Ubuntu 18.04 is EoL

Ensure fakeroot is available for `make deb`

add necessary backslash.  Fixes #5301

use snprintf

Add TP Link dictionary

improve exception handling.  Helps with #5242

so that no python exceptions remain after the do_python_single call.
Otherwise the next request will immediately fail.

Patch from #5242, but separated out to keep commit history
a little clearer.

don't delay proxied rejects from a real home server

more notes on connection starvation

print out the module instance name

clarify message a bit

this is for UDP home servers

ensure that cp is initialized on every iteration through the loop

reply packets use request authenticator for Message-Authenticator

Build with winbind on all RHEL >= 7

word smithing

fix warning messages

note recent changes

if there's no "server foo", then use "server default"

update the year

don't leave dangling pointer to a cancelled coa request

add client configuration for PSK

Fix multiple typos in MongoDB query.conf (#5130)

Add BEGIN-VENDOR and END-VENDOR to Calix dictionary

add Calix-Role in Calix Dictionary (#5124)

as sent via email

add debian 12 bookworm to CI

don't stop on eapol_test compile warnings

docker/crossbuild: backport Dockerfile updates from 3.2

commits:

9806381bd3 docker: remove duplicate lines
13091819c3 docker: remove obsolete OSes
d35586d463 generate dockerfiles from m4 templates
ac339f4731 docker: add debian 12 bookworm
2a89b55398 docker: add rocky9
37db20c784 crossbuild: remove centos8
dc67a0492c crossbuild: generate Dockerfiles from m4 templates
707e0eb90a crossbuild: add recent OSes
e4bccf5ef7 crossbuild: update docs
80670757cc crossbuild: don't set rpm BUILDDIR
e88c86b25b crossbuild: newer systems disable TLS1.1 but we need it for testing
deb77d22b0 CI: add job to check all crossbuild docker images work
720709d0b4 docker: use similar m4 template system as for crossbuild

allow for EOL of UDP sockets, too.

which also helps when building without TCP.

document nonblock=yes

note recent changes

fix compiler warning when building without TCP.  Fixes #5054

Auth Lost: Free the state's opaque and ctx storage.  Fixes #5055

CI: fix with latest mariadb 11 docker image

ref https://jira.mariadb.org/browse/MDBF-568

document retries.  Fixes #5040 / #5041

free check_tmp after using it.  Fixes #5035

mark "inst" as unused, and relax checks a bit more

for now, we will only check if the EAP message length is correct.
This prevents "middle box" effect, where the protocol cannot be
upgraded, because middle boxes aren't upgraded.

There is a near-zero chance that EAP will be updated to allow
supplicants to send something other than 1 (Response).  But for
general protocol correctness and paranoia, let's allow for that

build without TLS

allow for non-blocking TCP connections, too

relax the pre_proxy checks a bit

to allow any EAP type, even if it currently doesn't make sense

fix typo.  #5026 and #5028

add Error-Cause = Invalid EAP Packet (Ignored)

when rejecting EAP packets in the pre-proxy stage

more checks and sanity

allow extended types

check EAP header byte 0, too, and add debug messages

add pre_proxy method which catches invalid EAP packets.

Because "._udp.local" is not a valid EAP message

add check for FreeBSD

but not these bits...

backport RPM spec updates from 3.2

CI: backport changes from v3.2.x

configuration and scripts to test high load UDP -> TLS proxying

ported from v3.2.x as one large commit

compile fixes

check for blocking in TLS sockets.

compile fixes

updates.  Helps with #5016

updates from the WBA

move documentation to be in a common location

use correct name

no need to build or call mutex functions if they're not needed

check for blocking sockets, and do cleanups as necessary

add write handler to event code

just use sock->limit always

add, parse, and set "nonblock" for listeners

cleanups and move to common function

there's no need for duplication here

add and set connection timeout to outbound listeners

don't allow duplicates

and minor whitespace

add connect_timeout for realms and set up for tracking listeners

be more careful about session established.  Fixes #4878

add proxy_listener freeze / thaw API

add "nonblock" configuration to home servers

stats: Make Status-Server stats attributes available within the virtual server (#4868)

use correct assert.  Fixes #4995

note recent changes

note that the msg_version is the TLS version

and therefore print it as hex

as found on the net.

note that we don't support "-=".  Fixes #3475

force packet type foo when running post-auth-type foo.  Helps with #4980

Clear any old module instances before reloading

Avoids bursting memory usage when reloading large modules e.g. rlm_files
with large data files.

call afr_atomic_queue_free() instead of talloc_free.  Fixes #4987

allow auth+acct for accounting packets, too

Debian 9 is EOL and no longer in repos

give polite message about socket closing

fix ASAN issues.  Fixes #4968

it helps to initialize mutexes.

Suppress GCC unknown pragma warnings in rlm_perl

Backport 'DIAG_UNKNOWN_PRAGMAS' macro from v4

Backport math.h from v4

Fix runtime LSAN/ASAN error in src/lib/atomic_queue.c

Such error:

runtime error: member access within misaligned address 0x7f0e163fe860
for type 'fr_atomic_queue_t' (aka 'struct fr_atomic_queue_t'),
which requires 128 byte alignment 0x7f0e163fe860: note: pointer points here)

In that case, it was necessary backport talloc_aligned_array()

Fix LSAN/ASAN error in rlm_otp

Such error:

src/modules/rlm_otp/otp_pw_valid.c:73:9: error: argument 'passcode' of type 'char[48]' with mismatched bound [-Werror,-Warray-parameter]
                 char passcode[OTP_MAX_PASSCODE_LEN + 1])
                      ^
src/modules/rlm_otp/extern.h:67:72: note: previously declared as 'char[]' here
int otp_pw_valid(REQUEST *, int, char const *, rlm_otp_t const *, char []);

Fix mismatched bound size in eapsim_checkmac()

Fix conflict test radiusd instances

Let's do it separately avoiding to conflict with the task 'radiusd.pid' vs
the other instance called by the same by 'tests.eap'

Fix runtime LSAN/ASAN error in command.c

Such error:

src/main/command.c:185:12: runtime error: member access within null
pointer of type 'struct sockaddr_un'
SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior
src/main/command.c:185:12 in

Fix heap-buffer-overflow in pap_auth_pbkdf2_parse()

==3061536==ERROR: AddressSanitizer: heap-buffer-overflow on address 0x6100000053f9 at pc 0x7f3eb4ff6bbe bp 0x7fff630b7770 sp 0x7fff630b7768
READ of size 1 at 0x6100000053f9 thread T0
    #0 0x7f3eb4ff6bbd in strlcpy /home/jpereira/Devel/FreeRADIUS/freeradius-server-v3.2.x.git-linux/src/lib/strlcpy.c:56:10

Fix memory leak in client_add()

Such error when we run: radiusd -CX

Configuration appears to be OK
Allocated memory at time of report:
Current state of talloced memory:
full talloc report on 'null_context' (total   1057 bytes in   4 blocks)
    autofree_context               contains      1 bytes in   2 blocks (ref 0) 0x608000000400
        bool                           contains      1 bytes in   1 blocks (ref 0) 0x60b000044a90
    RADCLIENT_LIST                 contains   1056 bytes in   1 blocks (ref 0) 0x6190000032e0

=================================================================
==43730==ERROR: LeakSanitizer: detected memory leaks

Direct leak of 1152 byte(s) in 1 object(s) allocated from:
    #0 0x5603d1a170be in malloc (/__w/freeradius-server/freeradius-server/build/bin/local/radiusd+0x20b0be) (BuildId: acbe3a0941626cf6f01ae6b2c12df877fb8fc009)
    #1 0x7f2c07e40c86 in _talloc_zero (/lib/x86_64-linux-gnu/libtalloc.so.2+0x6c86) (BuildId: f3c1074a602981acb4683b4df6b7733b104ba7d4)
    #2 0x5603d1a62780 in client_list_init (/__w/freeradius-server/freeradius-server/build/bin/local/radiusd+0x256780) (BuildId: acbe3a0941626cf6f01ae6b2c12df877fb8fc009)
    #3 0x5603d1a62a4a in client_add (/__w/freeradius-server/freeradius-server/build/bin/local/radiusd+0x256a4a) (BuildId: acbe3a0941626cf6f01ae6b2c12df877fb8fc009)
    #4 0x5603d1a6b713 in client_list_parse_section (/__w/freeradius-server/freeradius-server/build/bin/local/radiusd+0x25f713) (BuildId: acbe3a0941626cf6f01ae6b2c12df877fb8fc009)
    #5 0x5603d1ae8532 in main_config_init (/__w/freeradius-server/freeradius-server/build/bin/local/radiusd+0x2dc532) (BuildId: acbe3a0941626cf6f01ae6b2c12df877fb8fc009)
    #6 0x5603d1b45bc4 in main (/__w/freeradius-server/freeradius-server/build/bin/local/radiusd+0x339bc4) (BuildId: acbe3a0941626cf6f01ae6b2c12df877fb8fc009)
    #7 0x7f2c07981082 in __libc_start_main (/lib/x86_64-linux-gnu/libc.so.6+0x24082) (BuildId: 1878e6b475720c7c51969e69ab2d276fae6d1dee)
    #8 0x5603d19924fd in _start (/__w/freeradius-server/freeradius-server/build/bin/local/radiusd+0x1864fd) (BuildId: acbe3a0941626cf6f01ae6b2c12df877fb8fc009)

SUMMARY: AddressSanitizer: 1152 byte(s) leaked in 1 allocation(s).

ci: Bump LLVM/CLANG for 15

CI: clearer versions

ci: Backport .github/workflows/ci-rpm.yml from v3.2.x

$(Q) -> ${Q}

note recent changes

close the TLS socket on TLS errors.

If there's a TLS connection error, then the only way to recover
is to close the socket and start over from scratch.

Add assert to catch invalid mutex (#4959)