parent is used

as sent via email

check for invalid packet types in more protocols

Correct locating of fr_tls_conf_t when parsing cache mode

`parent` is the fr_tls_cache_conf_t being populated, which is a member
of the fr_tls_conf_t.

Move tls_conf_parse_cache_mode outside of #ifdef __APPLE__

Add "--without rlm_python" support

Allow to specify YUM_BUILDDEP_FLAGS (like YUM_BUILDDEP_FLAGS="--define '_without_python 1'")

tls: Mark cache mode function as static

Typo

Print line numbers in the format vscode likes

Fix build issue

call_env: Write out an explicit result from evaluation so that module calls fail correctly

tls: Process cache mode early

triggers: Don't crash on trigger execution

Grammar

fr_redis_cluster_conn_create(): tls session should be allocated in `conn' context

redis: Add "use_cluster_map = no": when redis server is configured for TLS
and freeradius TLS is implemented using stunnel, freeradius connects to redis
(stunnel) using plaintext, then tries to open plaintext connection to cluster nodes
which only accept TLS

redis: Add "use_tls = yes" support (if hiredis supports SSL).

Scheduled fuzzing: Update src/tests/fuzzer-corpus/dhcpv6.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/dhcpv4.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/radius.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/util.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/tftp.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/vmps.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/tacacs.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/dns.tar

Move assignment to success (CID #1504462) (#5074)

Coverity looks at control flow in xlat_purify_list() and judges that
success is guaranteed to be false by the time it's checked. We think
that moving the initialization before the unlang_xlat_push_node()
call, which passes it &success, will function the same while
reassuring coverity.

Model fr_md5_calc() (#5065)

Rewrite udp_len check in fr_udp_header_check() for coverity (CID #1504068) (#5072)

It wasn't practical to write a single UDP header check function,
so the change to make coverity see that udp_len is valid has to be
there twice.

Typo

Some dhcpv6 fixes (#5071)

* dhcpv6: Fix potential memory leak

* dhcpv6: Fix typo in default virtual server

* dhcpv6: Don't crash if 'interface' is empty.

It fixes:

Mon Jun 19 23:40:31 2023: Bootstrapping proto_dhcpv4 "dhcp.dhcpv4"
Mon Jun 19 23:40:31 2023: Bootstrapping proto_dhcpv6 "dhcpv6.all_dhcp_servers_and_relays"
Process 73144 stopped
* thread #1, queue = 'com.apple.main-thread', stop reason = EXC_BAD_ACCESS (code=1, address=0x0)
    frame #0: 0x00000001a68c853c libsystem_platform.dylib`_platform_strcmp + 12
libsystem_platform.dylib`:
->  0x1a68c853c <+12>: ldrb   w5, [x1], #0x1
    0x1a68c8540 <+16>: subs   x3, x4, x5
    0x1a68c8544 <+20>: ccmp   w4, #0x0, #0x4, eq
    0x1a68c8548 <+24>: b.ne   0x1a68c8530               ; <+0>
(lldb) bt
* thread #1, queue = 'com.apple.main-thread', stop reason = EXC_BAD_ACCESS (code=1, address=0x0)
  * frame #0: 0x00000001a68c853c libsystem_platform.dylib`_platform_strcmp + 12
    frame #1: 0x0000000100368d60 libfreeradius-util.dylib`fr_interface_to_ethernet(interface=0x0000000000000000, ethernet=0x0000600003e041b0) at inet.c:1570:7
    frame #2: 0x0000000100ed7c7c proto_dhcpv6_udp.dylib`mod_bootstrap(mctx=0x000000016fdfdd60) at proto_dhcpv6_udp.c:564:9
    frame #3: 0x00000001002aecbc libfreeradius-io.dylib`mod_bootstrap(mctx=0x000000016fdfe100) at master.c:2610:41
    frame #4: 0x0000000100b85260 proto_dhcpv6.dylib`mod_bootstrap(mctx=0x000000016fdfe890) at proto_dhcpv6.c:470:9
    frame #5: 0x0000000100619bd8 libfreeradius-server.dylib`module_bootstrap(mi=0x0000000102214890) at module.c:778:7
    frame #6: 0x0000000100619d0c libfreeradius-server.dylib`modules_bootstrap(ml=0x0000600002fa85e0) at module.c:811:7
    frame #7: 0x000000010066c9b0 libfreeradius-server.dylib`virtual_servers_bootstrap(config=0x0000000100ff2c30) at virtual_servers.c:1301:6
    frame #8: 0x00000001005ce87c libfreeradius-server.dylib`server_init(cs=0x0000000100ff2c30) at base.c:68:6
    frame #9: 0x00000001000043a0 radiusd`main(argc=7, argv=0x000000016fdfecb8) at radiusd.c:788:6

The option 'tmpdir' is no longer available (#5070)

Help coverity see validation of option_len (#5064)

xlat: Register xlat protocols _AFTER_ bootstrap has completed

xlat: Expose the protocol xlat registraiton function

xlat: Add module find function

Virtual servers should be freed and unloaded before modules Closes #5062

Update copyright year... now we're in June

eap: Deal with the case where the first response message is not an Identity-Response Closes #5061

dhcpclient: Add missing '-r <retries>' help message. (#5058)

* dhcpclient: Add missing '-r <retries>' help message.

* dhcpclient: Better message to avoid bad experience

Even in debug mode (-x), its impossible to know if the client is blocked
or trying something.

Help coverity see validation of field_len (#5059)

Don't set msg callback: required for SSL objects created by SSL_new() from freeradius SSL_CTX (#5056)

double-check for bad packets.  Fixes #5060

add definition for decline.  Helps with #5060

remove unused label

move "set priority or discard"

to just before "send packet to worker"

remove unused priority from mod_read()

this is now a function of the app (proto_radius), and not the
IO layer (proto_radius_udp)

set the priority if there's a mod_priority_set() function

because the app_io routines probably shouldn't be setting the
priority for each packet.

add mod_priority_set(), as with all of the other listeners

because setting the packet priority is a function of the protocol
(i.e. proto_radius), and not of the IO handler (e.g. proto_radius_udp)

remove is_dup parameter from app_io mod_read()

nothing used it, so it's not necessary.

The base IO routines should just read packets.  The code which adds
tracking should instead check for duplicates.

More SoH clean-ups

Remove all doc references

Fix formatting in dhcpv6 (#5053)

tls: Make request optional in more places

Add TEST_CHECK_SLEN_RETURN() and use as appropriate in sbuff tests (#5050)

Test code typically only looks at check results to the extent
necessary to report errors. That means that even if the functions
tests call are correctly modeled, coverity will rightly see that,
for example, some buffers may not be initialized.

We therefore write TEST_CHECK_SLEN_RETURN(), which does what
TEST_CHECK_SLEN() does and then returns if the check fails.

Clean up remains of SoH protocol (#5052)

Related to the previous 309f347 commit.

Remove unused variable (#5049)

CI: fix with latest mariadb 11 docker image

ref https://jira.mariadb.org/browse/MDBF-568

tls: SSL_set_verify is used in the session alloc functions, so we don't need to call it in the SSL_CTX alloc function

just nuke erroneous Proxy-State attributes

There's no reason for a policy or module to create / inspect / use
Proxy-State.  It's strictly a RADIUS client-server signalling
attribute.

remove SoH protocol API.

It's been dead for a long time.

Add new Huawei VSA, Closes #5016

TLS changes required for native redis TLS support (#5046)

* Allow empty tls configuration

Model tmpl_print()

Remove needless benign redefinition of TEST_CHECK_SLEN()

Remove dup macros from dbuff_tests

tls: Make fr_tls_session_alloc_client work without a bound request

unlang: Component isn't used for module compilation anymore

radius: Don't add proxy state if there's already proxy state attributes in the reponse.

subrequest:  Don't crash in debug builds when a detached subrequest is about to exit

Use module method names to set methods for DHCP send sections

Remove tmpls from rlm_redis_ippool_t

Remove un-used ippool_pool_name()

Re-work redis_ippool method calls to use call environment

Add a call environment to rlm_redis_ippool

Add check that tmpl exands to attr ref when type == FR_TYPE_ATTRIBUTE

Add tmpl only call environment entries

For use where the requirement is just a tmpl to produce output pair(s)

Correct function name in comment

Test get_chunk() return value in some simple cases

Those are cases that use a byte-swapped value, which sets off
coverity's tainted data alarms. Adding the same check used for
the more complex cases shoulo placate coverity and let us get
rid of the annotations that follow get_check() invocations.

Add test of removing static IP assignment

Split static and dynamic leases in redis_ippool_tool statistics

Add un-assignment of static leases to redis_ippool_tool

Tidy other redis_ippool tests

Add tests of static redis_ippool assignments

Update rlm_redis_ippool_tool to be able to add static assignments

Add a uctx to redis_ippool_queue_t callback

Allows call specific data to be passed

Renumber lines in redis_ippool Lua scripts

Update redis_ippool to allow for static IP allocation

Static allocations are defined by a ZSCORE with bit 52 set in the <pool_name>:pool ZSET and pre-created entries in the <pool_name>:ip:<address> hash and <pool_name>:device:<owner> key

remove SoH support

build out make util library, too

remove SoH tests

use IPV6_BOUND_IF, too.

And minor cleanups and consistency changes

Remove rlm_soh

Microsoft deprecated SoH / NAP in Windows Server 2012 E2, and
removed it from Windows Server 2016.  The NAP client was removed
in Windows 10, in 2015

Correct calculation of tmpl pointer

Use udp_len in UDP length checks

Coverity appears to be faked out by the use of diff to
validate udp_len, and hence complains about tainted data.

Rewrite check on length in dhcpv6_print_hex()

We suspect that coverity is confused by the check as written, and
so rewrite it so that the variable checked is alone on the LHS of
the comparison.

radius: Make it impossible for the user to modify Proxy-State attributes, as we do with DHCPv6 and response fields

Remove NO_RCTX state machine macros, there's always an RCTX now

Revert "Quick hack to try and get tests passing again"

This reverts commit 82ef4fc33b2d61fe3da92501b036f6db59fde5c5.

DO_NOT_RESPOND is a valid reply packet type for DHCP

Update tests to match echoed back Proxy-State

The module accounting tests use Access-Request packets but call the
modules in accouning context.

Since Access-Request packets are used, the Proxy-State in the request is
reflected back in the Access-Accept