lib-auth: auth-scram-client - Check assertions earlier so that no segfault is triggered instead

Issue found by Coverity (CID: 42292)

lib-var-expand: Remove pointless assigment in var_expand_program_execute_one_real()

Forgotten from 2b8036fbb90c0c0d716ee419a5595a4328c118be

doveadm: Remove CORS headers from OPTIONS reply

lib-program-client: program-client-local - Drop any real root privileges before program execvp()

Running programs with real root privileges while the effective privileges are
user-level is risky and often unexpected.

auth: auth_request_validate_client_fp() - Ensure client certificate can be checked

lib-sasl: oauth2 - Send configured scope for failure responses

auth: sasl-mech-oauth2 - Add scope to sasl settings for failure responses

auth: db-oauth2 - Add accessor for space separated list of scopes

lib-sasl: Allow passing scope for failures

auth: Use Lua libraries conditionally in test-auth

m4: want_lua - Check that lualib header exists

NEWS: Add news for 2.4.3

lib-sql: driver-sqlite - Fail with empty query

By default SQLite happily accepts empty query, so we need to
error out.

auth: passdb-sql - Require update_query to be set when used

auth: Initialize set_credentials event properly

Fixes update_query

auth: Move passdb event lifecycle handling to auth_request_passdb_event_(begin|end)

auth: cache - Use translated username in auth_cache_remove()

lib-index: mail_index_try_read_map() - Add assert that header_size is small enough

lib-index: Fix detecting overly large mail_index_header.messages_count

The previous check overflowed the integer calculation, which prevented the
check from working correctly.

This commit also removes the unnecessary
mail_index_record_map.mmap_used_size.

doveadm: client-connection - Get API key from per-connection settings

doveadm: Use datastack for temporary b64 value

There is no need to allocate it from connection pool.

doveadm: client-connection - Use timing safe credential check

global: Use const for struct imap_parser_params params

imap-login: Limit the number of open IMAP parser lists

This prevents attackers from using a large number of '(' in a command to
grow memory usage excessively.

lib-imap: Add imap_parser_params.list_count_limit

lib-imap, global: Add params parameter to imap_parser_create()

auth: userdb sql - Fix escaping for user iteration

This is mostly a non-issue, since userdb iteration doesn't take any
untrusted input.

Broken by ef0c63b690e6ef9fbd53cb815dfab50d1667ba3a

auth: passdb sql - Fix escaping for set_credentials()

This was only used by OTP SASL mechanism after successful authentication, so
it practically couldn't be used for SQL injections.

Broken by ef0c63b690e6ef9fbd53cb815dfab50d1667ba3a

auth: Rewrite ldap_escape() with a unit test

auth: test-auth - Run Lua unit tests even when building Lua as plugin

lib-settings: settings_get_params() - Fix using provided escape_func

This fixes auth-sql and auth-ldap to actually do escaping.

auth: passdb/userdb ldap - Fix escaping ldap filter, base and bind_userdn

Broken by c2ccdab8d09dec65753ee42366f48d53d7f47cfd

auth: Make struct settings_get_params params const

lib-mail: Limit the number of RFC2231 parameters that can be parsed

This avoids excessive CPU usage especially in result_append().

fts: Remove decode2text.sh

The script is flawed and not fit for production use, should
recommend writing your own script, or using Apache Tika.

auth: Don't disconnect auth client when invalid base64 SASL input is received

The base64 input comes from untrusted client. It shouldn't cause the auth
client to disconnect, which causes other concurrent logins to be aborted.

Broken by 1486c30e191ff079bfa78e7950173bb33d8073d9

imap: test-imap-client-hibernate - Shorten test directory path

Helps to avoid errors:
net_listen_unix(.../imap-hibernate) failed: File name too long

lib-storage: mail-storage - Avoid checking new mailbox name for forbidden characters for implicit NFC rename

Since NFC normalization does not change a text to suddenly contain characters
that are forbidden in a mailbox name, the original mailbox name already
contained the forbidden characters. There is no point in forbidding the
characters in the implicit rename.

lib-dcrypt: Use clean version of cryptographic pools

Ensure blocks are safely cleaned on destruction.

auth: Use unique directory for base_dir for unit tests

Otherwise auth-token-secret.dat might get clobbered by other
tests when running in parallel.

auth: test-auth-cache - Fix error matching on older distros

lib-var-expand: Change var_expand_parameter_value to struct

lib-var-expand: Limit padding in hex and hexlify to 256 bytes

lib-var-expand: Add fuzz-var-expand-import

lib-var-expand: Harden program import

lib-var-expand: Use value for error in var_expand_parameter_bool_or_var()

lib-var-expand: Check that modulo is positive in special case for fn_calculate()

lib-var-expand: Fix delayed error handling

Broken by 2b8036fbb90c0c0d716ee419a5595a4328c118be

lib-mail: translation_buf_decode() - Fix comments

lib-mail: Fix another potential assert-crash when parsing illegal charset translation sequence

The fix in 110c19e44e95be6b6d2b09cf994ce5b502c8dd8c was incomplete.

lib-http: Limit chunked transfer trailer size

The HTTP chunked transfer parser (`http_transfer_chunked_parse_trailer`)
previously instantiated a header parser for the trailer without applying
any header limits, leading to potential resource exhaustion.

feat: Add IMAP4rev1 capability check to imap-login proxy

The imap-login proxy now checks if the remote server advertises the IMAP4rev1 capability. If the capability is not found, the proxying will fail with an error message.

lib-var-expand: Initialize providers to NULL

Satisifies older compilers

login-common: Add some unit tests

login-common: Create clients using master_service event

login-common: Use var_expand_template() to simplify logging

lib-var-expand: Add var_expand_program_to_string()

lib-var-expand: Add var_expand_program_has_variable()

Checks if the program has variable.

lib-var-expand: Add var_expand_program_template|split()

These functions can be used to separate literals and actual programs
from a expansion program, this can be useful when template needs
to be processed for SQL queries or similar purposes.

lib-var-expand: Add var_expand_program_execute_one()

Executes first program in expansion program.

lib-var-expand: Extract var_expand_program_execute_one_real()

Executes one expansion program.

lib-var-expand: Extract prepare_state()

lib-var-expand: Add small description to header

lib-var-expand: Reformat expansion-program.c

lib-dict-extra: Escape paths in username for private dict keys

Prevent path traversal issues in username when doing dict lookups with
private dict keys.

lib-dict-extra: test-dict-fs - Parametrize username testing

This will allow testing path traversal behavior in a follow-up commit.

lib-mail: Fix potential assert-crash when parsing illegal charset translation sequence

The assert was added by 7aad885a21e7b3832fa98f41613097383603929f

lib: UNICODE_*_CHAR_UTF8_LEN - Remove extra ; from macros

lib-var-expand: Reduce truncated buffer size only if necessary

lib-storage, imap: Fix token authentication when re-hibernating IMAP session

Preserve the original session's PID as auth_token_session_pid in userdb
fields next to auth_token field.

imap: Add logging details for auth tokens

auth: Add debug logging for auth token details

imap-hibernate: Explicitly copy individual state fields

This should reduce accidentally forgetting to strdup() some of the added
fields. Also it was confusing because mail_log_prefix was intentionally
not strdup()ed but the pointer was still copied.

imap: Fail hibernation early if auth_token is missing for user

lib-dcrypt: Use provided algorithm in dcrypt_openssl_digest()

Broken in 7dee2781943863ebebd9d8ee8602a0e97ff094a8

lib-settings: settings-history-core.txt - Add missing imap-master socket history

Forgotten in aaadfd97448c79310264e696ecf50f223cf3ff78

lib-settings: settings-history-core.txt - Fix anvil-auth-penalty history

Broken by a42c7271006750775b6751aa1b98242595e696b3

lib-dcrypt: Require encryption key hash length to match hash algorithm

fs-posix: Implement file_equals()

lib-fs: Add fs_file_equals()

lib-json: remove misleading >0x80 check from generator

json_append_escaped_char() is called only by json_append_escaped_ucs4()
and only when the unicode character is <0x80, therefore this check is
useless at best and misleading at worst.

configure: Report all CFLAGS and LDFLAGS

m4: dovecot - Bump serial

m4: dovecot - Fix AM_LDFLAGS usage

m4: dovecot - Add address & memory sanitizers to linker flags too

lib: ostream-file - Shrink buffer to optimal size after it is flushed

If the ostream buffer was temporarily grown large, it was never shrunk back
to a small value, causing memory to be wasted for long-lived streams.

lib-index: Fix potential crash when handling corrupted cache file header

Corrupted deleted_record_count could have caused "division by zero" crash.
Fix both calculations to avoid integer overflows.

imap: Make sure proctitle is refreshed after failed unhibernation

This should avoid hanging [waiting on unhibernate client] proctitles.

imap: Change imap-master socket to be owned by default_internal_user

This allows imap-hibernation to work with default settings. The previous
change of requiring DOVECOT-TOKEN authentication for imap-master makes
this change safe.

imap, imap-hibernate: Use DOVECOT-TOKEN authentication for unhibernation

The hibernated sessions provide an authentication token to imap-hibernate
process, which sends the token to imap-master socket when unhibernating.
If the token doesn't match, the unhibernation will fail. This allows
giving imap-master socket wider permissions, since it can no longer be
used to log in as any user.

login-common: Improve logging internal failure errors for proxy reauth

doveadm auth test/login: Log the reason for auth failure

lib-auth-client: Fill a more exact log_error for auth_request_callback_t

lib-auth-client: Add log_error parameter to auth_request_callback_t

lib-auth-client: Add comments to auth-client.h

lib-auth-client: Add code=temp_fail to all internal failures

This makes sure the caller handles the internal failure as a temporary
failure.

lib-auth-client: Fix error message if channel binding not supported by caller

lib-auth-client, global: auth_client_set_connect_notify() - Change callback to have error string

auth: Add a default auth-token UNIX socket

The permissions are 0666, so everyone can connect to it. This should be
safe enough, because only token authentication is allowed and failures are
delayed. Someone might flood the socket with connections, but auth-userdb
socket already has the same potential issue.

auth: Fix request leak when client tries to authenticate with unsupported mechanism