test1061: mark as flaky

Fails intermittently on travis builds since a few days. Likely due to
5113ad0424.

url: refactor the check for Windows drive letter in path

- Move the logic to detect a Windows drive letter prefix
  (eg c: in c:foo) into a function-like macro.

Closes https://github.com/curl/curl/pull/1571

mk-ca-bundle.pl: Check curl's exit code after certdata download

- No longer allow partial downloads of certdata.

Prior to this change partial downloads were (erroneously?) allowed since
only the server code was checked to be 200.

Bug: https://github.com/curl/curl/pull/1577
Reported-by: Matteo B.

dist: add the fuzz dir to the tarball

configure: disable nghttp2 too if HTTP has been disabled

http-proxy: fix build with --disable-proxy or --disable-http

Reported-by: Dan Fandrich

fuzz/README: document how to build

Fixes #1476

fuzz: corpora file structure, initial commit

fuzz: bring oss-fuzz initial code converted to C89

http-proxy: only attempt FTP over HTTP proxy

... all other non-HTTP protocol schemes are now defaulting to "tunnel
trough" mode if a HTTP proxy is specified. In reality there are no HTTP
proxies out there that allow those other schemes.

Assisted-by: Ray Satiro, Michael Kaufmann
Closes #1505

TODO: the generated include file is gone

... since commit 73a2fcea0b

curl_setup.h: error out on CURL_WANTS_CA_BUNDLE_ENV use

... to make it really apparent if there's any user using this on purpose.

Suggested-by: Jay Satiro
Closes #1542

lib/curl_setup.h: remove CURL_WANTS_CA_BUNDLE_ENV

When this define was set, libcurl would check the environment variable
named CURL_CA_BUNDLE at run-time and use that CA cert bundle. This
feature was only defined by the watcom and m32 makefiles and caused
inconsistent behaviours among libcurls built on different platforms.

The curl tool does already feature its own similar logic and the library
does not really need it, and it isn't documented libcurl behavior. So
this change removes it.

Ref: #1538

test1147: verify -H on a file

curl: allow --header and --proxy-header read from file

So many headers can be provided as @filename.

Suggested-by: Timothe Litt
Closes #1486

RELEASE-NOTES: synced with 2ad80eec5

curl/curlver.h: start working on 7.55.0

http-proxy: do the HTTP CONNECT process entirely non-blocking

Mentioned as a problem since 2007 (8f87c15bdac63) and of course it
existed even before that.

Closes #1547

progress: let "current speed" be UL + DL speeds combined

Bug #1556
Reported-by: Paul Harris
Closes #1559

system.h: fix MinGW build

CURLSYS_PULL_WS2TCPIP_H got renamed to CURL_PULL_WS2TCPIP_H in commit
73a2fcea0b4adea6ba342cd7ed1149782c214ae3.

timers: store internal time stamps as time_t instead of doubles

This gives us accurate precision and it allows us to avoid storing "no
time" for systems with too low timer resolution as we then bump the time
up to 1 microsecond. Should fix test 573 on windows.

Remove the now unused curlx_tvdiff_secs() function.

Maintains the external getinfo() API with using doubles.

Fixes #1531

dist: make the hugehelp.c not get regenerated unnecessarily

The maketgz script now makes sure the generated hugehelp.c file in the
tarball is newer than the generated curl.1 man page, so that it doesn't
have to get unnecessarily rebuilt first thing in a typical build. It
thus also removes the need for perl to build off a plain release
tarball.

Fixes #1565

includes: remove curl/curlbuild.h and curl/curlrules.h

Rely entirely on curl/system.h now.

Introduced in Aug 2008 with commit 14240e9e109f. Now gone.

Fixes #1456

release: 7.54.1

mk-lib1521.pl: updated to match the test changes in 916ec30a

libressl: OCSP and intermediate certs workaround no longer needed

lib/vtls/openssl.c has a workaround for a bug with OCSP responses signed
by intermediate certs, this was fixed in LibreSSL in
https://github.com/libressl-portable/openbsd/commit/912c64f68f7ac4f225b7d1fdc8fbd43168912ba0

Bug: https://curl.haxx.se/mail/lib-2017-06/0038.html

url: fix buffer overwrite with file protocol (CVE-2017-9502)

Bug: https://github.com/curl/curl/issues/1540
Advisory: https://curl.haxx.se/docs/adv_20170614.html

Assisted-by: Ray Satiro
Reported-by: Marcel Raad

urlglob: fix division by zero

The multiply() function that is used to avoid integer overflows, was
itself reason for a possible division by zero error when passed a
specially formatted glob.

Reported-by: GwanYeong Kim

configure: update the copyright year in the output

BINDINGS: update SP-Forth and OCaml urls

FindWin32CACert: Use a temporary buffer on the stack

Don't malloc() the temporary buffer, and use the correct type:
SearchPath() works with TCHAR, but SearchPathA() works with char.
Set the buffer size to MAX_PATH, because the terminating null byte
is already included in MAX_PATH.

Reviewed-by: Daniel Stenberg
Reviewed-by: Marcel Raad
Closes #1548

test1521: fixed OOM handling

RELEASE-PROCEDURE: updated future release dates

gitignore: ignore all vim swap files

Closes #1561

lib1521: fix compiler warnings on the use of bad 'long' values

Reported-by: Marcel Raad
Bug: https://github.com/curl/curl/commit/cccac4fb2b20d6ed87da7978408c3ecacc464fe4#commitcomment-22453387

setopt: check CURLOPT_ADDRESS_SCOPE option range

... and return error instead of triggering an assert() when being way
out of range.

cmake: Fix inconsistency regarding mbed TLS include directory

Previously, one had to set MBEDTLS_INCLUDE_DIR to make CMake find the
headers, but the system complained that mbed TLS wasn't found due to
MBEDTLS_INCLUDE_DIRS (note the trailing s) was not set. This commit
attempts to fix that.

Closes https://github.com/curl/curl/pull/1541

examples/multi-uv.c: fix deprecated symbol

Closes #1557

asyn-ares: s/Curl_expire_latest/Curl_expire

expire: remove Curl_expire_latest()

With the introduction of expire IDs and the fact that existing timers
can be removed now and thus never expire, the concept with adding a
"latest" timer is not working anymore as it risks to not expire at all.

So, to be certain the timers actually are in line and will expire, the
plain Curl_expire() needs to be used. The _latest() function was added
as a sort of shortcut in the past that's quite simply not necessary
anymore.

Follow-up to 31b39c40cf90

Reported-by: Paul Harris
Closes #1555

configure: fix link with librtmp when specifying path

Bug: https://curl.haxx.se/mail/lib-2017-06/0017.html

file: make speedcheck use current time for checks

... as it would previously just get the "now" timestamp before the
transfer starts and then not update it again.

Closes #1550

metalink: remove unused printf() argument

travis: let some builds *not* use --enable-debug

typecheck-gcc and other things require optimized builds

Closes #1544

README.md: show the coverall coverage on github

lib1521: fix compiler warnings

test1521: make the code < 80 columns wide

test1121: use stricter types to work with typcheck-gcc

typecheck-gcc: allow CURLOPT_STDERR to be NULL too

test1521: test *all* curl_easy_setopt options

mk-lib1521.pl generates a test program (lib1521.c) that calls
curl_easy_setopt() for every known option with a few typical values to
make sure they work (ignoring the return codes).

Some small changes were necessary to avoid asserts and NULL accesses
when doing this.

The perl script needs to be manually rerun when we add new options.

Closes #1543

test1538: added "verbose logs" keyword

These error messages are not displayed with --disable-verbose

test1262: verify ftp download with -z for "if older than this"

curl_ntlm_core: use Curl_raw_toupper instead of toupper

This was the only remaining use of toupper in the entire source code.

Suggested-by: Daniel Stenberg

RELEASE-NOTES: synced with 65ba92650

curl_ntlm_core: pass unsigned char to toupper

Otherwise, clang on Cygwin64 warns:
curl_ntlm_core.c:525:35: error: array subscript is of type 'char'
[-Werror,-Wchar-subscripts]
    dest[2 * i] = (unsigned char)(toupper(src[i]));
                                  ^~~~~~~~~~~~~~~
/usr/include/ctype.h:152:25: note: expanded from macro 'toupper'
      (void) __CTYPE_PTR[__x]; (toupper) (__x);})
                        ^~~~

BINDINGS: add Ring binding

Closes https://github.com/curl/curl/pull/1539

CONTRIBUTE.md: mention tests done on pull requests

travis: add coverage, distcheck and cmake builds

Closes #1534

libtest: fix int-in-bool-context warnings

GCC 7 complained:
‘*’ in boolean context, suggest ‘&&’ instead [-Wint-in-bool-context]

libtest: fix implicit-fallthrough warnings with GCC 7

x509asn1: fix implicit-fallthrough warning with GCC 7

curl_sasl: fix unused-variable warning

This fixes the following warning with CURL_DISABLE_CRYPTO_AUTH,
as seen in the autobuilds:

curl_sasl.c:417:9: warning: unused variable 'serverdata'
[-Wunused-variable]

updatemanpages.pl: error out on too old git version

cyassl: define build macros before including ssl.h

cyassl/ssl.h needs the macros from cyassl/options.h, so define them
before including cyassl/ssl.h the first time, which happens in
urldata.h.
This broke the build on Ubuntu Xenial, which comes with WolfSSL 3.4.8
and therefore redefines the symbols from cyassl/options.h instead of
including the header.

Closes https://github.com/curl/curl/pull/1536

tool_util: remove unused tvdiff_secs and remove tool_ prefix

Closes #1532

dedotdot: fixed output for ".." and "." only input

Found when updating test 1395, which I did to increase test coverage of
this source file...

Closes #1535

mbedtls: make TU-local variable static

mbedtls_x509_crt_profile_fr is only used locally.
This fixes a missing-variable-declarations warning with clang.

MD(4|5): silence cast-align clang warning

Unaligned access is on purpose here and the warning is harmless on
affected architectures. GCC knows that, while clang warns on all
architectures.

test1538: fix typo

test1538: verify the libcurl strerror API calls

curl_endian: remove unused functions

Closes #1529

test1537: dedicated tests of the URL (un)escape API calls

Closes #1530

coverage: run event tests too

... the torture ones are commented out only because they are slooooow.

build: provide easy code coverage measuring

Closes #1528

typecheck-gcc.h: check CURLINFO_CERTINFO

... and update the certinfo.c example accordingly.

Fixes https://github.com/curl/curl/issues/846

typecheck-gcc.h: check CURLINFO_TLS_SSL_PTR and CURLINFO_TLS_SESSION

... so that they get the required "struct curl_tlssessioninfo **"
arguments.

typecheck-gcc.h: separate getinfo slist checks from other pointers

Fixes #1524

curl-compilers.m4: escape square brackets in regex

Otherwise, they are removed in the final configure file.
Also changed sed to "$SED" like in most other calls in this file.

curl-compilers.m4: fix compiler_num for clang

"clang -dumpversion" always returns "4.2.1", the GCC version that clang
was initially compatible to. Use "clang -v" instead, which returns the
actual clang version.

Fixes https://github.com/curl/curl/issues/1522
Closes https://github.com/curl/curl/pull/1523

examples/externalsocket.c: s/closesocket/closecb

... since closesocket is a function in WinSock.

Reported-by: Marcel Raad
Bug: https://github.com/curl/curl/commit/55fcb8485914700132fd1854c9509b66c955efbe#co
mmitcomment-22347818

lib583: fix compiler warning

Use CURLMcode for variable 'res' and cast to int where necessary
instead of the other way around. Other tests do the same.

This fixes the following clang warning:
lib583.c:68:15: warning: cast from function call of type 'CURLMcode' to
non-matching type 'int' [-Wbad-function-cast]

CURLOPT_SSH_KEY*.3: typos

Reported-by: Gisle Vanem

CURLOPT_STREAM_DEPENDS.3: typo

CURLOPT_FNMATCH_FUNCTION.3: also modified example to avoid fcpp issues

CURLOPT_FNMATCH_DATA.3: modified example to avoid fcpp issues

opts: more than 100 more examples for man pages...

libtest/lib574.c: use correct callback proto

examples/sampleconv.c: indent changes, made callbacks static

example/externalsocket.c: make it use CLOSESOCKETFUNCTION too

curl-compilers.m4: enable -Wshift-sign-overflow for clang

clang 2.9+ supports -Wshift-sign-overflow, which warns about undefined
behavior on signed left shifts when shifting by too many places.

Ref: https://github.com/curl/curl/issues/1516
Closes https://github.com/curl/curl/pull/1517

CURLOPT_PROXY.3: fix test 1140 breakage

build-wolfssl: Sync config with wolfSSL 3.11

wolfSSL configure script relevant changes from 3.10 to 3.11:

- Async threading support added; disabled by default without async
  crypto, which continues to be disabled by default.

wolfSSL configure script relevant changes from 3.11 to 3.11.1 (beta):

- TLS 1.3 beta support added; disabled by default.

For experimenting I put in a comment block the defines needed to enable
TLS 1.3 support (ie the equivalent of --enable-tls13).

opts: more examples added to man pages

docs: clarify NO_PROXY further

Fixes #1208

CURLOPT_PROXY.3: describe the environment variables more

transfer: init the infilesize from the postfields...

... with a strlen() if no size was set, and do this in the pretransfer
function so that the info is set early. Otherwise, the default strlen()
done on the POSTFIELDS data never sets state.infilesize.

Reported-by: Vincas Razma
Bug: #1294

test557: fix ubsan runtime error due to int left shift

- Test curl_msnprintf negative int width arg using INT_MIN instead of
  1 << 31 which is undefined behavior.

Closes https://github.com/curl/curl/issues/1516

mbedtls: fix variable shadow warning

vtls/mbedtls.c:804:69: warning: declaration of 'entropy' shadows a global declaration [-Wshadow]
 CURLcode Curl_mbedtls_random(struct Curl_easy *data, unsigned char *entropy,
                                                                     ^~~~~~~

RELEASE-NOTES: synced with 3aaac8c2f

tests: removed some redundant empty <stdout> sections