http: disallow >3-digit response codes

Make the built-in HTTP parser behave similar to hyper and reject any
HTTP response using more than 3 digits for the response code.

Updated test 1432 accordingly.
Enabled test 1432 in the hyper builds.

Closes #7641

ngtcp2: stop buffering crypto data

Stop buffering crypto data because libngtcp2 now buffers submitted
crypto data.

Closes #7637

test1280: CRLFify the response to please hyper

Closes #7639

tests: enable test 1129 for hyper builds

Closes #7638

curl: better error message when -O fails to get a good name

Due to how this currently works internally, it needs a working initial
file name to store contents in, so it may still fail even with -J is
used (and thus accepting a name from content-disposition:) if the file
name part of the URL isn't "good enough".

Fixes #7628
Closes #7635

curl_easy_setopt: tweak the string copy wording

Reported-by: Yaobin Wen
Fixes #7632
Closes #7634

RELEASE-NOTES: synced

cmake: sync CURL_DISABLE options

Adds the full listing of CURL_DISABLE options to the CMake build. Moves
all option code, except for CURL_DISABLE_OPENSSL_AUTO_LOA_CONFIG which
resides near OpenSSL configuration, to the same block of code. Also
sorts the options here and in the cmake config header.

Additionally sorted the CURL-DISABLE listing and fixed the
CURL_DISABLE_POP3 option.

Closes #7624

KNOWN_BUGS: FTPS upload data loss with TLS 1.3

Bug: https://github.com/curl/curl/issues/6149
Reported-by: Bylon2@users.noreply.github.com
Closes https://github.com/curl/curl/pull/7623

cmake: avoid poll() on macOS

... like we do in configure builds. Since poll() on macOS is not
reliable enough.

Reported-by: marc-groundctl
Fixes #7595
Closes #7619

c-hyper: handle HTTP/1.1 => HTTP/1.0 downgrade on reused connection

Enable test 1074

Closes #7617

c-hyper: deal with Expect: 100-continue combined with POSTFIELDS

Enable test 1130 and 1131

Closes #7616

tests: be explicit about using 'python3' instead of 'python'

This fixes running tests in virtualenvs (or on distros) that no longer
have a symlink from python to python2 or python3.

Closes #7602

scripts: invoke interpreters through /usr/bin/env

Closes #7602

DISABLED: enable 11 more tests for hyper builds

Closes #7612

setopt: enable CURLOPT_IGNORE_CONTENT_LENGTH for hyper

Since this option is also used for FTP, it needs to work to set for
applications even if hyper doesn't support it for HTTP. Verified by test
1137.

Updated docs to specify that the option doesn't work for HTTP when using
the hyper backend.

Closes #7614

test1138: remove trailing space to make work with hyper

Closes #7613

libcurl-errors.3: clarify two CURLUcode errors

CURLUE_BAD_HANDLE and CURLUE_BAD_PARTPOINTER should be for "bad" or
wrong pointers in a generic sense, not just for NULL pointers.

Reviewed-by: Jay Satiro
Ref: #7605
Closes #7611

symbols-in-versions: fix CURLSSLBACKEND_QSOSSL last used version

... and also change the 'Removed' column name to 'Last' since that
column is for the last version to contain the symbol.

Closes https://github.com/curl/curl/pull/7609

urlapi.c:seturl: assert URL instead of using if-check

There's no code flow possible where this can happen. The assert makes
sure it also won't be introduced undetected in the future.

Closes #7610

curl-openssl.m4: show correct output for OpenSSL v3

Using 3.0.0 versions configure should now show this:

checking for OpenSSL headers version... 3.0.0 - 0x300
checking for OpenSSL library version... 3.0.0
checking for OpenSSL headers and library versions matching... yes

This output doesn't actually change what configure generates but is only
"cosmetic".

Reported-by: Randall S. Becker
Fixes #7606
Closes #7608

mksymbolsmanpage.pl: Fix showing symbol's last used version

Prior to this change the symbol's deprecated version was erroneously
shown as its last used version.

Bug: https://github.com/curl/curl/commit/4e53b94#commitcomment-55239509
Reported-by: i-ky@users.noreply.github.com

mksymbolsmanpage.pl: match symbols case insenitively

Follow-up to 4e53b9430c750 which made this bug show.

Reported-by: i-ky
Bug: https://github.com/curl/curl/commit/4e53b9430c7504de8984796e2a2091ec16f27136#commitcomment-55239253
Closes #7607

asyn-ares: call ares_freeaddrinfo() to clean up addrinfo results

As this leaks memory otherwise

Follow-up to ba904db0705c931

Closes #7599

wolfssl: clean up wolfcrypt error queue

If wolfSSL is built in certain ways (OPENSSL_EXTRA or Debug), the error
queue gets added on to for each session and never freed. Fix it by
calling ERR_clear_error() like in vtls/openssl when needed. This func is
a no-op in wolfcrypt if the error queue is not enabled.

Closes #7594

man pages: remove trailing whitespaces

Extended test 1173 (via the manpage-syntax.pl script) to detect and warn
for them.

Ref: #7602
Reported-by: a1346054 on github
Closes #7604

mailmap: add Gleb Ivanovsky

config.d: escape the backslash properly

Closes #7603

curl_setup.h: sync values for HTTP_ONLY

The values for HTTP_ONLY differed between CMakeLists.txt and
curl_setup.h. Sync them and sort the values in curl_setup.h to make it
easier to spot differences.

Closes #7601

configure: set classic mingw minimum OS version to XP

- If the user has not specified a minimum OS version (via WINVER or
  _WIN32_WINNT macros) then set it to Windows XP.

Prior to this change classic MinGW defaulted the minimum OS version
to Windows NT 4.0 which is way too old. At least Windows XP is needed
for getaddrinfo (which resolves hostnames to IPv6 addresses).

Ref: https://github.com/curl/curl/issues/7483#issuecomment-891597034

Closes https://github.com/curl/curl/pull/7581

schannel: Work around typo in classic mingw macro

- Define ALG_CLASS_DHASH (the typo from the include) to ALG_CLASS_HASH.

Prior to this change there was an incomplete fix to ignore the
CALG_TLS1PRF macro on those versions of MinGW where it uses the
ALG_CLASS_DHASH typoed macro.

Ref: 48cf45c
Ref: https://osdn.net/projects/mingw/ticket/38391
Ref: https://github.com/curl/curl/issues/2924

Closes https://github.com/curl/curl/pull/7580

RELEASE-NOTES: synced

http_proxy: fix user-agent and custom headers for CONNECT with hyper

Enable test 287

Closes #7598

c-hyper: initial support for "dumping" 1xx HTTP responses

With the use hyper_request_on_informational()

Enable test 155 and 158

Closes #7597

tests/*server.pl: flush output before executing subprocess

Also avoid shell processes staying around by using exec.
This is necessary to avoid output data being buffering
inside the process chain of Perl, Bash/Shell and our
test server binaries. On non-Windows systems the exec
will also make the subprocess replace the intermediate
shell, but on Windows it will at least bind the processes
together since there is no real fork or exec available.

See: https://cygwin.com/cygwin-ug-net/highlights.html
and: https://docs.microsoft.com/cpp/c-runtime-library/exec-wexec-functions
Ref: https://github.com/curl/curl/pull/7530#issuecomment-900949010

Reviewed-by: Daniel Stenberg
Reviewed-by: Jay Satiro
Closes #7530

CI: use GitHub Container Registry instead of Docker Hub

Avoid limits on Docker Hub and improve image pull/download speed.

Closes #7587

openssl: when creating a new context, there cannot be an old one

Remove the previous handling that would call SSL_CTX_free(), and instead
add an assert that halts a debug build if there ever is a context
already set at this point.

Closes #7585

KNOWN_BUGS: Renegotiate from server may cause hang for OpenSSL backend

Closes https://github.com/curl/curl/issues/6785

docs/BINDINGS: URL update

tests/server/*.c: align handling of portfile argument and file

1. Call the internal variable portname (like pidname) everywhere.
2. Have a variable wroteportfile (like wrotepidfile) everywhere.
3. Make sure the file is cleaned up on exit (like pidfile).
4. Add parameter --portfile to usage outputs everywhere.

Reviewed-by: Daniel Stenberg
Replaces #7523
Closes #7574

KNOWN_BUGS: Fix a number of typos in KNOWN_BUGS

Fixes a set of typos found in section 11.3.

getparameter: fix the --local-port number parser

It could previously get tricked into parsing the uninitialized stack
based buffer.

Reported-by: Brian Carpenter
Closes #7582

KNOWN_BUGS: Can't use Secure Transport with Crypto Token Kit

Closes #7048

curl: add warning for ignored data after quoted form parameter

In an argument like `-F 'x=@/etc/hostname;filename="foo"abc'` the `abc`
is ignored. This adds a warning if the ignored data isn't all
whitespace.

Closes #7394

codeql: fix error "Resource not accessible by integration"

- Enable codeql writing security-events.

GitHub set the default permissions to read, apparently since earlier
this year.

Ref: https://github.com/github/codeql-action/issues/464
Ref: https://github.blog/changelog/2021-04-20-github-actions-control-permissions-for-github_token/

Fixes https://github.com/curl/curl/issues/7575
Closes https://github.com/curl/curl/pull/7576

tool_operate: Fix --fail-early with parallel transfers

- Abort via progress callback to fail early during parallel transfers.

When a critical error occurs during a transfer (eg --fail-early
constraint) then other running transfers will be aborted via progress
callback and finish with error CURLE_ABORTED_BY_CALLBACK (42). In this
case, the callback error does not become the most recent error and a
custom error message is used for those transfers:

curld --fail --fail-early --parallel
https://httpbin.org/status/404 https://httpbin.org/delay/10

curl: (22) The requested URL returned error: 404
curl: (42) Transfer aborted due to critical error in another transfer

> echo %ERRORLEVEL%
22

Fixes https://github.com/curl/curl/issues/6939
Closes https://github.com/curl/curl/pull/6984

sectransp: support CURLINFO_CERTINFO

Fixes #4130
Closes #7372

ngtcp2: remove the acked_crypto_offset struct field init

... as it is gone from the API upstream.

Closes #7578

misc: update incorrect copyright year ranges

Closes #7577

KNOWN_BUGS: HTTP/3 quiche upload large file fails

Closes #7532

KNOWN_BUGS: CMake build with MIT Kerberos does not work

Closes #6904

TODO: add asynch getaddrinfo support

Closes #6746

RELEASE-NOTES: synced

http2: revert call the handle-closed function correctly on closed stream

Reverts 252790c5335a221

Assisted-by: Gergely Nagy
Fixes #7400
Closes #7525

auth: do not append zero-terminator to authorisation id in kerberos

RFC4752 Section 3.1 states "The authorization identity is not terminated
with a zero-valued (%x00) octet". Although a comment in code said it may
be needed anyway, nothing confirms it. In addition, servers may consider
it as part of the identity, causing a failure.

Closes #7008

auth: use sasl authzid option in kerberos

... instead of deriving it from active ticket.
Closes #7008

auth: we do not support a security layer after kerberos authentication

Closes #7008

auth: properly handle byte order in kerberos security message

Closes #7008

x509asn1: fix heap over-read when parsing x509 certificates

Assisted-by: Patrick Monnerat
Closes #7536

KNOWN_BUGS: Disconnects don't do verbose

Closes #6995

mailmap: fixup Michał Antoniak

build: fix compiler warnings

For when CURL_DISABLE_VERBOSE_STRINGS and DEBUGBUILD flags are both
active.

- socks.c : warning C4100: 'lineno': unreferenced formal parameter
  (co-authored by Daniel Stenberg)

- mbedtls.c: warning C4189: 'port': local variable is initialized but
  not referenced

- schannel.c: warning C4189: 'hostname': local variable is initialized
  but not referenced

Cloes #7528

CODE_STYLE-md: fix bold font style

Markdown gets confused with abundance of asterisks, so use underscores
instead.

Reviewed-by: Daniel Gustafsson
Closes #7569

CODE_STYLE-md: add missing comma

Reviewed-by: Daniel Gustafsson
Closes #7570

examples/ephiperfifo.c: simplify signal handler

The signal handler registered for SIGINT is only handling SIGINT
so there isn't much need for inspecting the signo.  While there,
rename the handler to be more specific.

g_should_exit should really be of sig_atomic_t type, but relying
on autoconf in the examples seems like a bad idea so keep that
for now.

Reviewed-by: Daniel Stenberg
Closes #7310

c-hyper: initial step for 100-continue support

Enabled test 154

Closes #7568

vtls: fix typo in schannel_verify.c

occurence -> occurrence

Closes #7566

curl_url_get.3: clarify about path and query

The current man-page lacks some details regarding the obtained path and
query.

Closes #7563

c-hyper: fix header value passed to debug callback

Closes #7567

cleanup: URL updates

- replace broken URL with the one it was most probably pointing to
  when added (lib/tftp.c)
- replace broken URL with archive.org link (lib/curl_ntlm_wb.c)
- delete unnecessary protocol designator from archive.org URL
  (docs/BINDINGS.md)

Closes #7562

DEPRECATE.md: linkify curl-library mailing list

Closes #7561

output.d: add method to suppress response bodies

Closes #7560

TODO: remove 'c-ares deviates on http://1346569778'

Fixed since 56a037cc0ad1b2 (7.77.0)

BINDINGS.md: update links to use https where available

Closes #7558

asyn-ares.c: move all version number checks to the top

... and use #ifdef [feature] in the code as per our guidelines.

ares: use ares_getaddrinfo()

ares_getaddrinfo() is the getaddrinfo() cloned provided by c-ares, introduced
in version 1.16.0.

With older c-ares versions, curl invokes ares_gethostbyname() twice - once for
IPv4 and once for IPv6 to resolve both addresses, and then combines the
returned results.

Reported-by: jjandesmet
Fixes #7364
Closes #7552

ngtcp2: utilize crypto API functions to simplify

Closes #7551

ngtcp2: reset the oustanding send buffer again when drained

Closes #7538

progress: fix a compile warning on some systems

lib/progress.c:380:40: warning: conversion to 'long double' from
'curl_off_t {aka long long int}' may alter its value [-Wconversion]

Closes #7549

RELEASE-NOTES: synced

http: consider cookies over localhost to be secure

Updated test31.
Added test 392 to verify secure cookies used for http://localhost

Reviewed-by: Daniel Gustafsson
Fixes #6733
Closes #7263

TODO: erase secrets from heap/stack after use

Closes #7268

hostip: Make Curl_ipv6works function independent of getaddrinfo

- Do not assume IPv6 is not working when getaddrinfo is not present.

The check to see if IPv6 actually works is now independent of whether
there is any resolver that can potentially resolve a hostname to IPv6.

Prior to this change if getaddrinfo() was not found at compile time then
Curl_ipv6works() would be defined as a macro that returns FALSE.

When getaddrinfo is not found then libcurl is built with CURLRES_IPV4
defined instead of CURLRES_IPV6, meaning that it cannot do IPv6 lookups
in the traditional way. With this commit if libcurl is built with IPv6
support (ENABLE_IPV6) but without getaddrinfo (CURLRES_IPV6), and the
IPv6 stack is actually working, then it is possible for libcurl to
resolve IPv6 addresses by using DoH.

Ref: https://github.com/curl/curl/issues/7483#issuecomment-890765378

Closes https://github.com/curl/curl/pull/7529

test1565: fix windows build errors

- Use our wait_ms() instead of sleep() since Windows doesn't have the
  latter.

- Use a separate variable to keep track of whether the pthread_t thread
  id is valid.

On Windows pthread_t is not an integer type. pthread offers no macro for
invalid pthread_t thread id, so validity is kept track of separately.

Closes https://github.com/curl/curl/pull/7527

winbuild/README.md: clarify GEN_PDB option

- Document that GEN_PDB option creates an external database.

Ref: https://github.com/curl/curl/issues/7502

ngtcp2: replace deprecated functions with nghttp3_conn_shutdown_stream_read

Closes #7546

ngtcp2: rework the return value handling of ngtcp2_conn_writev_stream

Rework the return value handling of ngtcp2_conn_writev_stream and treat
NGTCP2_ERR_STREAM_SHUT_WR separately.

Closes #7546

configure: error out if both ngtcp2 and quiche are specified

Reported-by: Vincent Grande
See #7539
Closes #7545

easy: use a custom implementation of wcsdup on Windows

... so that malloc/free overrides from curl_global_init are used for
wcsdup correctly.

Closes #7540

zuul: add an mbedtls3 CI job

Closes #7544

mbedTLS: initial 3.0.0 support

Closes #7428

RELEASE-NOTES: synced

configure.ac: revert bad nghttp2 library detection improvements

This reverts commit b4b34db65f9f8, 673753344c5f and 29c7cf79e8b.

The logic is now back to assuming that the nghttp2 lib is called nghttp2 and
nothing else.

Reported-by: Rui Pinheiro
Reported-by: Alex Crichton
Fixes #7514
Closes #7515

happy-eyeballs-timeout-ms.d: polish the wording

Reported-by: Josh Soref
Fixes #7433
Closes #7542

mbedtls_threadlock: fix unused variable warning

Closes #7393

ngtcp2: compile with the latest ngtcp2 and nghttp3

Closes #7541

CI/cirrus: reduce compile time with increased parallism

Cirrus CI VMs have 2 CPUs, let's use them also for Windows builds.

Reviewed-by: Daniel Stenberg
Closes #7505

tool/tests: fix potential year 2038 issues

The length of 'long' in a 32-bit system is 32 bits, which cannot be used
to save timestamps after 2038. Most operating systems have extended
time_t to 64 bits.

Remove the castings to long.

Closes #7466

compressed.d: it's a request, not an order

Clarified

Reported-by: Dan Jacobson
Reviewed-by: Daniel Gustafsson
Fixes #7516
Closes #7517

tests: make three tests pass until 2037

after 2038 something in test1915 fails on 32-bit OSes

Closes #7512