Don't install the rc.d link when installing to a DESTDIR.
DESTDIR is generally only set when installing to a temporary
directory for packaging in which case the link should be
made in a post-install script.

In "make install", install sample sudoers file as /etc/sudoers.dist
and copy it to /etc/sudoers if there is no existing /etc/sudoers.
Packages either contain /etc/sudoers (RPM and Debian) or /etc/sudoers.dist
(everything else).

Allow "make dist" and "make depend" to work for out of tree builds.

Add missing $(srcdir) prefix to shlib_exp definition.

Fix typo in killpg macro.

Fix the killpg macro for systems without killpg() in libc.

Use the standard idiom for popping all entries from a tail queue.
The llvm checker gets confused by TAILQ_REMOVE and generate
use-after-free false positives.

rewrite errpipe callbacks

use pipe2() with O_CLOEXEC instead of pipe() + fcntl() and FD_CLOEXEC

init io_pipe[][] to -1, not 0

In sudo_sss_check_user() it is not possible for handle to be NULL.

Fix a use after free when the fqdn sudoOption is set and no hostname
value is present in sssd.conf.

Avoid unused variable when getgrouplist_2() is available.
It would be nicer to just provide getgrouplist_2() (or the equivalent)
and avoid the ugly #ifdefs.

sync with translationproject.org

regen

In sudo_ttyname_scan() if dir is the empty string, set errno to
ENOENT before returning.

Try to make it clear that when match_group_by_gid is enabled, groups
in sudoers are looked up by group name instead of group ID.  This
doesn't usually cause problems, but if there are conflicting group
entries (for example, from a local /etc/group file and an LDAP or
AD group database), whether the group is resolved by name or ID can
be used to work around conflicts.

sync with translationproject.org

plug memory leak in check_digest

Check return value of dispatch_pending_signals() in case we received
SIGINT or SIGQUIT before executing the command.

back out unintentional change to the version number

sync with translationproject.org

Make check_digest test sudo_filedigest() itself instead of the
underlying SHA2 functions.  That way we can test it regardless of
whether we use sudo's SHA2 functions or a library version.

Document that commands matched by "sudo ALL" are not affected by
fdexec.

Update for 1.8.20

regen for restricted_env_file

Mention that iolog_user is useful for NFS.

Only retry mkdir or create with PERM_IOLOG if errno is EACCES.
Also always use PERM_IOLOG for mkdtemp() since we cannot retry
if it fails.  Since we are guaranteed to create a new directory
there's no real need to try w/o PERM_IOLOG in this case.

Add fallback to PERM_IOLOG when making the final componenet of iolog_dir.

Add restricted_env_file which is like env_file but subject to the
same restrictions as the user's own environment.

quiet a warning on older zlib

cast mode_t to unsigned int when printing with %o

regen

Set umask temporarily when creating files instead of changing the
mode after the fact.  This is slightly less error prone.

remove now-useless variable

Don't set owner/mode on directories that already exist, only on
newly-created ones.

Explicitly set the file mode of I/O log files so the mode is not
affected by the invoking user's umask.

Add PERM_IOLOG so we can create I/O log files on an NFS-mounted
filesystem where root is remapped to an unprivileged user.

Restore the '/' in the path before returning if we encounter an error.

When creating the timestamp directory, use the group of the timestamp
owner instead of inheriting the group of the parent directory.

zero out nss->handle after it has been freed to make sure we cannot free it twice

Add iolog_flush option.

Don't allow the user to specify an I/O log file mode that sudo can't
read or write to.  I/O logs must always be readable and writable
by the owner.

Regenerate the cat pages with newer mandoc which formats double
quotes as "foo" instead of ``foo''.

Make it clear that I/O logs will be complete even if the command
run by sudo is terminated by a signal.  The I/O log buffering just
prevents the logs from being displayed in real-time as the command
is running.

Replace pipe_nonblock() with pipe2()

Emulate pipe2() on systems without it.

Fix declaration of sudo_krb5_verify() in the case where krb5_verify_user()
is not present.  Bug #777

Use HAVE_STDBOOL_H to detect systems w/o stdbool.h.
Bug #778

regen

Move SIGCHLD handling into handle_sigchld() functions and move the
remaining bits of dispatch_signal() into signal_pipe_cb()

e_termination should be set to the value of WTERMSIG not WEXITSTATUS

Add tcsetpgrp_nobg() which acts like tcsetpgrp() but returns -1
for a background process.  This is safer than blocking SIGTTOU
which would cause tcsetpgrp() to succeed in the background.

Prevent sudo from receiving SIGTTOU when it tries to restore the
controlling terminal.  There appears to be a race with the shell
(bash) which we may lose.

Add some casts to quiet gcc warnings on Solaris and remove a
now-useless debug printf.

change debug info when suspending sudo

Reorganize the command execution code to separate out the pty and
non-pty code paths into their own event loops.  The non-pty exec
code is now contained in exec_nopty.c and the pty exec code is split
between exec_pty.c (parent process) and exec_monitor.c (session leader).
This results in a small bit of duplicated code but improves readability.
Some of the duplicated code will fall out in future changes to the
event subsystem (the signal pipe).

Remove support for the TIOCGSIZE ioctl.  Systems that use this
rather than TIOCGWINSZ are too old for sudo to build on anyway.

Set the child pid to -1 after we've waited for it and take care to
avoid killing pid -1.  This makes it a bit more explicit and removes
the need for a separate variable to track the child's status.
Sudo already stops processing signals after it receives SIGCHLD so
it is not vulnerable to CVE-2017-2616.

Update the description of strict mode to current reality.  Aliases
haven't needed to be defined before they are used since sudo 1.7.

Go back to using a Warning/Error prefix in the message printed to
stderr for alias problems.  Requested by Tomas Sykora.

fix copyright years

Add support for using the message digest functions in libgcrypt
instead of sudo's own SHA2 implementation.

Add support for using the message digest functions in OpenSSL instead
of sudo's own SHA2 implementation.

Move the file digest code out of match.c and into filedigest.c.
Inspired by RedHat changes that used libgcrypt.
Also add digest_type_to_name() to map a sudo digest type (int)
to a name (string) and use it.

Check for gmtime() or localtime() returning NULL and just use a
zero offset in that case.  Should not be possible.

Add support for ROLE, TYPE, PRIVS, LIMITPRIVS, TIMEOUT, NOTBEFORE
and NOTAFTER.

strftime() was in C89 so use it unconditionally.

Add NOTBEFORE and NOTAFTER command options similar to what is
already available in LDAP.

regen

Bump version to 1.11 for timeout entry in settings[]

regen

Add a command line option to specify the command timeout, as long
as sudoers does not specify a shorter time limit.

Better error message when the timeout value does not parse.

set errno to ERANGE not EOVERFLOW on range error

regen

Only inhibit ASAN leak detector for tests that result in a parse
error.  The parser cannot currently clean up completely on error.

Plug some memory leaks found by ASAN.

List SELinux role/type for "sudo -l" with LDAP and SSSd backends.
Also fix printing of the timeout.

Only inherit SELinux role/type and Solaris privilege sets if
the command does not include any.  Previously, a command with
only a role would inherit a type from the previous command
which is not what was intended.

Split out tags again so they must precede the command and not allow
them to be mixed in with options.

Add support for command timeouts in sudoers.  After the timeout,
the command will be terminated.

Merge command tags, SELinux type/role and Solaris privs settings
into "command options".  This relaxes the order of things so tags
and other options can be interspersed.

supress cppcheck memory leak false positive

fix typo that prevented compilation on FreeBSD

Link vsyslog.lo directly into vsyslog_test to make sure the syslog()
stub gets called.  Otherwise, the real syslog will get called via
libutil on AIX.

Fix final test with a format > 2048 bytes.
Keep track of tests run in the syslog() stub so we can
detect if the stub is not being called.

avoid redefining the MIN macro

Include parse.h in timestr.c which is where function prototype lives.

Fix for including a sudoers file that begins with the letter 'i'.
The hack to determine whether we are parsing an include or includedir
is no longer safe now that relative include paths are permitted.
Bug #776.

Display the value of syslog_maxlen in sudo -V output.

Add ignore_unknown_defaults flag to ignore unknown Defaults entries
in sudoers instead of producing a warning.

Always set the close-on-exec bit on the fd used to generate the
digest (i.e. the command to run) on systems that lack fexecve(2).
That way we don't need to explicitly close it using #ifdefs.

sync with translationproject.org

first updates for 1.8.20

sudo 1.8.20

update zlib to version 1.2.11

Fix fdexec=never when a digest is present.

Add new fdexec sudoers setting to allow choose whether execve() or
fexecve() is used.

Close execfd in parent processes where it is not needed.