Scheduled fuzzing: Update src/tests/fuzzer-corpus/dhcpv6.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/dns.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/radius.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/bfd.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/dhcpv4.tar

make output look more like gdb

handle magic OOM values. CID #1676084

get DSYM for local libs, too

clean up OSX and DSYMUTIL rules so that they work

for now, we just define "DSYMTUL=touch" on platforms which don't
have it.  There isn't enough time right now to fight with GNU make
and inline "if" checks in evaluated rules

run macro, not binary name

fix typo

add missing dependency

so that the library builds

create the soft link which we need

"VERBOSE=1 make" does NOT mean "give us thousands of lines of garbage"

We want to see the commands that "make" is running.  We do NOT want
to see thousands of lines of the same output from jlibtool about
its build flags.

this should be static

Revert "unstall libunwind-dev for the fuzzers"

This reverts commit c62e5faa586edc0e0d70ace6ea0a02ed469e3766.

this doesn't work.  We should be using libbacktrace instead.

disable encoder tests again

they're still showing random failures in CI.  It's difficult to
track down the issues when CI stubbornly refuses to show useful
stack traces, and we can't reproduce the issues locally.

add macro to verify list with ctx

verify the destination pair, not just its children

the change allows the children to be verified for their talloc
ctx, too

remove old comment

ensure that the value-box type matches the DA type

return negative on error

treq may be NULL

if the retry timer hits before the worker thread decides that the
request is runnable again

Revert "cancel retries on failure"

This reverts commit 07d2b3c44030462f4ff3d28522e95ed169061848.

Nope.  the frame->retry is only for the "retry" keyword.
module.c and xlat.c do their own retries, and allocate their own
timers.

don't mangle type to octets if the DA is already unknown

"decode 0 extra bytes" is valid

e.g. integers which have value <24, or zero-length octets

do more cleanups on error

not hugely important, but useful

cancel retries on failure

add API to cancel any pending retry

initialize variables

free any retry handler if the frame is cancelled

Missing brackets around assignment

If the submodule failed to load, we'd SEGV

limit decode depth, as is done with the other protocols

"encode no data" is allowed

don't complain about "-sql" when the module isn't defined

this cleans up the debug output and makes it easier to read.

docs-v4: REorg the tutorials sections and add landing pages for each subsection. HIVE 4114

verify the list before returning it to the caller

Revert "disable encoder until we can track down a fuzzer issue"

This reverts commit fc7c2a07bc6910b4aba4b556181100bbcd00e15e.

unstall libunwind-dev for the fuzzers

only update LDFLAGS if the configure checks pass

remove unused file

disable encoder until we can track down a fuzzer issue

it's preventing the pair_legacy changes from being merged

Rewrite fr_pair_list_afrom_substr()

and update tests to match.

It now properly handles aliases, groups, etc.  The parsing has
been significantly re-worked.  All of the old-style strings should
still be allowed, except for ones which had never made sense.

And since aliases, groups, etc. are now handled properly, the
fr_pair_t parenting is also correct.  So we can start enabling the
checks on parenting.

Which should help us remove the last vestiges of "flat" attributes

Scheduled fuzzing: Update src/tests/fuzzer-corpus/util.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/tftp.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/vmps.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/tacacs.tar

move WiMAX examples to the WiMAX module.

WiMAX is largely dead, so it does not need to appear in the default
configuration.

enable encoder in fuzzers

now that we've fixed many (most?) issues with the code, we can
start to automatically test the encoders.

Instead of having a separate fuzzer test for the encoders, we just
use the fuzzer input to decode attributes, and then call the encoder
with the attributes we just found.  This should be a reasonable
test of all kinds of odd behavior

manually switch to local / openssl versions of MD4 and MD5.

The fuzzer doesn't call all of the OpenSSL initialization functions,
so if it calls any MD5 routines in RADIUS, it crashes.  If we try to
call fr_openssl_fips_mode(), we need to link to libfreeradius-tls,
libfreeradius-server, libfreeradius-unlang, and then call
fr_openssl_init(), which does a ton of other things.

The solution is to manually swap the functions to their local
versions, OR the OpenSSL versions.  This is done in fr_openssl_init()
and in fr_openssl_free().  And for good measure, in then also in
fr_openssl_fips_mode().

The previous code could boot with FIPS disabled, set the MD5
pointers, and then at some later point FIPS would be disabled.
The MD5 pointers wouldn't be updated, and bad things could happen.

That case deosn't happen now, because the current code only changes
the FIPs status once at boot.  But it's better to fix the APIs to
be more correct.

return the expected value

not the incorrect value we found from the network data

update fr_pair_verify() with argument to verify the values

so that we can check more often for invalid values.  The default
is "true" for the PAIR_VERIFY() and REQUEST_VERIFY() macros.

Update the various parsers to pass "false" if they add a VP to a
list before setting the value.  This lets the tests continue to
pass, but also ensures that at normal run-time, we do the full
checks.

string / octets can have length=0 and no pointer

in which case there isn't a need for the actual data.  The printing
and encoding routines already ignore the pointer when length=i=0

But we may want to re-visit that decision.

Also add a commented-out assertion that the pointer is NULL when
length==0.  This could perhaps be relaxed to check that the pointer
points to a NUL byte (string), or is a zero-length memory region
(octets)

add checks that attribute numbers are OK

otherwise bad things might happen during encoding

For now, not assertions. Because CI is insistent that line numbers
don't exist.

and set the internal flag appropriately for internal attributes

docs-v4: Reorganize the Howto/Upgrade section into smaller pages (HIVE-4049)

allow raw attributes in structs

but enforce that the length is correct, so that the parent struct
is not malformed.

Only encode a struct member once, even if the admin specifies it
multiple times.

update tests to match

allow bare oids only if a new flag is set

the code also sets that flag when the "raw" prefix is used.

The tests are updated for this new syntax.

Adding a flag is useful not just for "raw", but also for protocols
wuch as DER or SNMP which might want to always allow numerical OID
strings.

we know how big IP addresses are in DNS

don't create "raw" attributes with invalid numbers

they should be limited by the protocol type_size.

Update cbor tests to match.

TLVs can have STRUCTs for parents, too.

and convert assertion to run-time check.  Because the fuzzers don't
produce helpful stack traces.

ensure that CUI has a value.

fix assertion to be correct

return error instead of zero on decode error

don't do -O2 for fuzzers

hopefully this gives us stack traces instead of hex pointers

Look for Message-Authenticator in the correct list

This check is for Message-Authenticator in the reply from a home server
- so look in the list the response has been decoded into.

hoist checks for attribute size to next_encodable

so that we don't hit assertions with unknown attributes.  The
longer term fix is to allow raw attributes under VSAs, even if
they do break the hierarchy.

Also update the encoder so that when it switches over types, the
"default" case is the error one.  This ensures that the functions
only get called with data types that they support.

catch more corner cases

update attribute references

add Homebrew / OSX magic for fuzzer builds

typo

remove old file which doesn't work

CID 1675662

CID 1675661

clean up unknown attributes

print union + child if the child is raw

update the struct encoder/decoder to create raw UNION members
as children of the union, instead of as children of the struct

add and use dict_attr_unknown_init(), which unifies the creation
and checking of unknown attributes.  So that we can enforce
common rules and restrictions.

add more "\n"

attribute names cannot be solely numerical

clean up set type and length

so that it's done in the dict_attr_parent_init() function

no need to check the number when parsing the OID

we just look it up in the dictionary.  If it's not found, then we
return a "not found" error.

There's no need to return a more descriptive error.

remove last vestiges of "keys can have children"

move "set type_size and length" to separate function

and fix its logic so that it's correct for all protocols, and for
the different kinds of VSAs we have in RADIUS.

Previously, if anyone had defined USR VSAs inside of the
Extended-Vendor-Specific-Attribute space, they would have been
encoded in the USR TLV format, and not the standard RADIUS 1/1
format.

While RFC 8044 allows for "vsa" to have any format, it also recommends
that they use the "tlv" format.

RFC 8044 doesn't recommend that the "evs" data type use the "tlv"
format, but it should.  If vendors use different formats for
attributes under the "evs" data type, then we will need to extend
the dictionary parser to allow attributes of type 'vendor' to
specify their own data type and length.

set the default type size for a dictionary

from the protocol library which we loaded.

VSA type size depends on the VENDOR type size, but only for RADIUS

the other protocols are a bit better here.

enforce correct mapping between protocol name and number

This is necessary because we want to have some protocol-specific
behavior in the core.  It doesn't make sense to allow the
administrator to change protocol numbers.

fr_dict_attr_unknown_afrom_da() can return NULL

fix: Corrected the return values for when a default value is used when parsing configs. (#5691)

Signed-off-by: ethan-thompson <ethan.thompson@networkradius.com>

add a "pair-compare" function

which allows for comparison operators

cache the root protocol dictionary, and the internal dictionary

when parsing strings, so that we can swap back and forth between
internal dictionaries, and protocol ones

handle the case of internal attributes in protocol structures

do not allow leaf types to be in the middle of an OID string

specifically, key fields.  But the parser actually allowed
anything to be used.  The results were accidental, and therefore
wrong.

Update map-xlat-struct input to match.  The test actually doesn't
use the input Client-ID, so the value doesn't matter.  But the
old input relied on assigning hex values to attributes of type
"group".

And when updated to use UUID inputs, the resulting output created
attributes with incorrect parentage.  The issue seems to be the
DHCPv6 protocol decoder (or more likely the struct decoder).  But
for now, we avoid the problem and move on.

i.e. input

Client-ID.UUID.Value = 0xabcdef

gives output

Debug :     Client-ID {
Debug :       Value.UUID {
Debug :         Value = 0xabcdef
Debug :       }
Debug :     }

which is wrong.  This output shows that the UUID pair is being
created as a child of Client-ID.  Instead, there should be an
intermediate Value created, and then the UUID should be a child
of that.

remove "key as structural element" from tests

it's OK to not be given an attribute

just load all of the dictionaries, and then exit.

expose API to create one unknown attribute from a numbered OID

make the error a little but clearer

add and use FR_DBUFF_ERROR_OFFSET

so that we don't have int64 underflow when subtracting offsets
from error slen

arguably we should instead have an error pointer like is done in
the sbuffs, and with fr_sbuff_error()

use fr_dbuff_used()

update comment

check limits on the data.

to catch the corner case of the encoder returning unrealistic
amounts of data

tweak output to be a bit clearer

Include Genexis DHCPv4 dictionary

export fr_dict_attr_unknown_alloc()

and limit the types of unknown attributes which can be created