http_digest: Moved clean-up function into SASL module

http_digest: Moved algorithm definitions to SASL module

ssh: Fixed build on platforms where R_OK is not defined

Bug: http://curl.haxx.se/mail/lib-2014-11/0035.html
Reported-by: Jan Ehrhardt

strdup: Removed irrelevant comment

...as Curl_memdup() duplicates an area of fix size memory, that may be
binary, and not a null terminated string.

url.c: Fixed compilation warning

conversion from 'curl_off_t' to 'size_t', possible loss of data

http_digest: Use CURLcode instead of CURLdigest

To provide consistent behaviour between the various HTTP authentication
functions use CURLcode based error codes for Curl_input_digest()
especially as the calling code doesn't use the specific error code just
that it failed.

contributors.sh: filter common alternative name spellings

docs/THANKS-filter is a new filter file for converting contributor names
we get or have recorded in alternative formats to the one we already use
in THANKS. To help us show individual contributors using a single
presentation of their names.

THANKS: added missing contributor from 2012

Remove duplicate names.

The removed names also appear as:
Andrés García, François Charlier, Gökhan Şengün, Michał Górny, Sébastien
Willemijns, Christopher Conroy, John E. Malmberg, Luca Altea, Peter Su,
S. Moonesamy, Samuel Listopad, Yasuharu Yamada, Karl Moerder

sspi: Define authentication package name constants

These were previously hard coded, and whilst defined in security.h,
they may or may not be present in old header files given that these
defines were never used in the original code.

Not only that, but there appears to be some ambiguity between the ANSI
and UNICODE NTLM definition name in security.h.

Adjust OS400-specific support to last release

THANKS: added two missing names and removed a duplicate

./contributors.sh found these extra ones that somehow had fallen
through the cracks and never gotten added here.

Reported-by: Frank Gevaerts

bump: towards next release

THANKS: added names from 7.39.0 release notes

RELEASE-NOTES: 7.39.0 release (commit b3875606925)

curl_easy_duphandle: CURLOPT_COPYPOSTFIELDS read out of bounds

When duplicating a handle, the data to post was duplicated using
strdup() when it could be binary and contain zeroes and it was not even
zero terminated! This caused read out of bounds crashes/segfaults.

Since the lib/strdup.c file no longer is easily shared with the curl
tool with this change, it now uses its own version instead.

Bug: http://curl.haxx.se/docs/adv_20141105.html
CVE: CVE-2014-3707
Reported-By: Symeon Paraschoudis

lib544.c: use duphandle for test 545

To verify that curl_easy_duphandle() works fine on a handle that has
gotten data stored with *_COPYPOSTFIELDS.

tests: add new feature 'SSLpinning'

... and make test 2034 and 2035 require it, and have it set when built
with OpenSSL or GnuTLS.

buildconf: update copyright year

INSTALL: Consistent spacing in section headings, paragraphs and examples

buildconf: stop checking for libtool

As we only use libtoolize, only check for that!

INSTALL: Corrected MIT Kerberos and Heimdal package names

README: Corrected inconsistent use of --help

INSTALL: Use GSS-API rather than GSSAPI

As implementations are refereed to GSS-API libraries as per the RFC and
GSSAPI typically refers to the SASL authentication mechanism.

...and minor rewording on the same paragraph.

README: Added note about using Visual Studio projects out of git repository

cmake: fix ZLIB_INCLUDE_DIRS use

CMake 2.8's FindZLIB.cmake documents ZLIB_INCLUDE_DIRS, see
http://www.cmake.org/cmake/help/v2.8.0/cmake.html#module:FindZLIB

Bug: https://github.com/bagder/curl/pull/123

SSL: PolarSSL default min SSL version TLS 1.0

- Prior to this change no SSL minimum version was set by default at
runtime for PolarSSL. Therefore in most cases PolarSSL would probably
have defaulted to a minimum version of SSLv3 which is no longer secure.

opts-Makefile: put more man pages into dist and make hmtl+pdf

curl_multi_setopt.3: refer to stand-alone pages

... instead of duplicating info.

opts: more multi options as stand-alone man pages

Makefile.am: two cmake files are gone

8cb010144 removed the CurlCheckCSourceCompiles.cmake and
CurlCheckCSourceRuns.cmake files

opts: made stand-alone man-pages for several multi options

Curl_single_getsock: fix hold/pause sock handling

The previous condition that checked if the socket was marked as readable
when also adding a writable one, was incorrect and didn't take the pause
bits properly into account.

cmake: fix struct sockaddr_storage check

CHECK_TYPE_SIZE_PREINCLUDE is an internal, undocumented variable which
was removed in cmake 2.8.1. According to the MSDN docs[1], inclusion
of winsock2.h is sufficient. WIN32_LEAN_AND_MEAN does not really seem
to affect the tests, so remove it too[2].

For the non-windows case, remove inet headers as POSIX only requires
sys/socket.h.

 [1]: http://msdn.microsoft.com/en-us/library/windows/desktop/ms740504%28v=vs.85%29.aspx
 [2]: http://stackoverflow.com/questions/11040133/what-does-defining-win32-lean-and-mean-exclude-exactly

Signed-off-by: Peter Wu <peter@lekensteyn.nl>

cmake: clean OtherTests, fixing -Werror

There were several -Wunused warnings and one duplicate macro definition.
The EXTRA_DEFINES variable of the CurlCheckCSources macro was being
abused ("__unused1\n#undef inline\n#define __unused2", seriously?) to
insert extra C code. Avoid this broken abstraction and use cmake's
check_c_source_compiles directly (works fine with CMake 2.8, maybe
even cmake 2.6).

After cleaning up all related variables (EXTRA_DEFINES,
HEADER_INCLUDES, auxiliary headers_hack), also remove a duplicate
add_headers_include macro and remove duplicate header additions before
the struct timeval check.

Oh, and now the code is converted to use CheckCSourceRuns and
CheckCSourceCompiles, the two curl-specific helpers can be removed.
Unfortunately, the cmake output is now slightly more verbose. Before:

    Performing Test int send(int, const void *, size_t, int) (curl_cv_func_send_test)
    Performing Test int send(int, const void *, size_t, int) (curl_cv_func_send_test) - Failed

Since check_c_source_compiles prints the varname, now you see:

    Performing Test curl_cv_func_send_test
    Performing Test curl_cv_func_send_test - Failed
    Tested: int send(int, const void *, size_t, int)

Compared cmake output with each other using vimdiff, no functional
differences were found. Tested with GCC 4.9.1 and Clang 3.5.0.

Signed-off-by: Peter Wu <peter@lekensteyn.nl>

cmake: fix gethostby{addr,name}_r in CurlTests

This patch cleans up the automatically-generated (?) code and fixes one
case that will always fail due to syntax error.

HAVE_GETHOSTBYADDR_R_5_REENTRANT always failed because of a trailing
character ("int length;q"). Several parameter type and unused variable
warnings popped up. This causes a detection failure with -Werror.

Observe that the REENTRANT cases are exactly the same as their
non-REENTRANT cases except for a `_REENTRANT` macro definition.
Merge all these pieces and build one big main function with different
cases, but reusing variables where logical.

For the cases where the parameters where NULL, I looked at
lib/hostip4.c to get an idea of the parameters types.

void-cast variables such as 'rc' to avoid -Wuninitialized errors.

Signed-off-by: Peter Wu <peter@lekensteyn.nl>

cmake: drop _BSD_SOURCE macro usage

autotools does not use features.h nor _BSD_SOURCE. As this macro
triggers warnings since glibc 2.20, remove it. It should not have
functional differences.

Signed-off-by: Peter Wu <peter@lekensteyn.nl>

RELEASE-NOTES: Synced with d71ea7c01e

Additionally, updated "GSSAPI" to "GSS-API" for a Cmake related change
as GSSAPI can be confused with the authentication mechanism rather than
a GSS-API implementation library such as MIT or Heimdal.

build: Added WinIDN build configuration options

Added support for WinIDN build configurations to the VC6 project files.

build: Added WinIDN build configuration options

Added support for WinIDN build configurations to the VC7 and VC7.1
project files.

build: Fixed the pre-processor separator in Visual Studio project files

A left over from the VC6 project files, so mainly cosmetic in Visual
Studio .NET as it can handle both comma and semi-colon characters for
separating multiple pre-processor definitions.

However, the IDE uses semi-colons if the value is edited, and as such,
this may cause problems in future for anyone updating the files or
merging patches.

Used the Visual Studio IDE to correct the separator character.

build: Added optional specific version generation of VC project files

..when working from the git repository. This is particularly useful
for single development environments where the project files for all
supported versions of Visual Studio may not be required.

build-openssl.bat: Fix x64 release build

Prior to this change if x64 release was specified a failed attempt was
made to build x86 release instead.

CURLOPT_XOAUTH2_BEARER.3: Corrected the OAuth version number

CURLOPT_SASL_IR.3: Added supported mechanism information

...and removed duplication of what protocols are supported from the
description text.

opts: Use common wording for MAIL related names

opts: Use common wording for TLS user/password option names

...and revised the proxy wording a little as well.

CURLOPT_MAXCONNECTS.3: Reworked the description to be less confusing

...and corrected a related typo in curl_easy_setopt.3.

RELEASE-NOTES: removed obsolete entry; fixed entry.

RELEASE-NOTES: Synced with e7da67f5d3

docs: Added mention of Kerberos for CURL_VERSION_SSPI

As this has been present for SOCKSv5 proxy since v7.19.4 and for IMAP,
POP3 and SMTP authentication since v7.38.0.

CURL_VERSION_KERBEROS4: Mark as deprecated

Support for Kerberos V4 was removed in v7.33.0.

sasl: Fixed Kerberos V5 inclusion when CURL_DISABLE_CRYPTO_AUTH is used

Typically the USE_WINDOWS_SSPI definition would not be used when the
CURL_DISABLE_CRYPTO_AUTH define is, however, it is still a valid build
configuration and, as such, the SASL Kerberos V5 (GSSAPI) authentication
data structures and functions would incorrectly be used when they
shouldn't be.

Introduced a new USE_KRB5 definition that takes into account the use of
CURL_DISABLE_CRYPTO_AUTH like USE_SPNEGO and USE_NTLM do.

openssl: Use 'CURLcode result'

More CURLcode fixes.

resume: consider a resume from [content-length] to be OK

Basically since servers often then don't respond well to this and
instead send the full contents and then libcurl would instead error out
with the assumption that the server doesn't support resume. As the data
is then already transfered, this is now considered fine.

Test case 1434 added to verify this. Test case 1042 slightly modified.

Reported-by: hugo
Bug: http://curl.haxx.se/bug/view.cgi?id=1443

openssl: Use 'CURLcode result'

More standardisation of CURLcode usage and coding style.

openssl: Use 'CURLcode result'

...and some minor code style changes.

ftplistparser: We prefer 'CURLcode result'

opts: Use common wording for user/password option names

CURLOPT_CONNECT_ONLY.3: Removed "This option is implemented for..." text

As this is covered by the PROTOCOLS section and saves having to update
two parts of the document with the same information in future.

CURLOPT_GSSAPI_DELEGATION.3: Use GSS-API rather than GSSAPI

As implementations are refereed to GSS-API libraries as per the RFC and
GSSAPI typically refers to an authentication mechanism.

CURLOPT_CONNECT_ONLY.3: Fixed incomplete protocol list

Added missing IMAP to the protocol list.

code cleanup: Use 'CURLcode result'

curl_easy_setopt.3: Fixed lots of typos

curl_easy_setopt.3: Moved CURLOPT_DIRLISTONLY into PROTOCOL OPTIONS

...as this option affects more that just FTP.

build: added Watcom support to build with WinSSL.

CURLOPT_PINNEDPUBLICKEY.3: added details

CURLOPT_CUSTOMREQUEST.3: Fixed incomplete protocol list

Whilst the description included information about SMTP, the protocol
list only showed "TTP, FTP, IMAP, POP3".

CURLOPT_DIRLISTONLY.3: Added information about the usage in POP3

openssl: enable NPN separately from ALPN

... and allow building with nghttp2 but completely without NPN and ALPN,
as nghttp2 can still be used for plain-text HTTP.

Reported-by: Lucas Pardue

configure.ac: remove checks for OpenSSL NPN/ALPN funcs again

... since the conditional in the code are now based on OpenSSL versions
instead to better support non-configure builds.

opts: added some "SEE ALSO" references

RELEASE-NOTES: Synced with 32913182dc

vtls.c: Fixed compilation warning

conversion from 'size_t' to 'unsigned int', possible loss of data

sspi: Return CURLE_LOGIN_DENIED on AcquireCredentialsHandle() failure

Return a more appropriate error, rather than CURLE_OUT_OF_MEMORY when
acquiring the credentials handle fails. This is then consistent with
the code prior to commit f7e24683c4 when log-in credentials were empty.

sasl_sspi: Allow DIGEST-MD5 to use current windows credentials

Fixed the ability to use the current log-in credentials with DIGEST-MD5.
I had previously disabled this functionality in commit 607883f13c as I
couldn't get this to work under Windows 8, however, from testing HTTP
Digest authentication through Windows SSPI and then further testing of
this code I have found it works in Windows 7.

Some further investigation is required to see what the differences are
between Windows 7 and 8, but for now enable this functionality as the
code will return an error when AcquireCredentialsHandle() fails.

transfer: drop the code handling the ssl_connect_retry flag

Its last use has been removed by the previous commit.

nss: drop the code for libcurl-level downgrade to SSLv3

This code was already deactivated by commit
ec783dc142129d3860e542b443caaa78a6172d56.

openssl: fix a line length warning

Added NetWare support to build with nghttp2.

Fixed error message since we require ALPN support.

Check for ALPN via OpenSSL version number.

This check works also with to non-configure platforms.

sasl_sspi: Fixed typo in comment

code cleanup: We prefer 'CURLcode result'

TODO: consider supporting STAT

mk-ca-bundle: spell fix "version"

HTTP: return larger than 3 digit response codes too

HTTP 1.1 is clearly specified to only allow three digit response codes,
and libcurl used sscanf("%3d") for that purpose. This made libcurl
support smaller numbers but not larger. It does now, but we will not
make any specific promises nor document this further since it is going
outside of what HTTP is.

Bug: http://curl.haxx.se/bug/view.cgi?id=1441
Reported-by: Balaji

src/: remove version.h.dist from gitignore

It has not been used since commit f7bfdbab in 2011

ntlm: We prefer 'CURLcode result'

Continuing commit 0eb3d15ccb more return code variable name changes.

Cosmetics: lowercase non-special subroutine names.

RELEASE-NOTES: Synced with 07ac29a058

http_negotiate: We prefer 'CURLcode result'

Continuing commit 0eb3d15ccb more return code variable name changes.

http_negotiate: Fixed missing check for USE_SPNEGO

sspi: Synchronization of cleanup code between auth mechanisms

sspi: Renamed max token length variables

Code cleanup to try and synchronise code between the different SSPI
based authentication mechanisms.

sspi: Renamed expiry time stamp variables

Code cleanup to try and synchronise code between the different SSPI
based authentication mechanisms.

sspi: Only call CompleteAuthToken() when complete is needed

Don't call CompleteAuthToken() after InitializeSecurityContext() has
returned SEC_I_CONTINUE_NEEDED as this return code only indicates the
function should be called again after receiving a response back from
the server.

This only affected the Digest and NTLM authentication code.

Added the "flaky" keyword to a number of tests

Each shows evidence of flakiness on at least one platform on
the autobuilds. Users can use this keyword to skip these tests
if desired.

ntlm: Return all errors from Curl_ntlm_core_mk_nt_hash()

For consistency with other areas of the NTLM code propagate all errors
from Curl_ntlm_core_mk_nt_hash() up the call stack rather than just
CURLE_OUT_OF_MEMORY.

ntlm: Return CURLcode from Curl_ntlm_core_mk_lm_hash()