos

give polite message about socket closing

fix ASAN issues.  Fixes #4968

it helps to initialize mutexes.

Suppress GCC unknown pragma warnings in rlm_perl

Backport 'DIAG_UNKNOWN_PRAGMAS' macro from v4

Backport math.h from v4

Fix runtime LSAN/ASAN error in src/lib/atomic_queue.c

Such error:

runtime error: member access within misaligned address 0x7f0e163fe860
for type 'fr_atomic_queue_t' (aka 'struct fr_atomic_queue_t'),
which requires 128 byte alignment 0x7f0e163fe860: note: pointer points here)

In that case, it was necessary backport talloc_aligned_array()

Fix LSAN/ASAN error in rlm_otp

Such error:

src/modules/rlm_otp/otp_pw_valid.c:73:9: error: argument 'passcode' of type 'char[48]' with mismatched bound [-Werror,-Warray-parameter]
                 char passcode[OTP_MAX_PASSCODE_LEN + 1])
                      ^
src/modules/rlm_otp/extern.h:67:72: note: previously declared as 'char[]' here
int otp_pw_valid(REQUEST *, int, char const *, rlm_otp_t const *, char []);

Fix mismatched bound size in eapsim_checkmac()

Fix conflict test radiusd instances

Let's do it separately avoiding to conflict with the task 'radiusd.pid' vs
the other instance called by the same by 'tests.eap'

Fix runtime LSAN/ASAN error in command.c

Such error:

src/main/command.c:185:12: runtime error: member access within null
pointer of type 'struct sockaddr_un'
SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior
src/main/command.c:185:12 in

Fix heap-buffer-overflow in pap_auth_pbkdf2_parse()

==3061536==ERROR: AddressSanitizer: heap-buffer-overflow on address 0x6100000053f9 at pc 0x7f3eb4ff6bbe bp 0x7fff630b7770 sp 0x7fff630b7768
READ of size 1 at 0x6100000053f9 thread T0
    #0 0x7f3eb4ff6bbd in strlcpy /home/jpereira/Devel/FreeRADIUS/freeradius-server-v3.2.x.git-linux/src/lib/strlcpy.c:56:10

Fix memory leak in client_add()

Such error when we run: radiusd -CX

Configuration appears to be OK
Allocated memory at time of report:
Current state of talloced memory:
full talloc report on 'null_context' (total   1057 bytes in   4 blocks)
    autofree_context               contains      1 bytes in   2 blocks (ref 0) 0x608000000400
        bool                           contains      1 bytes in   1 blocks (ref 0) 0x60b000044a90
    RADCLIENT_LIST                 contains   1056 bytes in   1 blocks (ref 0) 0x6190000032e0

=================================================================
==43730==ERROR: LeakSanitizer: detected memory leaks

Direct leak of 1152 byte(s) in 1 object(s) allocated from:
    #0 0x5603d1a170be in malloc (/__w/freeradius-server/freeradius-server/build/bin/local/radiusd+0x20b0be) (BuildId: acbe3a0941626cf6f01ae6b2c12df877fb8fc009)
    #1 0x7f2c07e40c86 in _talloc_zero (/lib/x86_64-linux-gnu/libtalloc.so.2+0x6c86) (BuildId: f3c1074a602981acb4683b4df6b7733b104ba7d4)
    #2 0x5603d1a62780 in client_list_init (/__w/freeradius-server/freeradius-server/build/bin/local/radiusd+0x256780) (BuildId: acbe3a0941626cf6f01ae6b2c12df877fb8fc009)
    #3 0x5603d1a62a4a in client_add (/__w/freeradius-server/freeradius-server/build/bin/local/radiusd+0x256a4a) (BuildId: acbe3a0941626cf6f01ae6b2c12df877fb8fc009)
    #4 0x5603d1a6b713 in client_list_parse_section (/__w/freeradius-server/freeradius-server/build/bin/local/radiusd+0x25f713) (BuildId: acbe3a0941626cf6f01ae6b2c12df877fb8fc009)
    #5 0x5603d1ae8532 in main_config_init (/__w/freeradius-server/freeradius-server/build/bin/local/radiusd+0x2dc532) (BuildId: acbe3a0941626cf6f01ae6b2c12df877fb8fc009)
    #6 0x5603d1b45bc4 in main (/__w/freeradius-server/freeradius-server/build/bin/local/radiusd+0x339bc4) (BuildId: acbe3a0941626cf6f01ae6b2c12df877fb8fc009)
    #7 0x7f2c07981082 in __libc_start_main (/lib/x86_64-linux-gnu/libc.so.6+0x24082) (BuildId: 1878e6b475720c7c51969e69ab2d276fae6d1dee)
    #8 0x5603d19924fd in _start (/__w/freeradius-server/freeradius-server/build/bin/local/radiusd+0x1864fd) (BuildId: acbe3a0941626cf6f01ae6b2c12df877fb8fc009)

SUMMARY: AddressSanitizer: 1152 byte(s) leaked in 1 allocation(s).

ci: Bump LLVM/CLANG for 15

CI: clearer versions

ci: Backport .github/workflows/ci-rpm.yml from v3.2.x

$(Q) -> ${Q}

note recent changes

close the TLS socket on TLS errors.

If there's a TLS connection error, then the only way to recover
is to close the socket and start over from scratch.

Add assert to catch invalid mutex (#4959)

Fix missing phtread destroy (#4957)

As we are calling pthread_mutex_init(), we should call
pthread_mutex_destroy() to release all initialized mutexs.

Fix typo (#4956)

more cleanups

just use OpenSSL thread IDs

which uses the address of "errno".  That is thread-local on all
platforms we care about.

Fix rlm_unbound build (#4941)

Fix memory-leak in "radiusd -XCM" (#4934)

Such error:

Current state of talloced memory:
full talloc report on 'null_context' (total      0 bytes in   1 blocks)

=================================================================
==85543==ERROR: LeakSanitizer: detected memory leaks

Direct leak of 96 byte(s) in 1 object(s) allocated from:
    #0 0x5598fcd87f3e in malloc (/home/jpereira/Devel/FreeRADIUS/freeradius-server-v3.2.x.git-linux/build/bin/local/radiusd+0x20cf3e) (BuildId: 3bf5bfb4fd72e1e1112726414556f8a4f339789f)
    #1 0x7f1cc4453d7f in __talloc_with_prefix /build/talloc-NvEq5A/talloc-2.3.3/bin/default/../../talloc.c:783:9
    #2 0x7f1cc4455a5d in __talloc /build/talloc-NvEq5A/talloc-2.3.3/bin/default/../../talloc.c:825:9
    #3 0x7f1cc4455a5d in _talloc_named_const /build/talloc-NvEq5A/talloc-2.3.3/bin/default/../../talloc.c:982:8
    #4 0x7f1cc4455a5d in talloc_enable_null_tracking /build/talloc-NvEq5A/talloc-2.3.3/bin/default/../../talloc.c:2353:18
    #5 0x7f1cc4455a5d in talloc_enable_null_tracking /build/talloc-NvEq5A/talloc-2.3.3/bin/default/../../talloc.c:2350:15
    #6 0x5598fceb65b1 in main /home/jpereira/Devel/FreeRADIUS/freeradius-server-v3.2.x.git-linux/src/main/radiusd.c:313:3
    #7 0x7f1cc342350f in __libc_start_call_main csu/../sysdeps/nptl/libc_start_call_main.h:58:16
    #8 0x7f1cc34235c8 in __libc_start_main csu/../csu/libc-start.c:381:3
    #9 0x5598fcd02514 in _start (/home/jpereira/Devel/FreeRADIUS/freeradius-server-v3.2.x.git-linux/build/bin/local/radiusd+0x187514) (BuildId: 3bf5bfb4fd72e1e1112726414556f8a4f339789f)

SUMMARY: AddressSanitizer: 96 byte(s) leaked in 1 allocation(s).

Revert "Suppress GCC unknown pragma warnings in rlm_perl"

This reverts commit 7d0d9b1c08c0857b846023607332f21699f5ff9a.

this breaks the build in CI

remove "other" from here, too

Fix missing prototype parameter in ssl_version()

Suppress GCC unknown pragma warnings in rlm_perl

ci: Bump OpenSSL for 3.0.8

disallow CoA for fake packets.  Fixes #4929

The CoA handling in process.c requires that the CoA packet be
associated with a "real" request.  i.e. one that was received from
the network, and is therefore long-lived.

"fake" packets, such as ones sent to a virtual home server, or
packets used in the "inner-tunnel" virtual server can't do CoA.

This is because the fake packets are freed immediately after they
are processed, and there is no way for them to push the CoA child
into the main event loop.

just remove the file, as it's entirely unused

Fix runtime error in file_common()

Such error:

src/modules/rlm_files/rlm_files.c:431:49: runtime error: null pointer passed as argument 3, which is declared to never be null
src/freeradius-devel/radiusd.h:603:89: note: nonnull attribute specified here
SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior src/modules/rlm_files/rlm_files.c:431:49 in

Fix runtime error in cf_file_open()

Such error:

src/main/conffile.c:333:22: runtime error: load of value 190, which is not a valid value for type 'bool'
SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior src/main/conffile.c:333:22 in

Fix runtime error: load of misaligned address in xlat_integer()

Such error:

src/main/xlat.c:206:38: runtime error: load of misaligned address 0x00010410ba72 for type 'uint32_t' (aka 'unsigned int'), which requires 4 byte alignment
0x00010410ba72: note: pointer points here
 00 00  00 20 39 38 37 3e 00 00  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  00 00 00 00 00 00
              ^
SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior src/main/xlat.c:206:38 in

Fix runtime LSAN/ASAN error in fr_in6addr_mask()

Such error:

src/lib/misc.c:1266:34: runtime error: load of misaligned address 0x00016f8b1d54 for type 'const uint64_t' (aka 'const unsigned long long'), which requires 8 byte alignment
0x00016f8b1d54: note: pointer points here
  e0 89 29 05 00 00 00 00  00 00 00 00 00 00 ff ff  cb 00 71 00 00 00 00 00  e0 89 29 05 01 00 00 00
              ^
SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior src/lib/misc.c:1266:34 in

Fix AddressSanitizer: odr-violation in 'radiusd_version'

That's why we are backing port the 'HIDDEN' macro.

Fix LSAN/ASAN memory-leak in lib/radius

Fix runtime LSAN/ASAN error in src/lib/dict.c

src/lib/dict.c:1365:9: runtime error: signed integer overflow: 429496729 * 10 cannot be represented in type 'int'

Fix runtime LSAN/ASAN error in src/main/conffile.c

src/main/conffile.c:1831:49: runtime error: applying zero offset to null pointer

radattr: Fix several memory-leaks reported by LSAN

juste use fr_hash() instead of hand-rolled hash from 2002

coa->home_server may be NULL.  Fixes #4929

It's not clear _why_ home_server==NULL.  Nothing resets it.
And it should only be NULL if the CoA packet is sent through a
virtual home server