Remove the NO_EXIT flag to log_error() and add a log_fatal() function
that exits and is marked no_return.  Fixes false positives from
static analyzers and is easier for humans to read too.

sync with translationproject.org

sync with translationproject.org

sync with translationproject.org

sync with translationproject.org

Use ecalloc() when allocating structs.

Add ecalloc() and commented out recalloc().
Use inline strnlen() instead of strlen() in estrndup().

sync with translationproject.org

Remove unused label

Document what changed in each plugin API revision

Remove bogus optimization that could lead to a double free of the
group list.

Expand AIX /etc/security/privcmds entry.

Update for sudo 1.8.5

Rename plugin "args" to "options"

Add Lithuanian and Vietnamese translators

Ignore comments when comparing new and old pot files.

regen

regen

Pass a pointer to user_env in to the init_session policy plugin
function so session setup can modify the user environment as needed.
For PAM authentication, merge the PAM environment with the user
environment at init_session time.  We no longer need to swap in the
user_env for environ during session init, nor do we need to disable
the env hooks at init_session time.

Add explicit NULL entries for init_session, register_hooks and
deregister_hooks with appropriate comments.

Quiet a gcc "used uninitialized in this function" false positive.

We should always call warning() with a format string or a string literal.
In this case, the argument (path) is not user-controlled.

Include sudo_exec.h for the sudo_execve() prototype.

Add check for pam_getenvlist()

Set args to NULL in default plugin info struct when there is no
Plugin line in sudo.conf.

regen

regen

Bump version to 1.8.5

Document hooks API

Make sudoersdir relative to PKG_INSTALL_ROOT for Solaris.

Use sudo_hook_fn_t in struct sudo_hook.

If cross compiling, --host must include the OS in the tuple.
E.g. --host powerpc-unknown-linux

Fix bogus int -> bool conversion; tags can have a value of -1.

Add env_should_keep() and env_should_delete() wrapper functions to
simplify things a bit and hide the fact that matches_env_check()
is not bool.

Fix application of debian-specific sudoers mods when building packages
as non-root.

matches_env_check() returns int, not boolean

Fix compilation when seteuid() is not available.

Simply move the free of ki_proc outside the realloc() loop.

Bring back the erealloc() for the ENOMEM loop and just zero the
pointer after we free it.

Don't try to erealloc() a potentially freed pointer; Mateusz Guzik

Use normal error path if unable to set sudoers gid.

Make this work again on systems w/o seteuid().

Fix compilation if no seteuid/setreuid/setresuid available.

Better error messages, and added debugging throughout.
Fixed seteuid() version of set_perms()/restore_perms().
Fixed logic bug in AIX version of restore_perms().
Added checks to avoid changing uid/gid when we don't have to.
Never set gid/uid state to -1, use the old value instead.

Fix format string warning on Solaris with gcc 3.4.3.

Always declare environ now that we swap it around unilaterally.

Honor LDFLAGS when linking sesh; from Vita Cizek

Include alloc.h for estrdup() prototype; from Vita Cizek

Don't read /etc/environment on Linux when using PAM, PAM should set
the environment variables as needed via pam_env.

Fix editor goof.

Disable environment hooks after we get user_env back to make sure
a plugin can't to modify user_env after we "own" it.  This is kind
of a hack but we don't want the init_session plugin function to
modify user_env.

Add support for deregistering hooks.  If an I/O log plugin fails
to initialize, deregister its hooks (if any).

Move LOGIN_PATH and LOGIN_SETENV handling to plugin now that we
hook setenv.

Initial cut at a hooks implementation.  The plugin can register
hooks for getenv, putenv, setenv and unsetenv.  This makes it
possible for the plugin to trap changes to the environment made by
authentication methods such as PAM or BSD auth so that such changes
are reflected in the environment passed back to sudo for execve().

Add Vietnamese sudo translation from translationproject.org

List sudo_noexec.so not noexec.so in the sample sudo.conf

Add support for plugin args at the end of a Plugin line in sudo.conf.
Bump the minor number accordingly and update the documentation.  A
plugin must check the sudo front end's version before using the
plugin_args parameter since it is only supported for API version
1.2 and higher.

update depends

secure_path.c is in common, not compat

Add check for variadic macro support in cpp.

Add type param to sudo_secure_path() and add sudo_secure_file()
and sudo_secure_dir() wrappers which get by #includedir in sudoers.

Check the owner and mode in -c (check) mode unless the -f option
is specified.  Previously, the owner and mode were checked on the
main sudoers file when the -s (strict) option was given, but this
was not documented.

Prefer KERN_PROC2 over KERN_PROC.  Fixes compilation on some versions
of OpenBSD versions that have KERN_PROC2 but not KERN_PROC.

Add Eric Lakin for patch in bug #538

Fix typo in safe_close() made while converting to debug framework
that prevented it from actually closing anything.

Add some more debugging.

We need sysconfdir in compat/Makfile to get the proper sudo.conf
path.  Add standard prefix and foodir expansion in all Makefiles
to avoid this problem in the future.

New Lithuanian sudoers translation from translationproject.org

Update from translationproject.org

When adding gids to the LDAP filter, only add the primary gid once.
This is consistent with the space computation/allocation.
From Eric Lakin

Add entry for AIX enhanced RBAC config.

Target Mac OS X 10.5 when building packages.

Relax the user/group/mode checks on sudoers files.  As long as the
file is owned by the right user, not world-writable and not writable
by a group other than the one specified at configure time (gid 0
by default), the file is considered OK.  Note that visudo will still
set the mode to the value specified at configure time.

Add AIX-specific version of permission setting code to make sure
that the saved uid gets restored properly.

Check for LD_PRELOAD variants in configure instead of checkign cpp
symbols.  In disable_execute(), compute the length of the new envp
and allocate it once instead of reallocating on demand.  Also append
old value of LD_PRELOAD (if any) to the new value.

Fix the description of noexec.

The "op" parameter to set_default() must be int, not bool since it is
set to '+' or '-' for list add and subtract.

Make sure sudoers is writable before calling ed script.

Update contributors. Now includes translators and authors of compat
code.

regen

Build flat packages, not package bundles, on Mac OS X.

Move macos section to be with the other OS-specific sections.

Sync with translationproject.org

Don't permanently add -D_FORTIFY_SOURCE=2 to CPPFLAGS

Add Mac OS X support, printing the latest chunk of the NEWS file
and the license text in the installer.

Add explicit file modes that match those used by "make install"

Sync with upstream for Mac OS X fixes.

Got back to using "install-sh -M" for files installed as non-readable
by owner.  This fixes "make install" as non-root for package building.

Sync with translationproject.org

Use -m not -M for install-sh for everything except setuid.
Install locale .mo files mode 0444, not 0644.
If timedir parent doesn't exist, use default dir mode, not 0700.

Re-sync with upstream; no longer need a local patch.

Add support for building Mac OS X packages.

Sync with upstream

No longer need to define _PATH_SUDO_CONF here.

Fix noexec for Mac OS X.

Move _PATH_SUDO_CONF override to common to match sudo_debug.c

More complete fix for LDR_PRELOAD on AIX.  The addition of
set_perm(PERM_ROOT) before calling the nss open functions (needed
to avoid a GNU TLS bug) also broke LDR_PRELOAD.  Setting the effective
and then real uid to 0 for PERM_ROOT works around the issue.

regen

Set real uid to root before calling sudo_edit() or run_command()
so that the monitor process is owned by root and not by the user.
Otherwise, on AIX at least, the monitor process shows up in ps as
belonging to the user (and can be killed by the user).

For PERM_ROOT when using setreuid(), only set the euid to 0 prior
to the call to setuid(0) if the current euid is non-zero.  This
effectively restores the state of things prior to rev 7bfeb629fccb.
Fixes a problem on AIX where LDR_PRELOAD was not being honored for
the command being executed.