Return to RE

Prep for release

ITS#10331

ITS#10331 Add helpful error messages for usage errors

ITS#10328

ITS#10328 librewrite: fix substitution cleanup

ITS#10327

ITS#10327 Allow lockless config_back_search() during server pause

The assumption is that the only reason it is allowed to run at this
point is that it is called from the reconfiguration context anyway.

ITS#10323

ITS#10323 Apply olcBkLloadStartTLS runtime changes directly

ITS#10320

ITS#10320 autogroup: mark internal searches

Avoid any other overlays munging autogroup's searches

ITS#9934

ITS#9934 slapd-config(5) add new TLS cert/key settings

ITS#10020

ITS#10020 slapo-dynlist(5) note static objectclasses can only be used once

ITS#10270

ITS#10270 slapo-pcache: negative cache entries are not loaded when pcachePersist is on

ITS#10270 slapo-pcache: queries with ttr/x-refresh are not loaded when pcachePersist is on

ITS#10270 slapo-pcache: ttr was not being applied to negatively cached entries

Add missing olcFrontendConfig to example

ITS#10309

ITS#10309 Check for strdup allocation failures

ITS#10279

ITS#10279 Let client notify when LDAP_DEBUG is disabled but -d specified

ITS#10307

ITS#10307 Initialise last if we use it later

ITS#10226

ITS#10226 - Fix ldap.conf(5) formatting issues

Return to release engineering

Prep for release 2.5.19

ITS#10272

ITS#10272 Request all attributes from remote

Fixes a regression introduced in fc1bcaf9ded9410cd825112be8db994163c06b04
leaving us unable to check the full filter after we recreate the entry.

ITS#10155

ITS#10155 manage option values more carefully

ITS#10264

ITS#10264 Free NoD data we stored locally

ITS#10232

ITS#10232 Reset cs_refreshing on config delete

ITS#10248

ITS#10248 Regression test script

ITS#10248 Always generate a result on the original op

ITS#10253

ITS#10253 Fix incompatible pointer type with GnuTLS

ITS#10233

ITS#10233 - fix idl intersection

The `mdb_idl_intersection()` and `wt_idl_intersection()` functions derived from back-bdb return wrong results.

expect:
[1, 3] ∩ [2] = []

actual:
[1, 3] ∩ [2] = [2]

also
- Add scope checking for back-wt
- fix compiler warning

ITS#10237

ITS#10237 back-ldap: fix usage of multi-precision add for op counters

ITS#10223 - fix function call

ITS#10231

ITS#10231 slapadd: check for NULL suffix in error message

ITS#10227

ITS#10227 Asyncmeta will not reset a connection if a bind operation fails with LDAP_OTHER, leaving the connection in invalid state

ITS#10219

ITS#10219 Modify of olcDisabled by removing and adding a value invokes db_open twice

Do not invoke db_open if the database is not actually disabled

ITS#9827

ITS#9827 - Use 7MB memory/5 iterations as default

This has the same protections as 19MB/2 iterations, but requires less system memory

ITS#9827 update Argon2 defaults

- switch to argon2id by default (from argon2i)
- use OWASP recommended parameters as defaults

This only affects builds that use libargon2, e.g. Debian, and
not builds that use libsodium as argon2id is already the
default there, and better parameters are used

References: https://bugs.openldap.org/show_bug.cgi?id=9827
Signed-off-by: François Kooman <fkooman@tuxed.net>

ITS#10224

ITS#10224 libldap: check for OpenSSL EVP_Digest* failure

ITS#10223

ITS#10223 libldap: check for OpenSSL SSL_CTX_set_ciphersuites failure

ITS#10221

ITS#10221 - Regenerate configure

ITS#10221 - Remove extraneous quote

Return to release engineering

Prep for release (2.5.18)

Merge remote-tracking branch 'origin/mdb.RE/0.9' into OPENLDAP_REL_ENG_2_5

Prep for release

ITS#10216

ITS#10216 libldap: fix OpenSSL channel binding digest

The OBJ_find_ API is undocumented but this is what OpenSSL libcrypto does itself.

ITS#10209

ITS#10209 libldap: only use OPENSSL_INIT_NO_ATEXIT if it's defined

Fake OpenSSL clones like LibreSSL don't support it.

In general we will make no effort to support fake OpenSSL clones.

ITS#10214

ITS#10214 - regenerate configure

ITS#10214 Reduce library dependencies

Currently, slapd links libsystemd to notify service state to systemd.
However, libsystemd link several unnecessary libraries, which increases security risks.
The systemd documentation provides a method to send state notifications to systemd using a simple protocol without the need to link against libsystemd.

https://www.freedesktop.org/software/systemd/man/devel/sd_notify.html

ITS#9921

ITS#9921 fix vlvResult comment

Merge remote-tracking branch 'origin/mdb.RE/0.9' into OPENLDAP_REL_ENG_2_5

ITS#10212

ITS#10198

ITS#10208

ITS#10084 Switch MECH default away from DIGEST-MD5

ITS#10211

ITS#10211 slapd: Fix peercred uid and gid format

uid and gid are unsigned int and so should be formatted as such when
creating the authid string.

ITS#10206

ITS#10206 Include <kadm5/private.h> for kadm5_s_init_with_password_ctx

ITS#10212 LMDB: better fix

ITS#10212 LMDB: init txnid for read-only DBs

ITS#10198 Win32 mdb_strerror - stop passing "ignored" parameter

The M$ docs say the parameter is ignored, but it actually isn't,
and will cause a SEGV if the pointed memory isn't an init'd va_list.

Happy New Year!

ITS#10186

ITS#10186 overlay response callbacks should ignore op->o_abandon

ITS#10044

ITS#10044 dynlist: check for abandon in search2resp

ITS#10177

ITS#10177 fix back-perl build for clang15 or later

Remove problematic and unnecessary compile flags.

ITS#9952

ITS#9952 TLS/OpenSSL: disable use of atexit()

This will only have any effect if libldap is the first caller to
initialize OpenSSL, but that should be all that matters when libldap
is part of a dynmically loaded module. It prevents the crash in the
example cases given.

Revert "ITS#9952 libldap: use atexit for TLS teardown"

This reverts commit 337455eb3a66176cc3f66d2c663a72cc7b4178bd.
The change was non-portable, caused ITS#10176. OpenSSL 3 is
broken and should be fixed.