Unbreak CMake build

test_main: Run tests as unprivileged user

If run as root (as is the case in CI), switch to an unprivileged user
(default: nobody) before running each test, and switch back after.
This makes it possible to write tests that rely on file permissions.

Note that tests that use the UID or GID must now check the EUID / EGID
instead as they will be different while the test is running.  The only
way to avoid that is to run each test case in a child process, which
would hugely increase the complexity of test_run().

test_main: Add assertChown

Add test case for failing to create directory

archive_write_disk_posix: Report correct error

When create_dir() fails to create a directory, it immediately checks to
see if the directory already exists, which can happen if it's been given
something like foo/../foo.  Unfortunately, this clobbers errno, which
means that create_dir() always reports ENOENT, regardless of the actual
error.  Fix this by only performing this extra check if errno is EEXIST,
then reset errno to either EEXIST or ENOTDIR depending on the outcome.

Merge pull request #2880 from kientzle/kientzle-lha-oversize-header

Reject LHA archives with ridiculously large headers

Remove unused var

Reject LHA archives with ridiculously large headers

The header is a series of blocks, most of which contain
values of just a few bytes (sizes, times, etc).  The only
exceptions are the filename and directory name attributes,
which will be limited by the MSDOS/Windows maximum file length
limit.  So it seems unlikely that this will ever exceed 64k.
(If we find counter-examples, we can easily extend this limit.)

Merge pull request #2878 from LoboQ1ng/fix-mtree-fd-leak

Fix file descriptor leak in mtree parser cleanup (CWE-775)

Merge pull request #2879 from kientzle/kientzle-prune-freebsd-ci

Prune FreeBSD CI from 10 variations down to 3

Non-snap images are RELEASE, not STABLE

Don't use snap image here

Prune FreeBSD CI from 10 variations down to 3

Previously, we tested many combinations of FreeBSD version, build system, and filesystem.
In practice, that's redundant, and we've started seeing these excessive requests get throttled by Cirrus.
Cutting back to just 3 combinations should suffice and reduce the risk of throttling.

mtree: fix file descriptor leak in cleanup

Close any dangling file descriptor in the mtree cleanup function to prevent FD exhaustion (CWE-775) when a read loop is aborted early.

Merge pull request #2875 from bradking/7z-elf64

7zip: Fix out-of-bounds access on ELF 64-bit header

7zip: Fix out-of-bounds access on ELF 64-bit header

The ELF specification's `Elf64_Ehdr` type is 64 bytes [1].
`find_elf_data_sec` accesses the last field, `e_shstrndx`.
Make sure we read enough data to populate it.

[1] https://refspecs.linuxfoundation.org/elf/gabi4+/ch4.eheader.html

Merge pull request #2858 from FooIbar/nettle-4.x

Fix incompatibility with Nettle 4.x

Merge pull request #2860 from xTibor/fix-iso-year

bsdunzip: Fix ISO week year and Gregorian year confusion

Merge pull request #2859 from zhangjy1014/fix-issue-2744

Fix NULL pointer dereference in archive_acl_from_text_w()

bsdunzip: Fix ISO week year and Gregorian year confusion

Add test for malformed "default" ACL prefix (issue #2744)

Verify that archive_entry_acl_from_text() and
archive_entry_acl_from_text_w() return ARCHIVE_WARN instead of
crashing when given a bare "d" or "default" string with no
subsequent tag field.

Without the accompanying fix in archive_acl.c this test triggers
a NULL-pointer dereference (SEGV) in archive_acl_from_text_w().

Fix NULL pointer dereference in archive_acl_from_text_w()

When parsing a short "default" ACL prefix (e.g. L"d") with no
subsequent tag field, field[n] is left as {NULL, NULL} and the
code dereferences it unconditionally in the switch statement,
causing a SEGV.

Add a zero-length check after computing the field length so that
malformed entries are skipped with ARCHIVE_WARN, matching the
documented contract. Also move the st pointer computation after
the guard to avoid dereferencing a NULL start pointer.

Fixes libarchive/libarchive#2744

Fix incompatibility with Nettle 4.x

Merge pull request #2838 from DHowett/revert-2826-waitpid

Revert "Wait for the process instead of busy wait loop"

Revert "Wait for the process instead of busy wait loop"

Merge pull request #2781 from AZero13/ints

Remove unneeded int cast

Merge pull request #2826 from AZero13/waitpid

Wait for the process instead of busy wait loop

Merge pull request #2836 from ngie-eign/add-freebsd-15-cirrus-ci

Expand the test matrix to include 15.x images/ZFS

Expand the test matrix to include 15.x images/ZFS

This change adds support for the following test scenarios:

- 15.0-RELEASE - ZFS
- 15.0-STABLE - UFS
- 15.0-STABLE - ZFS

This additional testing aims to catch issues with 15.x, as well as
ensure libarchive use doesn't regress when run on ZFS-based hosts.

Signed-off-by: Enji Cooper <yaneurabeya@gmail.com>

Merge pull request #2835 from jmcarp/build-illumos

Skip unsupported linker options on illumos.

Skip unsupported linker options on illumos.

Building on illumos currently fails with:

```
ld: fatal: unrecognized option '--gc-sections'
```

This happens because `--gc-sections` isn't supported on illumos `ld`.
This patch updates CMakeLists.txt to skip unsupported linker options on
illumos. The flags used on other operating systems are optimizations
that don't affect correctness, so this change is safe.

Merge pull request #2825 from AZero13/patch-2

Error check ret before calling copy_seek_stat

Merge pull request #2824 from AZero13/qosflags

Remove bitmask typo in dwSecurityQosFlags

Merge pull request #2827 from AZero13/free

Simplify file free

Merge pull request #2829 from AZero13/leak-shar

archive_write_shar_header: free shar->last_dir before replacement

Merge pull request #2830 from AZero13/return

return early if archive_write_set_format_shar fails

Merge pull request #2831 from AZero13/check-copy-length

Use copy_length as upper-bound, not strlen(p)

Merge pull request #2834 from AZero13/patch-5

Use #warning, not #warn

archive_write_shar_header: free shar->last_dir before replacement

Use #warning, not #warn

#warn is a GNU extension

Use copy_length as upper-bound, not strlen(p)

return early if archive_write_set_format_shar fails

Simplify file free

free is fine if NULL

Wait for the process instead of busy wait loop

Error check ret before calling copy_seek_stat

Remove bitmask typo in dwSecurityQosFlags

We seemed to have been isolating the wrong flags.

Merge pull request #2813 from AZero13/memcpy

We copy from p, not p + module_len

Merge pull request #2796 from vcoxvco/fix_unninit

libarchive/archive_util.c: Uninitialized variable

Merge pull request #2816 from AZero13/strdup

Error check strdup for path name

Merge pull request #2814 from AZero13/gname

uname_override checks gname_override when it should check uname_override

Merge pull request #2789 from libarchive/dependabot/github_actions/all-actions-50b857948b

CI: Bump the all-actions group across 1 directory with 3 updates

Merge pull request #2815 from AZero13/=

Use >=, not =>

CI: Bump the all-actions group across 1 directory with 3 updates

Bumps the all-actions group with 3 updates in the / directory: [actions/checkout](https://github.com/actions/checkout), [actions/upload-artifact](https://github.com/actions/upload-artifact) and [github/codeql-action](https://github.com/github/codeql-action).

Updates `actions/checkout` from 5.0.0 to 5.0.1
- [Release notes](https://github.com/actions/checkout/releases)
- [Changelog](https://github.com/actions/checkout/blob/main/CHANGELOG.md)
- [Commits](https://github.com/actions/checkout/compare/08c6903cd8c0fde910a37f88322edcfb5dd907a8...93cb6efe18208431cddfb8368fd83d5badbf9bfd)

Updates `actions/upload-artifact` from 4.6.2 to 5.0.0
- [Release notes](https://github.com/actions/upload-artifact/releases)
- [Commits](https://github.com/actions/upload-artifact/compare/ea165f8d65b6e75b540449e92b4886f43607fa02...330a01c490aca151604b8cf639adc76d48f6c5d4)

Updates `github/codeql-action` from 3.30.6 to 4.31.3
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/64d10c13136e1c5bce3e5fbde8d4906eeaafc885...014f16e7ab1402f30e7c3329d33797e7948572db)

---
updated-dependencies:
- dependency-name: actions/checkout
  dependency-version: 5.0.1
  dependency-type: direct:production
  update-type: version-update:semver-patch
  dependency-group: all-actions
- dependency-name: actions/upload-artifact
  dependency-version: 5.0.0
  dependency-type: direct:production
  update-type: version-update:semver-major
  dependency-group: all-actions
- dependency-name: github/codeql-action
  dependency-version: 4.31.3
  dependency-type: direct:production
  update-type: version-update:semver-major
  dependency-group: all-actions
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #2819 from GabrielBarrantes/work/typos

Improve wording

Merge pull request #2820 from skypher/oss-fuzz-expansion

Expand OSS-Fuzz integration: 1 → 25 fuzz targets

Refactor all fuzzers to use shared fuzz_helpers.h

Complete the refactoring of all 25 fuzzers:
- Remove duplicate Buffer struct definitions from 15 format fuzzers
- Remove duplicate DataConsumer class from 7 API fuzzers
- Update consume_bytes() calls to match new signature
- All fuzzers now use shared helpers from fuzz_helpers.h

This eliminates ~1000 lines of duplicated code.

Refactor fuzzers: add shared header, remove system() call

- Add fuzz_helpers.h with shared Buffer, reader_callback, DataConsumer
- Replace system("rm -rf") with nftw-based remove_directory_tree()
- Refactor entry, tar, write_disk fuzzers to use shared helpers
- Reduces code duplication and improves maintainability

Expand OSS-Fuzz integration: 1 → 25 fuzz targets

Add comprehensive fuzzing coverage for libarchive:

Format-specific fuzzers (13):
- tar, zip, 7zip, rar, rar5, xar, cab, lha, iso9660, cpio, warc, mtree, ar

Security-critical fuzzers (4):
- encryption: encrypted archive handling
- write_disk: extraction path traversal
- read_disk: filesystem traversal, symlinks
- entry: ACL functions (previously 0% coverage)

API fuzzers (7):
- write: archive creation
- linkify: hardlink detection (complexity 775, was 0%)
- match: inclusion/exclusion patterns
- string: encoding conversions (UTF-8, wide chars)
- seek: seekable archive operations
- roundtrip: write-then-read consistency
- filter: compression/decompression

Supporting files:
- 14 dictionaries with format-specific magic bytes
- 9 options files for complex fuzzers
- Updated build script with seed corpora generation

Targets previously uncovered functions:
- archive_entry_linkify (complexity 775)
- ACL functions (complexity 705-713)
- xar_read_header (was 10.11% coverage)

Expected coverage improvement: 74% → 85-95%

Improve wording

Merge pull request #2812 from AZero13/w

Fix p == null copy paste error

Error check strdup for path name

Use >=, not =>

uname_override checks gname_override when it should check uname_override

We copy from p, not p + module_len

Fix p == null copy paste error

Merge pull request #2807 from KlaraSystems/des/list-tests

Add option to list tests

Merge pull request #2809 from mmatuska/fix/2787

tar: fix off-bounds read resulting from #2787 (3150539ed)

tar: fix off-bounds read resulting from #2787 (3150539ed)

test_main: Add option to list tests

The test runner already lists available tests if it fails to parse the
command line, but add a -l option to explicitly do this without also
printing an error message and a summary of options.

Merge pull request #2805 from fredldotme/android-recovery

libarchive & contrib: Build as static binary for the Android recovery

libarchive & contrib: Build as static binary for the Android recovery

Adds a 'bsdtar-recovery' Android build target for use in Android recoveries
as a static binary, and fixes some build failures on the get-go.

Tested on halium-7.1, halium-9.0 & halium-13.0.

Change-Id: I9b656e7016d4bf21517e2edb18f2a7733edc6982

Merge pull request #2800 from mmatuska/fix/freebsdci

CI: use gmake in Cirrus FreeBSD build

CI: use gmake in Cirrus FreeBSD build

Merge pull request #2797 from mmatuska/fix/treefuncs

Partially revert "Merge pull request #2679 from AZero13/error"

Merge pull request #2799 from AZero13/idk

Prevent unneeded truncation

Prevent unneeded truncation

There is no reason we need to cast when every data type involved is size_t

Partially revert "Merge pull request #2679 from AZero13/error"

This reverts commit d8aaf88c9feab047139df4cae60d845764a2480a, reversing
changes made to ee49ac81068f93754f004368f2cc72c95a8bf056.

tree_reopen() and tree_dup() return NULL only of they
are unable to allocate memory. Otherwise libarchive enters
ARCHIVE_FATAL if trying to walk an enterable but unreadable
directory.

__archive_ensure_cloexec_flag() operates only on fd >= 0
so there is no need to skip it

I have reimplemented the check around fdopendir()

Reported by: Christian Weisgerber from OpenBSD

libarchive/archive_util.c:__archive_issetugid: Fix uninitialized variable rgid

Merge pull request #2791 from KlaraSystems/des/383-fixes

Fix issues encountered while importing 3.8.3 downstream

Merge pull request #2792 from KlaraSystems/des/generate-list

Generate test lists reliably and deterministically

Merge pull request #2793 from bgilbert/rar

Add missing rar5 test case to dist

Merge pull request #2787 from ljdarj/aar

Fix bsdtar zero-length pattern issue.

Fix bsdtar zero-length pattern issue.

Uses the sed-like way (and Java-like, and .Net-like, and Javascript-like…) to fix this issue of advancing the string to be processed by one if the match is zero-length.

Fixes libarchive/libarchive#2725 and solves libarchive/libarchive#2438.

Add missing rar5 test case to dist

Fixes: aafb078b7c ("Update 'archive_mstring_update_utf8' to attempt UTF8->WCS conversion on Windows if MBS conversion fails (#1978)")

Fix low-hanging type issues

Fix lseek argument order

Fix the condition for using LIBXML_DOTTED_VERSION

Improve test list generation

Update the lists of tests reliably and deterministically when the test sources change.

Clean up the top-level Makefile

Most of this is just moving headers out from *_SOURCES.

Merge pull request #2771 from mostynb/lz4_with_leading_skippable_frames

Support both lz4 and zstd data with leading skippable frames

Merge pull request #2751 from KlaraSystems/des/zip_magic_numbers

Avoid magic numbers in zip support code

Merge pull request #2752 from KlaraSystems/des/safe-writes-umask

Set umask before testing safe writes

Merge pull request #2755 from mmatuska/fix/cirrusci

CI: update FreeBSD 14 build environment

Merge pull request #2783 from YoshiRulz/docs-fix-typo

Fix typo in archive_entry_stat(3) man page

Merge pull request #2738 from cmcgee1024/add_clang_module_map

Add a clang module map for libarchive

Fix typo in archive_entry_stat(3) man page

Provide a detailed description of the libarchive module map file

Remove unneeded int cast

Merge pull request #2778 from AZero13/result-0

Set *result to 0 when the tar flush fails.

Merge pull request #2654 from AZero13/swapping-2

s is a signed int, so make it signed int