Cast the return value of fcntl() to void when setting FD_CLOEXEC.
Coverity CID 104063, 104064, 104069, 104070, 104071, 104072, 104073, 104074

Cast the return value of fcntl() to void when setting FD_CLOEXEC.
Coverity CID 104075, 104076, 104077.

Avoid a false positive.  Coverity CID 104056.

Avoid calling fclose(NULL) on error in export_sudoers().
Coverity CID 104091.

In fill_args(), check for "arg_size == 0" instead of
"sudoerslval.command.args == NULL" since the latter leads Coverity
to imply that sudoerslval.command.args could be NULL later on.
Coverity CID 104093.

Avoid calling fclose(NULL) if the sudoers file is not secure and
restore_perms() fails.  Coverity CID 104090.

In fill_args(), replace loop that increments arg_size() with
a simple add and mask.  Should prevent a false positive from
Coverity CID 104094.

In parse_expr(), move the "bad" label after the "default" case in
the switch(), not before it.  This seemed to confuse Covertity,
resulting in a false positive, CID 104095.

For "sudoreplay -l", not all predicates may be shortened to a single
character.  Both 'c' and 't' have more than one possibility.

pid_t is defined by POSIX as a signed integer type so we don't need
a cast when comparing to -1.

In dispatch_signal() for stopped processes check for tcgetpgrp()
returning -1.  Also change checks from "saved_pgrp != -1" to
"fd != -1".  Coverity CID 104098.

In relabel_tty() always jump to bad: on error, regardless of the
value of se_state.enforcing.  On error, return -1 if enforcing,
else 0.  Coverity CID 104099.

Define NO_LEAKS when sudo is built with Coverity.

In io_callback() if we write the complete buffer and find that there
is no associated reader just return as there is nothing else to be
done.  In practice is it not possible for SUDO_EV_READ to be set
if revent is NULL but an early return is harmless and possibly
easier to understand.  Coverity CID 104124.

Handle read() returning -1 when creating temporary files.
Coverity CID 104100

Fix cut and paste error when checking cols for 0.
Coverity CID 104081

Use a single debug message for cache hit or store to avoid another
situation where they get out of sync.  Bug #743

Sync the "cache hit" debug messages with the "cached" debug messages.
This fixes a bug where we could dereference a NULL pointer when we
look up a negative cached entry which is stored as a NULL passwd
or group struct pointer.  Bug #743.

Remove the check for __sprintf_chk when checking for _FORTIFY_SOURCE,
Some implementations are purely header-file based.  As long as we
can link a test program using sprintf() when _FORTIFY_SOURCE=2 it
should be safe to use.

Remove configure checks for dev_t, id_t, ino_t, ptrdiff_t, size_t
and ssize_t.  These have been specified by either ANSI C or POSIX
for long enough that if the system doesn't support them, it is
unlikely to be able to compile sudo anyway.

Do group setup in policy_init_session() before calling out to the
plugin.  This makes it possible for the pam_group module to change
the group in pam_setcred().  It's a bit bogus since pam_setcred()
is documented as not changing the group or user ID, but pam_group
is shipped with stock Linux-PAM so we need to support it.

Add missing newline when logging to a file (not syslog) and
loglinelen is set to a non-positive number.  Bug #742

style fix; fork_cmnd should start on a new line

Ignore SIGPIPE for the duration of sudo and not just in a few select
places.  We have no control over what nss, PAM modules or sudo
plugins might do so ignoring SIGPIPE is safest.

Use string_to_security_class() instead of pulling SECCLASS_CHR_FILE
from flask.h.  Avoids a warning with new SELinux includes.

When determining whether or not "sudo -l" or "sudo -b" should prompt
for a password, take all sudoers sources into account.  In other
words, if both file and ldap sudoers sources are in use, "sudo -v"
will now require that all entries in both sources be have NOPASSWD
(file) or !authenticate (ldap) in the entries.

If the auth_type setting in /etc/security/login.cfg is set to
PAM_AUTH but pam_start() fails, fall back to use AIX authentication.
Skip the auth_type check if sudo is not compiled with PAM support.

The header for sudo.conf(5) should be SUDO.CONF(5) not SUDO(5).

hook_version and hook_type are unsigned so use 0, not -1 in the
final (empty) entry.  Quiets a warning on Solaris Studio 12.2.

Work around an ambiguity in the PAM spec with respect to the conversation
function.  It is not clear whether the "struct pam_message **msg" is an
array of pointers or a pointer to an array.  Linux-PAM and OpenPAM use
an array of pointers while Solaris/HP-UX/AIX uses a pointer to an array.
Bug #726.

sync with translationproject.org

Bug #738

sync with translationproject.org

Better test for negated character classes.

Add test for negated character class

sync with translationproject.org

sync

Fix negation of character classes.

Fix the check for whether a user is allowed to lists another user's
privileges.  The "matched" variable is not boolean, it can also
have the value UNSPEC so we need to check explicitly for true.
Bug #738

Log the number of PAM messages in the conversation function at debug
level.

Don't check for posix_spawn() or posix_spawnp() if we were unable
to find spawn.h.  This should only be a problem on systems with
broken headers.  Bug #730

update for 1.8.16

Fix documented bug with duplicate role names and turn on perl warnings.
Based on a diff from Aaron Peschel

Add declaration of getauthdb() for AIX 5.1

regen

sync with translationproject.org

Add a note that --with-solaris-audit is only for Solaris 11 and
above.  Bug #737

Remove last remnants of the deprecated --with-stow option.

src/load_plugins.c needs _PATH_SUDO_CONF so allow it to be overridden
via the Makefile like other consumers of _PATH_SUDO_CONF.  Bug #735

Add an administrative domain to the passwd/group cache key for
AIX which can have different name <-> ID mappings depending
on whether the database is local, LDAP, etc.

Fedora dropped "core" from the name some time ago so just match on
f[0-9] for the rpm distro name provided by pp.  Since the version
numbers of Fedora and RHEL are so different switch to defining
variables to indicate which features should be enabled.  Works for
Fedora 23.

Treat fedora core like centos/rhel for package building.

Plug some memory leaks in the tests.

If realloc of sudoerslval.command.args fails, reset sudoerslval.command.args
as well as arg_len and arg_size after freeing sudoerslval.command.args.

When freeing the iobs after pty tear-down, also free the associated
event structures.  Quiets a memory leak warnings from address
sanitizer and valgrind.

iolog_compress should be bool, not int

Quiet address sanitizer leak detector.

Simple garbage collection (really a to-be-freed list) for the sudoers
plugin.  Almost identical to what sudo.c uses.  Currenly only the
environment strings are collected at exit time which is enough to
quiet address sanitizer's leak detector.

Rename gc_cleanup to gc_run and remove I/O plugins from the plugin
list when freeing them.

Free up the garbage via an atexit() handler instead of requiring
a call to gc_exit.

Plug a memory leak in sudo_edit.

mention --enable-asan

Try to deconfuse static analyzers a bit.

Avoid possible NULL deref found by clang analyzer.

Add --enable-asan configure flag to enable address sanitizer

Add support for garbage collecting info passed to the plugin before
exit to appease address sanitizer's leak detector (and valgrind's
leak checker).  We can't free these sooner since the plugin may be
using the memory.  For plugin API 2.0 it should be make clear that
the plugin must make a copy of the data in the arrays passed in to
the plugin's open() function.  Only enabled if NO_LEAKS is defined.

auth_getpass() returns a dynamically allocated copy of the plaintext
password which needs to be freed after checking (and clearing) it.

Remove sudo_fatalx() calls from format_plugin_settings().

fn_free_result() (aka sss_sudo_free_result() in sss_sudo.c) handles
a NULL poiner so there's no need to check before calling it.  Add
missing initialization of sss_sudo_result to NULL in sudo_sss_setdefs().

Add missing return when user is not found in sudo_sss_result_get().
Previously we fell through to the default case which just logged a
debug message and returned so this just avoids the extra (generic)
debug message.

Fix a warning on AIX.

Pass updated user_env_out, not envp, to the I/O open function.

Pass updated argv/envp to the I/O open function like the plugin API
documents.

Add check for I/O log file handle being NULL.  This could only
happen if the front-end calls iolog_open with argc == 0 but actually
runs a command.

Additional debugging for pwutil functions.

When calling setauthdb(), save the old registry value so we can
restore it properly.  Previously we were setting the registry to
unrestricted instead of actually restoring it.

Use SUDOERS_DEBUG_UTIL not SUDO_DEBUG_UTIL in the plugin.

When parsing debug entries, don't make a lower value override a
higher one.  For example, for "pcomm@debug,all@warn" the "all@warn"
should not set pcomm to "warn" when it is already at "debug".

Set sudoedit_checkdir=false in command_details when it is disabled
in sudoers.

Update copyright year

If the user runs "sudoedit /" we will receive ENOENT from openat(2)
and sudoedit will try to create a file with the null string.  If
path is empty, open the cwd instead so sudoedit can give a sensible
error message.

Log an error for invalid boolean strings.

Fix off by one error in new SET_FLAG macro.

Document the race with sudoedit_checkdir in 1.8.15.

Document sudoedit_checkdir

There are no systems that support O_SEARCH/O_PATH that do not also
support O_DIRECTORY so simplify the definition of DIR_OPEN_FLAGS a
bit.

regen

Add 1.8.16 changes

Make sudoedit_checkdir the default and update the documentation accordingly.

Add a SET_FLAG macro to simplify parsing command details boolean
flags.  Previously, flags were only set and never cleared even if
the boolean value was false.  This was not a problem as there were
no default flags for the plugin to enable.  That will change in the
future.

Need to be root when switching to a different user.

Use O_SEARCH on systems without O_PATH if present.  It can be used
for a similar purpose.

Use faccessat(2) for directory writability instead of doing the
checks manually where possible.  This also allows us to remove the
#ifdef __linux__ bits since we no longer use fstat(2) on Linux with
an O_PATH fd.

Add "I/O LOG FILES" section to the manual and move many of the
details from the log_input and log_output descriptions to it.

Use "Nm sudoers" when talking about the plugin and "Em sudoers" when
talking about the sudoers file.

Remove gzopen_w which is only defined on Windows.

Work around the buggy pread(2) on 32-bit HP-UX 11.00 by using
pread64() on that platform.

Add support for matching the entire netgroup tuple (user, host, domain).

Use asprintf() to generate the netgroup filter instead of using
lots of concatenation.

Add missing sudo_debug_exit_ssize_t_v1 symbol.