timezone: disallow directory traversal

Don't allow a timezone definition to go outside of it's directory

Reported by Hu Xinyao and NVIDIA Project Vanessa

privsep: Simplify readerror

And while here fix reading large DHCPv6 leases as well as exiting on stream error.

privsep: Remove PS_BUFLEN

We always send a header with the expected lengths.
So use malloced buffers to send and receive using this
knowledge.

script: Use correct buffer length variable (#641)

Final call to the control queue used the wrong 'buflen'
variable. Change so the function stays consistent.

Signed-off-by: Cezar Craciunoiu <cezar@unikraft.io>

sun: Enable building for privsep

privsep has never worked on Sun.
To be fair, it's not any better because all processes
run as root, outside a chroot and without limits.

So why do this?

So we can eventually remove all non privsep code from dhcpcd, to
reduce complexity and provide a more secure platform for other OS.

privsep: Don't open PF_INET socket for each ioctl

Because we already have it open ....

BPF: fix libpcap compile

DHCP6: guard against an interface delegated too disappearing

This is very unlikely in the real world because you don't
delegate to interfaces which are removable.
In my testing the guard is not needed as things are cleaned up
correctly but this guard still helps to make sure.

options: Remove some const to fix compile warnings

I mean we do modify the data...

privsep: guard setproctitle and only use compat on linux

privsep: avoid a compile warning on systems without setproctitle

DHCP: Don't add a trailing : on vendor if no machine arch

DHCP: Don't really expire the lease when testing

privsep: Add ps_root_gethostname

For those OS who need it in a chroot.

privsep: Always seed arc4random

Some libc implementations will cache what random resource it
needs.
For those that don't .... good luck!

if: if_init inits the interface from the kernel

if_init_os inits the OS from the interface

privsep: Test defines for all ioctls

route: Use HAVE_RT_MISSFILTER rather than a generic BSD define

time.h always pulls in struct timespec

script: add ifxname as the escaped string

$interface is used for creating files.
$ifxname is used to reference the interace directly.

This is an important distinction for OS who can put
path separators or invalid path characters into the
interface name.

privsep: smaller buffer size without INET6

dhcp-common: Escape ifname for lease file

It's possible a characters allowed in an interface name
aren't shell or human readable on some OS.

While here, fix some formatting issues and ensure all PR's are formatted correctly.

privsep: Don't abort if we don't need a fdwaiter

dhcpcd: Don't add a link_fd if we don't have one.

route: Rework rt structure so sockaddrs are pointers (#621)

For each sockaddr, put a sockaddr_storage in the rt and
reference it.
This removes the need of a union and the macro dance
around it.

compat: Add support for getprogname(3)

Removes all inlined variations into a common single one.
Only supports Linux (which is all we did anyway), but now adds detection for program_invocation_short_name in libc and will use that OR package name.
All Linux libc should support this.

script: Don't assume AF_PACKET of if not AF_LINK

BPF: Improve headers

eloop: mark eloop as UNUSED for waitfd and ppoll

Adapt codebase for new pidfile

pidfile: Import latest from NetBSD

Features improved chroot and sandbox support.

eloop: set errno = EBADF rather than calling close if waitfd == -1

This avoids valgrind complaining.

Darwin: Add initial support for macOS (#613)

Apple route(4) has some limitations as does getifaddrs(3).
Basically there is no means of being notified of carrier state
because Apple only reports this via media state which is an ioctl.

The good news is that we can build macOS on github so we
can get some BSD traceability at least.

Fixes #524

eloop: fix USE_PPOLL define

privsep: Adapt to new eloop_waitfd()

eloop: Add eloop_openfdwaiter() and eloop_closefdwaiter()

Use kqueue or epoll for eloop_waitfd().
This requires opening a new kqueue or epoll to handle this as
this is a one shot event we don't want to touch the eloop events.

This works with RLIMIT_NOFILE = 0.

DHCP6: Delete the eloop event before closing an ia listener socket

This only happens when dhcpcd is running on a specific interface
and can trigger erroneous logs deleting the socket from
kqueue/epoll.
With the prior eloop it could also trigger ia events from a
non related fd if re-used.

Hopefully fixes #596.

eloop: always remove event from list on delete

Event if kevent or epoll return an error from the operation.
We still return the error so the caller can log a diagnostic.

Thanks to Graham Northup for the hint.
May help with #596.

Merge pull request #610 from NetworkConfiguration/esc_ifname

hooks: Escape interface names and use printf

hooks: Escape interface names and use printf

In the Hurd, interface names can include invalid characters like `/`.
So those must be escaped.

Merge pull request #607 from NetworkConfiguration/bpf

BPF: Split OS specific code out into own files and add libpcap support

BPF: Correct libpcap warning

BPF: Add a DLPI interface

This works alongside the BSD interface.
We use the BSD interface for receiving and the DLPI interface
for sending.

BPF: Test for pcap_set_immediate_mode()

BPF: harden libpcap on BSD

It's unlikely that pcap_setwritefilter() and pcap_lockfilter()
will make it into a release, so harden a pcap without these ourself
for the time being.

BPF: Use pcap_setwritefilter() and pcap_lockfilter()

If available.
Upstream PR: https://github.com/the-tcpdump-group/libpcap/pull/1683

BPF: Address review comments

BPF: Add support for libpcap

This makes it easier to support OS's where we don't have kernel
support for any BPF ourselves, such as GNU/Hurd.

BPF: Fixup comment to indicate this could be used outside of dhcpcd

BPF: Simplify by splitting OS specifics into own files

privsep: Change IPC to use SOCK_STREAM (#604)

macOS does not support SOCK_SEQPACKET.

All our messages use a fixed header which includes the
lengths of all parts sent.
We can use these limits with MSG_WAITALL on blocking sockets
in place of MSG_EOR to get the same effect.

Start of the work for #524.

format: Ensure <netinet/icmp6.h> comes before <netinet/in.h>

eloop: Bring in updated from dhcpsd

* Initial Darwin/macOS support
* Close epoll fd on fork
* Use poll as ppoll may not be available when waiting for a fd

Format code with clang-format v19 (#601)

Using a template taken from FreeBSD
Add a github action to enforce this

Add missing SPDX-License tags (#591)

* Add missing SPDX-License tags

If copyright block is present, add missing SPDX-License tag

If copyright block is not present, add one. Use BSD-3-Clause and infer author list from git blame.

Resolves #570

* Ensure all non-copyrighted files are BSD-2

Overall project is BSD-2, not 3, so ensure any new license header was BSD-2.

General formatting cleanup.

* Update md5.h to put SPDX copyright in correct place

Brain fart, I put it right before the line containing "copyright" but that was in the middle of a sentence.

Release dhcpcd-10.3.2

DHCP: free the state when dropping on state NONE

Fixes an issue when dhcpcd tries to release when the carrier
is down.

Fixes #560

DHCP: Don't run double EXPIRE hooks on carrier loss

Fixes #587.

Release dhcpcd-10.3.1

Fix guards for prior

BSD: don't send uninitialised memory using ps_root_indirectioctl

This will affect FreeBSD and OpenBSD.
Use sendmsg to send the length of the interface name, then the
interface name and then the data rather than just sending
IFNAMSIZ which may have uninitialised bytes at the end.

Opimise ps_sendcmdmsg while here.
Hopefully helps #565 but I'm not hopeful.

manager: Fix loosing iface options on CARRIER

When an interface (re-)gains carrier dhcpcd_handlecarrier() runs
dhcpcd_initstate() to kick off profile re-selection. Previously this used
args originally passed when starting the manager (ctx->argv).

However interfaces started via the manager control
interface (dhcpcd_initstate1() in dhcpcd_handleargs()) may be started with
different args.

For example if we start a manager with

    dhcpcd -M --inactive

and then start only IPv4 on an interface with

    dhcpcd -4 iface0

a subsequent CARRIER event will reset the interface to what amounts to
"default config + `-M --inactive`" which in this case will enable ipv6
also!

To fix this we keep a copy of the arguments used to start an interface in
the manager (dhcpcd_handleargs()) code path around around (ifp->argv).

In the current implementation args passed for renew following the initial
interface start will not be persisted. This causes the interface to reset
to a state of "defaults + config + profile + start-cmdline".

For example (continuing the scenario above) after enabling ipv6 with -n:

    $ dhcpcd -6 -n iface0

A subsequent CARRIER event will disable ipv6 again as the effective
arguments remain `-4 iface0` as passed during interface start.

Note the per-interface daemon code path wasn't affected as ctx->args
already contains the interface start args.

ntp: Build new_ntp_servers without superfluous spaces

Fixes #582.

route: fix a bogus uninitialised check from clang

ipv6nd: empty IPV6RA_EXPIRE eloop queue when dropping

Fixes #584

Helps #566

DHCP: Add parentheses to macro definitions

Missing parentheses in IP_UDP_SIZE caused wrong computation of MSZ
(option57). When mtu is 1500, current MSZ value is 1488=1500-20+8, while
the correct value should be 1472=1500-(20+8).

Also added parentheses for BOOTP_MIN_MTU.

privsep: Ensure we recv for real after a successful recv MSG_PEEK

* privsep: Ensure we recv for real after a successful recv MSG_PEEK

Adjust the code flow so that the same errors would be caught
after the final recv.
This ensures we read what is really meant for us and not
something silly.

Return EBADMSG on recvmsg len mismatch.

common: Cast via uintptr_t rather than unsigned long in UNCONST (#581)

On ILP32 and LP64 systems, unsigned long is sufficient to round-trip
pointers, but on LLP64 systems it is too small, and on systems like
CHERI where pointers are capabilities, it does not propagate capability
metadata, and casting back to a pointer to yield a pointer that cannot
be dereferenced.

Instead, cast via uintptr_t to ensure we always use an integral type
that can losslessly round-trip pointers.

options: Don't assume vsio options have an argument (#578)

* options: Don't assume vsio options have an argument

Should fix #577.

options: Ensure that an overly long bitflag string does not crash (#576)

Fixes #573.

route: Routes may not have an interface assinged (#572)

As such, we cannot access dhcpcd_ctx so we can't use the free
route list.
Fixes #571.

options: Ensure ldop is not NULL dereferenced (#568)

ldop itself cannot be non NULL as it points to the location.
but *ldop CAN be NULL.

Fixes #567.

IPv4: Ignore DHCP state when building routes (#557)

* IPv4: Ignore DHCP state when building routes

As this will change periodically.
We only care if the state (address) has been added.

Fixes #440 thanks to JognSmit.

Fix fallback_time option (#562)

Fallback time option was updating request_time instead of fallback_time.

Resolves #561

DHCP6: Don't restart INFORM timers on subsequent failure.

Release dhcpcd-10.3.0

eloop: remove epoll_pwait2 support

It's just not there on musl, detecting it at compile time
is hit and miss on glibc due to mismatched kernel headers.

eloop: Simplify ppoll a little

install queue.h

eloop: Work with fortified compilers

Adapt to new eloop.

eloop: Replace the inner eloop concept with waitfd

This is what we really want and saves the massive headache of
managing two loops.

BSD: Reject routes are not cloned/connected routes

Likewise, if we change from a reject to a non reject route
we need to remove it rather than changing it as some BSD
kernels preserve the RTF_GATEWAY flag.

script: STOP should not set if_down=true

eloop: formatting

Protocols will notify when dhcpcd can exit (#536)

* Protocols will notify when dhcpcd can exit

DHCPv6 RELEASE requires the addresses to be dropped before
a RELEASE message is sent.
We now wait for an acknowledgement or a timeout before notifying
that DHCPv6 has stopped for the interface.

DHCPv4 RELEASE is the other way around, there is no acknowledgement.
So we wait for 1 second after sending the message before removing
the address and notifying DHCP has stopped for the interface.

If we are not releasing then we notify dhcpcd that the protocol has
stopped right away when we drop the lease.

dhcpcd will exit once there are no running protocols for the
interfaces.

Fixes #513.
Hopefully #535, #519 and #509 as well.

Co-authored-by: Sime Zupanovic (EXT) <sime.zupanovic.ext@ericsson.com>

eloop: Try and fix clean compile on all BSD

eloop: Fix epoll for prior

eloop: Simplify kqueue implementation

Easier to read, reduces binary size at a small cost of
more kevents when forking and keeping fd's which
is acceptable.

dhcpcd: log error on eloop_signal_set_cb failure

privsep: we might not have a root process

eloop: Fix kqueue on FreeBSD

compat: Fix sha256 on Dragonfly at least

eloop: exit all eloops when stopping on signals

eloop: for kqueue and epoll, grow the receiving event list as needed.

privsep: Drain the log when the root process is exiting

So we stand a better chance of printing the exit messages.

eloop: total events to listen to is nfds, not nevents

Only important for kqueue when there are only signals and timeouts
in play.

NetBSD: Delete RTF_CONNECTED route when changing it.

We need to flush anything dynamically created.

Fix compile on Alpine linux

Fix eloop test