Update example site with correct location of session-id for eap_aka_sim

Scheduled fuzzing: Update src/tests/fuzzer-corpus/dhcpv4.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/radius.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/util.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/tftp.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/vmps.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/tacacs.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/dns.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/dhcpv6.tar

Annotate false positive tainted_data (CID #1451665) (#4709)

This one is interesting. fr_radius_packet_log_hex(), called
if NDEBUG is defined and the debug level is high enough, in
turn calls fr_nbo_to_uint16() and fr_box_octets(). The results
are used in log messages, Typically when bytes are swapped, the
entity to which the result is stored is considered tainted, but
here coverity thinks the data being read is tainted. That
propagates back to place where the defect is claimed.

More convert from 'update {....}' to 'edit' against src/tests/keywords (#4710)

Annotate false positive tainted_data (CID #1503921) (#4711)

By construction, 0 <= offset <= 0x3fff, so it is in range as
a subscript for fr_dns_marker.

typo

Better way to check test server is defined

only create VPs for := and =

reference the correct tmpl

more "convert to update"

list may be empty

convert whitespace to tabs

add help target

more "convert to update"

test index assignments

[1] is not the same as NUM_UNSPEC

forbid [*] and [#] on the LHS of edit assignments

and update the scripts in all.mk to handle [*] in output

add CONF_ITEM* to unlang_t

so that we can track where each instruction was created from.
and instructions generated from CONF_PAIRs can also get queried
for their filename and line number.

ensure that the group always has a CONF_SECTION pointer

Initialize rather than memcpy() (CID #1508486) (#4707)

Add Active Direcotory test server variable

Define tests for Active Directory LDAP server

Run tests on Active Directory LDAP server

Add config for testing Active Directory LDAP server

Add samba to test build

Deal with (possibly false positive) untrusted values. (CIDs below) (#4701)

1445221: length is checked for consistency with packet length;
         annotated.
1448175: pulled the checksum validation into the block declaring
         udp_len, to make it clear that it *is* range checked.
         Annotated anyway, because coverity hasn't noticed other
         such clear range checks.
1448175: len is range checked just before the call to memcpy(),
         which is what coverity says should be done. Annotated.
1503937: the check of p effectively sanity checks count; annotated.
1503954: before the fr_pair_tlvs_from_network() call, option_len
         is indeed checked; annotated.
1503968: length is checked; perhaps coverity doesn't recognize
         that (option + 4 + length) > end is equivalent to
         length > end - (option + 4). Annotated.

Co-authored-by: Alan DeKok <aland@freeradius.org>

Correct print_hex_data() parameters in fr_vmps_print_hex() (#4700)

For the loop printing the trailing portions of the packet to be
correct, length must include the four-byte id and two-byte length
as well as the following data. id and length are explicitly printed,
so print_hex_data() would presumably show what follows, but that
would start at attr + 6 and only be length - 6 bytes.

Add test server variable for persistent search tests

Define tests for persistent search LDAP server

Run tests for persistent search LDAP server

Add config for testing persistent search LDAP server

Add 389 Directory Server to test build

Add ldap_sync tests to test target

Add test server variables for RFC4533 ldap sync tests

Define tests for RFC4533 LDAP server

Run tests on RFC4533 LDAP server

Add config for testing RFC4533 LDAP server

Define test.ldap_sync to run tests for all types of directory

Add syncprov overlay to test LDAP database

Re-order LDAP permissions

Remove un-needed database from test LDAP server

Check return of ber_scanf() CID #1512416

parital revert (again) because of ubsan issues

add ungroup and use it

because %{request[*]} returns a group, as it really means
"all request attributes".  We really want to have %{request.[*]},
but that is not yet supported

change docs to deprecate "update"

make prepend work, and update doecs and tests to match

more "convert update"

raw now works

multi-line "if" works by magic

tho you can't (yet) put comments on a multiline "if" statement

move peephole optimization to xlat_purify_op()

v4: Implement LDAP persistent search handling (#4455)

* Remove LDAP-Sync dictonary attrbutes not required

* Add ldap to list of protocols for auto-generated headers

* Add definition of internal packet types for LDAP sync messages

* Define process module for LDAP sync

* Define core structures for LDAP sync protocol

* Define parent listener for proto_ldap_sync

* Include proto_ldap_sync in build

* Add Directory-Root-DN to dictionary

* Enumerate dictionary values for LDAP Scope

* Define fr_app_io_t proto_ldap_sync_ldap and associated structures

* Allow socket listeners to have either an open or close callback

LDAP sync requires a very specific way to start up which results in the
socket listener not having an open callback.

* Define child fr_app_io_t for proto_ldap_sync

* Add functions to allocate and compare sync_state_t

* Add functions to send LDAP sync internal packets

* Define ldap_sync_conf_attr_add for building the list of attrs

* Define LDAP sync callbacks for RFC 4533 servers

* Define LDAP sync callbacks for Active Directory

* Parse LDAP filters for Active Directory

to compensate for Active Directory's limitation when performing
persistent searches.

* Evaluate LDAP filters against packets received from Active Directory

* Define LDAP sync callbacks for directories implementing persistent search

* Add proto_ldap_sync_ldap to build

* Remove old proto_ldap_sync module and fix sync_touch.mk

* Update sample ldap_sync site

Quiet clang scan

Define pair_append_by_tmpl_parent() - simple vp allocation from a tmpl_t

Convert one last memset to fr_value_box_copy_unsafe() (CID #1508480) (#4694)

Annotate memmcpy() used to copy fr_pair_t (CID #1508479) (#4695)

Annotate false positive tainted_argument (CID #1419883) (#4696)

Coverity doesn't see that buffer[0] is checked twice, so
it can never be an invalid subscript for fr_packet_codes[].

Take out nonnull hint on _fr_dbuff_init() for coverity (CIDs below) (#4697)

Coverity assumes that the nonnull means we'll dereference the end
pointer... so leave it out when coverity runs.

CIDs: 1503895, 1503905, 1503907, 1503914, 1503915, 1503924
      1503956, 1503970, 1503973, 1503979, 1503980, 1503988
      1504000, 1504034, 1504035, 1504039, 1504040, 1504059

Shorten the name of the protocol encapsulation attribute

Make fr_internal_decode_list_dbuff simply decode as is

Any manipulation of the retrieved attributes should be done by the
caller

Make fr_internal_encode_list simply encode what is presented

Any wrapping of other protocols in the protocol encapsulation attribute
should be done by the caller

On RHEL >= 8 MySQL client libraries are in mysql-libs

fr_dlist_talloc_free_item returns previous item in list

So retain functionality for typed versions of the function.

Quiet clang scan

cleanups for clang scan

which notices that the regex_rhs() function returns an error,
but for some reason assumes that it returns a positive number on
error.

update message so that xlat-subst passes

and we get the real error from the underlying function, and
not the error from something else.

remove filter { ... }

Which was added earlier in v4 development.  No one uses it,
and we need to get rid of old-style update sections as soon as
possible.

point to certificate documentation, too

notes on where the new documentation is located

regenerate from source raddb files

peephole optimization for conditions

peephole optimization for logical &&, ||

simplifications

Annotate remaining false positives in sbuff_tests.c (CIDs below) (#4693)

CIDs: #1503906, #1503912, #1504003, #1504019

coverity doesn't recognize that fr_sbuff_out_bstrncpy_exact() and
fr_sbuff_out_unescape_until() will always put something in the
output sbuffs, if only a NUL terminator.

Annotate false positive uninit (CID #1504020) (#4692)

coverity doesn't realize that at this point ether is necessarily
initialized, with all the fr_base16_decode()s successful.

Silence coverity about fr_value_box_t assignment (CIDs below) (#4685)

CIDs: #1508477, #1508480, #1508482, #1508484, #1508486

1508482 just uses an initializer. For the rest, we create an
always-inlined function, fr_value_box_copy_unsafe(), to simply
copy the raw bytes from one value box to another. Since it's
a function, not a macro, the annotation should work. Since what
fr_value_box_init() was doing didn't work, it too uses the
function (and we had to move the box-to-box copy declarations
and definitions so it would be visible in fr_value_box_init()).

Make use of the fr_nbo_to*() functions where possible (#4691)

It appears to appease coverity complaints about tainted data.

More "update {....}" to edit against raddb/sites-available/* (#4684)

doc: Fix typo (#4683)

Annotate tainted data (CID #1455247) (#4686)

data, not *data, controls the loop in fr_radius_decode(). The packet
length is checked against byte-swapped data from the packet, but
discrepancies are errors, so it's not set to a tainted value.

Remove needless if (#4687)

There's no unused result--the comparison just checks slen, which is
used in the code startng with done:, which is always gone to.

add support for mod (%)

we now support native expressions in conditions

we don't need an empty dependency

Correct vendor calculation typo (#4688)

manually do the loops

because the previous code resulted in `EXPAND -> NULL`, and this
method doesn't

print the tainted flag, and do better indentation

let's be a little more forgiving about parsing conditions

convert xlat-string to the new method

Previously "cast to string" was "print to string" for everything
except octets.  For octets, it was "cast".  That inconsistency
causes issues.

Now, "cast to string" is "print to string" for everything.

If the user wants to *convert* data to a string, the %{string:...}
function can be used.

docs on ci-debug

have ubsan print stack traces

temporary migration tools

where we can enable / disable flatten / nested pairs at run time.

Tainted needs to be initialised

Correct test for building 2 leaf vps