Fix runtime error: load of misaligned address in xlat_integer()

Such error:

src/main/xlat.c:206:38: runtime error: load of misaligned address 0x00010410ba72 for type 'uint32_t' (aka 'unsigned int'), which requires 4 byte alignment
0x00010410ba72: note: pointer points here
 00 00  00 20 39 38 37 3e 00 00  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  00 00 00 00 00 00
              ^
SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior src/main/xlat.c:206:38 in

Fix runtime LSAN/ASAN error in fr_in6addr_mask()

Such error:

src/lib/misc.c:1266:34: runtime error: load of misaligned address 0x00016f8b1d54 for type 'const uint64_t' (aka 'const unsigned long long'), which requires 8 byte alignment
0x00016f8b1d54: note: pointer points here
  e0 89 29 05 00 00 00 00  00 00 00 00 00 00 ff ff  cb 00 71 00 00 00 00 00  e0 89 29 05 01 00 00 00
              ^
SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior src/lib/misc.c:1266:34 in

Fix AddressSanitizer: odr-violation in 'radiusd_version'

That's why we are backing port the 'HIDDEN' macro.

Fix LSAN/ASAN memory-leak in lib/radius

Fix runtime LSAN/ASAN error in src/lib/dict.c

src/lib/dict.c:1365:9: runtime error: signed integer overflow: 429496729 * 10 cannot be represented in type 'int'

Fix runtime LSAN/ASAN error in src/main/conffile.c

src/main/conffile.c:1831:49: runtime error: applying zero offset to null pointer

radattr: Fix several memory-leaks reported by LSAN

juste use fr_hash() instead of hand-rolled hash from 2002

coa->home_server may be NULL.  Fixes #4929

It's not clear _why_ home_server==NULL.  Nothing resets it.
And it should only be NULL if the CoA packet is sent through a
virtual home server

Update dictionary.wifialliance (#4928)

Discovered HS20-Roaming-Consortium being mentioned here:
https://wiki.geant.org/pages/viewpage.action?pageId=133763844

fix documentation on max_request_time

call proxy_send() for sending proxied packets

which works for all packet types, including TLS ones.

fix use of DIAG in macro

more fixes for talloc_autofree_context() deprecation

talloc_autofree_context() is deprecated in newer versions of talloc

note TLS 1.2 or smaller for EAP-FAST

Warn if libldap uses NSS.  Fixes #4918

Instead of letting things break, or have random crashes, give a big
warning on startup.

shift 32-bit words, not 8-bit words.

Manual port of cc49e17c80b6

rlm_pap: Destroy MD context, causing leaks with OpenSSL >= 3.0 (#4895)

rlm_ippool: Destroy MD context, causing leaks with OpenSSL >= 3.0 (#4896)

radius: Destroy MD context, causing leaks with OpenSSL >= 3.0 (#4898)

rlm_cram: Destroy MD context, causing leaks with OpenSSL >= 3.0 (#4897)

md5 xlat: Destroy MD context, causing leaks with OpenSSL >= 3.0 (#4893) (#4894)

Co-authored-by: Terry Burton <tez@terryburton.co.uk>

Revert "sql.accounting needs Acct-Status-Type"

This reverts commit 85faf6285d11e2e1f8ad40f298694cd667040702.

Revert "run the accounting "post-auth" query for sql_session_start"

This reverts commit 1e8f652994c02278ba0be19ec8aa686a43a40f2b.

Revert "typo"

This reverts commit 5020ee166ada08249a09c933de0937c71754c035.

typo

run the accounting "post-auth" query for sql_session_start

Which should make it work again.  However, it's not a good idea
to have admins mangle the default queries.  We should have a
better way of "just doing the right thing"

check-eap-tls: Set Reply-Message in the right request's list (#4869)

pap: Only look for passwords amongst non-vendor attributes (#4865)

Otherwise, the following will trigger a "Don't set
control:User-Password" warning:

VENDOR ABC 42
BEGIN-VENDOR ABC
ATTRIBUTE Not-A-Password 2 string
END-VENDOR ABC

update { &control:Not-A-Password := "x" }
pap

Fix typo. refs #4836 (#4844)

this isn't an error

give better error messages for %{listen:TLS-*}

fix various build warnings with newer compilers

don't remove the .d file, it's an output file

which is needed by the target rule

Move error handling to outside #ifdef WITH_TLS

close fd on error

set the host name to the actual host name

show OpenSSL error, too

use macro for home server is dead

remove unnecessary "break"

Revert "check for multiple "down" states.  Fixes #4790"

This reverts commit c493836d2a72d2ebb29e5a2d5f45f3e033ea0094.

after review, not needed

check for multiple "down" states.  Fixes #4790

resync.  Helps with #4570

sync with dictionaries.  Heklps with #4790

CI: Remove deprecated set-ouput

ctype macros should take explicitly unsigned input

to avoid chars with high bits being converted to negative numbers

perl -p -i -e 's/(tolower|toupper|isupper|islower|isdigit|isalpha|isspace|isxdigit)\(\s*\*/${1}((uint8_t) */g' $(find . -name "*.[ch]" -print)
perl -p -i -e 's/(tolower|toupper|isupper|islower|isdigit|isalpha|isspace|isxdigit)\(\(int\)/${1}((uint8_t)/g' $(find . -name "*.[ch]" -print)

CI: Ensure git-lfs is installed

Update CI actions to node16 versions

Avoid spurious error about absolute path

Only debug packets when condition matches

radius_evaluate_cond() returns -2 for attribute not found - which was
causing packets without the required attributes to appear in conditional
debug output.

updates

from https://www.juniper.net/documentation/us/en/software/junos/subscriber-mgmt-sessions/topics/topic-map/dhcp-options-radius-server.html

whitespace

as found on the net

set partial chain always.  Helps with #4785

move partial chain set to after set cert store.  Should fix #4753

Fallback to uname -n on missing hostname.  Fixes #4772

allow User-Name and CUI in post-proxy filtering

which is also needed for roaming environments

allow Operator-Name and Called-Station-Id

which are needed for various roaming scenarios

DS-Lite-Tunnel-Name data type should be 'octets' (#4767)

Backport from v3.2.x (be3b0426df)

Improve queries for processing radacct into periodic usage data

Removing `OR` from the query allows better index usage

Typo

update docs to be in line with functionality

rediswho: Fix typo (#4756)

update changelog

note #4441 fixed

refresh configure scripts

add python.m4 for detecting python > 3.10

refresh.

enable parallel builds for debian

add attribute. Fixes #4608

Nokia SR dict: Cleanup and freshen against July 2022 reference

Bump for v3.0.27

release 3.0.26

as sent via email

update ChangeLog

Run Ubuntu 18.04 on older image due to packaging issue

Broken in September 2022 update

Move CI to run on Ubuntu 20.04

note recent changes (#4705)

typo

ensure that we run the correct post-auth section

more "mention Active Directory by name"

mention Active Directory and Auth-Type and "bind as user"

so that it will be easier for people to tell that those changes
are needed for them.

update comments and docs

clarify error messages

minor cleanups

catch a few more corner cases

these are only hit when things go completely wrong, but it's
important to fix.

debian packaging updated permitted range of openssl versions

Ubuntu 16.04 is eol and 22.04 is current

Use gcc 10 on Debian sid for building eapol_test

Align v3.0 deb tests with master

Differentiate runner based on repository owner

Allows repo clones to use GitHub runners

Debian sid docker image no longer has /etc/apt/sources.list

patches for OpenSSL3.  Fixes #4539

quit C compiler warnings

hmacmd5: use internal MD5 when FIPS is enabled (#4529)

When the system is in FIPS mode, we need to use internal implementation
of MD5 in order to avoid OpenSSL 3.0 provider limitations.

Related: 947d5d6bd2674a60f7320f0b721e4723243c2285
Signed-off-by: Antonio Torres <antorres@redhat.com>

load MD5 dynamicall for FIPS. Based on patch from #4511

add --enable-fips-workaround flag to configure

which means that we use our internal MD4 / MD5 functions always,
as OpenSSL requires much magic to re-enable them in FIPS mode.

It's easier to just our internal implementations, instead of
butchering the stable v3 release.

The downside is that if you do a default build and then enable
FIPS in OpenSSL, the server will simply not work.  It has to be
re-build with the --enable-fips flag.

Fix permissions for mods_config/sql extras in rpms

Add rpm dependencies for freeradius-config

Make and runuser are required for the certificate bootstrap script

Add a second run of installing rpm build dependencies

It has been observed that not all dependencies get installed first time
on Rocky 8