dist: include {src,lib}/checksrc.whitelist

RELEASE-NOTES: updated for 7.42.0

THANKS: added contributors from 7.42.0 release notes

THANKS-filter: a few more alterations to squash

contrithanks.sh: helper script for maintaining THANKS

http_done: close Negotiate connections when done

When doing HTTP requests Negotiate authenticated, the entire connnection
may become authenticated and not just the specific HTTP request which is
otherwise how HTTP works, as Negotiate can basically use NTLM under the
hood. curl was not adhering to this fact but would assume that such
requests would also be authenticated per request.

CVE-2015-3148

Bug: http://curl.haxx.se/docs/adv_20150422B.html
Reported-by: Isaac Boukris

fix_hostname: zero length host name caused -1 index offset

If a URL is given with a zero-length host name, like in "http://:80" or
just ":80", `fix_hostname()` will index the host name pointer with a -1
offset (as it blindly assumes a non-zero length) and both read and
assign that address.

CVE-2015-3144

Bug: http://curl.haxx.se/docs/adv_20150422D.html
Reported-by: Hanno Böck

cookie: cookie parser out of boundary memory access

The internal libcurl function called sanitize_cookie_path() that cleans
up the path element as given to it from a remote site or when read from
a file, did not properly validate the input. If given a path that
consisted of a single double-quote, libcurl would index a newly
allocated memory area with index -1 and assign a zero to it, thus
destroying heap memory it wasn't supposed to.

CVE-2015-3145

Bug: http://curl.haxx.se/docs/adv_20150422C.html
Reported-by: Hanno Böck

ConnectionExists: for NTLM re-use, require credentials to match

CVE-2015-3143

Bug: http://curl.haxx.se/docs/adv_20150422A.html
Reported-by: Paras Sethia

openssl: add OPENSSL_NO_SSL3_METHOD check

CURLOPT_HEADERFUNCTION.3: match parameter name in synopsis and desc

Bug: https://github.com/bagder/curl/issues/229
Reported-by: bsammon

configure --with-nss: remove unneeded libs from the fallback

contributors.sh: fix help output, filter out (-prefix from names

RELEASE-NOTES: synced with cc0e7ebc3be0

CURLMOPT_TIMERFUNCTION.3: Clarify, add an example

vtls/openssl: use https in URLs and a comment typo fixed

curl_version_info.3: fixed the 'protocols' variable type

Reported-by: John Marshall
Bug: https://github.com/bagder/curl/issues/225

test1423: added missing "file" to server section

TheArtOfHttpScripting: Multiple URLs + Multiple HTTP methods

... and some minor edits

Revert "HTTP: don't abort connections with pending Negotiate authentication"

This reverts commit 5dc68dd6092a789bb5e0a67a1c1356ba87fdcbc6.

Bug: https://github.com/bagder/curl/issues/223
Reported-by: Michael Osipov

cyassl: Fix include order

Prior to this change CyaSSL's build options could redefine some generic
build symbols.

http://curl.haxx.se/mail/lib-2015-04/0069.html

configure --with-nss: drop redundant if statement

configure --with-nss=PATH: query pkg-config if available

Bug: https://github.com/bagder/curl/pull/171

parsecfg: do not continue past a zero termination

When a config file line ends without newline, the parsing function could
continue reading beyond that point in memory.

Reported-by: Hanno Böck

gitignore: Ignore Windows build output directories

RELEASE-NOTES: synced with 1ba6e4c88e0

TODO: 17.9 Choose the name of file in braces for complex URLs

TODO: a little caution that maybe not all ideas are still good

TODO: 17.8 offer color-coded HTTP header output

TODO: 17.7 warning when sending binary output to terminal

KNOWN_BUGS: #90 IMAP "SEARCH ALL" truncates output on large boxes

cyassl: Add support for TLS extension SNI

gitignore: ignore test-driver file

vtls_openssl: improve PKCS#12 load failure error message

vtls_openssl: fix minor typo in PKCS#12 load routine

vtls_openssl: improve client certificate load failure error messages

vtls_openssl: remove ambiguous SSL_CLIENT_CERT_ERR constant

BUGS: refer to the github issue tracker now as primary

firefox-db2pem: fix wildcard to find Firefox default profile

At some point, Firefox has changed and generates different directory
names for the default profile that made this script fail to find them.

Bug: https://github.com/bagder/curl/issues/207
Reported-by: sneakyimp

cyassl: Include the CyaSSL build config

CyaSSL >= 2.6.0 may have an options.h that was generated during
its build by configure.

build: Generate source prerequisites for Visual Studio in generate.bat

Prior to this change Visual Studio builds could fail due to missing
prerequisites src/tool_hugehelp.c and include/curl/curlbuild.h.

http://curl.haxx.se/mail/lib-2015-04/0034.html

lib/makefile.m32: add missing libs to build libcurl.dll

Add 'gdi32' and 'crypt32' Windows implibs to avoid failure
while building libcurl.dll using the mingw compiler.
The same logic is used in 'src/makefile.m32' when
building curl.exe.

test142[23]: verify that an empty file is stored on success

src/tool_operate: create output file on successful download

... of an empty file

Bug: https://github.com/bagder/curl/issues/183

src/tool_cb_wrt: separate fnc for output file creation

lib/transfer.c: Remove factor of 8 from sleep time calculation

The factor of 8 is a bytes-to-bits conversion factor, but pkt_size and
rate_bps are both in bytes. When using the rate limiting option, curl
waits 8 times too long, and then transfers very quickly until the
average rate reaches the limit. The average rate follows the limit over
time, but the actual traffic is bursty.

Thanks-to: Benjamin Gilbert

x509asn1: Silence x64 loss-of-data warning on RSA key length assignment

The key length in bits will always fit in an unsigned long so the
loss-of-data warning assigning the result of x64 pointer arithmetic to
an unsigned long is unnecessary.

cyassl: Use CYASSL_MAX_ERROR_SZ for error buffer size

Also fix it so that all ERR_error_string calls use an error buffer.
CyaSSL's implementation of ERR_error_string only writes the error when
an error buffer is passed.

http://www.yassl.com/forums/topic599-openssl-compatibility-and-errerrorstring.html

cyassl: Remove 'Connecting to' message from cyassl_connect_step2

Prior to this change libcurl could show multiple 'CyaSSL: Connecting to'
messages since cyassl_connect_step2 is called multiple times, typically.
The message is superfluous even once since libcurl already informs the
user elsewhere in code that it is connecting.

checksrc.bat: quotes to support an SRC_DIR with spaces

hostip: fix compiler warnings

introduced in the previous mini-series of 3 commits

actually implement CURLOPT_RESOLVE removals

- also log when a CURLOPT_RESOLVE entry couldn't get parsed

move Curl_share_lock and ref counting into Curl_fetch_addr

fix refreshing of obsolete dns cache entries

- cache entries must be also refreshed when they are in use
- have the cache count as inuse reference too, freeing timestamp == 0 special
  value
- use timestamp == 0 for CURLOPT_RESOLVE entries which don't get refreshed
- remove CURLOPT_RESOLVE special inuse reference (timestamp == 0 will prevent refresh)
- fix Curl_hostcache_clean - CURLOPT_RESOLVE entries don't have a special
  reference anymore, and it would also release non CURLOPT_RESOLVE references
- fix locking in Curl_hostcache_clean
- fix unit1305.c: hash now keeps a reference, need to set inuse = 1

RELEASE-NOTES: synced with abf6bddc14a

checksrc.bat: Check lib\vtls source

cyassl: Set minimum protocol version before CTX callback

This change is to allow the user's CTX callback to change the minimum
protocol version in the CTX without us later overriding it, as we did
prior to this change.

build-openssl.bat: Fix mixed line endings

Use LF not CRLF, throughout.  msysgit will only convert a file to CRLF
on checkout if it's not mixed.

cyassl: Fix certificate load check

SSL_CTX_load_verify_locations can return negative values on fail,
therefore to check for failure we check if load is != 1 (success)
instead of if load is == 0 (failure), the latter being incorrect given
that behavior.

http2: Fix missing nghttp2_session_send call in Curl_http2_switched

Previously in Curl_http2_switched, we called nghttp2_session_mem_recv to
parse incoming data which were already received while curl was handling
upgrade.  But we didn't call nghttp2_session_send, and it led to make
curl not send any response to the received frames.  Most likely, we
received SETTINGS from server at this point, so we missed opportunity to
send SETTINGS + ACK.  This commit adds missing nghttp2_session_send call
in Curl_http2_switched to fix this issue.

Bug: https://github.com/bagder/curl/issues/192
Reported-by: Stefan Eissing

cookie: handle spaces after the name in Set-Cookie

"name =value" is fine and the space should just be skipped.

Updated test 31 to also test for this.

Bug: https://github.com/bagder/curl/issues/195
Reported-by: cromestant
Help-by: Frank Gevaerts

cyassl: Fix library initialization return value

(Curl_cyassl_init)
- Return 1 on success, 0 in failure.

Prior to this change the fail path returned an incorrect value and the
evaluation to determine whether CyaSSL_Init had succeeded was incorrect.
Ironically that combined with the way curl_global_init tests SSL library
initialization (!Curl_ssl_init()) meant that CyaSSL having been
successfully initialized would be seen as that even though the code path
and return value in Curl_cyassl_init were wrong.

CURLOPT_HTTP200ALIASES.3: Mainly SHOUTcast servers use "ICY 200"

Icecast versions 1.3.0 through 1.3.12 would reply with "ICY 200"
under certain conditions:

    client_wants_icy_headers (connection_t *con)
    {
            const char *val;

            if (!con)
                    return 1;

            val = get_user_agent (con);
            if (!val || !val[0] || strcmp (val, "(null)") == 0)
                    return 1;

            if (con->food.client->use_icy)
                    return 1;
            if (strncasecmp (val, "winamp", 6) == 0)
                    return 1;
            if (strncasecmp (val, "Shoutcast", 9) == 0)
                    return 1;

            return 0;
    }

So mainly if there is no 'user agent' or it is '(null)' or contains
'winamp' or 'Shoutcast'.

No mainstream distribution carries Icecast 1.3.x anymore, after all
it was released in 2002 and superseded by Icecast 2.x.

axtls: add timeout within Curl_axtls_connect

This allows test 405 to pass on axTLS.

checksrc: Windows-specific input fixes

lib/config-win32ce.h
- Fix whitespace for checksrc compliance.

lib/checksrc.pl
- Remove trailing carriage returns from input.

projects/checksrc.bat
- Ignore tool_hugehelp.c.

configure: Use KRB5CONFIG for krb5-config

Allows the user to easier override its path.

Bug: http://curl.haxx.se/bug/view.cgi?id=1486

multi: remove_handle: move pending connections

If the handle removed from the multi handle happens to be the one
"owning" the pipeline other transfers will be waiting indefinitely. Now
we move such handles back to connect to have them race (again) for
getting the connection and thus avoid hanging.

Bug: http://curl.haxx.se/bug/view.cgi?id=1465
Reported-by: Jiri Dvorak

KNOWN_BUGS: 89 is bug #1411

Disabling pipelining on multi handle with in-progress pipelined requests
leads to heap corruption and crash

cyassl: CTX callback cosmetic changes and doc fix

- More descriptive fail message for NO_FILESYSTEM builds.
- Cosmetic changes.
- Change more of CURLOPT_SSL_CTX_* doc to not be OpenSSL specific.

RELEASE-NOTES: synced with d2feb71752f

tool_operate: only set SSL options if SSL is enabled

runtests.pl: detect WolfSSL as yassl

cyassl: add SSL context callback support for CyaSSL

Adds support for CURLOPT_SSL_CTX_FUNCTION when using CyaSSL, and better
handles CyaSSL instances using NO_FILESYSTEM.

cyassl: remove undefined reference to CyaSSL_no_filesystem_verify

CyaSSL_no_filesystem_verify is not (or no longer) defined by cURL or
CyaSSL. This reference causes build errors when compiling with
NO_FILESYSTEM.

build: Fix libcurl.sln erroneous mixed configurations

Prior to this change some Release configurations had an active
configuration assignment to their Debug counterpart.

vtls: Don't accept unknown CURLOPT_SSLVERSION values

url: Don't accept CURLOPT_SSLVERSION unless USE_SSL is defined

build: link curl to openssl libraries when openssl support is enabled

This fixes a build failure where openssl and libmetalink are used
together and the system linker does not do implicit linking (e.g.
Fedora 13 and later releases). The MD5 functions required for
metalink support must be pulled in from the openssl crypto library.

This is similar to commit c6e7cbb94e669b85d3eb8e015ec51d0072112133,
which fixes the same sort of problem for NSS builds.

multi: on a request completion, check all CONNECT_PEND transfers

... even if they don't have an associated connection anymore. It could
leave the waiting transfers pending with no active one on the
connection.

Bug: http://curl.haxx.se/bug/view.cgi?id=1465
Reported-by: Jiri Dvorak

globbing: fix url number calculation when using range with step

In function glob_range, the number of urls was multiplied by (max - min
+ 1), regardless of step. The correct formula is (max - min) / step + 1

README.http2: refreshed and added TODO items

globbing: fix step parsing for character globbing ranges

The glob_range function used wrong offset (3 instead of 4) for parsing
integer step inside character range specification, which led to 'bad
range' error when using character ranges with explicitly specified step
(such as '[a-z:2]')

polarssl: called mbedTLS in 1.3.10 and later

polarssl: remove dead code

and simplify code by changing if-elses to a switch()

CID 1291706: Logically dead code. Execution cannot reach this statement

polarssl: remove superfluous for(;;) loop

"unreachable: Since the loop increment is unreachable, the loop body
will never execute more than once."

Coverity CID 1291707

Curl_ssl_md5sum: return CURLcode

... since the funciton can fail on OOM. Check this return code.

Coverity CID 1291705.

cyassl: default to highest possible TLS version

(cyassl_connect_step1)
- Use TLS 1.0-1.2 by default when available.

CyaSSL/wolfSSL >= v3.3.0 supports setting a minimum protocol downgrade
version.

cyassl/cyassl@322f79f

cyassl: Check for invalid length parameter in Curl_cyassl_random

cyassl: If wolfSSL then identify as such in version string

symbols-in-versions: added CURLOPT_PATH_AS_IS

testcurl.pl: add the --notes option to supply more info about a build

Support for notes has been in place for a while, but it required
being added to the setup file manually.

curl_memory: make curl_memory.h the second-last header file loaded

This header file must be included after all header files except
memdebug.h, as it does similar memory function redefinitions and can be
similarly affected by conflicting definitions in system or dependent
library headers.

openssl: do the OCSP work-around for libressl too

I tested with libressl git master now (v2.1.4-27-g34bf96c) and it seems to
still require the work-around for stapling to work.

openssl: verifystatus: only use the OCSP work-around <= 1.0.2a

URL: http://curl.haxx.se/mail/lib-2015-03/0205.html
Reported-by: Alessandro Ghedini

openssl: adapt to ASN1/X509 things gone opaque in 1.1

curl_easy_setopt.3: Fix misspelling in CURLOPT_PATH_AS_IS description

CURLOPT_HTTPHEADER.3: fix typo in recent commit

CURLOPT_PATH_AS_IS.3: add type 'long' to prototype

vtls: fix compile with --disable-crypto-auth but with SSL

This is a strange combination of options, but is allowed.

os400: define new options in ILE/RPG binding.