do checks at parse time, not when each socket opens

lib/ldap/state.c: fix copy-pasted/incomplete doxygen header (wrong @file, @brief, truncated comment)

lib/ldap/map: fix use-after-free in fr_ldap_map_getdn (freed vp appended on parse failure)

lib/ldap/directory: guard naming_contexts allocation with MEM() to avoid NULL deref on OOM

lib/ldap/control: fix off-by-one stack overflow in fr_ldap_control_merge (NULL terminator written past output array)

lib/ldap/bind: reject empty password in fr_ldap_bind_auth_async (LDAP unauthenticated bind = auth bypass)

lib/ldap/base.h: cast char to uint8_t before tolower() in fr_ldap_berval_strncasecmp (signed-char UB)

lib/kafka/base.h: fix garbled GPL boilerplate ('kafkatribute') and truncated @brief

lib/io/load: re-apply pps overflow guard in load_timer as rate ramps up

lib/io/coord_pair: release request when time-tracking start fails in coord_pair_request_start (leak)

lib/io/control: fix NULL deref in fr_control_create when allocation fails

lib/io/channel: seed message_interval EMA on first reply in fr_channel_send_reply

eap_aka_sim/vector: NULL OPc dereference in vector_umts_from_ki() Milenage path (missing OP/OPc check)

eap_aka_sim/module: use-after-free in mod_encode() checkcode error path (missing else)

eap_aka_sim/encode: clear eap_packet->type.data on error paths to avoid dangling pointer / double-free

eap/base.h: remove self-include and duplicate types.h includes

curl/xlat: fix leak of input box in uri.escape when curl_easy_escape fails

curl/io: remove dead/misleading ternary in CURLINFO_TEXT debug logging

bio/retry: remove duplicate fr_bio_retry_rewrite_t typedef in retry.h

bio/packet: fr_bio_packet_write_resume returns 'still blocked' (0) after a successful resume when no app callback is set

bio/network: fix grammar in deny-overlaps error message ('is overlaps' -> 'overlaps')

bio/haproxy: fix duplicate RCSIDH identifier (lib_bio_fd_h -> lib_bio_haproxy_h)

bio/fd: clamp SO_RCVBUF/SO_SNDBUF on unsigned value to avoid negative setsockopt arg

rlm bio/base: fix XDEBUG macro arity mismatch in NDEBUG builds

rlm bio/base: fix misleading copy-paste comment in fr_bio_write_blocked

unit_test_map: fix dead error check masking earlier file failures

unit_test_attribute: hex_to_bin matches nul terminator, silently accepting odd-length hex

radsnmp: handle stdin EOF in NEXT_LINE — fixes NULL deref in SET path and busy-loop on pipe close

radsniff: fix out-of-bounds access in rs_response_to_pcap circular buffer (post-increment wrap)

radsniff: fix off-by-one leaving RT (N+) retransmit bucket always reporting 0

radmin: free readline buffer on 'skip blank lines' path in fr_radmin()

radlock: remove action passes negative sem_id to fr_sem_close() on error, masking the real error

no need to comment out whole sections in the cache module

unused sections are ignored.  Commenting out the section makes it
harder for the automatic formatter to work

use standard indentation for everything

use Asciidoc headings

ci: use GitHub App token for merge-upstream push

GITHUB_TOKEN cannot bypass Ruleset push restrictions. The freeradius-server-ci app (id 4072866) is installed on this repo and is a bypass actor in all branch protection rulesets.

run "make doc.wrap"

the files in raddb/ are not wrapped for now.  We can do that later,
after running a formatter on the input configuration files in the
raddb/ directory.  We can then run "conf2adoc", and update the
build rules to wrap the output adoc files after conversion.

after manual verification of many files, the content hasn't changed.

remove malformed link

pull the radiusd.conf.adoc file from radiusd.conf.in

which leaves a few `@foo@` still in the file, but oh well

whitespace

use foo_config:: consistently

instead of foo_config:, which does not render correctly

add missing $ for $Id:...$

Canonicalize 'Note:' to 'NOTE:'

perl -p -i -e 's/Note:/NOTE:/' $(git grep -l 'Note:' raddb/)

fix antora links

tweaks and updates

docs-v4: Update processing packets section for v4. Update nav listing to match doc title.

add and document "limit exec", too

don't push rules if the subsection can be missing

add support for "limit files" in the "security" section

to limit the access of %file.mkdir(), etc.

don't reparse things which were already parsed

this buffer has to be thread-local, and not static

remove unused headers

print output directory too, for process tests

define macro for common arguments

tweak TFTP decoder for clearer error messages

allow word wrapping for lists outside of nav.adoc

don't word wrap lists in nav.adoc files

docs-v4: add kafka.adoc file to Antora index.

Added corresponding list entry on nav.adoc.
Reordered Logging modules alphabetically in Logging Modules table
and nav.adoc.

All files wrapped - no changed in logging.adoc except the wrap.

docs: update wrap.py to handle any depth of nav list entries (4+).

add fr_filename_box_make_safe()

which can be called as-is, as it calls the sbuff escape functions

add fr_sbuff_in_needs_escaping()

which is often cheaper than brute-force escaping everything

make rad_filename_box_make_safe() idempotent

ci(multi-server): add workflow_dispatch for manual runs (#5886)

Clarify comments in sample redis module config

Document missing parameters

Address obsolete settings in Doxyfile

Use ROPTIONAL for TLS session debug - there may not be a request

Correct filename

add API to discard old entries by state

so that protocols which synthesize State can discard old states

move fr_filename functions to file.c

add fr_filename_ok() function

use DEFINE instead o ATTRIBUTE for TFTP

there are no attribute numbers in the packet header

allow zero-length arguments

and produce better error messages

alwasy set the current time

go to next vp if we're ignoring this one

and don't decode attribute 0 at the root, it's invalid

allow encoding of raw options for DNS

allow encoding of raw options

check dhcpv6_ok() before decoding relayed message

when encoding RADIUS in a foreign protocol, don't encode encrypted attributes

use proper name for protocol being replaced

return underlying error rather than over-writing it

DHCPv6 message type 0 is invalid

fuzzer_util is now auto-generated

return invalid packet code for packets RADIUS can't encode

add round trip through encoder

if decode is successful, try to encode it the data.

If encode is successful, try to decode the encoded data.

not enabled yet

add style guide

add support for $VALUE{...} and $FILE{...}

which loads a single value (one line only) from a file, or loads
an entire file without change.

Add tests and documentation

set the SECRET flag on secrets

relax tokenizer to allow more than $ENV{}

docs-v4: update sql_user tutorial for v4. Added steps and outputs for debugging.

Update to support ** and *** lists

docs-v4: Update sql tutorial for v4.

Includes steps for connecting & testing db connections.

radict: fix NULL deref in da_print_info when recursively printing group/reference attributes

which only happens if the rest of the dictionary code is broken.
But fixing this will quiet the static analyzer

radclient.h: fix copy-paste doc comment on coa_reply field

radclient-ng.h: fix copy-paste doc comment on coa_reply field

dhcpclient: bounds-check packet->code before indexing dhcp_message_types[]

this shouldn't be strictly necessary, as the rest of the code checks
the message types.  But defence in depth is good.

curl/xlat: unchecked return values of fr_value_box_strdup and fr_value_box_bstrndup on error path

curl/io: talloc_get_type_abort called before checking curl_easy_getinfo return code

radsnmp: memory leak when fr_radius_decode_simple() fails

control: ring-buffer leak and ssize_t/size_t mismatch in fr_control_message_pop error path