add more helpful error messages

implement and document "limit_proxy_state = auto"

Also add a standard function which complains loudly about security
issues.

Enforce BlastRADIUS checks for TCP sockets, too.

Though TBH, no one should use TCP for anything.

Add M-A processing for Status-Server and replies from home server

add Blast RADIUS checks to radclient and radtest

word smithing

use and enforce limit_proxy_state for Access-Request packets

make limit_proxy_state the default for clients

add and document global limit_proxy_state

add Message-Authenticator to all Access-Request packets

add and set require_message_authenticator for home servers

always add Message-Authenticator for replies to Access-Request

add tls flag to packets

and set it for TLS transport send / receive.  This lets the
packet encoder and verification routines behave differently for
TLS and non-TLS transport

make require_message_authenticator the default for clients

and document the behavior change

add and use "ignore default" flag

which means that if the configuration item is missing, we do not
set the value from the default.

This change allows the value to be set before the configuration
file is parsed, and then only changed if the named configuration
item exists, and is manually set by the admin

rename for consistency

add and document global require_message_authenticator

Fixups for CentOS 7 which is now EOL

note recent changes

There may be multiple intermediate certs.

note recent changes

remove unused variable

update stats more quickly

don't double-count authentication packets

don't count Status-Server

we don't count replies to it, so we shouldn't count requests, too

typo

update advice on shared secrets

track global stats, even if the listeners have been closed

Remove Centos 8 from CI

Backport 2d8d738f408 from v3.2.x

Fix error in dictionary documentation

Change RFC 8859 to RFC 8559

Fixes #5345

Update dictionary.wispr (#5336)

Add attribute 17 per https://github.com/wireless-broadband-alliance/RADIUS-VSA

mschapv2: set key length after specifying the cipher

We get a sigsegv otherwise:
----
(10) eap_mschapv2:   Auth-Type MS-CHAP {
(10) mschap: Found Cleartext-Password, hashing to create NT-Password
(10) mschap: MS-CHAPv2 password change request received
(10) mschap: Password change payload valid
(10) mschap: Doing MS-CHAPv2 password change locally

Program received signal SIGSEGV, Segmentation fault.
0x00007ffff7b92f18 in EVP_CIPHER_CTX_set_key_length () from /lib/x86_64-linux-gnu/libcrypto.so.3
(gdb) where
    new_nt_password=0x7fffffffb940 "...", nt_password=0x555555ccc290,
    request=0x555555a9fde0, inst=0x5555558bacb0) at src/modules/rlm_mschap/rlm_mschap.c:1016
----

note recent changes

remove TCP Status-Server requests from proxy hash as well

fixes #5326

Ensure yum is installed on Rocky 9

Once CentOS 7 goes EoL, we can switch to dnf

rlm_sql_freetds: handle returned NULL column values

These don't update the results buffer - so zero it out during allocation.

allocate instance data even if the module doesn't need it

which lets the rest of the distinguish virtual attributes from
typos in xlat functions

fix typo.

We loop until the content is non-space, not while the ptr is !NULL

Ubuntu 18.04 is EoL

Ensure fakeroot is available for `make deb`

add necessary backslash.  Fixes #5301

use snprintf

Add TP Link dictionary

improve exception handling.  Helps with #5242

so that no python exceptions remain after the do_python_single call.
Otherwise the next request will immediately fail.

Patch from #5242, but separated out to keep commit history
a little clearer.

don't delay proxied rejects from a real home server

more notes on connection starvation

print out the module instance name

clarify message a bit

this is for UDP home servers

ensure that cp is initialized on every iteration through the loop

reply packets use request authenticator for Message-Authenticator

Build with winbind on all RHEL >= 7

word smithing

fix warning messages

note recent changes

if there's no "server foo", then use "server default"

update the year

don't leave dangling pointer to a cancelled coa request

add client configuration for PSK

Fix multiple typos in MongoDB query.conf (#5130)

Add BEGIN-VENDOR and END-VENDOR to Calix dictionary

add Calix-Role in Calix Dictionary (#5124)

as sent via email

add debian 12 bookworm to CI

don't stop on eapol_test compile warnings

docker/crossbuild: backport Dockerfile updates from 3.2

commits:

9806381bd3 docker: remove duplicate lines
13091819c3 docker: remove obsolete OSes
d35586d463 generate dockerfiles from m4 templates
ac339f4731 docker: add debian 12 bookworm
2a89b55398 docker: add rocky9
37db20c784 crossbuild: remove centos8
dc67a0492c crossbuild: generate Dockerfiles from m4 templates
707e0eb90a crossbuild: add recent OSes
e4bccf5ef7 crossbuild: update docs
80670757cc crossbuild: don't set rpm BUILDDIR
e88c86b25b crossbuild: newer systems disable TLS1.1 but we need it for testing
deb77d22b0 CI: add job to check all crossbuild docker images work
720709d0b4 docker: use similar m4 template system as for crossbuild

allow for EOL of UDP sockets, too.

which also helps when building without TCP.

document nonblock=yes

note recent changes

fix compiler warning when building without TCP.  Fixes #5054

Auth Lost: Free the state's opaque and ctx storage.  Fixes #5055

CI: fix with latest mariadb 11 docker image

ref https://jira.mariadb.org/browse/MDBF-568

document retries.  Fixes #5040 / #5041

free check_tmp after using it.  Fixes #5035

mark "inst" as unused, and relax checks a bit more

for now, we will only check if the EAP message length is correct.
This prevents "middle box" effect, where the protocol cannot be
upgraded, because middle boxes aren't upgraded.

There is a near-zero chance that EAP will be updated to allow
supplicants to send something other than 1 (Response).  But for
general protocol correctness and paranoia, let's allow for that

build without TLS

allow for non-blocking TCP connections, too

relax the pre_proxy checks a bit

to allow any EAP type, even if it currently doesn't make sense

fix typo.  #5026 and #5028

add Error-Cause = Invalid EAP Packet (Ignored)

when rejecting EAP packets in the pre-proxy stage

more checks and sanity

allow extended types

check EAP header byte 0, too, and add debug messages

add pre_proxy method which catches invalid EAP packets.

Because "._udp.local" is not a valid EAP message

add check for FreeBSD

but not these bits...

backport RPM spec updates from 3.2

CI: backport changes from v3.2.x

configuration and scripts to test high load UDP -> TLS proxying

ported from v3.2.x as one large commit

compile fixes

check for blocking in TLS sockets.

compile fixes

updates.  Helps with #5016

updates from the WBA

move documentation to be in a common location

use correct name

no need to build or call mutex functions if they're not needed

check for blocking sockets, and do cleanups as necessary

add write handler to event code

just use sock->limit always

add, parse, and set "nonblock" for listeners