Add check for 2-argument form of timespecsub (FreeBSD and BSD/OS) and
fix a typo in the gettimeofday check.

Deal with user_stat being NULL as it is for visudo and testsudoers.

Add -U option to use in conjunction with -l instead of -u.
Add support for "sudo -l command" to test a specific command.

Set safe_cmnd after sudoers_lookup() if it has not been set.
Previously it was set by sudo "ALL" in the parser but at that point
the fully-qualified pathname has not yet been found.

Correctly handle multiple privileges per userspec and runas inheritence.

Zero out sd_un for each entry in sudo_defs_table in init_defaults.

make per-command defaults work with sudoedit

Remove the FLAG_NOPASS, FLAG_NOEXEC and FLAG_MONITOR flags.  Instead,
we just set the approriate defaults variable.

Document per-command Defaults.

Add support for command-specific Defaults entries.  E.g.
    Defaults!/usr/bin/vi noexec

Change an occurence of user_matches() -> runas_matches() missed previously
runas_matches(), host_matches() and cmnd_matches() only really need to pass in
a list of members.  user_matches() still needs to pass in a passwd struct
because of "sudo -l"

Check def_authenticate, def_noexec and def_monitor when setting return flags.
XXX May be better to just set the defaults directly and get rid of those flags.

Use: #include <config.h>
Not: #include "config.h"
That way we get the correct config.h when build dir != src dir

Back out part of rev 1.263; fix -I order

More robust parsing if #include; could be much better still.

Make arg splitting in visudo and sudoedit consistent.

Split alias routines out into their own file.

__attribute__ is already defined in compat.h

quit() should not be __noreturn__ as it is non-void on some platforms.

Add local error/warning functions like err/warn but that call an additional
cleanup routine in the error case.  This means we no longer need to compile
a special version of alloc.o for visudo.

Clarify comments about the data structures

Add support for VISUAL and EDITOR containing command line args.
If env_editor is not set any args in VISUAL and EDITOR are ignored.
Arguments are also now supported in def_editor.

alias_matches() is no more

sync

When regenerating the parser, don't replace gram.h unless it has changed.

remove Makefile.binary for distclean

Preserve KRB5CCNAME in zero_env() and add a paranoia check to make sure
we can't overflow new_env.

paranoia when stripping trailing slashes from tempdir.

Set user_ngroups to 0 if getgroups() returns an error.

Add configure check for getgroups()

Use supplementary group vector in struct sudo_user.

Only do string comparisons on the group members if there is no
supplemental group list.

sync

On Digital UNIX _PATH_VAR_TMP doesn't end with a trailing slash so
chop off any trailing slashes we see and add an explicit one.

remove bogus XXX comment

Get rid of alias_matches and correctly fall through to the non-alias
cases when there is no alias with the specified name.

Cache non-existent passwd/group entries too.

regen

fix typo

Implement group caching and use the passwd and group caches throughout.

Properly negate the return value of alias_matches() when appropriate.

Make hostname_matches() return TRUE for a match, else FALSE like the
caller expects.

Add missing dependencies on gram.h

Use runas_matches in alias_matches() now that we have it.

Expand aliases in "sudo -l" mode

Use ALIAS for the member type when storing an alias instead of
HOSTALIAS/RUNASALIAS/CMNDALIAS/USERALIAS since match.c relies on
the more generic type.  Expand runas_matches instead of calling
user_matches() inside of it since user_matches() looks up USERALIASes,
not RUNASALIASes.

Paranoia; zero out pw_passwd before freeing passwd entry.

Add local error/warning functions like err/warn but that call an additional
cleanup routine in the error case.  This means we no longer need to compile
a special version of alloc.o for visudo.

Use userpw_matches() to compare usernames, not strcmp(), since the latter
checks for "#uid".

Cache passwd db entries in 2 reb-black trees; one indexed by uid,
the other by user name.  The data returned from the cache should
be considered read-only and is destroyed by sudo_endpwent().

add cast to uid_t

missing free in alias_destroy

Can't use rbapply() for rbdestroy since the destructor is passed a
data pointer, not a node pointer.

Create and use private versions of setpwent() and endpwent() that
set/end the shadow password file too.

Store aliases in a red-black tree.

red-black tree implementation

Edit all sudoers file if there were unused or undefined aliases and we
are in strict mode.

Bring back the "secure_path" Defaults option now that Defaults take
effect before the path is searched.

A user can always list their own entries, even with -u.
Better error message when failing to list another user's entries.

The syntax to list another user's entries is now "-u otheruser -l".
Only root or users with sudo "ALL" may list other user's entries.

Update env variable info in SECURITY NOTES

strip CDPATH too

strip exported bash functions from the environment.

Only reset sudo_user.pw based on SUDO_USER environment variables for
real commands and sudoedit.  This avoids a confusing message when a
user tries "sudo -l" or "sudo -v" and is denied.

Extend LIST_APPEND to deal with appending lists too

Convert some bitwise AND to ISSET

toke.c replaces lex.yy.c

sync

new parser fixes most of the outstanding bugs

regen

Rework for the new parser.
Now checks for unused aliases in sudoers.

Rewrite for the new parser.  Now supports a -d flag (dump) and adds a -h
flag (host).  It now defaults to the local hostname unless otherwise
specified.

Add new prototypes.
Remove NOMATCH/UNSPEC (now in parse.h)

Update for new parse.  We now call find_path() *after* we have updated
the global defaults based on sudoers.  Also adds support for listing
other user's privs if you are root.

Working LDAP support; also remove a now-unneeded rewind().

Add NO_STDERR flag.

Split sudo_ldap_check() into three pieces: sudo_ldap_open(),
udo_ldap_update_defaults() and sudo_ldap_check().  This allows
us to connecto to LDAP, apply the default options, find the command
in the user's path, and then check whether the user is allowed to
run it.  The important thing here is that the default runas user
may be specified as a default option and that needs to be set
before we search for the command.

Add casts to unsigned char for isspace() to quiet a gcc warning.

Add prototype for update_defaults()

Don't warn about line numbers now that we operate on a set of data
structures (or LDAP) and not a file.

No long use lsearch()

Update for new and changed file names.

no more BSD lsearch.c

foo_matches() routines now live in match.c
Added user_matches(), runas_matches(), host_matches(), cmnd_matches()
and alias_matches() that operate on the parsed sudoers file.

Move parse.lex -> toke.l
Rename buffer_frob() -> switch_buffer()
WORD no longer needs to exclude '@'
kill yywrap()

Rewritten parser that converts sudoers into a set of data structures.
This eliminates ordering issues and makes it possible to apply
sudoers Defaults entries before searching for the command.

We won't be using lsearch() any longer.

sudo should not send mail if someone who runs 'sudo -l' has no entry.

regen

Update warnings to match new visudo

The new parser doesn't have the old ordering constraints.

Document that -l now takes an optional username argument

AIX 5.2.0.0 works

If LDAP_OPT_SUCCESS is not defined, use LDAP_SUCCESS instead.
Fixes a compilation problem with Solaris 9's native LDAP.

Set FLAG_MONITOR when needed.

Call sudo_goodpath() *after* changing the cwd to match the traced process.
Fixes relative paths.

Kill set_perms() stub--it is no longer needed.

stay_setuid now requires set_reuid() or setresuid()

Kill use of POSIX saved uids; they aren't worth bothering with.

remove call to issetugid()

Remove warning about wildcards.  Now that we use glob() the bug is fixed.