RAR5 reader: reject files that declare invalid header flags

One of the fields in RAR5's base block structure is the size of the
header. Some invalid files declare a 0 header size setting, which can
confuse the unpacker. Minimum header size for RAR5 base blocks is 7
bytes (4 bytes for CRC, and 3 bytes for the rest), so block size of 0
bytes should be rejected at header parsing stage.

The fix adds an error condition if header size of 0 bytes is detected.
In this case, the unpacker will not attempt to unpack the file, as the
header is corrupted.

The commit also adds OSSFuzz #20459 sample to test further regressions
in this area.

Merge pull request #1324 from bradking/solaris-11.4

libarchive: Fix detection of 'major' on Solaris 11.4

Fix use after free in ISO9660 and XAR writer

Remove rbtree nodes before freeing them.
For better code readability import new rbtree macros from NetBSD.

Fixes #1325

Update filter and format options in manual pages.

The list of format and filter options in bsdtar(1) is incomplete.
Add reference to manual pages archive_write_set_options(3) and
archive_read_set_options(3) for a complete list of supported options.

Fixes #1323

mtree reader: initialize checkfs with 0

libarchive: Fix detection of 'major' on Solaris 11.4

In `archive_pack_dev.c` there is code checking the `HAVE_MAJOR` macro,
but it is not computed.  Port the equivalent logic from
`archive_entry.c` to define the macro.

Cmake MSVC: replace warning C4061 with C4062

Fixes #1322

test_write_format_xar: add "none" options to test

PAX writer: fix return-on-error memory leaks in archive_write_pax_header()

PAX writer: fix entry uname or gname longer than 32 characters

Fixes #1319

Unify unsupported entry file type error message in writer

Closes #1320

XAR writer: fix compression output buffer handling

Add "none" as acceptable value to xar:checksum and xar:toc-checksum
Document XAR options in bsdtar(1)

Fixes #1317

CI: make mingw32-make verbose

Add printf attributes to the printflike functions used in tests and fix
the format errors.

Closes #1318

RAR5 reader: refactored parse_tables() a little bit

Some if/continue constructs could be changed to if/elseif/else blocks.
This allows elimination of superfluous 'continue' directives.

Closes #1280

Update archive_read_support_format_rar5.c

A patch to make this compile in older Visual Studio.
Moving variable declaration up for C89 standard.

CI: raise error if MinGW tests fail

Fix error when overwriting files on Windows

Introduced in 467d193dd61ca7669a5ba8d38e09836babf64e58

Fix 7zip_packinfo_digests test when LZMA is not supported

contrib/archivetest: fix compilation under MinGW

7zip reader tests: fixes when LZMA is unsupported

bsdtar.1: --exclude-vcs sort version control systems and add git

Fixes #1314

Add test_option_safe_writes to tar tests

Implement ARCHIVE_EXTRACT_SAFE_WRITES on Windows

As Windows does not support atomic rename/_wrename
we have to unlink the file right before calling _wrename
leaving a short unsafe window where a different file with the
same name can be created and make the rename operation fail.

Introduce archive_write_disk(3) flag ARCHIVE_EXTRACT_SAFE_WRITES

This flag changes the way that regular files are extracted:

Instead of removing existing files first and re-creating them in
order to replace their contents, a temporary file is created and
when writing to the temporary file is completed, the file is
rename(2)d to the final destination name.

This has the effect of presenting a consistent view of the file to
the system (either the file with the new contents or the file with
the old contents). Removing and overwriting the file has the
undesired side effect that the the system can either not see the
file at all (from the time it is being removed till the time it is
being re-created), or worse it can see partial file contents. This
is problematic when extracting system files (for example shared
libraries).

If the existing file that is going to be overwritten is a hard link,
for now we unlink it before calling rename(2). This can be done
correctly by creating a hardlink to a tmpnam(3) generated file
and then use rename(2), but that is fairly intrusive and requires
refactoring.

Fixes #1289

RAR5 reader: fix unsafe sign check of a bitwise operation.

This has no but code correctness effect as cdeque_init() is static
and max_capacity_power_of_2 in our code is always 8192.

Found by LGTM.com code analysis

archive_read.c: remove unnecessary comparsion (iindex is unsigned int)

Found by LGTM.com code analysis

Merge pull request #1316 from zoulasc/tests

Various test improvements

ANSI-C prototypes

Add missing const

Add missing const

Add missing const

- Add the NetBSD-specific config.h
- Use --help instead of -V when -V exits with non-zero code
- Double the string size to prevent truncation

RAR5 and WARC readers: move unnecessary comparsion into a comment
RAR5 reader: comment out unreachable code

Found by LGTM.com code analysis

archive_ppmd7.c: avoid possible integer overflow (security)

Found by LGTM.com code analysis

Multiple code fixes and optimizations

archive_read_support_format_rar5.c:
  Bitfield int -> signed int

Archive_write_set_format_iso9660.c:
  Bitfield int -> signed int

archive_write_set_format_xar.c:
  Bitfield int -> signed int

archive_write_set_format_7zip.c:
  Bitfield int -> signed int

archive_read_support_format_xar.c
  Remove useless comparsion

archive_read_support_format_rar.c:
  Fix invalid nested loop break.
  Comment out dead code sections.
  Simplify size comparsions of lensymbol and offsymbol.

archive_read_support_filter_uu.c:
  Remove useless comparsions

archive_read_disk_posix.c:
  Remove useless do-while-zero

Found by LGTM.com code analysis

Windows: use _localtime64_s and _gmtime64_s where appropriate

Unify header style, header guard comes first

Found by LGTM.com code analysis

Use localtime_r and gmtime_r if supported

Found by LGTM.com code analysis

Fix erroneous use of archive_string_empty() macro

Found by LGTM.com code analysis

LHA reader UTF16: dirSep must match machine endianess

LHA reader UTF-16: Encode directory separator with archive_le16enc()

Wrap to 80 characters.
Fixes #1307

Merge pull request #1308 from Claybird/fix_lha_endian

Fixed endian problem in lha UTF-16 encoding.
Fixes #1307

Fixed endian problem in lha UTF-16 encoding.

A patch to fix #1307

Redo fix for #1302 in a way that archive_write_client_open()
correctly frees its allocations in an error case.

Reverts 5e270715b51d199467195b56f77e21cb8bb1d642

Minor style newline consistency fixes

Implement archive_write_client_free()

Plugs memory leak of test_open_failure
Fixes #1302

Add mbed TLS as optional crypto provider

Make Nettle optional and OpenSSL default
Fixes #1301

Libarchive 3.4.2dev

Libarchive 3.4.1

Fix possible off-by-one when dealing with readlink(2)

readlink(2) and readlinkat(2) don't append a null byte to the given buffer.

Fix a possible heap-buffer-overflow in archive_string_append_from_wcs()

When we grow the archive_string buffer, we have to make sure it fits
at least one maximum-sized multibyte character in the current locale
and the null character.

Fixes #1298

Merge pull request #1297 from antekone/bug/GH-1257

ZIP reader: support LZMA_STREAM_END marker in 'lzma alone' files

ZIP reader: support LZMA_STREAM_END marker in 'lzma alone' files

It appears that ZIPX files with type 14 stream ('lzma alone') can
contain LZMA_STREAM_END markers at the end of the stream. The ZIP reader
was displaying an "unknown error 1" status after encountering such
marker.

The fix handles such case, and the reader doesn't return error status
anymore. Thus it should be possible to unpack files that contain the
LZMA_STREAM_END marker at the end of the stream.

Fixes #1257

Add test for reading 7z archives with Digests in PackInfo

Fixes #1295

7z: PackInfo Digests are prefixed by kCRC, not kSize

Merge pull request #1296 from antekone/rar5_ossfuzz_19509

RAR5 reader: verify window size for multivolume archives

RAR5 reader: verify window size for multivolume archives

RAR5 archives can contain files that span across multiple .rar files. If the
archive contains a big file that doesn't fit to first .rar file, then this file
is continued in another .rar file.

In this case, the RAR compressor first emits the FILE base block for this big
file in the first .rar file. Then, it finishes first .rar file, and creates the
new .rar file. In this new file, it emits the continuation FILE block that
marks start of the continuation data for the rest of the huge file.

The problem was that the RAR5 reader didn't ignore the window size declaration
when parsing through the continuation FILE base block. The malicious file could
declare a different window size inside the continuation base block than was
declared in the primary FILE base block in the previous volume. The window size
from continuation block was applied, but the actual window buffer was not
reallocated. This resulted in a potential SIGSEGV error, since bounary checks
for accessing the window buffer were working incorrectly (the window size
variable didn't match the actual window buffer size).

The commit fixes the issue by ignoring the window size declaration in the
continuation FILE base block when switching volumes.

The commit also contains a test case and OSSFuzz sample #19509.

Merge pull request #1288 from mmatuska/configurable_xattr_headers

Add the "xattrhdr" option to pax write options.

CI: upgrade FreeBSD Cirrus CI images to 12.1 and 11.3

LHA reader: plug two memory leaks on error

Reported by: OSS-Fuzz issue 19360, 19362

Add the "xattrhdr" option to pax write options.

This allows us to control whether "SCHILY.xattr", "LIBARCHIVE.xattr" or
both headers (default) are written when storing extended attributes.

Document "hdrcharset" option for pax.

Implement private state logic for write filters

This ensures that filters may be opened and closed only once and
__archive_write_filter() may be called only on an open filter.

Refactor filter open code and move logic to archive_write.c

Fixes #351

Remove remnants of archive_entry_acl_next_w

Remove unused variables

Remove unused variable

When the initial archive open for write fails, explicitly free filters.

This provides a defense-in-depth against programming errors due to the
partial state. Based on a report from Airbus Security - Vulnerability
Management.

Refactor archive_write_close_filter logic

archive_write_filter_compress: free state in free handler

LHA reader: ensure that UTF-16 input always has a multiple of 2 bytes

Fixes #1284

Merge pull request #1282 from kwojcicki/master

Fixing resource cleanup in minitar

Fixing resource cleanup in minitar

CI: remove Fedora 30 distcheck at Cirrus CI

Bugfix and optimize archive_wstring_append_from_mbs()

The cal to mbrtowc() or mbtowc() should read up to mbs_length
bytes and not wcs_length. This avoids out-of-bounds reads.

mbrtowc() and mbtowc() return (size_t)-1 wit errno EILSEQ when
they encounter an invalid multibyte character and (size_t)-2 when
they they encounter an incomplete multibyte character. As we return
failure and all our callers error out it makes no sense to continue
parsing mbs.

As we allocate `len` wchars at the beginning and each wchar has
at least one byte, there will never be need to grow the buffer,
so the code can be left out. On the other hand, we are always
allocatng more memory than we need.

As long as wcs_length == mbs_length == len we can omit wcs_length.
We keep the old code commented if we decide to save memory and
use autoexpanding wcs_length in the future.

Fixes #1276

Have "make dist" create .tar.gz, .tar.xz and .zip distribution files

Fixes #1277

When opening directories, use O_EXEC flag only on FreeBSD

Fixes #1279

CI: add distcheck and MacOS build to github actions

CI: move Windows MinGW and MSVC builds to GitHub Actions

test_open_fd: skip error test on GitHub Actions

test_read_format_lha_filename_utf16.c: pass copyright with permission

test_read_format_lha_filename_utf16.c: add missing condition

Add missing testfile to Makefile.am

Merge pull request #1263 from Claybird/add_unicode_support_on_lha

Adds UNICODE filename support for reading lha/lzh format

Fixed bugs in cases that dirname and fname have different codepages.

Updated test case.

This is to cover cases where dirname and filename have different codepages.

Fixed unicode escapes in NFD test case.

Fixed test case to support NFD normalization

Added a test case on lha with UTF-16 filenames.

Fixed broken UTF-16 support on *nix systems.

In the broken code, wchar_t was incorrectly assumed to be 16-bit.
This was not a portable way.

Fixed code uses archive_string and codepage information, instead of using archive_wstring.

Fixed memory leaks

This adds UNICODE filename support for lha.

The lastest lha format supports UNICODE filenames on its content, using extended headers(EXT_UTF16_FILENAME and EXT_UTF16_DIRECTORY).
However, currently libarchive ignores them.
This modification is to handle these extensions.

Merge pull request #1260 from danielverkamp/sparse-32bit-overflow

Fix sparse file offset overflow on 32-bit systems

Merge pull request #1253 from antekone/bug/uninitialized_variable_warnings

RAR5 reader: remove compilation warnings ('uninitialized variable')

Merge pull request #1252 from antekone/bug/recheck_solid_window_size2

RAR5 reader: verify window size for solid files

Fix sparse file offset overflow on 32-bit systems

On architectures where ssize_t is 32 bits but file offsets are 64 bits
(such as 32-bit Linux with _FILE_OFFSET_BITS=64), the POSIX disk reader
would incorrectly skip large sparse regions due to a 32-bit integer
overflow in _archive_read_data_block().  This can result in the reader
failing with "Encountered out-of-order sparse blocks", since the
overflowed value is interpreted as a signed number and added to the
current offset.

The bytes variable was used to store the difference between two 64-bit
integers, but bytes is a ssize_t.  Since this value of bytes was not
used after the block handling sparse offsets (it is always overwritten
in the block below), replace it with an int64_t sparse_bytes variable
that can always represent the difference without truncation.

Signed-off-by: Daniel Verkamp <dverkamp@chromium.org>

Limit #pragma GCC to GCC-compatible cmopilers

zip writer: don't append unused NUL for directories

This can result in a heap overflow dependening on the buffer allocation.
Simplify the path length calculation and avoid binary operands.

Based on PR #1255 from Will Wagner

RAR5 reader: verify window size for solid files

RAR5 archives can contain files compressed independently of each other,
and files that share a common window buffer, so files which are
compressed using 'solid' method. In the latter case, all files
are required to use the same window buffer, so window size should also
be the same.

OSSFuzz sample #15482 declares a different window size for multiple
solid files. RAR5 reader doesn't reallocate window buffer when
decompressing solid files, so it was possible to perform an
out-of-bounds read by declaring two solid files, where the second solid
file declared the window size parameter that was bigger than window size
used in first solid file.

This commit introduces additional checks to ensure all solid files are
using the same window size.

The commit also adds a test case using OSSFuzz sample #15482 to hunt
down regressions in the future.

Some other test cases had to be adjusted as well, because other OSSFuzz
samples were also declaring different window sizes for solid files. So
this commit has changed the error reporting for those invalid sample files.

RAR5 reader: remove compilation warnings ('uninitialized variable')

This commit makes the compiler happy by removing some uninitialized
variable warnings/errors in RAR5 reader.

Merge pull request #1250 from ischwarze/ischwarze-mdoc

Minor corrections to the formatting of manual pages