VULN-DISCLOSURE-POLICY.md: 7 days embargo is max

It was recently updated in this doc to seven, but there was *two*
numbers mentioned and only one of them were updated leaving the
paragraph quite confusing.

Follow-up to 83c90e50472f32b74e388f6e524d

top-complexity: also output average complexity

Closes #17920

RELEASE-NOTES: synced

tests: raise two memory limits

Runing the tests locally without valgrind test 518 and 537 would run
over their limits.

Plus init a variable in runtests.pl to avoid a warning output.

Closes #17919

altsvc: accept 'clear' without semicolon as well

Extend test 1654 to verify

Fixes #17917
Reported-by: Luke Wilde
Closes #17918

GHA: minor tidy-ups

- GHA/checksrc: make a step name more accurate.
- cmakelint.sh: make sure to run from project root.
  To make it easier to run locally.
- cmakelint.sh: use `set -eu`.

Closes #17915

libcurl.m4: fix indentation

Closes #17913

wolfssl: add support for ML_KEM hybrids

For parity with OpenSSL 3.5

Closes #17902

tool_paramhelp: fix language in comments

and tweak the logic a little bit

Closes #17895

GHA/checksrc: use Linux for CI checks, merge job into misc checks

CI check used macOS before this patch, but with the help of Linuxbrew,
latest zizmor and shellcheck are also available on Linux.

Also:
- migrate CI checks to the misc check workflow, to make both shellcheck
  use the same, latest, shellcheck version, and to save the overhead of
  an extra workflow.

Closes #17911

docs: sync -tls-earlydata support w/ CURLOPT_SSL_OPTIONS

Support for early data has been added to wolfSSL and quictls/OpenSSL.

Closes #17909

docs: note SSLS-EXPORT feature in -ssl-sessions doc

Without a libcurl built with the SSLS-EXPORT feature this command line
option produces:

  curl: option --ssl-sessions: the installed libcurl version does not support this
  curl: try 'curl --help' or 'curl --manual' for more information

Add a note of warning on the -ssl-session docs page to account for this.

Closes #17909

lib/vts: fix a copy-pasted early data comment typo

In gtls.c there was a typo'd comment that I think was missing the word
"no" to indicate there's "no GnuTLS way to signal no EarlyData".

This commit fixes that typo, and also updates a copy-pasted instance
that made it into wolfssl.c where it should refer to the WolfSSL API
missing the capability, not GnuTLS.

Closes #17907

lib/vtls: log rustls negotiated KEX group name

Closes #17906

lib/vtls: prefer ciphersuite to cipher in msgs

Closes #17906

lib/vtls: prefer rustls-ffi ciphersuite name API

Closes #17906

misc: fix typos

Just fixing some typos using: https://github.com/crate-ci/typos

Closes #17904

connect: drop unused struct member

Follow-up to 283af039c819bd8039f8d7314f924079782d5abb #14863

Closes #17908

scripts: fix to quote the copyright email address

Also:
- fix the generated output in repo files.

Cherry-picked from #17877
Closes #17903

lib: stop `time()` debug overrides at the end of source in altsvc, hsts

To avoid applying it to all other sources in unity mode.

This may have affected tests setting a custom time via `CURL_TIME`,
in unity builds: 446, 780, 781, 782, 783, 970, 972, 1654, 1660

Closes #17897

tidy-up: drop redundant `#ifdef` before `#undef`

Closes #17899

tidy-up: whitespace (more in Perl)

Follow-up to 8eab2b70860e285525130f69b22ac5567292c659 #17896
Cherry-picked from #17877
Closes #17901

tidy-up: whitespace

Cherry-picked from #17877
Cherry-picked from #17876

Closes #17896

test1222: fix for out-of-tree and no-libcurl-manual builds

Before this patch this test succeeded silently and unconditionally,
when run on an out-of-tree curl build.

Also fix to exit gracefully if no libcurl manuals are found.

Fixing:
```
readline() on closed filehandle $m at ../../tests/test1222.pl line 153.
```

Cherry-picked from #17877
Closes #17892

test1175: fix to run, and fix documentation issues detected

Fix test 1175 by passing the source root directory (was: tests).

Before this patch this caused silent Perl warnings and returning success
without executing the tests, due to:
```
readline() on closed filehandle $f at ../../tests/test1175.pl line 55.
readline() on closed filehandle $f at ../../tests/test1175.pl line 39.
```

Running the test revealed these issues:
```
CURLE_FUNCTION_NOT_FOUND is not in libcurl-errors.md
CURLE_HTTP_POST_ERROR is not in libcurl-errors.md
CURLE_TELNET_OPTION_SYNTAX is not in libcurl-errors.md
CURLM_CALL_MULTI_SOCKET is not in libcurl-errors.md
```

Apply fixes:
- mark `CURLE_FUNCTION_NOT_FOUND` deprecated by 7.53.0
- mark `CURLE_HTTP_POST_ERROR` deprecated by 7.56.0
- mark `CURLE_TELNET_OPTION_SYNTAX` deprecated by 7.78.0
- document `CURLM_CALL_MULTI_SOCKET` as a synonym for
  `CURLM_CALL_MULTI_PERFORM`
- test1477: exclude `CURLM_CALL_MULTI_SOCKET`.

But, these weren't officially deprecated. It may need more updates
to reflect that in other places, or fix the issues differently.

Follow-up to 66ec950004cd45350ad81134557be86391397048 #12424
Follow-up to 74f441c6d31ff8f8bfd242c3d4027d4a56230ce1 #4628

Cherry-picked from #17877
Closes #17880

checksrc-all: rewrite in Perl, remove `checksrc.bat`

`checksrc.bat` was outdated and required Perl for `checksrc.pl` anyway.
Rewrite `checksrc-all.sh` in Perl, making it usable in envs without
a POSIX shell.

Closes #17882

curl: remove the global argument from many functions

Since the config struct has a pointer to it, both pointers don't need to
be passed on.

Closes #17890

curl: unify pointer names to global config

Use 'config' for pointing to a OperationConfig

Use 'global' for pointing to GlobalConfig

Bonus: add config_alloc(), an easier way to allocate + init a new
OperationConfig struct.

Closes #17888

h3: fix query of concurrent streams

Queries gave wrong value or ran into NULL pointers when called at
times when connection filter was not fully initialized.

Closes #17886

socks: fix query when filter context is null

socks connection filter context may be NULL at the time
of a query, accomodate for that.

Closes #17885

http2: fix var types in is_alive() implementations

Closes #17881

projects/build-openssl.bat: remove

This is a script for building OpenSSL to be used with legacy Visual
Studio builds.

I don't think it is our job to provide nor maintain OpenSSL build
scripts.

Remove

Closes #17879

libtests: more header tidy-ups

- make `test*` sources include `first.h`, like all others.
- drop redundant `curlx/*` includes after the above.
- merge `test.h` into `first.h`, now that no other file uses it.
  (and `first.h` had almost no content.)
  To simplify and sync header structure with other tests.

Closes #17875

docs: mention the as-is concept generically

for curl command line options and for curl_easy_setopt

Closes #17829

test1499, 1599: use `%LOGDIR`

Fixing test 1599 also fixes these warnings in the test log:
```
Use of uninitialized value in join or string at /home/runner/work/curl/curl/tests/runner.pm line 774.
```
https://github.com/curl/curl/actions/runs/16157402085/job/45602590085?pr=17768#step:39:743

Assisted-by: Daniel Stenberg
Fixes #17871
Closes #17874

GHA/macos: adapt to macos-15 for upcoming macos-latest bump

macos-latest is soon to switch to macos-15. Make sure it keeps working.

Closes #17873

GHA: update dependency gnutls/gnutls to v3.8.10

Closes #17872

renovate.json: migrate config to new format

Closes #17854

RELEASE-NOTES: synced

tests: move `curlcheck.h` to libtest as `unitcheck.h`

To simplify dependencies, and sync tunits and units builds further.

`curlcheck.h` already depended on logic implemented within libtests:
it referenced a global variable (`unitfail`) defined in `first.c` and
declared in `test.h`.

Also:
- rename to `unitcheck.h` to indicate it's meant for unit tests.
- make `unitcheck.h` include `first.h` instead of `test.h`.
  This brings header use closer to libtests. It also includes
  `curlx/curlx.h` for all unit tests by default now.
- move `unitfail` declaration from `test.h` to `first.h`.
  To match its definition in `first.c`.
- drop now redundant per-test curlx header includes.

Closes #17868

tests: fix 1301, 1308 to fail on error

They were using a macro designed for unit tests. It does not fail when
used in libtests. Make similar macros for these tests, and make them
return a failure.

Also:
- makes these two tests align with the rest of libtests, by including
  `first.h` instead of `curlcheck.h`.
- since libtests no longer need to depend on tests/unit, drop this
  dependency from build scripts.

Closes #17867

curl_osslq: fix missing include of url.h

Follow-up to 4ccf3a31f596b1055d9f128e45d0a647d59b6f53 #17783
Follow-up to b270fec68dc66c7a3d37a283cc147ba3c6fa7297 #17858
Ref: #17857
Closes #17864

windows: drop redundant `curl_wcsdup_callback` callback

This callback was permanently mapped to libcurl's internal
`Curl_wcsdup()`, which always uses the customizable malloc for
allocation, thus making a custom mapping redundant anyway.

To simplify, drop the callback and map `_tcsdup()` in Unicode mode
directly to `Curl_wcsdup()`.

Also fixes:
- `curl_global_init()` which, before this patch, (re)initialized its
  mapping to `_wcsdup()`, returning buffers potentially incompatible
  with a custom allocator.
  Bug: https://github.com/curl/curl/pull/17840#issuecomment-3044361245
  Bug: https://github.com/curl/curl/pull/7540#issuecomment-2380995349
Co-reported-by: Luca Kellermann
Follow-up to 76e047fc27b3a0b9e6d6d00cacf536e7b7c1b532 #7540
Assisted-by: Jay Satiro
Closes #17843

examples: beef up websocket.c

Make `docs/examples/websocket.c more complete by showing how to handle
CURLE_AGAIN return codes and incomplete sends.

Reported-by: Markus Unterwaditzer
Fixes #13288
Closes #17860

KNOWN_BUGS: 10.2 Does not acknowledge getaddrinfo sorting policy

Closes #16718
Closes #17861

libssh: fix readdir issues

Signed-off-by: Eshan Kelkar <eshankelkar@galorithm.com>
Closes #17856

quiche: fix missing include of url.h

Reported-by: Karthik Dasari
Fixes #17857
Closes #17858

runtests: support memory-limits per test

The idea here is to set limits per test how many allocations and maximum
amount of memory it is allowed to use. This is a means to make sure the
number and total size of allocations are kept in check and don't
mistakenly "blow up".

If runtests.pl detects that the given limits have been exceeded it fails
the test case with an error.

The `<verify>` part now supports `<limits>`, and in this section two
limits can be set for each test (verified in debug builds only):

    Allocations: [number of allocation calls]
    Maximum allocated: [maximum concurrent memory allocated]

Default limits (used if nothing is set in the test file):

    Allocations: 1000
    Maximum allocated: 1000000

Closes #17821

GHA: update dependency cloudflare/quiche to v0.24.4

Closes #17849

GHA: update dependency nghttp2/nghttp2 to v1.66.0

Closes #17850

GHA: update dependency awslabs/aws-lc to v1.55.0

Closes #17847

GHA: update dependency Mbed-TLS/mbedtls to v3.6.4

Closes #17846

GHA/distcheck: add missing timeout, reduce existing

Also hung around an `apt update`:
https://github.com/curl/curl/actions/runs/16121486815/job/45488127176?pr=17847

Closes #17853

GHA/curl-for-win: reduce job timeout to 10m, apply to Windows jobs

The timeout was missing from two Windows jobs, making them linger for
a long time due to a command waiting forever.

As seen today with/after `apt update`:
https://github.com/curl/curl/actions/runs/16121485403/job/45488122962?pr=17846

Closes #17852

CI: sync curl download command-line options

- circleci: pipe to tar.
- use long options uniformly.
- sync option order.
- set timeout where missing.
- set retry where missing.
- set `--retry-connrefused` where missing.
- set `--disable` where missing.
- lower 999s timeouts to 120s.

Closes #17851

GHA/linux: fix output in download-decompress commands

Regression from 17a669426f36b467dfd945b4b35f6211598b7977 #17537

Closes #17848

memory: tidy up `_tcsdup()` override

Follow-up to ef2ccf862f8fbfe5cb86cb716aead57694a95ef5 #17840
Closes #17845

renovate.json: fix patterns for OpenSSL, QuicTLS and generic

Follow-up to 17a669426f

Closes #17842

memory: stop overriding unused `wcsdup()`/`_wcsdup()` system functions

Also ban them via `checksrc`.

The code continues to use `_tcsdup()`.

Assisted-by: Daniel Stenberg
Closes #17840

GHA: update cygwin/cygwin-install-action version number to v6

Existing hash received a release tag.

Follow-up to 4c20eb71083268c20f1018145e0de1dff18d5878 #17118
Closes #17844

curl.h: make CURL_IPRESOLVE_* symbols defined as longs

... as `curl_easy_setopt()` expects them to be.

Also remove some casting workarounds.

Closes #17790

GHA: bump OpenSSL to 3.5.1

Closes #17841

libssh2: remove use of 'initialised' for cleanup

It could previously cause a memory-leak when the cleanup was not
performed because it was not set.

Reported-by: albrechtd on github
Fixes #17819
Closes #17837

RELEASE-NOTES: synced

docs,tests: fix english grammar "allow to" -> "allow <something> to"

This was spotted by Debian's lintian tool. It adds an informational
warning at every run, so my OCD was kicking in and I had to fix it :-)

Closes #17787

scorecard: flame graphs and documentation

Add `--flame` option to scorecard.py for generating flame graphs.
Add documentation in docs/internal/SCORECARD.md on how to use this.

Closes #17792

ngtcp2: fix coverity warning about result handling

Closes #17783

GHA/curl-for-win: enable unity batches to improve build perf

Job                 | Before |  After |
:------------------ | -----: | -----: |
Linux gcc glibc     |  4m44s |  4m13s |
Linux llvm MUSL     |  4m17s |  4m00s |
macOS clang         |  1m59s |  1m54s |
Windows llvm        |  3m56s |  3m18s |
Windows gcc ... x86 |  3m26s |  3m11s |

Before: https://github.com/curl/curl/actions/runs/16101989848
After: https://github.com/curl/curl/actions/runs/16102353747?pr=17836

Closes #17836

quic: implement CURLINFO_TLS_SSL_PTR

Replace the old Curl_ssl_get_internals() with a new connection filter
query to retrieve the information. Implement that filter query for TCP
and QUIC TLS filter types.

Add tests in client tls_session_reuse to use the info option and check
that pointers are returned.

Reported-by: Larry Campbell
Fixes #17801
Closes #17809

unit3214: verify struct sizes

This test makes sure that a number of internal and public structs are
within their maximum allowed size limits.

The public structs can only grow in controlled ways, while the internal
ones may be allowed to grow if deemed right.

The idea here is to control, to know and make sure all important struct
growth is intentional.

Closes #17823

memdebug.h: eliminate global macro `CURL_MT_LOGFNAME_BUFSIZE`

It had a single use in `src/tool_main.c`. Replace with a literal and
`sizeof()`s.

Follow-up to aaab5fa299e13c0c3abba929cb187a8ec3b006f9
Cherry-picked from #17827
Closes #17833

ws: drop redundant `CURL_EXTERN` from function definitions

Cherry-picked from #17827
Closes #17832

curl_memory.h: fix to undefine `accept4`

Follow-up to 3d02872be7cfe6dcdef4b02321b47af19e1ce268 #16979
Cherry-picked from #17827
Closes #17831

rustls: apply memory function overrides, fixing an ECH buffer free

Fixing:

- a raw `free()` in ECH code that's malloced in lib code, causing
  an invalid free, also reported by valgrind (in non-unity builds).

  And in unity builds adjusted to behave like non-unity via #17827:
  Ref: https://github.com/curl/curl/actions/runs/16093372427/job/45421778472?pr=17827#step:39:3321

- a local pair of `malloc()`/`free()` to use curl's memory allocators,
  and participate in memory tracking when enabled.

Cherry-picked from #17827
Closes #17830

memdebug.h: #undef `fclose` before defining it

Just in case, and to match the pattern used for similar redefines.

Cherry-picked from #17827

memdebug.h: fix whitespace/indentation

Cherry-picked from #17827

tests: make all names < 75 characters long

- no need to make them long and complicated
- increases the chances of them looking better in terminal outputs

Closes #17824

tests/http/requirements: remove multipart

This is not actually used.

Reported-by: defnull
URL: https://chaos.social/@defnull/114801392456999379

Closes #17825

os400: upgrade ILE/RPG bindings with latest definitions.

Closes #17822

cmake: `curl_add_clang_tidy_test_target` tidy-ups

- simplify gathering header directories and compiler definitions
  recursively.

- handle the case when the cmake directory object doesn't define header
  directories or compiler definitions.

- honor more corners cases:
  - `INTERFACE_INCLUDE_DIRECTORIES` of the initial target.
  - handle no header directory for initial target.

- de-duplicate header directories and compiler redefinitions to mimic
  CMake.

- drop unnecessary `unset()`s.

Note that the order of header directories remains different compared to
how CMake passes them to the compiler when building tests. The order is
already different in the test target `INCLUDE_DIRECTORIES` property,
preventing to reproduce the exact CMake order. The distinction between
`-I` and `-isystem` is also missing from target properties.

Cherry-picked from #17768

Closes #17814

lib: fix unused parameter/function compiler warnings

- hostip: fix unused variable with `CURL_DISABLE_SHUFFLE_DNS`
  ```
  lib/hostip.c: In function 'Curl_dnscache_mk_entry':
  lib/hostip.c:490:42: warning: unused parameter 'data' [-Wunused-parameter]
    490 | Curl_dnscache_mk_entry(struct Curl_easy *data,
        |                        ~~~~~~~~~~~~~~~~~~^~~~
  ```

- setopt: fix unused function with `CURL_DISABLE_HTTP`
  ```
  lib/setopt.c:214:17: warning: 'httpauth' defined but not used [-Wunused-function]
    214 | static CURLcode httpauth(struct Curl_easy *data, bool proxy,
        |                 ^~~~~~~~
  ```

- url: fix unused function with `CURL_DISABLE_NETRC`
  ```
  lib/url.c:2760:13: warning: 'str_has_ctrl' defined but not used [-Wunused-function]
   2760 | static bool str_has_ctrl(const char *input)
        |             ^~~~~~~~~~~~
  ```

Seen with a minimal curl-for-win build:
```
CW_CONFIG=dev-x64-zero-osnotls-osnoidn-nohttp-nocurltool-linux-unity
```

Closes #17818

RELEASE-NOTES: synced

docs: warn about lifetime in CURLOPT_CLOSESOCKET*

Callback and data set via CURLOPT_CLOSESOCKETFUNCTION and
CURLOPT_CLOSESOCKETDATA may get used after the easy handle has been
cleaned up. Inform about that.

Closes #17816

test1499: verify two chunked responses on reused connection

It triggered a memory leak back in 7.88.1

Closes #17815

openssl: fix pkcs11 provider available check

Commit f2ce6c46 among other things added the use of own library context
instead of the default context. Default context has access to OpenSSL
configuration file, own context doesn't have it.
Therefore if a pkcs11 provider is loaded via config file, the function
OSSL_PROVIDER_available() incorrectly detects the provider as
unavailable.

Fix this by loading the OpenSSL config to the library context according
to OpenSSL documentation:
"OSSL_LIB_CTX_load_config() loads a configuration file using the given
ctx. This can be used to associate a library context with providers that
are loaded from a configuration."

Moreover use the provider_loaded flag instead of provider pointer to
determine if a provider is available, as the latter is not set when the
provider is loaded from a configuration.

Closes #17804

cmake: fix `curl_add_clang_tidy_test_target` when no `-D` option

Fix `curl_add_clang_tidy_test_target` generating an invalid option for
`clang-tidy` if the tested target has no custom macro definition.

Current build doesn't hit this case, but a pending PR does.

Fixing:
```
[...] -Ilib -Itests/client -DCURL_HIDDEN_SYMBOLS -DHAVE_CONFIG_H -D_definitions_t-NOTFOUND
```
error: ISO C99 requires whitespace after the macro name [clang-diagnostic-c99-extensions,-warnings-as-errors]

Cherry-picked from #17768
Closes #17813

cmake: gather options recursively in `curl_add_clang_tidy_test_target`

Also look into `INTERFACE_INCLUDE_DIRECTORIES` target properties
for include directories.

Ref: #16973

Closes #17812

tool1621: drop unused internal libcurl headers

Closes #17811

tests/unit: hook up unitprotos to the `units-clang-tidy` target

To make `ninja units-clang-tidy` target work without manually building
core components first.

Also rename the clang-tidy test target generator macro to align its name
with the built-in `add_custom_target()` function.

Follow-up to c9bb9cd165c1b25c2fe005befdcfe479fc9b68e1 #17750

Closes #17810

cmake/FindGSS: initialize result variables

Also rename `_GSS*` local variables to `_gss*` to please `clang-lint`,
which emitted new warnings after adding the initializations.

Ref: https://github.com/curl/curl/issues/17802#issuecomment-3029455984

Closes #17806

cmake/FindGSS: fix processing C header path options

When processing `--cflags` received from `krb5-config` for `gssapi`:

- fix to not break on multiple `-I` options. Before this patch only
  the first `-I` option was processed as a header directory, subsequent
  ones ended up in C flags as a raw directory, without the `-I` arg.
  Follow-up to 558814e16d84aa202c5ccc0c8108a9d728e77a58

- fix to not duplicate C flags.
  Regression from 146759716cbacfd453b9fb13d1096f0595424a6c #14430

- drop local variable `_val` by re-using `_flag`.

- tidy up comments.

Ref: https://github.com/curl/curl/issues/17802#issuecomment-3029455984

Closes #17805

CI: skip CI builds that just touch Dockerfile

This file sees regular updates but isn't used by any CI build.

CURLSHOPT_SHARE.md: mention multi-threading requires callbacks

- Explain that if data is shared in multiple threads then the user must
  set mutex callbacks.

Reported-by: afengsoft@users.noreply.github.com
Fixes https://github.com/curl/curl/issues/17774
Closes https://github.com/curl/curl/pull/17782

VULN-DISCLOSURE-POLICY: minor language polish

Closes #17799

docs: fix two typos

Closes #17795

VULN-DISCLOSURE-POLICY.md: fix typos

Closes #17796

appveyor: drop VS2008 CI job, move OpenSSL 1.0.2 to VS2010

It became flaky today, possible due to an upstream issue. Drop this CI job
also because VS2008 is going to be deprecated soon.

Example:
```
1>------ Build started: Project: curlu, Configuration: Debug Win32 ------
1>Compiling...
1>Project : error PRJ0003 : Error spawning 'cl.exe'.
1>Build log was saved at "file://c:\projects\curl\_bld\lib\curlu.dir\Debug\BuildLog.htm"
1>curlu - 1 error(s), 0 warning(s)
[...]
8>Linking...
8>LINK : fatal error LNK1104: cannot open file '..\..\lib\Debug\curlu-d.lib'
8>Build log was saved at "file://c:\projects\curl\_bld\tests\unit\units.dir\Debug\BuildLog.htm"
8>Test units - 1 error(s), 0 warning(s)
[...]
========== Build: 7 succeeded, 2 failed, 5 up-to-date, 0 skipped ==========
[...]
Command exited with code 1
```

Other times with no visible error all:
```
========== Build: 9 succeeded, 0 failed, 5 up-to-date, 0 skipped ==========
[...]
Command exited with code 1
```
Ref: https://ci.appveyor.com/project/curlorg/curl/builds/52330703/job/ooqxq0b8ftbsv640#L413

Follow-up to 8c9a9b87c20fd9184e0a6c7b5e2c42d727f0db62 #17725
Follow-up to 63e513b106113db0b1b68bab347b80cb4cef4e65 #17380

Closes #17798

Dockerfile: update debian:bookworm-slim Docker digest to 6ac2c08

Closes #17788

easygetopt: fix curl logo in header comment

Closes #17793

curlinfo: provide the 'digest' feature

... since the tests check for the feature using this name, we
accidentally had lots tests not run because this provided the
`digest-auth` feature that was not checked for.

Closes #17786