give polite message about socket closing

fix ASAN issues.  Fixes #4968

ci: Add ASAN/LSAN options (#4969)

revert to using sock->mutex again

it helps to initialize mutexes.

more mutex locks around common data

block.sh: Add cleanup statement to avoid exit and let the server blocked (#4967)

note recent changes

Script to randomly block connections

use a global mutex for TLS, not a per-socket mutex.

Apparently accessing the SSL_SESSION also requires mutex-protected
access to the underlying SSL_CTX.  So we set a global mutex, which
will slow things down a bit in the contended case.  But it won't
cause blocking issues which stops the server entirely.

Add assert to catch invalid mutex (#4960)

need this, too

add accounting, and do minor cleanups

allow FR_LIBRARY_PATH to pass through, if it's already set

pass FR_LIBRARY_PATH if it's already set

close the TLS socket on TLS errors.

If there's a TLS connection error, then the only way to recover
is to close the socket and start over from scratch.

configuration and scripts to test high load UDP -> TLS proxying

remove extraneous echo

Wrap all uses of ssl_mutexes in the same ifdef

Fix missing phtread destroy (#4957)

As we are calling pthread_mutex_init(), we should call
pthread_mutex_destroy() to release all initialized mutexs.

Fix typo (#4956)

typo

more cleanups

just use OpenSSL thread IDs

which uses the address of "errno".  That is thread-local on all
platforms we care about.

Fix runtime LSAN/ASAN out of bound index (#4942)

Such error:

Process 369882 stopped
* thread #4, name = 'radiusd', stop reason = Out of bounds index
    frame #0: 0x00005555556e7c10 radiusd`__ubsan_on_report
radiusd`__ubsan_on_report:
->  0x5555556e7c10 <+0>: retq
    0x5555556e7c11:      nopw   %cs:(%rax,%rax)
    0x5555556e7c1b:      nopl   (%rax,%rax)
radiusd`__ubsan_get_current_report_data:
    0x5555556e7c20 <+0>: pushq  %rbx
lldb> vt
error: 'vt' is not a valid command.
lldb> bt
* thread #4, name = 'radiusd', stop reason = Out of bounds index
  * frame #0: 0x00005555556e7c10 radiusd`__ubsan_on_report
    frame #1: 0x00005555556e29c6 radiusd`__ubsan::Diag::~Diag() + 214
    frame #2: 0x00005555556e5814 radiusd`handleOutOfBoundsImpl(__ubsan::OutOfBoundsData*, unsigned long, __ubsan::ReportOptions) + 340
    frame #3: 0x00005555556e588e radiusd`__ubsan_handle_out_of_bounds_abort + 46
    frame #4: 0x00007ffff7e2fd5f libfreeradius-radius.so`fr_rand_seed(data=0x000062501c0aeae0, size=20) at radius.c:5019:45
    frame #5: 0x00007ffff7e2f865 libfreeradius-radius.so`rad_decode(packet=<unavailable>, original=<unavailable>, secret=<unavailable>) at radius.c:4551:2
    frame #6: 0x000055555571631d radiusd`client_socket_decode(listener=<unavailable>, request=<unavailable>) at listen.c:2404:9
    frame #7: 0x000055555575df97 radiusd`request_running [inlined] request_pre_handler(request=0x000062501c0aeb70, action=<unavailable>) at process.c:1379:11
    frame #8: 0x000055555575de92 radiusd`request_running(request=0x000062501c0aeb70, action=<unavailable>) at process.c:1676:8
    frame #9: 0x0000555555758f76 radiusd`request_handler_thread(arg=0x0000606000010880) at threads.c:826:3
    frame #10: 0x00007ffff7490402 libc.so.6`start_thread(arg=<unavailable>) at pthread_create.c:442:8
    frame #11: 0x00007ffff751f590 libc.so.6`__clone3 at clone3.S:81
lldb>

call the correct API...

typo

let's remove the timer events when we free the socket, m'kay?

more checks and sanity

allow extended types

fix paths for v3

copy from v4

fix CI

try to shut up clang scan

which assumes (a) this->type == DETAIL, followed by assuming that
(b) this->type != DETAIL

So it's not tracking things correctly as the listener isn't being
changed during all that.

hopefully one last fix

only access "sock" for socket listeners

move "dead" to public value

check EAP header byte 0, too, and add debug messages

add pre_proxy method which catches invalid EAP packets.

Because "._udp.local" is not a valid EAP message

initialize sock better, and mark sockets as dead more often

Fix pthread.h include (#4943)

It needs to avoid:

src/lib/event.c:127:2: error: call to undeclared function 'pthread_mutex_destroy'; ISO C99 and later do not support implicit function declarations [-Werror,-Wimplicit-function-declaration]
CC src/lib/getaddrinfo.c
        pthread_mutex_destroy(&el->mutex);
        ^
src/lib/event.c:162:9: error: call to undeclared function 'pthread_mutex_init'; ISO C99 and later do not support implicit function declarations [-Werror,-Wimplicit-function-declaration]
        pthread_mutex_init(&el->mutex, NULL);
        ^
src/lib/event.c:478:2: error: call to undeclared function 'pthread_mutex_lock'; ISO C99 and later do not support implicit function declarations [-Werror,-Wimplicit-function-declaration]
        pthread_mutex_lock(&el->mutex);
        ^

More move @.. to ${Q}... (#4937)

That way we can set Q=@ for quiet, or Q="" for verbose.

CI: use local copies of Docker images

$(Q) -> ${Q}

CI: remove ubuntu 18.04

CI: remove non-Docker path

ci: Add 'sanitizer' build action

ci: Fix missing libclang-rt-15-dev

ci: Bump LLVM/CLANG for 15

Fix runtime LSAN/ASAN error in command.c

Such error:

src/main/command.c:185:12: runtime error: member access within null
pointer of type 'struct sockaddr_un'
SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior
src/main/command.c:185:12 in

Fix conflict test radiusd instances

Let's do it separately avoiding to conflict with the task 'radiusd.pid' vs
the other instance called by the same by 'tests.eap'

event: Fix missing phtread.h include

Move @.. to $(Q)...

That way we can set Q=@ for quiet, or Q="" for verbose

CI: clearer versions

CI: backport self-hosted docker image updates from v4

Backport math.h from v4

Fix runtime LSAN/ASAN error in src/lib/atomic_queue.c

Such error:

runtime error: member access within misaligned address 0x7f0e163fe860
for type 'fr_atomic_queue_t' (aka 'struct fr_atomic_queue_t'),
which requires 128 byte alignment 0x7f0e163fe860: note: pointer points here)

In that case, it was necessary backport talloc_aligned_array()

note recent changes

Fix memory-leak in "radiusd -XCM" (#4933)

Such error:

Current state of talloced memory:
full talloc report on 'null_context' (total      0 bytes in   1 blocks)

=================================================================
==85543==ERROR: LeakSanitizer: detected memory leaks

Direct leak of 96 byte(s) in 1 object(s) allocated from:
    #0 0x5598fcd87f3e in malloc (/home/jpereira/Devel/FreeRADIUS/freeradius-server-v3.2.x.git-linux/build/bin/local/radiusd+0x20cf3e) (BuildId: 3bf5bfb4fd72e1e1112726414556f8a4f339789f)
    #1 0x7f1cc4453d7f in __talloc_with_prefix /build/talloc-NvEq5A/talloc-2.3.3/bin/default/../../talloc.c:783:9
    #2 0x7f1cc4455a5d in __talloc /build/talloc-NvEq5A/talloc-2.3.3/bin/default/../../talloc.c:825:9
    #3 0x7f1cc4455a5d in _talloc_named_const /build/talloc-NvEq5A/talloc-2.3.3/bin/default/../../talloc.c:982:8
    #4 0x7f1cc4455a5d in talloc_enable_null_tracking /build/talloc-NvEq5A/talloc-2.3.3/bin/default/../../talloc.c:2353:18
    #5 0x7f1cc4455a5d in talloc_enable_null_tracking /build/talloc-NvEq5A/talloc-2.3.3/bin/default/../../talloc.c:2350:15
    #6 0x5598fceb65b1 in main /home/jpereira/Devel/FreeRADIUS/freeradius-server-v3.2.x.git-linux/src/main/radiusd.c:313:3
    #7 0x7f1cc342350f in __libc_start_call_main csu/../sysdeps/nptl/libc_start_call_main.h:58:16
    #8 0x7f1cc34235c8 in __libc_start_main csu/../csu/libc-start.c:381:3
    #9 0x5598fcd02514 in _start (/home/jpereira/Devel/FreeRADIUS/freeradius-server-v3.2.x.git-linux/build/bin/local/radiusd+0x187514) (BuildId: 3bf5bfb4fd72e1e1112726414556f8a4f339789f)

SUMMARY: AddressSanitizer: 96 byte(s) leaked in 1 allocation(s).

remove "other" from here, too

Fix missing prototype parameter in ssl_version()

Suppress GCC unknown pragma warnings in rlm_perl

ci: Bump OpenSSL for 3.0.8

disallow CoA for fake packets.  Fixes #4929

The CoA handling in process.c requires that the CoA packet be
associated with a "real" request.  i.e. one that was received from
the network, and is therefore long-lived.

"fake" packets, such as ones sent to a virtual home server, or
packets used in the "inner-tunnel" virtual server can't do CoA.

This is because the fake packets are freed immediately after they
are processed, and there is no way for them to push the CoA child
into the main event loop.

just remove the file, as it's entirely unused

Fix runtime error in file_common()

Such error:

src/modules/rlm_files/rlm_files.c:431:49: runtime error: null pointer passed as argument 3, which is declared to never be null
src/freeradius-devel/radiusd.h:603:89: note: nonnull attribute specified here
SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior src/modules/rlm_files/rlm_files.c:431:49 in

Fix runtime error in cf_file_open()

Such error:

src/main/conffile.c:333:22: runtime error: load of value 190, which is not a valid value for type 'bool'
SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior src/main/conffile.c:333:22 in

Fix runtime error: load of misaligned address in xlat_integer()

Such error:

src/main/xlat.c:206:38: runtime error: load of misaligned address 0x00010410ba72 for type 'uint32_t' (aka 'unsigned int'), which requires 4 byte alignment
0x00010410ba72: note: pointer points here
 00 00  00 20 39 38 37 3e 00 00  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  00 00 00 00 00 00
              ^
SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior src/main/xlat.c:206:38 in

Fix runtime LSAN/ASAN error in fr_in6addr_mask()

Such error:

src/lib/misc.c:1266:34: runtime error: load of misaligned address 0x00016f8b1d54 for type 'const uint64_t' (aka 'const unsigned long long'), which requires 8 byte alignment
0x00016f8b1d54: note: pointer points here
  e0 89 29 05 00 00 00 00  00 00 00 00 00 00 ff ff  cb 00 71 00 00 00 00 00  e0 89 29 05 01 00 00 00
              ^
SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior src/lib/misc.c:1266:34 in

Fix AddressSanitizer: odr-violation in 'radiusd_version'

That's why we are backing port the 'HIDDEN' macro.

Fix LSAN/ASAN memory-leak in lib/radius

Fix runtime LSAN/ASAN error in src/lib/dict.c

src/lib/dict.c:1365:9: runtime error: signed integer overflow: 429496729 * 10 cannot be represented in type 'int'

Fix runtime LSAN/ASAN error in src/main/conffile.c

src/main/conffile.c:1831:49: runtime error: applying zero offset to null pointer

radattr: Fix several memory-leaks reported by LSAN

juste use fr_hash() instead of hand-rolled hash from 2002

Backport m4/ax_cc.m4 from v4

Backport 'DIAG_UNKNOWN_PRAGMAS' macro from v4

Fix mismatched bound size in eapsim_checkmac()

Fix memory leak in client_add()

Such error when we run: radiusd -CX

Configuration appears to be OK
Allocated memory at time of report:
Current state of talloced memory:
full talloc report on 'null_context' (total   1057 bytes in   4 blocks)
    autofree_context               contains      1 bytes in   2 blocks (ref 0) 0x608000000400
        bool                           contains      1 bytes in   1 blocks (ref 0) 0x60b000044a90
    RADCLIENT_LIST                 contains   1056 bytes in   1 blocks (ref 0) 0x6190000032e0

=================================================================
==43730==ERROR: LeakSanitizer: detected memory leaks

Direct leak of 1152 byte(s) in 1 object(s) allocated from:
    #0 0x5603d1a170be in malloc (/__w/freeradius-server/freeradius-server/build/bin/local/radiusd+0x20b0be) (BuildId: acbe3a0941626cf6f01ae6b2c12df877fb8fc009)
    #1 0x7f2c07e40c86 in _talloc_zero (/lib/x86_64-linux-gnu/libtalloc.so.2+0x6c86) (BuildId: f3c1074a602981acb4683b4df6b7733b104ba7d4)
    #2 0x5603d1a62780 in client_list_init (/__w/freeradius-server/freeradius-server/build/bin/local/radiusd+0x256780) (BuildId: acbe3a0941626cf6f01ae6b2c12df877fb8fc009)
    #3 0x5603d1a62a4a in client_add (/__w/freeradius-server/freeradius-server/build/bin/local/radiusd+0x256a4a) (BuildId: acbe3a0941626cf6f01ae6b2c12df877fb8fc009)
    #4 0x5603d1a6b713 in client_list_parse_section (/__w/freeradius-server/freeradius-server/build/bin/local/radiusd+0x25f713) (BuildId: acbe3a0941626cf6f01ae6b2c12df877fb8fc009)
    #5 0x5603d1ae8532 in main_config_init (/__w/freeradius-server/freeradius-server/build/bin/local/radiusd+0x2dc532) (BuildId: acbe3a0941626cf6f01ae6b2c12df877fb8fc009)
    #6 0x5603d1b45bc4 in main (/__w/freeradius-server/freeradius-server/build/bin/local/radiusd+0x339bc4) (BuildId: acbe3a0941626cf6f01ae6b2c12df877fb8fc009)
    #7 0x7f2c07981082 in __libc_start_main (/lib/x86_64-linux-gnu/libc.so.6+0x24082) (BuildId: 1878e6b475720c7c51969e69ab2d276fae6d1dee)
    #8 0x5603d19924fd in _start (/__w/freeradius-server/freeradius-server/build/bin/local/radiusd+0x1864fd) (BuildId: acbe3a0941626cf6f01ae6b2c12df877fb8fc009)

SUMMARY: AddressSanitizer: 1152 byte(s) leaked in 1 allocation(s).

Fix heap-buffer-overflow in pap_auth_pbkdf2_parse()

==3061536==ERROR: AddressSanitizer: heap-buffer-overflow on address 0x6100000053f9 at pc 0x7f3eb4ff6bbe bp 0x7fff630b7770 sp 0x7fff630b7768
READ of size 1 at 0x6100000053f9 thread T0
    #0 0x7f3eb4ff6bbd in strlcpy /home/jpereira/Devel/FreeRADIUS/freeradius-server-v3.2.x.git-linux/src/lib/strlcpy.c:56:10

coa->home_server may be NULL.  Fixes #4929

It's not clear _why_ home_server==NULL.  Nothing resets it.
And it should only be NULL if the CoA packet is sent through a
virtual home server

Update dictionary.wifialliance (#4928)

Discovered HS20-Roaming-Consortium being mentioned here:
https://wiki.geant.org/pages/viewpage.action?pageId=133763844

Fix rlm_unbound build (#4927)

call proxy_send() for sending proxied packets

which works for all packet types, including TLS ones.

fix use of DIAG in macro

more fixes for talloc_autofree_context() deprecation

talloc_autofree_context() is deprecated in newer versions of talloc

note TLS 1.2 or smaller for EAP-FAST

Warn if libldap uses NSS.  Fixes #4918

Instead of letting things break, or have random crashes, give a big
warning on startup.

shift 32-bit words, not 8-bit words.

Manual port of cc49e17c80b6

add more DEBUG3

Update ciena dictionary

Document max_retries in ChangeLog

Define max_retries for pool connections (#4908)

Allows control over the number of times a connection operation can be
retried before the module call fails.

Previously this was always set to the number of connections in the pool
- so on a system with a large number of open connections, and a remote
server going slow, this would easily block threads.

Destroy MD context, causing leaks with OpenSSL >= 3.0 (#4899)

* rlm_pap: Destroy MD context, causing leaks with OpenSSL >= 3.0

* rlm_ippool: Destroy MD context, causing leaks with OpenSSL >= 3.0

* radius: Destroy MD context, causing leaks with OpenSSL >= 3.0

bump TLS buffer size to 64K.

Which should be enough for high-load connections.

And move the "used" field to the start of the record_t structure,
because most of the time we're only looking at the start of the
buffer.

Bump for 3.2.3

release 3.2.2

Remove broken Dockerfiles for centos8 and debian9 (#4901)

These distros are no longer supported.

Ensure service user has stable uid/gid between Docker distro versions (#4900)

Changing UID between image versions is deprecated because modern container
workflows involve automated image upgrade / rollback using the same mounted-in
volume (i.e. with persistent filesystem permissions).

md5 xlat: Destroy MD context, causing leaks with OpenSSL >= 3.0 (#4893)