Debian sid has OpenSSL legacy providers in an optional package

clean up for v3.0.x

Update 3GPP2 from latest standard revision

If OpenSSL handshake fails during Client Hello report cipher lists

Helps get to the bottom of "no shared cipher" errors.

Ensure fd event removed when removing listener

Bump github action versions

Except for ci-rpm where centos-7 is too old for node > 16

Debian sid appears to have dropped gcc-10

Correct ZTE dictionary

To match real packets seen in active systems.

ignore home server "ping" packets

Use HEXIFY to handle non-octet looking RADIUSD_VERSION

Bump for 3.0.28

release 3.0.27

Config docs: Clients aggregators may be RADIUS proxies and set proxy-state

handle dynamic require Message-Authenticator

don't enforce require_ma on packet reception

note recent changes

typos and clarifications

implement and document "require_message_authenticator = auto"

add more helpful error messages

implement and document "limit_proxy_state = auto"

Also add a standard function which complains loudly about security
issues.

Enforce BlastRADIUS checks for TCP sockets, too.

Though TBH, no one should use TCP for anything.

Add M-A processing for Status-Server and replies from home server

add Blast RADIUS checks to radclient and radtest

word smithing

use and enforce limit_proxy_state for Access-Request packets

make limit_proxy_state the default for clients

add and document global limit_proxy_state

add Message-Authenticator to all Access-Request packets

add and set require_message_authenticator for home servers

always add Message-Authenticator for replies to Access-Request

add tls flag to packets

and set it for TLS transport send / receive.  This lets the
packet encoder and verification routines behave differently for
TLS and non-TLS transport

make require_message_authenticator the default for clients

and document the behavior change

add and use "ignore default" flag

which means that if the configuration item is missing, we do not
set the value from the default.

This change allows the value to be set before the configuration
file is parsed, and then only changed if the named configuration
item exists, and is manually set by the admin

rename for consistency

add and document global require_message_authenticator

Fixups for CentOS 7 which is now EOL

note recent changes

There may be multiple intermediate certs.

note recent changes

remove unused variable

update stats more quickly

don't double-count authentication packets

don't count Status-Server

we don't count replies to it, so we shouldn't count requests, too

typo

update advice on shared secrets

track global stats, even if the listeners have been closed

Remove Centos 8 from CI

Backport 2d8d738f408 from v3.2.x

Fix error in dictionary documentation

Change RFC 8859 to RFC 8559

Fixes #5345

Update dictionary.wispr (#5336)

Add attribute 17 per https://github.com/wireless-broadband-alliance/RADIUS-VSA

mschapv2: set key length after specifying the cipher

We get a sigsegv otherwise:
----
(10) eap_mschapv2:   Auth-Type MS-CHAP {
(10) mschap: Found Cleartext-Password, hashing to create NT-Password
(10) mschap: MS-CHAPv2 password change request received
(10) mschap: Password change payload valid
(10) mschap: Doing MS-CHAPv2 password change locally

Program received signal SIGSEGV, Segmentation fault.
0x00007ffff7b92f18 in EVP_CIPHER_CTX_set_key_length () from /lib/x86_64-linux-gnu/libcrypto.so.3
(gdb) where
    new_nt_password=0x7fffffffb940 "...", nt_password=0x555555ccc290,
    request=0x555555a9fde0, inst=0x5555558bacb0) at src/modules/rlm_mschap/rlm_mschap.c:1016
----

note recent changes

remove TCP Status-Server requests from proxy hash as well

fixes #5326

Ensure yum is installed on Rocky 9

Once CentOS 7 goes EoL, we can switch to dnf

rlm_sql_freetds: handle returned NULL column values

These don't update the results buffer - so zero it out during allocation.

allocate instance data even if the module doesn't need it

which lets the rest of the distinguish virtual attributes from
typos in xlat functions

fix typo.

We loop until the content is non-space, not while the ptr is !NULL

Ubuntu 18.04 is EoL

Ensure fakeroot is available for `make deb`

add necessary backslash.  Fixes #5301

use snprintf

Add TP Link dictionary

improve exception handling.  Helps with #5242

so that no python exceptions remain after the do_python_single call.
Otherwise the next request will immediately fail.

Patch from #5242, but separated out to keep commit history
a little clearer.

don't delay proxied rejects from a real home server

more notes on connection starvation

print out the module instance name

clarify message a bit

this is for UDP home servers

ensure that cp is initialized on every iteration through the loop

reply packets use request authenticator for Message-Authenticator

Build with winbind on all RHEL >= 7

word smithing

fix warning messages

note recent changes

if there's no "server foo", then use "server default"

update the year

don't leave dangling pointer to a cancelled coa request

add client configuration for PSK

Fix multiple typos in MongoDB query.conf (#5130)

Add BEGIN-VENDOR and END-VENDOR to Calix dictionary

add Calix-Role in Calix Dictionary (#5124)

as sent via email

add debian 12 bookworm to CI

don't stop on eapol_test compile warnings

docker/crossbuild: backport Dockerfile updates from 3.2

commits:

9806381bd3 docker: remove duplicate lines
13091819c3 docker: remove obsolete OSes
d35586d463 generate dockerfiles from m4 templates
ac339f4731 docker: add debian 12 bookworm
2a89b55398 docker: add rocky9
37db20c784 crossbuild: remove centos8
dc67a0492c crossbuild: generate Dockerfiles from m4 templates
707e0eb90a crossbuild: add recent OSes
e4bccf5ef7 crossbuild: update docs
80670757cc crossbuild: don't set rpm BUILDDIR
e88c86b25b crossbuild: newer systems disable TLS1.1 but we need it for testing
deb77d22b0 CI: add job to check all crossbuild docker images work
720709d0b4 docker: use similar m4 template system as for crossbuild

allow for EOL of UDP sockets, too.

which also helps when building without TCP.

document nonblock=yes

note recent changes

fix compiler warning when building without TCP.  Fixes #5054

Auth Lost: Free the state's opaque and ctx storage.  Fixes #5055

CI: fix with latest mariadb 11 docker image

ref https://jira.mariadb.org/browse/MDBF-568

document retries.  Fixes #5040 / #5041

free check_tmp after using it.  Fixes #5035

mark "inst" as unused, and relax checks a bit more

for now, we will only check if the EAP message length is correct.
This prevents "middle box" effect, where the protocol cannot be
upgraded, because middle boxes aren't upgraded.

There is a near-zero chance that EAP will be updated to allow
supplicants to send something other than 1 (Response).  But for
general protocol correctness and paranoia, let's allow for that

build without TLS

allow for non-blocking TCP connections, too

relax the pre_proxy checks a bit

to allow any EAP type, even if it currently doesn't make sense

fix typo.  #5026 and #5028

add Error-Cause = Invalid EAP Packet (Ignored)

when rejecting EAP packets in the pre-proxy stage

more checks and sanity

allow extended types

check EAP header byte 0, too, and add debug messages