Don't use strlen in talloced buffers

Whitespace

Document %uuid.v4() and %uuid.v7()

Add test of %uuid.v4() and %uuid.v7()

Add %uuid.v4() and %uuid.v7() for generating UUIDs

use the correct link

handle corner cases of Protocol-Error

if there's no response configured, and the client supports
Protocol-Error, then synthesize a Protocol-Error with an
appropriate Error-Cause.

If there is a Protocol-Error response configured and the client
does not support it, then synthesize an appropriate response.

Add read / write hexdump option to TACACS listener

Add read / write hexdump options to RADIUS app_io

Add an app IO callback to set the read / write hexdump option

Add optional hexdump of packet read and write

For when really low level debugging is needed

warn if Original-Packet-Code is missing

and delete it if we see it

if there's no Error-Cause, add one in

warn if Original-Packet-Code is missing, and delete it from the reply

it's a link-layer signaling issue.  So we can nuke it as soon as
we receive it.

let's do error messages, too

return error on fatal socket, not 0

This should really be DEBUG2 to reduce noise

Which matches the packet expiry timeout debugs

Update docs on DHCP options from SQL

The DHCP specific schema from v3 doesn't ship with v4, and now that
`%sql()` can return multiple values this provides a more flexible
approach than the call to the `sql` module.

Add test of %map() with multiple input boxes

Allow %map() to work on a list of input boxes

This allows syntax like `%map(%sql("SELECT attrmap FROM ..."))` or
`%map(foo[*])` to perform multiple attribute manipulations.

hoist assertion around print_args.  Fixes #5672

the clone code supports leaf attributes, so allow it here, too

add official Docker Hub link to documentation

update recommendations for PAP

Typo

be explicit about which data types we accept in the dictionaries

Report correct config option name. Fixes #5669

Record the current request in the reponse ctx

allow 389ds legacy PBKDF2_SHA256 to use arbitrary iteration count (#5653)

allow return of negative number.  Fixes #5666

omit printing a union if it has only one child.

this simplifies the output and makes it easier to understand.
it's also the counterpart to adding the ALIAS which points from
the parent of the union, to the union member.

Other parts of the server will need to be updated to omit unions,
too.  But for now, this is good enough for tests.

simplify this code by using the updated API

add short-circuit checks to fr_pair_afrom_da_depth_nested

add alias for children of UNION

so if we have:

foo  struct
  bar union
    baz  struct
            blag uint32

We do need to store that internally as the full hierarchy.

However, as a special case, we add an alias for each child:

foo struct
  bar union
    baz struct
    blag uint32

  baz ALIAS bar.baz
  blag ALIAS bar.blag

this lets the user type in something reasonable, i.e. without the
intermediate UNION.

handle ALIAS attributes when parsing

so that we create the full tree, and not a partial one

fix length passed to talloc_bstr_realloc()

the meaning of the length parameter should not change depending
on the first parameter being NULL or not.

More DHCPv4 docs updates

This is really an error

And marking it as such will create Module-Failure-Message which is
helpful for logging.

bio/haproxy: fix CRLF check in PROXY v1 parser

memcmp compared 3 bytes against "\r\n", which required a trailing NUL on the wire.
Compare 2 bytes and consume 2 so valid headers are accepted and connections are not dropped.

This bug was found by ZeroPath

Signed-off-by: Joshua Rogers <MegaManSec@users.noreply.github.com>

add test for encoding / decoding leaf child of union

allow children of UNION to be TLV or leaf.

because the struct encoder can be updated to allow that.

Note that the struct encode / decode has not yet been updated

alignment issues

rlm_ocsp: correct timeout comparison in OCSP_sendreq_nbio retry loop

Previously broke out while elapsed < timeout, causing early exit and
treating OCSP as timed out. Break only when elapsed >= timeout so we
retry until the deadline. Prevents unintended skips and softfail
acceptance of revoked certs.

This bug was found with ZeroPath.

Signed-off-by: Joshua Rogers <MegaManSec@users.noreply.github.com>

Use a consistent name

Rework DHCP docs with v4 attribute names and improved rlm_files capabilities

new URL as per hostap list

remove -Wno-cast-align

Some configure output had both -Wcast-align and -Wno-cast-align,
which doesn't make any sense.

The -Wno-cast-align is there to quiet issues with sbuff.h and
dbuff.h.  Those header files define macros which use two _Generic
statements, one for each function argument.  However, such use of
_Generic isn't limited to treating each case independently.

Instead, all possible combinations of _Generics must be valid,
even ones which don't make sense (and aren't chosen).  This results
in the compiler complaining.

Since we don't understand what's going on there, we just disable
-Wcast-align for those two header files, and leave it globally
enabled for everything else.

remove unused macros and functions

remove unused functions

we no longer need to disable this warning

initialize properly

define and use TEST_TERMINATOR

field initializers

define and use DICT_AUTOLOAD_TERMINATOR

C23 complains about { NULL } being used to initialize something.
we should either use { }, or { .field = NULL }

explicitly initialize same field used by the code

initialize using the correct data type

suppress Protocol-Error responses when the client doesn't support it

and print out a descriptive message as to why the Protocol-Error
packet was suppressed

but for Access-Request, swap the answer to Access-Reject.
RFC8559 already says that failed CoA can send a NAK with Error-Cause

add protocol_error flag to the client structure

this really belongs in a protocol-specific field.  Oh well.  We'll
fix that later

Add Protocol-Error support to radclient

add Protocol-Error in more cases

and clean up the code for consistency

whitespace

fix more errors found by using -std=c23

use -std=c23 if it's available, otherwise use -std=c11

the "configure" script was not yet updated

Correct return code

If there's no "begin" query, then no child is pushed.
The expansion of the first query to run is handled by the resume
function.

Test decoding repeated options at the end of a DHCPv4 packet

Correctly handle 2 instances of a DHCP option at the end of a packet

In the case a packet ends

<op n><len><data>
<op n><len><data>
<op 255>

there will only be 1 byte (the <op 255>) after going round the loop
twice.  Previously this would have failed the test (end - next) < 2
without having detected that the option code has changed.

fix errors found by using -std=c23

copy enum from Packet-Type

fix initializer for new compiler

tmpl_escape_t has multiple fields, so you can't initialize just one
via foo.bar.baz = {}.  Instead, you have to explicitly initialize the
entire struct, via foo.bar = { .bar = {} }

Use current xlats and syntax

Subrequest types use enum format

Better option name

fr_bio_fd_unix_shutdown is called after fr_bio_fd_close

Which means the bio state is expected to be FR_BIO_FD_STATE_CLOSED

Add test of using htrie in rlm_files for string prefix match

Set option name in correct module

Add DHCPv4 Genexis V-I-Vendor-Specific options

Add htrie_type option to rlm_files

Pass instance data to getrecv_filename to reduce argument count

Scheduled fuzzing: Update src/tests/fuzzer-corpus/der.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/cbor.tar

Just return -1 for errors (it's all the callers check) (CID #1667131)

Add test of %dhcpv4.decode / %dhcpv4.encode using root ctx

Add attributes to support Option 43 handling of TR069 options

These are defined as strings

In https://www.broadband-forum.org/pdfs/tr-069-1-6-1.pdf

Add optional argument to %<proto>.decode to specify decoding root

Use root in decode ctx as decode root for DHCPv4

Defaulting to the DHCPv4 dictionary root

Use the dict_attr from the encoding context as the root for DHCPv4

Add a TLV to use as a root for decoded Option 43 data

%<proto>.encode(Foo, Foo) means encode the children of Foo with Foo as the ctx

Verify the relationship between the pair to encode and the root ctx

Add optional argument to %<proto>.encode() to specify encoding root

And pass it to the encode context allocation routine.

Add optional dict_attr to encode / decode ctx alloc signature

To allow a root DA to be specified for the encoding / decoding context

Correct path manipulation when reading all files in a directory

update transaction functionality so it's useful

edits don't fail.  So we update the documentation to match.

grouped edits are atomic only if they're in a transaction.  So we
update the documentation to match.

But since edit statements never fail, the transaction keyword will
never detect that.  So we allow if/else/elsif statements inside of
a transaction.  And update the documentation to match.

The example documentation is also update to note that you have to
explicitly check that the assignment failed

allow checking result of unlang_tmpl_push()

we don't actually do it right now, for long reasons outlined in
the comments

add UNLANG_ACTION_FAIL

typo

Add Cisco VSA 49

use UNLANG_ACTION_FAIL

instead of manually setting *p_result and returning CALCULATE_RESULT.
it's the same thing, and unifies the code path

don't print catch (null) for catch { ... }