initialize "other" to quiet the static analyzer

catch corner cases in parsing files

use intermediate variables while talking the tree

instead of using the input variables, which then get
over-written

bad shared secrets are warnings, not errors

free entry on error reading file

fix error message missing parameter
(found by claude code)

error in DEBUG message
(found by claude code)

max_attr not incremented after partial failure
(found by claude code)

error in DEBUG message formatting
(found by claude code)

compare pointer to NULL instead of int 0

comparing a pointer to the integer literal 0 is technically valid C (implicit conversion to null pointer) but is non-idiomatic and can confuse static analyzers. should be != NULL.
(found by claude code)

overflow check correction, typo in error message

when parsing string (   static int read_string(rlm_isc_dhcp_tokenizer_t *state)   )
if string is of size 255,
then '/0' is added at position 256, which is an overflow error
so ((size_t) (q - state->string) >= sizeof(state->string) -1 )  necessary to preserve space for the null terminator,

copy-paste mistake.

(found by claude code)

print secrets at debug3, even if the configs say to suppress

remove SecurID module.

the modern way to check SecurID tokens is via their REST API.

docs-v4: Update/rewrite content for v4 prepaid tutorial (replaces PR 5472)

docs-v4: update/rewrite content for proxy tutorials (v4) . Replaces PR 5739.

fix typo

return failure on error

ensure that prefix length is limited to 0..7

Add Marconi TACACS+ dictionary

Add more Nokia attributes

From
https://infocenter.nokia.com/public/7750SR150R5A/index.jsp?topic=%2Fcom.sr.radius%2Fhtml%2Fsros_radius_attrib.html

update checks for Server-Id

As per RFC 9915 the server MUST discard any Solicit, Confirm,
or Rebind messages that include a Server Identifier option.

Signed-off-by: ethan-thompson <ethan.thompson@networkradius.com>

Information-Request can contain Server-ID

But if so, it has to match.

RFC 9915 Section 16.12 says that the server MUST discard any
received Information-request messages IF the message includes
a Server Identifier option, AND the DUID in the option does not
match the server's DUID, OR the message includes an IA option.

So Server-ID is optional in this case, and should be validated
only if it's present.

Signed-off-by: ethan-thompson <ethan.thompson@networkradius.com>

If vp is not appended to tmp, it is not freed with tmp (as expected). Instead, explicitly free vp before going to fail.

Signed-off-by: ethan-thompson <ethan.thompson@networkradius.com>

We added support for dhcpv6 lease query and lease query reply. We need to not reject them.

Signed-off-by: ethan-thompson <ethan.thompson@networkradius.com>

Validate DHCPv6 reconfigure message option has a valid message type

Signed-off-by: ethan-thompson <ethan.thompson@networkradius.com>

Update comment to use the correct number of hex digits for a 32-bit integer.

Signed-off-by: ethan-thompson <ethan.thompson@networkradius.com>

only append to the output list if the inputs are valid

previously it was leaving decoded values in the list, and then
also appending the raw data.

clean up more aggressively on error

fix bounds checking, add corresponding unit tests

blksize was missing minimum check,
if statement previously flags the 'end-of-file' packet as malformed,
unit tests added to check empty data block signals end-of-file, as well as invalid block size where minimum is 8

(protocols/tftp: fix empty DATA packet rejection and missing blksize minimum check 470)

fix syntax error
(fix(udpfromto.c): fix syntax error 'to = NULL:' -> 'to = NULL;' 177)

add 'goto error' after a REDEBUG() call
when trying to encrypt a 3gpp pseudonym without the ID hint byte:
if the request.EAP-Type does not match a SIM based EAP-Type
then return XLAT_ACTION_FAIL
(eap_aka_sim/xlat: missing goto error in encrypt xlat causes silent encryption with tag=0 75)

error function call parameter fixed
(rlm_redis_ippool_tool: fix NULL deref in driver_get_stats error path 351)

return code (-1) when allocation failure
(dhcpv6/dns: return -1 on OOM in default client allocation 204)

add missing #pragma once
(eap_aka_sim/module.h: add missing #pragma once 70)

minor tweaks to edit code

minor tweaks and fixes

ferror() does not return any reasonable error value.

If we're looping over all values in an 8-bit range, don't use an
8-bit index variable.

update end check for strings

the check (a_end + 1) < in->end requires at least two bytes between
the two pointers. Since in->end points to the NUL terminator, this
means a trailing digit at position in->end - 1 (the very last data
byte) is never checked.

For example, parsing "123x" where x is the last character of
"in". a_end points to x, a_end + 1 == in->end, condition is false,
and any trailing data is not detected.

add checks to quiet coverity

set h && watcher if the connection succeeds immediately

fr_dbuff_reset_talloc() can reset to at least minimum size

and doesn't need to always reset from larger (allowed) size, back
to minimum size

Typo

Add Nokia IPv6 packet counters

As found in
https://infocenter.nokia.com/public/7750SR150R5A/index.jsp?topic=%2Fcom.sr.radius%2Fhtml%2Fsros_radius_attrib.html

various minor bug fixes in dl.c

don't calculate "end" until we have checked the inputs

add DNS tests for encoding, decoding, and error paths

tweak corner cases and typos

return failure on error case

fix fr_nbo_to_int64v()

use / return int64_t, not uint64_t

set the high bits to zero starting at 0, not part-way through

initialize variable before doing recursive call, not in recursion

check current pointer, not packet start

use real parent context

use DEBUG for non-error message

increment pointer after \r, \n, etc.

copy va_list instead of re-using it,and other cleanups

check each individual entry, not only the first one

free on error

fix typos

use correct talloc type

fix minor issues in rlm_mschap

use distinct name per test

remove auth_fail tests from Postgres until we determine why they fail

the rows are inserted, but the SELECT returns no data

tweak lhs/rhs handling rules, and require well-formed strings

use different rules for local LHS / RHS, which ensures that
there's no aliasing, and that the local rules updates don't
mangle each other.  There were corner cases where the LHS rules
would get over-written in the tmpl_needs_resolving() condition
near the end of the file.

Complain if quoted strings on the RHS aren't well formed.
Add a test for this case, too

use correct talloc hierarchy, and clean up more on error

minor fixes to map.c

remove unused variables, tweak cleanup paths to always clean up
intermediate lists.

minor tweaks to connection handling

conn->shutdown may not exist, and other small changes for
consistency

use vb_foo instead of datum.foo

and update comments to note that '%l' and '%c' are NOT dates,
but instead integers.  If they were of type 'date', then they
would be printed as dates, and not as integers.

use MEM in more places, and free buffers on error

various minor bug fixes in compile.c

various bug fixes for corner cases in rlm_isc_dhcp

check for invalid MS-CHAP attributes

zero out binding in destructure, before calling release

which avoids a double free

ensure that frame->retry always has the same talloc parent

various minor bug fixes in interpret.c

more tests for corner cases of TACACS+ encoder

more tests for corner cases of DHCPv4 encoder

more tests for corner cases of DHCPv4 encoder

removed redundant free
fclose(f) also frees oc, so talloc_free(oc) is not necessary
(lib/util/fopencookie: fix double-free of cookie in fseek error path 159)

return code (-1) when invalid data type
(value.c: fr_value_box_ipaddr_from_network returns 0 instead of -1 for invalid type 302)

fixed double-counting, when updating source and destination statistics
code was updating both stat[src_code] and stat[dst_code], once when updating source statistics and once again when updating destination statistics.
(rlm_stats: per-IP stats double-count both src_code and dst_code 229)

remove impossible assert
ret == RD_KAFKA_CONF_UNKNOWN already checked in previous if statement that returns value 0. so assert is redundant, always fails, and also prevents cf_log_err() from printing error message
(lib/kafka: remove impossible assertion in kafka_topic_config_dflt 106)

return code (-1) when out of memory
(proto_dhcpv4/v6_udp.c: return 0 instead of -1 on talloc_zero failure in mod_instantiate 305)

more tests for corner cases of RADIUS encoder

use correct size for poisoned region

instead of relying on "slen", which is then over-written before
un-poisoning the region.

clean up and tweak substr tests

more corner cases for internal encoder / decoder

more corner cases for DER

more corner cases for TACACS+

add corner cases / error tests for DHCPv6

more tests for dhcpv4

more corner cases for RADIUS

add more tests for error cases and bad packets

add tests for more corner cases

disallow empty input files

while it can be nice to do nothing, it's best to do something.

return on error

rhel: Disable dwz (dwarf compression), so we get debuginfo usable with lldb

docker: Copy GPG key from the build phase to reduce spurious failures

count offers, not replies

check for end pointer, too

return on OOM

update macro