sys: move getpwnam() call to main.c

Pass uid/gid instead of user name to the root dropping function.

util: add mode, uid, gid parameters to UTI_CreateDirAndParents()

util: don't try to create current directory

This prevents error messages when running chronyd -d/-q/-Q with default
logdir in a directory chronyd is not allowed do access after dropping
the root privileges.

move mkdirpp code to util.c

client: check if memory allocation fails

client: add logging function to allow linking with memory.o

doc: update FAQ

sys: add drift removal to Mac OS X driver

The darwin kernel implementation of adjtime() does not require the
adjustment to be aligned to a tickadj boundary, and we can apply
adjustments to the nearest microsecond. Rounding is accounted for by
adding any rounding errors back into the offset.

cmdmon: listen on Unix domain socket

In addition to the IPv4/IPv6 command sockets, create also a Unix domain
socket to process cmdmon requests. For now, there is no difference for
authorized commands, packets from all sockets need to be authenticated.

The default path of the socket is /var/run/chrony/chronyd.sock. It can
be configured with the bindcmdaddress directive with an address starting
with /.

clientlog: refactor CLG_Log*Access functions a bit

clientlog: allow unspecified address in CLG_Log*Access functions

util: add function to get sockaddr family name

client: handle signals

Add a signal handler and rework the code to go through close_io() even
when terminated by a signal. This will allow chronyc to remove Unix
domain sockets on exit.

util: use sigaction() to set signal handler

main: move signal handler setting to util.c

cmdmon: add debug messages for receiving/sending packets

util: remove INLINE_UTILITIES support

remove getdate.c from repository

Building from repository now requires installed bison, but released
tarballs will still include a generated getdate.c.

include config.h in all compiled files

After running configure script (new config.h written), all objects
should be recompiled.

sys: add new log message for kernel status reset after leap second

When a leap second is applied by the kernel, it doesn't actually clear
the STA_INS|STA_DEL bits from the status word, but the state returned
by ntp_adjtime()/adjtimex() is TIME_WAIT until the application clears
the bits.

Add "System clock status reset after leap second" log message for this
case.

util: fix rounding of negative numbers in UTI_DoubleToTimeval()

util: fix UTI_Log2ToDouble() for maximum/minimum exponent

configure: replace echo -n with printf

POSIX doesn't require echo to support -n.

make_release: don't package chrony.txt

makefile: install chrony.txt in install-doc only

Don't install chrony.txt in make install to avoid dependency on makeinfo
since chrony.texi is prepared by configure to set the default paths in
the documentation.

makefile: don't install COPYING and README

doc: update NEWS

sys: fix clock stepping by integer number of seconds on Linux

The kernel requires in the ADJ_SETOFFSET | ADJ_NANO mode that the
timex.time.tv_usec value is smaller than 10^9 nanosecond, which wasn't
the case with a negative integer offset (e.g. inserted leap second).

doc: update NEWS

ntp: use specific reference ID when smoothing served time

Set refid in server/broadcast packets to 127.127.1.255 when a time
smoothing offset is applied to the timestamps. This allows the clients
and administrators to detect that the server is not serving its best
estimate of the true time.

ntp: remove unnecessary casting

reference: move definition of special refids to ntp.h

test: require latest clknetsim

doc: update leapsecmode and smoothtime descriptions

doc: add Mac OS X to supported platforms

update copyright years

doc: refer to authhash command in password command description

doc: convert FAQ to AsciiDoc and update it

It's now in a separate file again.

sys: MacOS X driver ported from NetBSD

ntp: add debug message to print number of resolved addresses

update NEWS

cmdmon: reply with STT_INVALID on invalid option in handle_manual()

makefile: warn when Makefile needs to be regenerated

sources: remove unused code in SRC_SelectSource()

client: add smoothtime command

cmdmon: add smoothtime command

This adds a command to reset or activate the time smoothing process.

client: add smoothing command

cmdmon: add smoothing command

This adds a new request to get a current report on time smoothing.

smooth: fix resetting

cmdmon: use SCH_GetLastEventTime() to get current time

It's cheaper and accurate enough.

sched: detect timeout overflow in SCH_AddTimeoutByDelay()

Abort when the system time gets so close to the end of 32-bit time_t
that timeouts added by delay start to overflow. This is an addition to
the loop detector in dispatch_timeouts().

array: allow arrays larger than 4 GB

It's not expected we will work with such large arrays anytime soon, but
better be safe than sorry.

Also, limit the number of elements to 2^31-1 to prevent infinite loop in
the calculation of allocated elements.

test: add 202-prefer

test: add option to override generated server directives on client

sources: fix marking of non-preferred selectable sources

When reducing the list of selectable sources to sources with the prefer
option, sources before the first preferred source were left with the
SRC_OK status, which triggered an assertion failure in the next
selection.

smooth: add option to smooth out only leap seconds

The leaponly option can be used to enable a mode where only leap seconds
are smoothed out and normal offset/frequency changes are ignored. This
is useful to make the interval in which a leap second is smoothed out
constant and allow an NTP client to use multiple leap smearing servers
safely.

cmdmon: replace definitions of empty requests with null request

cmdmon: set only non-success status in command handling functions

cmdmon: refactor allow/deny functions

ntp: include message precision in peer dispersion

util: add UTI_Log2ToDouble()

util: handle NaN in UTI_FloatHostToNetwork()

client: handle empty hostname before slash in allow/deny commands

doc: remove chrony(1) man page

It's a copy of README, chrony(1) is not a program itself.

ntp: increase minimum replacement interval to 30 minutes

ntp: replace non-pool sources when unreachable or falsetickers

Sources that are not specified as a pool and have a name (i.e. not
specified by an IP address or added from chronyc) will be replaced with
a newly resolved address of the name when they become unreachable or
falseticker too.

ntp: add sources specified by IP directly without name resolving

ntp: improve alignment of columns in banner for measurements log

doc: update NEWS

doc: update chrony description

doc: document when smoothtime function is activated

sys: fix TMX_ResetOffset() to set status back correctly

reference: use 2012 leap second in leapsectz test

sources: ignore reselect distance when combining with refclock

use return to exit from main function

client: improve usage line

main: print usage with -h option

ntp: don't log error when socket() fails for client only socket

doc: don't mention ancient systems

Also, don't try to track working versions of supported systems, assume
current versions are ok.

update copyright years

doc: warn that unauthenticated peers are vulnerable to DoS attack

sys: clamp frequency set in generic driver on exit

util: don't allow time too close to 32-bit time_t overflow

In UTI_IsTimeOffsetSane() consider time in one year interval before
32-bit time_t overflow (in 2038) as invalid. Hopefully everything will
be using 64-bit time_t when that time comes.

doc: fix CVE-ID in NEWS

CVE-2015-1853 is for chrony, CVE-2015-1799 is for ntp.

doc: update NEWS

Merge branch '1.31-security'

Conflicts:
NEWS
ntp_core.c

sys: allow drivers to fail when applying step offset

Different systems may consider different time values to be valid.
Don't exit on settimeofday()/adjtimex() error in case the check in
UTI_IsTimeOffsetSane() isn't restrictive enough.

refclock: check offset sanity

manual: check offset sanity

local: check offset sanity before accumulation

Don't accept an offset that points to time before 1970 or outside the
interval to which is mapped NTP time.

local: clamp frequency offset

Don't allow frequency offset larger than 50%, the tracked time must not
stop or run backwards.

cmdmon: fix handling of client access command

Rework the loop to limit the number of iterations to MAX_CLIENT_ACCESSES
and not waste CPU.

ntp: set maximum allowed polling interval

To have an upper bound don't allow polling interval be larger than 24
(194 days).

doc: document smoothtime directive

doc: update NEWS

cmdmon: fix initialization of allocated reply slots

When allocating memory to save unacknowledged replies to authenticated
command requests, the last "next" pointer was not initialized to NULL.
When all allocated reply slots were used, the next reply could be
written to an invalid memory instead of allocating a new slot for it.

An attacker that has the command key and is allowed to access cmdmon
(only localhost is allowed by default) could exploit this to crash
chronyd or possibly execute arbitrary code with the privileges of the
chronyd process.

addrfilt: fix access configuration with subnet size indivisible by 4

When NTP or cmdmon access was configured (from chrony.conf or via
authenticated cmdmon) with a subnet size that is indivisible by 4 and
an address that has nonzero bits in the 4-bit subnet remainder (e.g.
192.168.15.0/22 or f000::/3), the new setting was written to an
incorrect location, possibly outside the allocated array.

An attacker that has the command key and is allowed to access cmdmon
(only localhost is allowed by default) could exploit this to crash
chronyd or possibly execute arbitrary code with the privileges of the
chronyd process.

test: extend 113-leapsecond for leap smear

ntp: smear leap second with slewing mode and smoothing

Suppress leap second in packets sent to clients when smoothing and leap
second slew mode are enabled.

test: add 119-smoothtime