Drop support for SUBNETS_ACCESSED and CLIENT_ACCESSES commands

Support for the SUBNETS_ACCESSED and CLIENT_ACCESSES commands was
enabled in chronyd, but in chronyc it was always disabled and the
CLIENT_ACCESSES_BY_INDEX command was used instead. As there is no plan
to enable it in the future, remove the support completely.

Don't send uninitialized data in command replies

The RPY_SUBNETS_ACCESSED and RPY_CLIENT_ACCESSES command replies can
contain uninitalized data from stack when the client logging is disabled
or a bad subnet is requested. These commands were never used by chronyc
and they require the client to be authenticated since version 1.25.

Fix buffer overflow when processing crafted command packets

When the length of the REQ_SUBNETS_ACCESSED, REQ_CLIENT_ACCESSES
command requests and the RPY_SUBNETS_ACCESSED, RPY_CLIENT_ACCESSES,
RPY_CLIENT_ACCESSES_BY_INDEX, RPY_MANUAL_LIST command replies is
calculated, the number of items stored in the packet is not validated.

A crafted command request/reply can be used to crash the server/client.
Only clients allowed by cmdallow (by default only localhost) can crash
the server.

With chrony versions 1.25 and 1.26 this bug has a smaller security
impact as the server requires the clients to be authenticated in order
to process the subnet and client accesses commands. In 1.27 and 1.28,
however, the invalid calculated length is included also in the
authentication check which may cause another crash.

Update chrony.conf.example2

Don't mention pre 2.2 Linux kernels in documentation

Update NEWS

Treat address bind errors as non-fatal

Update chrony.spec.sample

Update copyright in chronyc GPL string

Update NEWS

Update example config files more

Document port directive set to 0 as random port

Use texi2html only if it's available

Don't ship faqgen.pl

Fix possible leaks of temporary file names

Fix memset calls

Update documentation

Update example config files

Create /etc and /var/lib/chrony on installation

Avoid sentences written in first person

Update comparison with ntpd

Remove fixed problems from FAQ

Update copyright years

Don't call finalise functions on fatal error

Also, return with non-zero exit code.

Combine source frequencies by skew

Add minimum skew limit to sourcestats

Fix printing of outlier status

Add more entries to tracking log

Add number of combined sources, remaining offset correction from
previous update and estimated stddev of the combined offset.

Fix maxchange offset check

Call maybe_log_offset and update_leap_status after adjusting clock

Fix spelling

Log manual entries with MANU refid in tracking log

Fix log message to not include newline

Fix printing of negative offset with settime command

Reuse REF_SetReference code with manual reference

Write freq and skew to drift file with six decimal places

Use fscanf to read drift file

Modify minimum skew checking

Replace bzero with memset

Remove changelog from conf.c

Cleanup including of system headers

Don't abort on EINTR select errors

Replace LOG_FATAL call with assert in SCH_MailLoop

Don't apply outlyer penalty at beginning

Wait until the reach register is full to allow marking a source as
outlyer for 32 updates. This makes start nicer with iburst.

Add minsamples and maxsamples directives

Allow configuration of the maximum and minimum number of samples per
source.

Modify SST_GetSelectionData to return only necessary data

Use UTI_DiffTimevalsToDouble to calculate theta

Fix fabs use on delay

Limit sources included in combining

Combine only sources whose distance is shorter than distance of the
selected source multiplied by the value of combinelimit and their
estimated frequencies are close to the frequency of the selected source.
Add outlyer status for sources which are selectable, but not included in
the combining. The status is displayed as '-' in the chronyc sources
output.

Resurrect source combining

This is based on the code that was removed in CVS revision 1.3 of
sources.c. The weighting is simplified and the code is moved to a new
function.

Remove unnecessary adjtimex calls

Fix rounding in UTI_AddDoubleToTimeval with negative increments

Adjust last_select_ts on slew

Rename SCH_GetFileReadyTime() and extend it to return raw time

Drop duplicated int64_to_timeval()

Fix UTI_DoubleToInt32 to check for overflow

Move NTP_int32 conversion functions to util.c

Add --enable-trace to configure

Fix configure help message

Abort on parse errors in refclock directive

Fix burst command with specified address

This was broken in commit 0f8def4ca4237495f13a93384ded9245495e3c8f.

Allow hostnames in offline, online and burst commands

Don't use uninitialized value in receive_packet()

Fix stratum setting when source with non-minimum stratum is selected

Improve peer polling in symmetric mode

If the remote stratum is higher than ours, try to lock on the peer's
polling to minimize our response time by slightly extending our delay or
waiting for the peer to catch up with us as the random part in the
actual interval is reduced. If the remote stratum is equal to ours, try
to interleave evenly with the peer.

Save remote poll only with valid packets

Fix peer polling with shorter remote poll

If the remote peer uses a polling interval shorter than the local
minimum, the local peer will be unable to send any packets as the
timeout will be updated on every received valid packet and will never
expire.

Modify the delay calculation to aim at poll interval away since the last
transmit.

Also, share the delay calculation code with transmit_timeout().

Requeue transmit timeout only with valid packets

Ignore packets from offline sources

Rework the logic in transmit_timeout() to change the online status on
the following timeout to allow ignoring packets from offline sources.

Set stratum from last sample instead of best

Drop unused SST_GetReferenceData()

Make receive_packet() more readable

In burst count only accumulated samples as good

Slew only non-zero local timestamps in ntp core

Fix poll timeout with symmetric peer and poll 0

Remove unncessary return statements

Add recommendation on password security to keyfile description

Add option to generate command key on start

With generatecommandkey directive, if no command key is found in the key
file on start, one will be generated automatically from /dev/urandom.

Fix some error messages

Create sockets only in selected family with -4 or -6 option

Set paths in documentation by configure

Document default value of commandkey

Add option to authenticate automatically on chronyc start

Refactor key parsing

Try linking readline without ncurses first

Various spelling fixes

Reviewed-By: Rogério Theodoro de Brito <rbrito@ime.usp.br>

Refactor command parsing

- normalize command line before parsing
- compare whole words
- check for missing/extra arguments in config parsing
- use strdup for string allocation
- share code for reporting syntax errors
- avoid using function pointers
- cleanup the code a bit

Abort on errors when parsing config

Log online/offline status change for burst sources too.

Don't send uninitialized fields in dump and local requests

Accept float value as initstepslew threshold

Update .gitignore

Terminate batch processing in chronyc on quit command

Define DEFAULT_CONF_FILE in config.h

Reply to NTPv1 and NTPv2 packets with same version

Reply to NTPv1 packets

Add user directive for dropping root privileges

This is equivalent to the -u option.

Add option to ignore initstepslew and makestep directives

When chronyd is started with -R, the initstepslew directive and the
makestep directive with a positive limit will be ignored. This is useful
when restarting chronyd to avoid unnecessary clock adjustments. It can
be used with -r.

Fix crash with duplicated initstepslew address

When there are duplicate ntp servers listed on the initstepslew line, 2
SourceRecords are created (sourceA and sourceB), and two timers are
created (timerA and timerB).  When ntp responses are received, only
sourceA is updated because of the way read_from_socket searches for a
matching record.  Eventually, the criteria for sourceA are met, causing
timerA to stop and n_completed_sources to increment.  timerB continues
to trigger, sending ntp poll messages to the ntp server.  Responses from
that server are assigned to sourceA, triggering the criteria for sourceA
and causing n_completed_sources to increment improperly.  Once this
happens enough times, n_complete_sources == number of servers and all
SourceRecords are deleted.  The next time timerB triggers, it attempts
to access sourceB, which was already been deleted, causing the core.

Fix crash in config parsing with too many servers