Use setpwent()/endpwent() + all the shadow variants to make sure
we don't inadvertantly leak an fd to the child.  Apparently Linux's
shadow routines leave the fd open even if you don't call setspent().
Reported by mike@gistnet.com; different patch used.

s/eg./e.g./

select() may return EAGAIN.  If so, continue like we do for EINTR.

Fix a non-exploitable buffer overflow in the word splitting code.  This
should really be rewritten.

FAQ link goes away

Tell people to look in sample.syslog.conf for examples, not FAQ

Update list of env vars that are cleared

remove struct env_table decl since that stuff has all moved to env.c

Fix a pasto in flock-style unlocking and include <sys/file.h> for flock
on older systems; twetzel@gwdg.de

regen to get NeXT lockf/flock fix

force NeXT to use flock since lockf is broken

Use stashed user_gid when checking against exempt gid since sudo
sets its gid to a a value that makes sudoers readable.  Previously
if you used gid 0 as the exempt group everyone would be exempt.
From Paul Kranenburg <pk@cs.few.eur.nl>

regen

#include stdio.h in SUDO_CHECK_TYPE since IRIX 6 aparently defines some
types (such as ssize_t) therein.

Fix negation of paths in a boolean context.  Problem found by apt@UH.EDU

pasto

SA_RESETHAND means the opposite of what I was thinking--oops
To block all signals in old-style signals use ~0, not 0xffffffff

coerce difference of pointers to int when used in a string length printf
format; deraadt@openbsd.org

Block all signals in Exit() to avoid a signal race.  There is still a
tiny window but I'm not going to worry about it.

glibc uses the LANGUAGE env var so clear that too; Solar Designer

Regenerate with a fix to flex.skl that preserves errno from clobbering
by isatty().

Some defaults I_ defines got renamed.

Move defaults info into its own files from which we generate
.h and .c files.  This makes adding or rearranging variables
much simpler.

fix typo in last commit

Add check + emulation for setegid (like seteuid).

Make env_keep override badenv_table as documented
Fix traversal of badenv_table (broken in last commit)

Don't try and build saved uid version of set_perms on systems w/o them.
Rename set_perms_saved_uid() -> set_perms_posix()
Make set_perms_setreuid simply be set_perms_fallback() and simply include
  the appropriate function at compile time (setreuid() vs. setuid()).

PATH is also preserved when env_reset is in effect

New Defaults options:
 o stay_setuid - sudo will remain setuid if system has saved uids or setreuid(2)
 o env_reset - reset the environment to a sane default
 o env_keep - preserve environment variables that would otherwise be cleared

No longer use getenv/putenv/setenv functions--do environment munging by hand.
Potentially dangerous environment variables can be cleared only if they
contain '/' pr '%' characters to protect buggy programs.
Moved environment routines into env.c (new file)

Clear up --without-passwd description

We now build up a new environment from scratch and assign it to "environ".

Grammatical fixes from Paul Janzen

If there was a syntax error and the user just wants to quit, unlink
sudoers if it is zero length.

'Q' means ignore parse error, not 'q'

Open sudoers for writing with mode SUDOERS_MODE
From Dimitry Andric <dim@xs4all.nl>

Add missing #ifdef HAVE_LOGIN_CAP_H; ayamura@ayamura.org

Darwin / Mac OS X support from Wilfredo Sanchez <wsanchez@apple.com>

Use exit(127), not exit(-1)

Move set_perms() to its own file and use POSIX saved uid or setreuid()
if available.

Added stay_setuid option for systems that have libraries that perform
extra paranoia checks in system libraries for setuid programs (ie:
anything with issetugid(2)).

strip more bits from the environment and add a facility for stripping
things only if they contain '/' or '%' to address printf format string
vulnerabilities in other programs.

regen

For NCR, add -lc89 to LIBS, not SUDO_LIBS and cache the existence
of strcasecmp().

regen

Check for strcasecmp(3) in -lc89 for NCR Unix

Define HAVE_INNETGR #ifdef HAVE__INNETGR

regen

Add check for _innetgr(3) since NCR systems have that instead of
innetgr(3).

check return value of creadcfg()
call sd_close() after sd_auth()
store username in sd->username so we don't rely on the USER env variable

document --with-bsdauth

regen

--with-bsdauth assumes --with-logincap

When prompting for a response to a challenge, if the user just hits return
then reprompt with echo turned on.

Remove debugging code that should not have been committed, oops.

Use lower-level routines and get the password ourselves.
Checks for a challenge and if there is one echo is not turned off.

minor housekeeping, no real code changes

Fix a coredump in the logging functions if gethostname(2) fails
by deferring the call to log_error() until things are better setup.

Fix return value of set_loginclass() in non-BSD-auth case.

Hard-code 'sudo' in the usage message so we can fit more options on a line

Fix errant ';' (typo) that broken MSG_ONLY

regen

Document -a flag

Add support for BSD authentication.

Fix typo; from sato@complex.eng.hokudai.ac.jp

Mention negating umask

Allow user to specify umask of 0777 (same as !umask)

Fix a typo and give a URL for the sudo history.

fix typos; pepper@reppep.com

sudo_setenv() now exits on memory alloc failure instead of returning -1.

Strip out NLSPATH and PATH_LOCALE from the environment for FreeBSD
and possibly others.

Don't use vsyslog(3) since HP-UX (and others?) lack it.  This means
that "%m" won't be expanded but we don't use that anyway since the
logging routines may splat to stderr as well.

Add always_set_home variable

Have to hard code default values in help since the defaults
are set _after_ the help stuff.

Allow special characters (including '#') to be embedded in pathnames
if quoted by a '\\'.  The quoted chars will be dealt with by fnmatch().
Unfortunately, 'sudo -l' still prints the '\\'.

Better path searching for programs we need.

Add section on "C compiler cannot create executables" errors.

Crank version

Substitute values from configure into man pages.

The listpw and verifypw sudoers options would not take effect because
the value of the default was checked *before* sudoers was parsed.
Instead of passing in the value of PWCHECK_* to sudoers_lookup(),
pass in the arg for def_ival() so the check can be deferred until
after sudoers is parsed.

When writing prompt, no need to write the NUL as well; hag@linnaean.org

When looking for chown, check in /sbin too

Remove extraneous call to init_defaults() and set runas_user to NULL
betweem parses so init_defaults will reset it each time, thus avoiding
a reference to free()d data.

Add support for using getifaddrs() to get the list of ip addr / netmask
pairs.  Currently IPv4-only.

Add a missing check for UserEditor == NULL
Add missing '+' before line number when invoking editor to fix a syntax error

Call clean_env very early in main() for paranoia's sake.  Idea from
Marc Esipovich.

Update proto for evasprintf and easprintf

Make easprintf() and evasprintf() return an int.

If the targetpw flag is set, use target username as part of the timestamp path.
If tty tickets are in effect cat the tty and the target username with a
':' as the separator.

Backout part of last change; setting PAM_USER to the invoking user
breaks things like targetpw.

set tty and username via pam_set_item

Fix root, runas, and target authentication for non-passwd file auth
methods.

Use B<-Z> not C<-Z> for command line flags in all places.  This is more
consistent and works around a bug in Pod::Man.

Fix an occurence of 'semicolon' that should be 'colon'

Fix --with-badpri help line

Bracket calls to syslog with an openlog() and closelog() since some
authentication methods (like PAM) may do their own logging via
syslog.  Since we don't use syslog much (usually just once per
session) this doesn't really incur a performance penalty.
It also Fixes a SEGV with pam_kafs.

Fix -H flag.  runas_homedir is only valid after set_perms(PERM_RUNAS, mode)

Clarify the fact that insults are not enabled just by including
them in the binary.

Regenerated with perl 5.6.0 pod2man

Give date string to pod2man since its default is ugly and it ain't got
no alibi.

Do section substitution on the output of pod2man and remove hack needed
for old pod2man.

Put back real man sections, we will do the substitution later.

Don't bother checking for the path to vi if user specified --with-editor

Visudo now does its own fork/exec instead of calling system(3).