use return to exit from main function

client: improve usage line

main: print usage with -h option

ntp: don't log error when socket() fails for client only socket

doc: don't mention ancient systems

Also, don't try to track working versions of supported systems, assume
current versions are ok.

update copyright years

doc: warn that unauthenticated peers are vulnerable to DoS attack

sys: clamp frequency set in generic driver on exit

util: don't allow time too close to 32-bit time_t overflow

In UTI_IsTimeOffsetSane() consider time in one year interval before
32-bit time_t overflow (in 2038) as invalid. Hopefully everything will
be using 64-bit time_t when that time comes.

doc: fix CVE-ID in NEWS

CVE-2015-1853 is for chrony, CVE-2015-1799 is for ntp.

doc: update NEWS

Merge branch '1.31-security'

Conflicts:
NEWS
ntp_core.c

sys: allow drivers to fail when applying step offset

Different systems may consider different time values to be valid.
Don't exit on settimeofday()/adjtimex() error in case the check in
UTI_IsTimeOffsetSane() isn't restrictive enough.

refclock: check offset sanity

manual: check offset sanity

local: check offset sanity before accumulation

Don't accept an offset that points to time before 1970 or outside the
interval to which is mapped NTP time.

local: clamp frequency offset

Don't allow frequency offset larger than 50%, the tracked time must not
stop or run backwards.

cmdmon: fix handling of client access command

Rework the loop to limit the number of iterations to MAX_CLIENT_ACCESSES
and not waste CPU.

ntp: set maximum allowed polling interval

To have an upper bound don't allow polling interval be larger than 24
(194 days).

doc: document smoothtime directive

doc: update NEWS

cmdmon: fix initialization of allocated reply slots

When allocating memory to save unacknowledged replies to authenticated
command requests, the last "next" pointer was not initialized to NULL.
When all allocated reply slots were used, the next reply could be
written to an invalid memory instead of allocating a new slot for it.

An attacker that has the command key and is allowed to access cmdmon
(only localhost is allowed by default) could exploit this to crash
chronyd or possibly execute arbitrary code with the privileges of the
chronyd process.

addrfilt: fix access configuration with subnet size indivisible by 4

When NTP or cmdmon access was configured (from chrony.conf or via
authenticated cmdmon) with a subnet size that is indivisible by 4 and
an address that has nonzero bits in the 4-bit subnet remainder (e.g.
192.168.15.0/22 or f000::/3), the new setting was written to an
incorrect location, possibly outside the allocated array.

An attacker that has the command key and is allowed to access cmdmon
(only localhost is allowed by default) could exploit this to crash
chronyd or possibly execute arbitrary code with the privileges of the
chronyd process.

test: extend 113-leapsecond for leap smear

ntp: smear leap second with slewing mode and smoothing

Suppress leap second in packets sent to clients when smoothing and leap
second slew mode are enabled.

test: add 119-smoothtime

ntp: add server time smoothing

Time smoothing determines an offset that needs to be applied to the
cooked time to make it smooth for external observers. Observed offset
and frequency change slowly and there are no discontinuities. This can
be used on an NTP server to make it easier for the clients to track the
time and keep their clocks close together even when large offset or
frequency corrections are applied to the server's clock (e.g. after
being offline for longer time).

Accumulated offset and frequency are smoothed out in three stages. In
the first stage, the frequency is changed at a constant rate (wander) up
to a maximum, in the second stage the frequency stays at the maximum for
as long as needed and in the third stage the frequency is brought back
to zero.

Time smoothing is configured by the smoothtime directive. It takes two
arguments, maximum frequency offset and maximum wander. It's disabled by
default.

ntp: protect authenticated symmetric associations against DoS attacks

An attacker knowing that NTP hosts A and B are peering with each other
(symmetric association) can send a packet with random timestamps to host
A with source address of B which will set the NTP state variables on A
to the values sent by the attacker. Host A will then send on its next
poll to B a packet with originate timestamp that doesn't match the
transmit timestamp of B and the packet will be dropped. If the attacker
does this periodically for both hosts, they won't be able to synchronize
to each other. It is a denial-of-service attack.

According to [1], NTP authentication is supposed to protect symmetric
associations against this attack, but in the NTPv3 (RFC 1305) and NTPv4
(RFC 5905) specifications the state variables are updated before the
authentication check is performed, which means the association is
vulnerable to the attack even when authentication is enabled.

To fix this problem in chrony, save the originate and local timestamps
only when the authentication check (test5) passed.

[1] https://www.eecis.udel.edu/~mills/onwire.html

test: fix source selection check

The chronyd log message changed from "no reachable sources" to "no
selectable sources" in 8f062454.

reference: update our reference time on slew

sourcestats: fix updating of slope on slew with large residual freq

test: make 009-sourceselection more reliable

test: add 118-maxdelay

test: add 117-fallbackdrift

reference: schedule fallback drift even when synchronized

After update to NTPv4 the synchronized status doesn't change when
sources are unreachable, start fallbackdrift timeout on reference update
too.

reference: don't limit fallback drift offset

reference: fix initial fallback drift setting

ntp: check also reference timestamp in test3

Zero reference timestamp doesn't pass test7, but only before we reach
the next NTP era.

cmdmon: remove obsolete request/reply in candm.h

cmdmon: fix noselect flag setting in source data

ntp: change default maxdelay to 3 seconds

doc: document leapsecmode directive

test: extend 113-leapsecond to test new leap modes

reference: use step leap mode by default if system is not supported

reference: update leap status right after leap second

Don't wait for the next update, there may not be any before the end of
the day.

reference: don't report synchronized status during leap second

During inserted leap second the time is invalid, reply with
unsynchronized status to avoid confusing clients that are not smart
enough to ignore measurements close to leap second.

reference: add new leap second handling modes

In addition to the system driver handling add new modes to slew or step
the system clock for leap second, or ignore it completely. This can be
configured with leapsecmode directive.

sys: avoid syslog message when leap bits are not changed

After leap second the kernel removes STA_INS and STA_DEL bits from the
adjtimex status automatically, don't report a change when clearing the
bits.

refclock: start refid numbering at zero

Commit d92583ed inadvertently changed the refclock refid numbering to
start from 1 instead of 0. Restore the original numbering.

ntp: fix maxdelayratio test

This was broken in commit 8fbfe55e.

test: require latest clknetsim

doc: update NEWS

examples: add chrony.conf.example1

This is a minimal example.

examples: update configuration examples

examples: rename chrony.conf.example to chrony.conf.example3

Order the examples by complexity.

doc: update chrony.conf man page

doc: update chrony.texi

test: add compilation test

Check if chrony can be compiled in various combination of disabled
features. This should fail if there are missing functions in stubs.c.

clientlog: remove unused code

cmdmon: bind to loopback interface by default

cmdmon: use system values for loopback addresses

test: require latest clknetsim

contrib: remove DNSchrony from distribution

With the new pool directive chronyd is now able to replace unreachable
NTP servers with newly resolved addresses automatically. Starting
without DNS wasn't a problem since 1.25.

ntp: remove unnecessary check in read_from_socket()

create NTP and cmdmon sockets after root drop

This is now possible as we keep the cap_net_bind_service capability.

ntp: keep all length constants signed

This should make it harder to accidentally create an unsafe comparison
between signed and unsigned values.

ntp: use different value for invalid socket in ntp_core

This should make it easier to see invalid sockets leaking from ntp_core
to ntp_io.

ntp: fix length check of NTPv4 extension fields

Don't allow extension fields shorter than 16 bytes.

ntp: open server socket only when access is allowed

When changing access configuration, check if any address is allowed and
open/close the server socket as needed.

ntp: count references to NTP server sockets

Server sockets are now explicitly opened and closed for normal NTP
server, NTP broadcast and NTP peering. This will allow closing the
NTP port when not needed.

sys: keep cap_net_bind_service capability

This will be needed to allow opening of NTP server socket after root
privileges are dropped.

ntp: rename NIO_Get*Socket functions

doc: improve FAQ section on improving accuracy

doc: use example.net domain in examples

doc: update description of tracking command

Negative root delay is never reported with the current code.

doc: list server/peer options that can be set in chronyc

doc: fix examples of add server and add peer commands

cmdparse: add function to convert error status to string

This is used to avoid duplication of error printing in chronyd and
chronyc.

sys: use system headers for adjtimex

sys: remove shift_hz

It's not used for anything since commit e147f2f1.

sys: remove TMX_ReadCurrentParams

sys: add sync status setting to generic and Linux driver

Set the adjtimex status, esterror and maxerror fields to the values
provided by the reference module.

sys: fix formatting in sys_linux.c

local: add new driver call to set synchronization status

This will be used to set the kernel adjtimex() variables to allow other
applications running on the system to know if the system clock is
synchronized and the estimated error and the maximum error.

client: add second form of makestep command

The second form configures the automatic stepping, similarly to the
makestep directive. It has two parameters, stepping threshold (in
seconds) and number of future clock updates for which will be the
threshold active. This can be used with the burst command to quickly
make a new measurement and correct the clock by stepping if needed,
without waiting for chronyd to complete the measurement and update the
clock.

cmdmon: initialize new source params when adding source

sources: allow setting minsamples and maxsamples for each source

The minsamples and maxsamples directives now set the default value,
which can be overriden for individual sources in the server/peer/pool
and refclock directives.

ntp: don't replace source instance when changing address

Add new functions to change source's reference ID/address and reset the
instance. Use that instead of destroying and creating a new instance
when the NTP address is changed.

ntp: limit number of pool sources

A new option can be now used in the pool directive: maxsources sets the
maximum number of sources that can be used from the pool, the default
value is 4.

On start, when the pool name is resolved, chronyd will add up to 16
sources, one for each resolved address. When the number of sources from
which at least one valid reply was received reaches maxsources, the
other sources will be removed.

ntp: update number of sources when removing all sources

Also, rehash the records after removal and split cleaning of the source
record to a separate function.

ntp: return status from NCR_ProcessKnown()

doc: update tempcomp description

tempcomp: allow configuration with list of points

In addition to the quadratic function, allow configuration of the
compensation with a file containing list of (temperature, compensation)
points used for linear interpolation and extrapolation.

test: fix 111-knownclient

The new NTPv4 loop synchronization check fails as clknetsim doesn't
support IP_PKTINFO yet. Use the noselect option to prevent the server to
synchronize to the client.

ntp: fix accepting requests from configured sources

When using server socket to send client requests (acquisitionport 123)
and currently not waiting for a reply, the socket check will fail for
client requests from the source.

The check needs to be moved to correctly handle the requests as from an
unknown source.

tempcomp: fix double free on sensor filename

This is related to commit f6ed7844e1ac8c25fe9ba84232c563f302beba30.

conf: change default stratumweight to 0.001

ntp: support pools

The pool directive can be used to configure chronyd for a pool of NTP
servers (e.g. pool.ntp.org). The name is expected to resolve to multiple
addresses which change over time.

On start, a source will be added for each resolved address. When a
source from the pool is unreachable or marked as falseticker, chronyd
will try to replace the source with a newly resolved address of the
pool.

The minimum interval between replacements is currently set to 244
seconds to avoid frequent DNS requests.

ntp: allow changing address of core instance

ntp: try adding other server addresses

When adding a server from configuration file, don't give up when the
first returned address was already added for another server directive,
but try adding other addresses until one succeeds.