CAB reader: fix memory leak on repeated calls to archive_read_support_format_cab

`archive_read_support_format_cab` allocates a fresh context structure on
each call before registering the CAB format with libarchive. On the
second call, however, the registration step reports the format is
already registered, so the function frees the newly allocated context
structure — it is not needed, since the one from the first call is
already in use.

The context structure contains a `ws` field of type `archive_wstring`.
During initialization, `archive_wstring_ensure` is called on that field,
which performs its own heap allocation.

The cleanup path described above frees the context structure without
also releasing the memory owned by the `ws` field, causing a leak.

Fixed by calling `archive_wstring_free` on the `ws` field before freeing
the context structure.

Fixes #1980.

Merge pull request #2888 from seb128/archive-read-valgrind

archive_read: optimize string copy, avoid redundant strlen

archive_read: optimize string copy, avoid redundant strlen

Calculate the filename length only once during read_file_data
initialization and replace strcpy with memcpy.

As a side effect it also helps silencing valgrind warnings due to strcpy
word-based optimization
https://github.com/libarchive/libarchive/issues/2887

Merge pull request #2885 from kpatsakis/signature-malloc-null-check

Unchecked malloc result in archive_read_support_filter_program_signature()

If malloc() returns NULL (e.g., under memory pressure, container memory limits, or constrained embedded environments), the subsequent memcpy(NULL, ...) produces a SIGSEGV.

Merge pull request #2855 from dag-erling/des/mkdir-errno

archive_write_disk_posix: Report correct error

Unbreak CMake build

Merge pull request #2856 from bradking/pathname-encoding

archive_write: Fix crash on failure to convert WCS/UTF-8 pathname to MBS

test_main: Run tests as unprivileged user

If run as root (as is the case in CI), switch to an unprivileged user
(default: nobody) before running each test, and switch back after.
This makes it possible to write tests that rely on file permissions.

Note that tests that use the UID or GID must now check the EUID / EGID
instead as they will be different while the test is running.  The only
way to avoid that is to run each test case in a child process, which
would hugely increase the complexity of test_run().

test_main: Add assertChown

Add test case for failing to create directory

archive_write_disk_posix: Report correct error

When create_dir() fails to create a directory, it immediately checks to
see if the directory already exists, which can happen if it's been given
something like foo/../foo.  Unfortunately, this clobbers errno, which
means that create_dir() always reports ENOENT, regardless of the actual
error.  Fix this by only performing this extra check if errno is EEXIST,
then reset errno to either EEXIST or ENOTDIR depending on the outcome.

Merge pull request #2880 from kientzle/kientzle-lha-oversize-header

Reject LHA archives with ridiculously large headers

Remove unused var

Reject LHA archives with ridiculously large headers

The header is a series of blocks, most of which contain
values of just a few bytes (sizes, times, etc).  The only
exceptions are the filename and directory name attributes,
which will be limited by the MSDOS/Windows maximum file length
limit.  So it seems unlikely that this will ever exceed 64k.
(If we find counter-examples, we can easily extend this limit.)

Merge pull request #2878 from LoboQ1ng/fix-mtree-fd-leak

Fix file descriptor leak in mtree parser cleanup (CWE-775)

Merge pull request #2879 from kientzle/kientzle-prune-freebsd-ci

Prune FreeBSD CI from 10 variations down to 3

Non-snap images are RELEASE, not STABLE

Don't use snap image here

Prune FreeBSD CI from 10 variations down to 3

Previously, we tested many combinations of FreeBSD version, build system, and filesystem.
In practice, that's redundant, and we've started seeing these excessive requests get throttled by Cirrus.
Cutting back to just 3 combinations should suffice and reduce the risk of throttling.

mtree: fix file descriptor leak in cleanup

Close any dangling file descriptor in the mtree cleanup function to prevent FD exhaustion (CWE-775) when a read loop is aborted early.

Merge pull request #2875 from bradking/7z-elf64

7zip: Fix out-of-bounds access on ELF 64-bit header

7zip: Fix out-of-bounds access on ELF 64-bit header

The ELF specification's `Elf64_Ehdr` type is 64 bytes [1].
`find_elf_data_sec` accesses the last field, `e_shstrndx`.
Make sure we read enough data to populate it.

[1] https://refspecs.linuxfoundation.org/elf/gabi4+/ch4.eheader.html

Merge pull request #2858 from FooIbar/nettle-4.x

Fix incompatibility with Nettle 4.x

Merge pull request #2860 from xTibor/fix-iso-year

bsdunzip: Fix ISO week year and Gregorian year confusion

Merge pull request #2859 from zhangjy1014/fix-issue-2744

Fix NULL pointer dereference in archive_acl_from_text_w()

bsdunzip: Fix ISO week year and Gregorian year confusion

Add test for malformed "default" ACL prefix (issue #2744)

Verify that archive_entry_acl_from_text() and
archive_entry_acl_from_text_w() return ARCHIVE_WARN instead of
crashing when given a bare "d" or "default" string with no
subsequent tag field.

Without the accompanying fix in archive_acl.c this test triggers
a NULL-pointer dereference (SEGV) in archive_acl_from_text_w().

Fix NULL pointer dereference in archive_acl_from_text_w()

When parsing a short "default" ACL prefix (e.g. L"d") with no
subsequent tag field, field[n] is left as {NULL, NULL} and the
code dereferences it unconditionally in the switch statement,
causing a SEGV.

Add a zero-length check after computing the field length so that
malformed entries are skipped with ARCHIVE_WARN, matching the
documented contract. Also move the st pointer computation after
the guard to avoid dereferencing a NULL start pointer.

Fixes libarchive/libarchive#2744

Fix incompatibility with Nettle 4.x

archive_write: Fix crash on failure to convert WCS/UTF-8 pathname to MBS

If an entry pathname is set only by WCS or UTF-8, it may not have any
MBS representation in the archive's hdrcharset.  Do not crash or create
an archive with an empty pathname.  Furthermore, the entry pathname may
not have any MBS representation in the current locale.  Do not report a
`(null)` pathname in the error message.

archive_string_append_from_wcs: Fix silently lossy conversions on Windows

On Windows, since commit ae54394104 (Implement a string conversion
interface..., 2011-05-09, v3.0.0a~398), `archive_string_append_from_wcs`
no longer returns an error on use of replacement characters in non-C
locales.  Restore the error to avoid silent use of replacement
characters, and for consistency across platforms.

archive_string_conversion_charset_name: Fix calls for current locale

Some code paths may call `archive_string_conversion_charset_name(sconv)`
with `sconv == NULL` when converting to/from the current locale.

archive_mstring_get_mbs_l: Restore error on failure to convert from WCS/UTF-8

Prior to commit c30f279475 (Complete support for UTF8 encoding
conversion, 2020-05-31, v3.5.0~32^2), `archive_mstring_get_mbs_l` returned
an error on failure to convert WCS to MBS.  Restore the error so callers
can distinguish conversion failure from having no string in any form.

On Windows, `archive_mstring_get_mbs_l` from WCS with `sconv != NULL`
internally calls `archive_string_append_from_wcs_in_codepage` more than
once, with both `sconv != NULL` and `sconv == NULL`.  Due to another bug
in the `sconv == NULL` case, we cannot enable all test combinations yet.

archive_string_append_from_wcs: add test case for conversion failure

Merge pull request #2838 from DHowett/revert-2826-waitpid

Revert "Wait for the process instead of busy wait loop"

Revert "Wait for the process instead of busy wait loop"

Merge pull request #2781 from AZero13/ints

Remove unneeded int cast

Merge pull request #2826 from AZero13/waitpid

Wait for the process instead of busy wait loop

Merge pull request #2836 from ngie-eign/add-freebsd-15-cirrus-ci

Expand the test matrix to include 15.x images/ZFS

Expand the test matrix to include 15.x images/ZFS

This change adds support for the following test scenarios:

- 15.0-RELEASE - ZFS
- 15.0-STABLE - UFS
- 15.0-STABLE - ZFS

This additional testing aims to catch issues with 15.x, as well as
ensure libarchive use doesn't regress when run on ZFS-based hosts.

Signed-off-by: Enji Cooper <yaneurabeya@gmail.com>

Merge pull request #2835 from jmcarp/build-illumos

Skip unsupported linker options on illumos.

Skip unsupported linker options on illumos.

Building on illumos currently fails with:

```
ld: fatal: unrecognized option '--gc-sections'
```

This happens because `--gc-sections` isn't supported on illumos `ld`.
This patch updates CMakeLists.txt to skip unsupported linker options on
illumos. The flags used on other operating systems are optimizations
that don't affect correctness, so this change is safe.

Merge pull request #2825 from AZero13/patch-2

Error check ret before calling copy_seek_stat

Merge pull request #2824 from AZero13/qosflags

Remove bitmask typo in dwSecurityQosFlags

Merge pull request #2827 from AZero13/free

Simplify file free

Merge pull request #2829 from AZero13/leak-shar

archive_write_shar_header: free shar->last_dir before replacement

Merge pull request #2830 from AZero13/return

return early if archive_write_set_format_shar fails

Merge pull request #2831 from AZero13/check-copy-length

Use copy_length as upper-bound, not strlen(p)

Merge pull request #2834 from AZero13/patch-5

Use #warning, not #warn

archive_write_shar_header: free shar->last_dir before replacement

Use #warning, not #warn

#warn is a GNU extension

Use copy_length as upper-bound, not strlen(p)

return early if archive_write_set_format_shar fails

Simplify file free

free is fine if NULL

Wait for the process instead of busy wait loop

Error check ret before calling copy_seek_stat

Remove bitmask typo in dwSecurityQosFlags

We seemed to have been isolating the wrong flags.

Merge pull request #2813 from AZero13/memcpy

We copy from p, not p + module_len

Merge pull request #2796 from vcoxvco/fix_unninit

libarchive/archive_util.c: Uninitialized variable

Merge pull request #2816 from AZero13/strdup

Error check strdup for path name

Merge pull request #2814 from AZero13/gname

uname_override checks gname_override when it should check uname_override

Merge pull request #2789 from libarchive/dependabot/github_actions/all-actions-50b857948b

CI: Bump the all-actions group across 1 directory with 3 updates

Merge pull request #2815 from AZero13/=

Use >=, not =>

CI: Bump the all-actions group across 1 directory with 3 updates

Bumps the all-actions group with 3 updates in the / directory: [actions/checkout](https://github.com/actions/checkout), [actions/upload-artifact](https://github.com/actions/upload-artifact) and [github/codeql-action](https://github.com/github/codeql-action).

Updates `actions/checkout` from 5.0.0 to 5.0.1
- [Release notes](https://github.com/actions/checkout/releases)
- [Changelog](https://github.com/actions/checkout/blob/main/CHANGELOG.md)
- [Commits](https://github.com/actions/checkout/compare/08c6903cd8c0fde910a37f88322edcfb5dd907a8...93cb6efe18208431cddfb8368fd83d5badbf9bfd)

Updates `actions/upload-artifact` from 4.6.2 to 5.0.0
- [Release notes](https://github.com/actions/upload-artifact/releases)
- [Commits](https://github.com/actions/upload-artifact/compare/ea165f8d65b6e75b540449e92b4886f43607fa02...330a01c490aca151604b8cf639adc76d48f6c5d4)

Updates `github/codeql-action` from 3.30.6 to 4.31.3
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/64d10c13136e1c5bce3e5fbde8d4906eeaafc885...014f16e7ab1402f30e7c3329d33797e7948572db)

---
updated-dependencies:
- dependency-name: actions/checkout
  dependency-version: 5.0.1
  dependency-type: direct:production
  update-type: version-update:semver-patch
  dependency-group: all-actions
- dependency-name: actions/upload-artifact
  dependency-version: 5.0.0
  dependency-type: direct:production
  update-type: version-update:semver-major
  dependency-group: all-actions
- dependency-name: github/codeql-action
  dependency-version: 4.31.3
  dependency-type: direct:production
  update-type: version-update:semver-major
  dependency-group: all-actions
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #2819 from GabrielBarrantes/work/typos

Improve wording

Merge pull request #2820 from skypher/oss-fuzz-expansion

Expand OSS-Fuzz integration: 1 → 25 fuzz targets

Refactor all fuzzers to use shared fuzz_helpers.h

Complete the refactoring of all 25 fuzzers:
- Remove duplicate Buffer struct definitions from 15 format fuzzers
- Remove duplicate DataConsumer class from 7 API fuzzers
- Update consume_bytes() calls to match new signature
- All fuzzers now use shared helpers from fuzz_helpers.h

This eliminates ~1000 lines of duplicated code.

Refactor fuzzers: add shared header, remove system() call

- Add fuzz_helpers.h with shared Buffer, reader_callback, DataConsumer
- Replace system("rm -rf") with nftw-based remove_directory_tree()
- Refactor entry, tar, write_disk fuzzers to use shared helpers
- Reduces code duplication and improves maintainability

Expand OSS-Fuzz integration: 1 → 25 fuzz targets

Add comprehensive fuzzing coverage for libarchive:

Format-specific fuzzers (13):
- tar, zip, 7zip, rar, rar5, xar, cab, lha, iso9660, cpio, warc, mtree, ar

Security-critical fuzzers (4):
- encryption: encrypted archive handling
- write_disk: extraction path traversal
- read_disk: filesystem traversal, symlinks
- entry: ACL functions (previously 0% coverage)

API fuzzers (7):
- write: archive creation
- linkify: hardlink detection (complexity 775, was 0%)
- match: inclusion/exclusion patterns
- string: encoding conversions (UTF-8, wide chars)
- seek: seekable archive operations
- roundtrip: write-then-read consistency
- filter: compression/decompression

Supporting files:
- 14 dictionaries with format-specific magic bytes
- 9 options files for complex fuzzers
- Updated build script with seed corpora generation

Targets previously uncovered functions:
- archive_entry_linkify (complexity 775)
- ACL functions (complexity 705-713)
- xar_read_header (was 10.11% coverage)

Expected coverage improvement: 74% → 85-95%

Improve wording

Merge pull request #2812 from AZero13/w

Fix p == null copy paste error

Error check strdup for path name

Use >=, not =>

uname_override checks gname_override when it should check uname_override

We copy from p, not p + module_len

Fix p == null copy paste error

Merge pull request #2807 from KlaraSystems/des/list-tests

Add option to list tests

Merge pull request #2809 from mmatuska/fix/2787

tar: fix off-bounds read resulting from #2787 (3150539ed)

tar: fix off-bounds read resulting from #2787 (3150539ed)

test_main: Add option to list tests

The test runner already lists available tests if it fails to parse the
command line, but add a -l option to explicitly do this without also
printing an error message and a summary of options.

Merge pull request #2805 from fredldotme/android-recovery

libarchive & contrib: Build as static binary for the Android recovery

libarchive & contrib: Build as static binary for the Android recovery

Adds a 'bsdtar-recovery' Android build target for use in Android recoveries
as a static binary, and fixes some build failures on the get-go.

Tested on halium-7.1, halium-9.0 & halium-13.0.

Change-Id: I9b656e7016d4bf21517e2edb18f2a7733edc6982

Merge pull request #2800 from mmatuska/fix/freebsdci

CI: use gmake in Cirrus FreeBSD build

CI: use gmake in Cirrus FreeBSD build

Merge pull request #2797 from mmatuska/fix/treefuncs

Partially revert "Merge pull request #2679 from AZero13/error"

Merge pull request #2799 from AZero13/idk

Prevent unneeded truncation

Prevent unneeded truncation

There is no reason we need to cast when every data type involved is size_t

Partially revert "Merge pull request #2679 from AZero13/error"

This reverts commit d8aaf88c9feab047139df4cae60d845764a2480a, reversing
changes made to ee49ac81068f93754f004368f2cc72c95a8bf056.

tree_reopen() and tree_dup() return NULL only of they
are unable to allocate memory. Otherwise libarchive enters
ARCHIVE_FATAL if trying to walk an enterable but unreadable
directory.

__archive_ensure_cloexec_flag() operates only on fd >= 0
so there is no need to skip it

I have reimplemented the check around fdopendir()

Reported by: Christian Weisgerber from OpenBSD

libarchive/archive_util.c:__archive_issetugid: Fix uninitialized variable rgid

Merge pull request #2791 from KlaraSystems/des/383-fixes

Fix issues encountered while importing 3.8.3 downstream

Merge pull request #2792 from KlaraSystems/des/generate-list

Generate test lists reliably and deterministically

Merge pull request #2793 from bgilbert/rar

Add missing rar5 test case to dist

Merge pull request #2787 from ljdarj/aar

Fix bsdtar zero-length pattern issue.

Fix bsdtar zero-length pattern issue.

Uses the sed-like way (and Java-like, and .Net-like, and Javascript-like…) to fix this issue of advancing the string to be processed by one if the match is zero-length.

Fixes libarchive/libarchive#2725 and solves libarchive/libarchive#2438.

Add missing rar5 test case to dist

Fixes: aafb078b7c ("Update 'archive_mstring_update_utf8' to attempt UTF8->WCS conversion on Windows if MBS conversion fails (#1978)")

Fix low-hanging type issues

Fix lseek argument order

Fix the condition for using LIBXML_DOTTED_VERSION

Improve test list generation

Update the lists of tests reliably and deterministically when the test sources change.