move Interpreter to top

Missed out init in test_bstrncpy() (CID #1504057) (#5127)

redisGetReply doesn't nullify the reply pointer when there's no reply...

redis: Expose read only toggle

redis: Don't prefix function loading with "read only"

Help coverity recognize the range check (CID #1503921) (#5125)

The code checks that offset is in [12, start - packet), and
coverity recognizes the lower bound check as constraining
offset, but doesn't recognze the upper bound check, hence the
TAINTED_SCALAR defect. We rewrite the check in an equivalent
form with offset by itself on one side of the relational
operator.

Enclose explicit loop case of fr_memset_secure() in block (#5126)

Done because of the initial if statement, which makes the
explicit loop declaratons not be at the start of a block.

Keep too-long lines from overwriting output_buffer (#5093)

This came up because of CID #1533664, but almost certainly won't
placate coverity. It just makes sure that it won't ask for more
than will fit in output_buff, at the extremely rare cost of not
printing all of the remaining part of the line.

add and use fr_memset_secure()

we will update the configure scripts later

Revert "securely wipe secret information in pairs"

This reverts commit d8ddfd4a1df33cfa21b942b20ce53af263b93c52.

nope.  Various Linux distributions don't have it.

securely wipe secret information in pairs

Check fr_sbuff_in_bstrncpy() in generate_from_header() (CID #1503908) (#5107)

Initialize sbuff_tests output buffers for now (#5098)

CID #1503912, #1503930, #1503945, #1503930, #1503945

This should quiet coverity while we figure out why the
sbuff function models don't communicate to coverity that
on success, they really do write to the output sbuff.

Check sbuff returns in header_source() (CIDs #150424, #150280) (#5116)

It's seriously unlikely, since conf_buffer can use all the
memory there is, but in theory the generation of the SMTP header
*could* fail, and that's enough to make coverity kvetch.

Make clear to fr_radius_ok() that totallen is validated (CID #1455247) (#5109)

Coverity thinks that calculating totallen via byte-swapping taints
the buffer holding the packet to be decoded. Modeling fr_radius_ok()
doesn't seem to have worked, so we'll try making it clear to coverity
that we validate totallen.

ldap: Alloc all resources at the start of the function

Add _ldap_connection_close_watch only after `queries' have been (#5123)

initialized and after the connection is known to be correctly
initialized (and not free'd after being added to close watch list).

minor documentation updates

Update FreeRADIUS web site Antora documentation

bump antora to 3.1 as 2.0 is now EOL

Add copying of secret flag to xlats which create a new value box

and produce output which can reveal the input

Use fr_value_box_contains_secret when securely printing lists

Lists can contain groups and the secret could be a child of a group

Set value box secret on all concat_in_place paths

Add sample "send ...Get..." sections to TACACS virtual server

Set the secret flag of User-Message based on the attribute it really holds

Add API for querying / manipulating value box secret flag

In anticipation of the flags moving to a structure.

TACACS User-Message can contain the password - so mark as secret

doc: man page asciidoc fixes

doc: fix nav for howtos and tutorials

docs: some small antora fixes

and remove unused list.adoc (replaced by all_modules.adoc)

doc: fix a load of broken xrefs

We don't need to qualify the enums in the calix dictionary

Record file destination from config into default_log

Needed so that each destination created from default_log knows what file
to use.

Typo

Keep track of secret flag when concatenating value boxes to string / octets

If suppress_secrets is set, use hide secret value boxes in %pM printing

Add fr_value_box_list_aprint_secure()

For printing lists of boxes in debug output when hiding secret values

Always parse log section of main config

There are other options in there besides the destination.

Whilst the fr_box() macros do something different to fr_value_box, it's still not appropriate to use strlen implicitly when boxing values

User-Password is secret here, too

in may be NULL

mark secrets as secret

Uase __coverity_writeall__() in fr_value_vox_init() model

add and use fr_pair_print_secure()

to omit secrets when printing pairs

add and support suppress_secrets

the default is to not suppress secrets.  Printing secrets is
suppressed if it's running as "-X" AND the configuration file
says to suppress them.  Otherwise the secrets are printed.

this behavior means that for most configurations, administrators
can see (and compare) the user passwords.  However, if the admins
want to suppress secrets, they can do so in their local
configuration.

define and use fr_vasprintf_secure()

which escapes / omits the contents of any value-box which is
marked "secret".

Note that we _cannot_ do this omission in fr_value_box_print(),
as that function may be used multiple times internally.  For example,
converting a clear-text password to CHAP via an MD5 xlat.  Those
values should be passed through unchanged.

As a result, we can only omit secrets in a new function, which can
then be used in debug / log functions which are known to be sent
to the admin.

There are still some pieces missing.

%pM prints a value-box list, and the fr_value_box_list_aprint()
function does not take a flag for printing secrets (or not).

%pP prints a pair, and the fr_pair_aprint() function also does not
take a flag for printing secrets.

The configuration files store data in CONF_PAIRs, which don't use
value-boxes.  So any shared secret is still printed in debug mode.

set secret flag in fr_value_box_init()

which unfortunately means rearranging the header file includes
a little bit.

define escaping rules for secrets

Through the simple expedient of mashing all characters to '.'

The length of the secret still leaks, but that's not too bad.

As escaping is only done for data types "string" and "octets",
other secret values will not be escaped.  Perhaps we can fix that
later if we care.

add secret flag to dictionaries and value-boxes

parse the "secret" flag in dictionaries.  RADIUS sets the "secret"
flag for encrypted attributes

swap order of evaluation again

Revert "start setting migration flags"

This reverts commit 437b402b8977df1b125b4cb857a3a169f0091158.

let's see if this makes the imap tests run again...

remove all tests we don't want, instead of using elsif

add and use "safe" fields for LDAP and SQL

which means that if we escape data once, it is not escaped again.

For SQL, the escape function is tracked per driver.  So you can't
escape something for MySQL, and then later use it for PostgreSQL
without that _also_ being escaped.

define macro for automatically setting "safe" values

"safe" values can still be tainted.

Users of that data who understand this particular value of the "safe"
flagmar can then ignore the "tainted" flag, and use the value as if it
was untainted.  Every other user of the data must still treat it as
tainted.

fr_value_box_alloc() does not need to take a "tainted" flag

a bare box is not tainted.  In the few cases where the data is
tainted, it is copied from a tainted source via fr_value_box_copy(),
which also copies the tainted flag

ancestors must be structural

member_num starts at 1, not 0

add fr_box() generic

which only works for some leaf types, as there string / octets
types need also to deal with length and talloc issues.  Other types
like ipaddr need to check the contents of the source.

start setting migration flags

more change vp->da->type to vp->vp_type

vp_type and da->type are allowed to be different for COMBO_IP

ensure that vp->vp_data is initialized correctly

remove unused function

change vp->da->type to vp->vp_type

not only is it friendlier to cache locality, it's more correct
because of things like FR_TYPE_COMBO_IPADDR, where the realized
vp->vp_type is different from the theoretical da->type

Make debug_ policies a little simpler

Removes some noise from the debug output

There is no coa list anymore

clean up

delete advice and descriptions which are ancient and out of date

make fr_tacacs_packet_log_hex() take and check a length field

Clarify "session" section in TACACS virtual server

Update password attribute references to use Password.xxx format

add macros fror pair_nested_tests

move switch to array lookup

more checks

seems like a heisenbug?

remove update

and re-enable additional check, as the APIs have been updated
as per the comment which disabled the test

remove update

simplify test_fr_pair_list_copy_by_ancestor

note migration flags for tests

re-enable test which over-writes default list

don't use "update"

don't automatically create the key field for nested structs.

The old code didn't do it, so we shouldn't do it either.

update fr_pair_list_copy_by_ancestor()

if we see a TLV, we just copy that.  The function can then work
both with nested and non-nested attributes.

we don't need to pass "count", as the only caller always says
"copy all of them"

Fix auto-added strerror header

Revert "assert that the channel has no running requests before ACK close"

This reverts commit bdec27409cda11b9432c583748bfac69241a118b.

assert that the channel has no running requests before ACK close

and cancel all of the related requests when the worker is signalled
to exit.

add parse_new_conditions migration flag

and set it to "true" by default.  So that the condition tests
will all be run through both the old fr_cond_tokenize() function,
and the new xlat_tokenize_condition() function.

mdd migration flag for nested pairs, and test it

Pacify Coverity (CID #1506302)

Extract packet code even if body is not encrypted

Revert "revert DHCPv6 struct_nested patch"

This reverts commit 500ee71862765d26694e52b41169958406347334.

it helps to initialize fields

Fix hangs/crashes on exit if thread instantiation fails

network: Use an explicit exiting flag instead of a started flag

atexit: Support checking if the thread is exiting

Use filename from PAIR_LIST in debug output

Gives the correct file that the entry was originally read from

More user name -> key in rlm_files debug output

Add tests of < and > comparison in rlm_files

And exercise use of $INCLUDE

revert DHCPv6 struct_nested patch

It seems to randomly set the flag to "true" locally and in CI.
even though ASAN doesn't complain

add decode flags for nested structs

nothing uses them right now, but it's a good way to track what
needs to be changed.

add -S pair_legacy_nested=true

and set it for keyword tests.

Except for map-xlat-struct, which calls fr_pair_afrom_da_depth_nested()
with a struct that has a "key" field.

update pair.c to correctly create and auto-populate the key field,
and create the child struct correctly.

map-xlat-struct fails because the output now contains a key field,
and is nested.  But that is easy enough to fix when we move over
to fully nested.