Don't send email about an unresolvable host name if fqdn is
enabled and the user specified the run host via the -h flag.

fix playback of stdout/stderr without embedded carriage returns

Avoid unused variable warning when sasl is not used.

Add support for --enable-sasl and --disable-sasl to make it possible
to enable/disable support for LDAP with SASL authentication.  Sudo
compiles in support for SASL authentiation by default if the
ldap_sasl_interactive_bind_s() function is detected.
Bug #788

List the correct pattern ("*=()*") in the env_delete description.
Use pseudo-tty instead of pseudo terminal for consistency.

Include pathnames.h for /dev/fd on FreeBSD and Mac OS X.

update for 1.8.21

No need to call sudo_ev_del() before sudo_ev_free(); sudo_ev_free()
will delete the event from its base before freeing it.

Terminate the command if an I/O log function returns 0 or -1.  This
was mistakenly removed by 25b7fd056614 in Sudo 1.8.18 with the
removal of the ignore_iolog_errors variable.

Quiet a coverity false positive.

Change to a single event loop in sudoreplay and use signal events.

start new sentences on a new line

Clarify how the variable prompt options interact with each other
and PAM.

Don't set passprompt_override when SUDO_PROMPT is present.
This effectively reverts ed77d255f383.

We treat the SUDO_PROMPT environment variable similar to passprompt
in sudoers: it will only override a PAM prompt if the PAM prompt
is either "Password:" or "username's Password:".

Add syslog_pid sudoers option to log sudo's process ID when logging
via syslog.  This is disabled by default to match historic behavior.

When deciding which prompt to use (PAM's or sudo's) treat the PAM
prompt "username's Password:" as equivalent to "Password:".
Some PAM modules (on AIX at least) use this prompt.

Add missing argument to a few of the defaults strings in the
"sudo -V" output.

When examining environment variables or variables passed in from
the front-end, ignore variables with no value specified.

Document that "-p prompt" overrides SUDO_PROMPT.

Enable passprompt_override by default if SUDO_PROMPT is present in
the environment.  This is consistent with how "sudo -p prompt" is
handled.

When reading a single character via a switch() use "default: instead
of "case 1:" to quiet a coverity warning.

Initialize ch in getsize_cb() in case we are called with the wrong
initial state.

remove unused variable

Call install_sudoers() even when doedit is false.  If a file in a
#includedir has a syntax error it will still have been edited and
we need to install the edited temp file.

Reparse sudoers if a new #include file was added.
Otherwise the new file will not get its syntax checked.
Bug #791

don't restore the cursor when setting terminal size, we don't want the cursor to move

Read the xterm terminal size using an event so we can easily time
out if needed.

If we free the default base in sudo_ev_base_free(), reset the default
base to NULL.

Add the ability to set a default event base, to be used by plugins
which don't have access to the event base.

Allow sudoreplay to adjust the window size on xterm-like terminals.

Log window size change events in the sudoers I/O plugin.
Let sudoreplay parse a timing file with window change events
(currently ignored).

Pass window size change events to the plugin.

Clear input, output, control and local flags before copying them
from the source terminal.  Otherwise, flags that are disabled
in the source terminal may still be enabled in the destination.

Remove pointless subshells in targets that simply change the directory
and execute a command.  The command is already run in a shell so
there is no need to execute a subshell in this case.

Store the debug instance ID for I/O plugins too.
Now iolog_open() is consistent with policy_open().

Move the bits to fill in the new event base to sudo_ev_base_init(),
which is not currently exported.

Use getentropy() in mkstemp/mkdtemp replacement.

Use _PATH_DEV consistently

When copying terminal settings from one tty to another only copy a
subset of the flags.  Sudo now copies the same set of flags that
OpenSSH uses, which should be safe.

Add debug warning when we have wait status but don't overwrite the
existing cstat.

Better handling of SIGCONT from in command in the monitor.  It is
useful to know when the command continued but we don't want to
inform the parent or store the wait status in this case.  Fixes a
hang after multiple suspends on Linux.

avoid padding in struct cmndspec

Fix the man section of sudo_plugin in cross-references.

Don't treat an unchanged file as an error.  From Xin Li.

sudo_edit() must return a wait status but if there is an error, or
even if no changes were made to the file, it was returning 1 instead
which would be interpreted as the command having received SIGHUP.
Use the W_EXITCODE() to construct a proper wait status in the error
case too.

Avoid sign extension when assigning the value of tty_nr in
/proc/self/stat on Linux.  It is an unsigned int value that
is printed as a signed int but dev_t is unsigned long long.
We need to cast to unsigned int before assigning to a dev_t.

Instead of hard-coding a check for bash functions in env_should_delete(),
use a "*=()* " pattern in initial_badenv_table[] to match them instead.
This allows the user to remove the check via env_delete.

Mac OS X -> macOS

devsearch is ignored on BSD, macOS and Solaris

Sudo 1.8.20p2

A command name may also contain newline characters so read
/proc/self/stat until EOF.  It is not legal for /proc/self/stat to
contain embedded NUL bytes so treat the file as corrupt if we see
any.  With help from Qualys.

This is not exploitable due to the /dev traversal changes in sudo
1.8.20p1 (thanks Solar!).

Use /proc/self consistently on Linux.  As far as I know, only AIX
doesn't support /proc/self.

Add a new "devsearch" Path setting to sudo.conf for configuring the
/dev paths to traverse instead of hard-coding a list in ttyname.c
The default value can be set at configure time.

After opening a tty device, fstat() and error out if it is not
a character device.

Sudo 1.8.20p1

Fix for CVE-2017-1000367, parsing of /proc/pid/stat on Linux when
the process name contains spaces.  Since the user has control over
the command name this could be used by a user with sudo access to
overwrite an arbitrary file.
Thanks to Qualys for investigating and reporting this bug.

Also stop performing a breadth-first traversal of /dev when looking
for the device.  Only the directories specified in search_devs[]
are checked.

Fix potential memory leak on reallocarray() error.  Coverity CID 169639

Only fall back to deprecated getaudit() on FreeBSD.  Fixes compiler warnings on macOS.

Use clang on macOS if present

fix paths to LICENSE and NEWS files for macOS packages

To avoid overwriting existing command status, check for CMD_INVALID
instead of CMD_ERRNO or CMD_WSTATUS.

Add some patterns that could result in exponential run time for
poorly written '*' matching.

On HP-UX 11.0, sys/ioctl.h is not sufficient to make struct winsize
visisble, we need termios.h too.

Always used TIOCGWINSZ.

Move exec_setup(), unlimit_nproc() and restore_nproc() from sudo.c
to exec.c.

No need to include selinux.h here.

Fix compilation error on macOS

Avoid a clang analyzer false positive.

Add cov-build and cov-submit targets for checking with coverity.

Use debug logging instead of ignore_result() where possible.

Remove use of non-standard sigaction_t

Remove use of the non-standard SA_INTERRUPT

sudo 1.8.21

Add support for multiple '*' in env_keep, env_check and env_delete
entries.

Add SIGCHLD to the list of signals we install sudo_handler() for.
Otherwise, it is possible for the command to exit before the SIGCHLD
handler is installed.  POSIX says that signals that are ignored by
default are still ignored even if the signal mask would block them.
We need to have a handler installed for SIGCHLD before the fork().

Activate the sigevents inside the signal pipe callback itself
and call signal_pipe_cb() directly if the backend returns EINTR
and the signal_caught flag is set.  This has the side effect of
processing signal events in the current pass of the event loop
instead of the next one.

Use SUDO_EV_SIGNAL and SUDO_EV_SIGINFO instead of managing the
signal_pipe explicitly.

Handle the possibility of the siginfo parameter in sa_sigaction
handler being NULL.

Add support for signal events in sudo's event subsystem

Restore the error message for sudo_ev_add() failure.

Add workaround for clang static analyzer being confused by LIST_REMOVE
and TAILQ_REMOVE.

Fix "make check" when openssl or gcrypt is used.  Bug #787

Only display string version of errno if sudo_ev_add() fails for now

update

Be clear that #includedir diverts control to the files in the
specified directory and, when parsing of those files is complete,
returns control to the original file.  Bug #775

sync with translationproject.org

update

Fix a hang introduced in the last commit.  Don't close the pty slave
until after we have the controlling tty.

If any of std{in,out,err} are not hooked up to a tty only interpose
ourselves with a pipe if the plugin will actually log the data.
This avoids a problem with non-interactive commands where no tty
is present where sudo will consume stdin even when log_input is not
enabled in sudoers.

update

Update based on information from Michael Felt.

In check_input() when switch()ing on the return value of read(),
use the default label instead of 1 for the success case.  It is
only reading a single byte so the two are equivalent but it reads
better using default.

Check sudo_ev_add() return value.  Coverity CID 168362

Add io_open() wrapper for open(2) that retries with PERM_IOLOG if
open(2) fails with EACCES.  Use io_open() instead of duplicate
copies of the same fallback code.

Don't retry the open() if set_perms() fails.

Fix typo (fd2 vs. fd) caught by coverity, CID 168359.

sync with translationproject.org

Warn people not to use --enable-asan in production.

Move the invocation of check_noexec into the main "check" target
but only run it if not cross compiling and whe CHECK_NOEXEC is not
empty.

Move @CHECK_NOEXEC@ to TEST_PROGS so it gets cleaned up properly.