Don't escape '$' when running "sudo -i command".  Bug #564

Fix typo in comment.

Fix comment.

Quiet some gcc -Wformat=2 false positives

Remove now-obsolete arg to env_merge()

Updated translations from translationproject.org

French translation for sudo from translationproject.org.

Add __printflike to audit_failure.

Use __nonnull__ attribute in __printflike.

When merging the PAM environment, allow environment variables set
in PAM to override ones set by sudo as long as they do not match
the env_keep or env_check lists.

Call pam_getenvlist() after we've opened the session to get the
session-specific environment variables.

option not flag

Don't redefine opterr, optind, optopt, optarg in getopt_long.c.
Add a check for optreset which is a BSD extension and provide a
definition in getopt_long.c if it is not present.

regen

Use lower case for the long option arguments to match the manual.
This is inconsistent with GNU but it is better to match the sudo
documentation.

Sudo 1.8.8

Use lower card for the long option arguments to match the manual.
This is inconsistent with GNU but it is better to match the sudo
documentation.

Describe how remote command execution can be implemented.

Bump version.

Make it a fatal error if the plugin returns invalid or out of range
command info.

Use strtol() instead of atoi() and perform error checking
of parameters passed from the sudo front-end.

It is not possible for auth to be NULL here.

Initialize user_runhost and user_srunhost to user_host and user_shost
in visudo and testsudoers.

Rename error.h -> fatal.h now that there is no error() function.

Add support to the debug subsystem for zero-length strings.  This
can happen for things like warning(NULL) or fatal(NULL) where we
just want to log the errno string.

Add __printflike for vfatal, vfatalx, vwarning and vwarningx.

Need to include gettext.h for BSM audit.

Change some fatalx(NULL) that should be fatal(NULL).

Use __printf0like for warning() and fatal() since the fmt string
may be NULL.

Quiet a gcc "used uninitialized in this function" false positive.

Enable bsm audit on Mac OS X and Solaris >= 11.

Fix compilation on Solaris 11.

Add missing missing.h

Move the -C (user_closefrom) check until after set_cmnd() so that
closefrom_override can be used in a command-specific Defaults line.
Fixes bug #610 from Mengtao Sun.

If not using a pty and the child process gets SIGTTOU or SIGTTIN
and sudo is the foreground process, make the child the foreground
process and continue it.

If sudo is not setuid and was not invoked with a full path, look
in the user's PATH for the sudo binary to give a better error
message.

Add limited support for "sudo -l -h other_host".  Since group lookups
are done on the local host, rules that use group membership may be
incorrect if the group database is not synchronized between hosts.

Fix parsing of "-h host" when used in conjunction with the -l flag.

Simplify usage messages a bit and make --help output more closely
resemble GNU usage wrt long options.  Sync usage and man page
SYNOPSYS sections and improve long options in the manual pages.
Now that we have long options we don't need to give the mnemonic
for the single-character options in the description.

Fix setting of mailer argv[0] to basename of mailerpath.
No need to strdup() mailerpath as it is not modified.

Make sure the mailer exists and is a regular file before trying
to exec it.

If tty_tickets are enabled but there is no tty, use a ticket file
based on the parent pid.

Allow default plugin dir to be configured in sudo.conf.

UTF8 for Ruusamae, Elan; from Tae Wong

Don't allow max_groups to be set to zero, it just complicates things
needlessly.  Fixes an assertion in visudo when there is a group-based
Defaults entry.

Refactor code to parse list of gids into its own function that is
shared by the sudo front-end and the sudoers module.
Make uid/gid parse error be fatal, not just a warning.

Add function comment block.

Default text domain is now sudo, not sudoers.

Update dependency for atoid.lo

Add endpointer and separator args to atoid()

Use private version of atoid() to avoid a dependency on libcommon.a
(since that already depends on libreplace.a).

More UTF8 in names; from Tae Wong

Use atoid() in more places.

Move atoid() to common so it can be used in src and compat too.

Avoid a crash on Mac OS X 10.8 (at least) when we close libdispatch's
fds out from under it before executing the command.  Switch to just
setting the close on exec flag instead.

Convert to last, first for easier sorting and use UTF8 (including a
BOM).

Add atoid() function to convert a string to an id_t (uid, gid or
pid).  We have to be careful to choose() either strtol() or strtoul()
depending on whether the string appears to be signed or unsigned.
Always using strtoul() is unsafe on 64-bit platforms since the
uid might be represented as a negative number and (unsigned long)-1
on a 64-bit system is 0xffffffffffffffff not 0xffffffff.
Fixes a problem with uids larger than 0x7fffffff on 32-bit platforms.

Add atoid() function to convert a string to an id_t (uid, gid or
pid).  We have to be careful to choose() either strtol() or strtoul()
depending on whether the string appears to be signed or unsigned.
Always using strtoul() is unsafe on 64-bit platforms since the
uid might be represented as a negative number and (unsigned long)-1
on a 64-bit system is 0xffffffffffffffff not 0xffffffff.
Fixes a problem with uids larger than 0x7fffffff on 32-bit platforms.

Avoid "perm stack underflow" error when logging the unknown uid error.

In rewind_perms() there is nothing to do if perm_stack_depth == 0.

Add pam_setcred sudoers option to allow the user to control whether
pam_setcred() is called on the user's behalf.

Add pam_service and pam_login_service sudoers settings to control
the service name passed to pam_start.

Newer Xcode places the SDKs under Xcode.app

Implement memset_s() and use it instead of zero_bytes().
A new constant, SUDO_CONV_REPL_MAX, is defined by the plugin
API as the max conversation reply length.  This constant can be
used as a max value for memset_s() when clearing passwords
filled in by the conversation function.

Do not try to install plugins when shared modules are disabled
(sudoers already had the check).

Update dependencies to take into account compat/getopt.h and
compat/dlfcn.h.

Update dependencies now that sudo_usage.h is always included from
the build dir.

Add some warnings and debugging to sasl ccname handling.

Fix write loop invariant in sudo_krb5_copy_cc_file()

Strip off leading FILE: or WRFILE: prefix before trying to copy
the user's credential cache.

Instead of setting RLIMIT_NPROC to unlimited when sudo initializes,
just save RLIMIT_NPROC in exec_setup() before the final setuid()
and restore it immediately after.  We don't need to modify RLIMIT_NPROC
for simple euid changes, just for changing the real (and saved)
uids before we exec.  This also means we no longer need to worry
about _SC_CHILD_MAX returning -1.  Bug #565

Now that the ldap code runs with the real and effective uid set to
0, it is not possible for the gssapi libs to find the user's krb5
credential cache file.  To work around this, we make a temporary
copy of the user's credential cache specified by KRB5CCNAME (opened
with the user's effective uid) and point gssapi to it.  To set the
credential cache file name, we dynamically look up gss_krb5_ccache_name()
and use it if available, otherwise fall back to setting KRB5CCNAME.

Long option support for visudo and sudoreplay.

Add support for long options and fix inclusion of sudo_usage.h with
modern gcc broken in 8597:1fcb7ba13018.

Add rule to rebuild sudo_usage.h when the .in file changes.

Add make rules for building getopt_long.c

Make "-h hostname" work.  Optional args in GNU getopt() only work
when there is no space between the option flag and the argument.

Use getopt_long() so we can make the -h flag take an optional argument.
Includes a version for those without it.

Document that the -h option can be used specify a host name for future
plugins.

Overload -h option to specify an optional hostname for remote access.
This is future-proofing; no policy plugins currently support this.

Bump version to 1.8.8

Document the remote_host setting (-h host)

fix "the the"

Do not error out if arg to -U option cannot be resolved, that is for
the plugin to decide.
There is no need for runas_user and runas_group to be global, make
them local to parse_args() instead.

Sync with translationproject.org

Remove old bits about sudo setuid problems that should have been
cleaned up in changeset 7917:fa4894896d8a.  Also update the mode
of sudo to 04755 to match current packaging.

Go back to ignoring the return value of pam_setcred() since with
stacked PAM auth modules a failure from one module may override
PAM_SUCCESS from another.  If the first module in the stack fails,
the others may be run (and succeed) but an error will be returned.
This can cause a spurious warning on systems with non-local users
(e.g. pam_ldap or pam_sss) where pam_unix is consulted first.

Remove unused variable.

Fix typo

Fix pasto; sudo_sss_extract_digest() not sudo_ldap_extract_digest().
From Dan Harnett.

Fix formatting typo; from Eric S. Raymond

Use -gxcoff on aix so dbx can be used to debug sudo.

Fix typo; bug 605

Regen .mo files that were out of date.

On Solaris 11 and higher, tag binaries for ASLR if supported by the
linker.

No longer need to disable PIE on Solaris.

Restrict default creation of PIE binaries (-fPIE and -pie) to Linux.
OpenBSD also supports PIE but enables it by default so we don't
need to do anything.  This fixes problems on systems with a version
of GNU ld that accepts -pie but where the run-time linker doesn't
actually support PIE.  Also verify that a trivial PIE binary works
unless PIE is explicitly enabled.

Attempt to detect PIE failure on Solaris 10 with GNU as and GNU ld
where we can end up crashing due to malloc() failures.  Sems OK
when Using Sun as and ld.

Update with final changes.

Add -fPIE to PIE_LDFLAGS as per gcc manual.