CID 1504058

CID 1469156

Was an actual error

Typo

Fix tmpl_attr_unspec not declared extern

Typo

Fix errors when clangd can't find sanitizer/lsan_interface.h

Missed

CID 1506690

CID 1508479

Don't use the unsafe value box copy macro

Coverity fixes

Use the latest commit from freebsd-vm

Fix ordering issue

See if SSHFS is any more reliable

Fix arg order

Remove nonnull until we can figure out how to make it work correctly with NDEBUG

Minor fixes

100000 was a bit silly anyway

Set NOTE_EXIT in fr_event_pid_early_exit to avoid assert

Rework our wrapper code around user events, and add a surrogate user event on process early exit

Fix crash on start introduced by 181ae63889075fd475f007c62eabc78ac9e83265

Increase timeout for fuzzers

Some tweaks to try and get backtraces on timeout

Return a more useful exit status

Typo

Add ocspd verifycert boolean (#4800)

* Add verifycert boolean to disable OCSP server certificate validation

* Fix typo

Co-authored-by: Craig Huckabee <craig.huckabee@niwc.navy.mil>

lua_release_cmd: fix returning device mismatch (#4725)

Deal with dl_open_by_name() toctou (CIS #1400053) (#4799)

* Deal with dl_open_by_name() toctou (CIS #1400053)

dl_open_by_name() gives you the option of looking though a list of
directories for a library, using the dlopen() function. If a dlopen()
succeeds, dl_open_by_name() succeeds and all is well. If it fails,
though, the question is why? If it doesn't exist in that directory,
you want to try the next on the list. If it does, permissions are
likely to be the problem, so report the issue and return failure.

The previous code uses access() on the path if the dlopen() fails,
hence toctou.

Unfortunately, there's not a good way to deal with it.

There is no dlopenat(), so one can't avoid toctou with dlopenat()
followed by accessat(). The only indication of why dlopen() failed
is in the string returned by dlerror()... which only guarantees
that the string is human-readable, NUL-terminated, and doesn't end
with a newline.

Looking at the result of dlerror() when the dlopen() for the
directory list fails suggests that it has the following format:

path COLON SPACE <message> COLON SPACE strerror_output

In the particular cases in the tests, that last part was always
"No such file or directory", what strerror() returns for the
ENOENT dl_open_by_name() is checking for.

As the least bad alternative, the code looks in the dlerror()
output for fr_syserror(ENOENT) to decide.

* Add note

Co-authored-by: Arran Cudbard-Bell <a.cudbardb@freeradius.org>

Check return on encoding of max values (CID #1517909) (#4803)

Coverity only gripes about FLAG_LENGTH_UINT16, but if it needs
checking, so does the FLAG_LENGTH_UINT8 case.

Handle fr_event_timer_in_query() error return in ldap_xlat() (CID #1504007) (#4804)

Increase the max number of -e commands (#4812)

Add support for setting timeouts in jlibtool

For tests, this means the child receives kill(SIGKILL) after 30 seconds if it's not completed, so we don't block CI indefinitely.

Either clang 15 or whatever standard library is being used complains about it bitterly

Make sure the file descriptors are available in case the PID wait callback is triggered early

don't remove the .d file, it's an output file

which is needed by the target rule

add docs for redundant, etc. as modules and as xlats

Fix exec issues on macOS

This appears to be a behavioural difference between macOS and Linux, where waitid will non-deterministically return 0 or 1 even if the process has exited consistently.

Remove EXEC_SYNC_WITH_CHILD hacks

They don't work...

Typo

Wait for the child to be live before continuing

rest: Duplicate the pool section (#4825)

Amend comments for rest module "pool" to reflect code behaviour

Handle changes in libcurl options

Use FR_CURL_REQUEST_SET_OPTION where request is available

So errors are RERROR rather than ERROR

Don't set CURLOPT_PROTOCOLS twice

Always use error4

Try pausing the child processes until the parent signals on macOS

Cleaner version of waitid hack on macOS

Diagnose macos CI failures

Should be waitid not waitpid...

Fix tmpl_dcursor_test warnings and make it possible to easily step into the tmpl tokenizer on failing tests

mark the parent redundant xlat as taking "void"

so that we can free it's args, and they don't be expanded.

The arguments will still be used for the parser, so it's not
all lost.

change !~ to !(... =~ ...)

Try bumping CI to macos-12

Param is now used

rest: Search for pool in the right place

Formatting

Don't warn about unreachable generic types when the lvalue is case (unreachable-code-generic-assoc)

What a completely useless and utterly stupid warning

Fixes for running with a non system version of clangd on macos

Remove accidentally comitted tests

This reverts commit d18cd6caf55d5c210211fd14b6bf817d972f4614.

Formatting

json: Set the default output mode correctly

curl: Similar signal fix for smtp and imap

curl: Deal with socket closures in a more libcurl friendly way

event: Call the read event on EV_EOF if we're reading and have pending data

Correct bounds check for max_request_time

rlm_rest: Always install a signal handler for unlang_module_yield calls

rlm_rest: Formatting

Fix lua_alloc_cmd (#4813)

(0)      redis_ippool - ERROR: (0) error   : ERR Error running script (call to f_555f9a10a670669b1725edfc4b558c4c5eb3f9ad): @user_script:14: user_script:14: attempt to compare number with string

We don't need to do "%{Attr-Name[#]}" either

Just bare xlats are fine now

change "%{Attr-Name}" to &Attr-Name

It's really not clear where this obsession with quoting came from,
but it's unnecessary.

Time delta check only needs lt and gt comparisons

Rename fr_equality_op to reflect its actual meaning (#4823)

The array contains true values for comparison operators, not
just equals and not equals. A rename to fr_comparison_op
makes a positive logic version of the distinction between
comparisons (which will coompare any number of values)
and other binary operators (which only do one value) clearer.

Scheduled fuzzing: Update src/tests/fuzzer-corpus/radius.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/tacacs.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/dns.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/dhcpv6.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/dhcpv4.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/util.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/tftp.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/vmps.tar

add RPEDEBUG wehn failing assigment and update tests

clean up and add new docs

more != to !(==)

global search and replace

perl -p -i -e 's/\(([^ ]+) != ([^ ]+)\)/(!($1 == $2))/g'

make redundant xlats work

via hackity hack,  The real solution is not to copy the input
(unexpanded) arguments.  Instead, the xlat_redundant() call
should simply copy it's expanded arguments, and call each
function in turn.

i.e. xlat_redundant() has no need to call xlat push or xlat
yield, as it already has all of the arguments it needs.

That also stops the inputs from being epanded repeatedly.

more a!=b --> !(a==b)

perl -p -i -e 's/\(([^ ]+) != ("[^"]+")\)/(!($1 == $2))/g'
             's/\("([^"]+)" != ([^ ]+)\)/(!($1 == $2))/g'
     's/\("([^"]+)" != ("[^"]+")\)/(!($1 == $2))/g' ...

lets initialize fields, m'kay?

open files passed on command line

allow -f to specify all file names

Ensure output directory exists for extracted pcap

shut up clang scan

add CoA filter and reply file to rc_file_pair_t

use dlists for filenames

that way they get processed in the order that they appear in
on the command line, and not in some random order by sorting
the filename.

This isn't stricyly needed here, but will be needed for receiving
CoA packets.

Add -A Foo-Bar

so we can use an arbitrary attribute to match CoA packets to
outgoing requests

first pass at allowing radclient to read CoA packets

simplify code.

xlat's have not been supported for a while.  So there's no reason
to manually root through the list looking for things.

use dlist functions instead of hand-rolled things

add === and !==

After other languages which have the same thing.

This is less useful for FreeRADIUS, as all "variables" are strongly
typed.  But it could be used for non-quoted xlats, and it could
be used in the future for "void" types

tests for expr with non-existent attributes