director: Code cleanup - moved command handling to its own function.

director: Show in process title how many users are being moved.

director: Code cleanup - Finish user move always in the same function.

director: Call state_change_callback on user move timeout.

director: Code cleanup - allow commands handlers to stop processing input

Now returning 0 exits the input reading without disconnecting client.

lib-mail: Add tests for dec/hexdec encoded entities

lib-mail: Support decimal/hexadecimal encoded entities

Add support for &#nnn; and &#xnnn; entities.

imap-login: Skip NIL value in ID handler

NIL value can cause hard crash, depending what
the key is. For x-proxy-ttl, NIL will crash
on any system, x-originating-ip will crash on
some nss versions (e.g. centos 6.7).

Migitating factor here is that the NIL value is only
accepted from trusted network.

lib-compression: Added unit tests for reading .gz files

lib-compression: Added file uncompression support for test-compression

This can be useful for debugging.

lib-compress: Don't assume too early that gz file continues after a trailer.

Some istreams don't have EOF immediately set after the gz trailer. This
fixes errors like "missing gz trailer at 1675"

istream-zlib: "missing gz trailer" error message was wrong.

lib: With FILE_LOCK_SLOW_WARNING_MSECS log a warning also when keeping lock for long.

This can help catching which process kept the lock for too long.

configure: Fixed checking if OpenSSL is too old for lib-dcrypt

EVP_PKEY_CTX_set_ec_paramgen_curve_nid() is a macro, so it can't be checked
with AC_CHECK_LIB().

lib: Fix compiler warnings in test-ioloop

Fixes:
test-ioloop.c:72: error: ignoring return value of ‘write’, declared with attribute warn_unused_result

lib-http: Add ioloop and lock wait information to timeout messages.

It'll now log for example:
9007 Request timed out (Request sent 7.087 secs ago, 0.076 in other ioloops, 7.012 in locks, connected 7.087 secs ago)

Which points out that the problem wasn't really with the HTTP, but with
locking. This likely should be fixed in some way also in lib-http so that
it gives a bit of extra time for reading the request, but that's a separate
fix.

dict-client: Fix logging how much time was spent in other ioloops in slow lookup warnings.

The warning's idea is to show why the lookup could have been slow. We
differentiate between time spent in dict_wait() waiting only for the
dict result and time spent in other ioloops waiting for potentially other
things as well (and time spent waiting for locks during this time).

The previous code didn't work right when multiple ioloops were used, which
happened sometimes.

Also changed %u to %d just in case some calculation is wrong. It's nicer to
get a slightly negative value rather than a huge positive one.

lib: Added ioloop_global_wait_usecs

This is helpful when multiple ioloops aren't used and
io_loop_get_wait_usecs() can't be easily used for all of them.

lib: Add FILE_LOCK_SLOW_WARNING_MSECS environment.

Log a warning if any locking takes longer than the specified number of
milliseconds. This can be enabled globally with:

import_environment = $import_environment FILE_LOCK_SLOW_WARNING_MSECS=1000

lib-index: Fix potential error when reading from uncommitted cache transaction

If dovecot.index.cache is compressed during the transaction, the new cache
fields mapping doesn't necessarily match what is in the transaction.

Fixes:
Error: Corrupted index cache file .../dovecot.index.cache: field index too large (27 >= 17)

Although there may be other cache corruption errors it also fixes.

lib-index: Fix potential assert-crash when reading cache

Fixes:
Panic: file mail-cache-lookup.c: line 258 (mail_cache_lookup_iter_next): assertion failed: (ctx->offset != 0)

Broken by d33fc6c584718efd46159e1d8f46488b9dfc66f5

master: If chrooted service's core wasn't dumped, suggest to unset the chroot.

lib: Add test for ioloop fd polling

lib: Fix kqueue io_loop_get_wait_time usage

The code needs to take into consideration,
when there is no IO to be waited, but possibly
there is io_set_pending used, or just timeouts.

lib: Ensure tv_r gets set in io_loop_get_wait_time

If this does not get reset here to 0 it can cause
errors or unpredictable behaviour in select/kqueue
polling, such as very long delays.

director: Fix crash handling director_flush_socket when user is freed.

director: Support flush socket

This allows specifying an URI to execute
on user kill. It can be of form
exec:/path/to/bin, unix:/path/to/socket or
tcp:ip:port

The location is sent FLUSH username-hash
per killed user. You can execute some
action there, and you are expected to
return '+\nOK\n' as reply once you are
done.

configure: Improved checking if OpenSSL is too old for lib-dcrypt

Some OpenSSL versions had EC_KEY_new, but not other needed functions.

program-client-unix: Don't retry connecting to UNIX socket.

Especially with async connections this will just block the whole process
when there are errors.

director: Fix shutdown_clients=no to not break

The director process must shut down even with with shutdown_clients=no.
Otherwise the two director processes will try to keep competing with each
others and log errors like:

director: Warning: Director 10.0.0.123:9090/right disconnected us with reason: Replacing with new incoming connection
director: Warning: Director 10.0.0.123:9090/right disconnected us with reason: Replacing with 10.0.0.124:9090

doveadm: Rewind input early enough

Command input needs to be rewinded earlier
in doveadm_mail_next_user.

lib-program-client: Change program_client_create() API to return error string.

imap-hibernate: Fix "DONE" handling.

1. If only "DONE\r\n" was sent, it randomly failed with BAD because of
out-of-bounds buffer read.

2. If "DONE\r\n" was followed by a command tag but no space afterwards, we
kept waiting for the input to continue. But since the DONE was already sent,
we should break the IDLE already at that point without any further waiting.

lib: Added unit tests for string tabescaping.

global: Replaced t_strsplit_tab() calls with t_strsplit_tabescaped()

This is useful especially in auth code to support LFs in extra fields.

Other pieces of code were also tab-escaping strings, but never unescaping
them. Usually it didn't matter, because nobody would use the escaped
characters. Still, the code wasn't exactly behaving correctly.

One downside to this change is that it's now possible to pass through TABs,
CRs and LFs through the various protocols. In theory this shouldn't cause
any problems, but combined with other bugs this could trigger some security
problems.

global: Code cleanup - Use t_strsplit_tabescaped() to avoid str_tabunescape()

global: Try to initialize var_expand_tab[] directly.

This avoids accidents with the array numbering being wrong.

global: Use i_strchr_to_next() wherever useful.

lib: Added i_strchr_to_next()

pop3: Fix pop3_logout_format=%{deleted_size} expansion when there are no deletions

Should be "0", not empty string.

%{auth_domain} shouldn't include the leading '@'

lib-ldap: Fixed compiling with OpenBSD

auth: Escape local_name

login-common: Include local_name in login_var_expand_table

This way it can be used in login_log_format

lib-storage: Fixed a boolean expression.

Problem found with clang -Wstrict-bool.

lib-program-client: Fixed boolean expressions.

Problems found with clang -Wstrict-bool.

lib-program-client: Gave variables pointing to a program-client more logical names.

Was still based on when it was called the script-client.

auth: Fixed assert-crash on invalid auth-client input

For example if client sends invalid input like:
auth: Error: BUG: Authentication client sent unknown command: XYZ

Fixes crash:
auth: Panic: key not found from hash

dovecot-config: Added dovecot_statedir

Added "doveadm process status"

This allows asking for processes' current status in master process.

Added "doveadm service status"

This allows asking for services' current status in master process.

doveadm-master: Code cleanup - simplify sending command args to master.

This also escapes the parameters to make sure nothing bad can be sent.

doveadm service stop: Convert to doveadm v2 API

doveadm service stop: Code cleanup - Prepare for other service commands.

doveadm service stop: Moved command handling to doveadm-master.c

It's talking to master process, and there will be other non-service commands
that talk to the master process in the same way.

doveadm user: If lookup fails, don't write it to the same line as header.

doveadm-server: Show incoming connection's IP and running command is process title.

auth: Pass local_name to auth-request

This allows using local_name in various places,
such as passdb/userdb queries.

login proxy: Hanging outgoing SSL connections caused using already-freed memory

This mainly happened when login proxy closed the connection due to connect
timeout. The ssl-proxy still had a reference and existed for a longer time.
If SSL handshake still succeeded afterwards, it now called
login_proxy_ssl_handshaked(), which accessed the already-freed proxy and
likely crashed.

Fixed the ssl-client proxy code specifically. Alternatively ssl_proxy_free()
could be calling ssl_proxy_destroy() always, but since ssl-server side of
the code seems to have been working fine, I don't want to accidentally
break it.

lib-program-client: Linking fix.

Fixed copyright notice.

lib-program-client: Deduplicate flush statement

It can be done below by splitting the else if
into separate if statement.

lib-program-client: Correctly handle error code

lib: Copy target_uid from restrict_access_settings

One cannot assign to set->uid, causing compile error.

lib-program-client: Try drop setuid root by default

But not if root privileges are asked for.

lib: Add drop_setuid_root for restrict_access

drop_setuid_root, when set to true, will detect
and try to drop getuid()==0. This is done by
recovering current effective UID to set->uid
if set->uid == -1, and then doing seteuid(0).
It will also drop out any other extra privileges,
such as extra groups not requested for.

lib-storage: clean up mailbox_list_create to improve readability

There is no reason to use mailbox_list_driver_find() here instead of
mailbox_list_find_class() as (1) we do not need the index into the list
driver array, and (2) dealing with double-pointers is harder than regular
pointers.

push-notification: Error handling fix and cleanups.

dovecot-ldap.conf.ext: Updated sasl_bind comment.

lib-program-client: Fix memory access problem

lib-program-client: Fix local tests

lib-program-client: Whitespace fixes

lib-program-client: Disable valgrind

For local test, we can't use valgrind,
it's too unreliable (breaks execution sometimes).

lib-program-client: Add support for iostream-dot

This is also made mandatory for TCP client.

lib-program-client: Make sure we delay output in test

This is to ensure that the client does not prematurely
disconnect before output is sent.

lib-program-client: Move version string to define

lib-program-client: Add URI based constructor

lib-program-client: Add tests for TCP client

lib-program-client: Add TCP client support

lib-program-client: Add switch_ioloop vfunc

This lets program-client backends do their own
special io loop switching.

lib-program-client: Use milliseconds in idle timeout

lib-program-client: Use child-wait

This makes the client waiting asynchronous.

lib-program-client: Disconnect asynchronously

lib-program-client: Use restrict-access

This makes the program-client execution behave
more consistent to the rest of the core code.

lib: Add reference counting to child_wait_pid

lib-storage: Make sure mailbox_uidvalidity_next() doesn't return 0.

0 isn't a valid IMAP UIDVALIDITY, and Dovecot treats 0 as "not assigned".

lib-dcrypt: add a test for password change

Test that you can encrypt a key with password, encrypt a key with the
password protected key, change the password, and still load a key that you
encrypted with the key encrypted using the first password.

doveadm: trim doveadm dump dcrypt-key input

dcrypt does not like extra newlines at the end of a key.

lib-fs: Fixed fs_metadata_find() to actually work

imapc: don't mix positional and designated initialization

imapc: use serialized settings as unique_root_dir

Without this, it is not possible to instantiate multiple imapc storages.
Any attempts to will result in multiple namespaces sharing the same storage,
regardless of if that was the intention.

lib-storage: treat empty root_dir as an empty string

push-notification: Resolve indentation problem

push-notification: Re-open mailbox and sync it to get unseen count.

push-notification: Add unseen count to OX driver.

global: Handle broken Content-Type headers consistently.

1) Only the first Content-Type header is used. (Simpler than using the last.)

2) Invalid Content-Types are parsed as far as we can. This is mainly to make
sure they aren't treated as missing Content-Types, which could cause them to
become text/plain.

lib-imap: imap_bodystructure_parse() ignores text/plain flag mismatch for now.

Maybe we can enable it some day far into the future, but for now this just
causes unnecessary cache file rebuilds.

lib-imap: Don't write a broken Content-Type as text/plain to BODYSTRUCTURE

Mainly because it doesn't match with MESSAGE_PART_FLAG_TEXT in message_part.

config: Compare local_name case insensitive

DNS and certificate names should be compared
case insensitive.

lib: Add null_strcasecmp