cyassl.c: return the correct error code on no CA cert

CyaSSL 3.0.0 returns a unique error code if no CA cert is available,
so translate that into CURLE_SSL_CACERT_BADFILE when peer verification
is requested.

symbols-in-versions: new SPNEGO/GSS-API symbols in 7.38.0

test1013.pl: remove SPNEGO/GSS-API tweaks

No longer necessary after Michael Osipov's rework

http_negotiate: remove unused variable

docs: Improve inline GSS-API naming in code documentation

curl.h/features: Deprecate GSS-Negotiate macros due to bad naming

- Replace CURLAUTH_GSSNEGOTIATE with CURLAUTH_NEGOTIATE
- CURL_VERSION_GSSNEGOTIATE is deprecated which
  is served by CURL_VERSION_SSPI, CURL_VERSION_GSSAPI and
  CURUL_VERSION_SPNEGO now.
- Remove display of feature 'GSS-Negotiate'

configure/features: Add feature and version info for GSS-API and SPNEGO

HTTP: Remove checkprefix("GSS-Negotiate")

That auth mech has never existed neither on MS nor on Unix side.
There is only Negotiate over SPNEGO.

curl_gssapi: Add macros for common mechs and pass them appropriately

Macros defined: KRB5_MECHANISM and SPNEGO_MECHANISM called from
HTTP, FTP and SOCKS on Unix

CONNECT: Revert Curl_proxyCONNECT back to 7.29.0 design

This reverts commit cb3e6dfa3511 and instead fixes the problem
differently.

The reverted commit addressed a test failure in test 1021 by simplifying
and generalizing the code flow in a way that damaged the
performance. Now we modify the flow so that Curl_proxyCONNECT() again
does as much as possible in one go, yet still do test 1021 with and
without valgrind. It failed due to mistakes in the multi state machine.

Bug: http://curl.haxx.se/bug/view.cgi?id=1397
Reported-by: Paul Saab

url.c: use the preferred symbol name: *READDATA

with CURL_NO_OLDIES defined, it doesn't compile because this deprecated
symbol (*INFILE) is used

Bug: http://curl.haxx.se/bug/view.cgi?id=1398

CURLOPT_CHUNK_BGN_FUNCTION: fix typo

build: link curl to NSS libraries when NSS support is enabled

This fixes a build failure on Debian caused by commit
24c3cdce88f39731506c287cb276e8bf4a1ce393.

Bug: http://curl.haxx.se/mail/lib-2014-07/0209.html

build: Removed unnecessary XML Documentation file directive from VC8 to VC12

The curl tool project files for VC8 to VC12 would set this setting to
$(IntDir) which is the Visual Studio default value. To avoid confusion
when viewing settings from within Visual Studio and for consistency
with the libcurl project files removed this setting.

Conflicts:
projects/Windows/VC10/src/curlsrc.tmpl
projects/Windows/VC11/src/curlsrc.tmpl
projects/Windows/VC12/src/curlsrc.tmpl
projects/Windows/VC8/src/curlsrc.tmpl
projects/Windows/VC9/src/curlsrc.tmpl

build: Removed unnecessary Precompiled Header file directive in VC7 to VC12

The curl tool project files for VC7 to VC12 would set this settings to
$(IntDir)$(TargetName).pch which is the Visual Studio default value. To
avoid confusion when viewing settings from within Visual Studio and for
consistency with the libcurl project files removed this setting.

Conflicts:
projects/Windows/VC10/src/curlsrc.tmpl
projects/Windows/VC11/src/curlsrc.tmpl
projects/Windows/VC12/src/curlsrc.tmpl
projects/Windows/VC8/src/curlsrc.tmpl
projects/Windows/VC9/src/curlsrc.tmpl

build: Removed unnecessary ASM and Object file directives in VC7 to VC12

The curl tool project files for VC7 to VC12 would set these settings to
$(IntDir) which is the Visual Studio default value. To avoid confusion
when viewing settings from within Visual Studio and for consistency
with the libcurl project files removed these two settings.

src/Makefile.am: add .DELETE_ON_ERROR

This prevents targets like tool_hugehelp.c from leaving around
half-constructed files if the rule fails with GNU make.

Reported-by: Rafaël Carré <funman@videolan.org>

THANKS: added new contributors from 7.37.1 announcement

testcurl.pl: log the value of --runtestopts in the test header

RELEASE-NOTES: cleared, working towards next release

curl_gssapi.c: make line shorter than 80 columns

Fix negotiate auth to proxies to track correct state

Don't abort Negotiate auth when the server has a response for us

It's wrong to assume that we can send a single SPNEGO packet which will
complete the authentication. It's a *negotiation* — the clue is in the
name. So make sure we handle responses from the server.

Curl_input_negotiate() will already handle bailing out if it thinks the
state is GSS_S_COMPLETE (or SEC_E_OK on Windows) and the server keeps
talking to us, so we should avoid endless loops that way.

Don't clear GSSAPI state between each exchange in the negotiation

GSSAPI doesn't work very well if we forget everything ever time.

XX: Is Curl_http_done() the right place to do the final cleanup?

Use SPNEGO for HTTP Negotiate

This is the correct way to do SPNEGO. Just ask for it

Now I correctly see it trying NTLMSSP authentication when a Kerberos ticket
isn't available. Of course, we bail out when the server responds with the
challenge packet, since we don't expect that. But I'll fix that bug next...

Remove all traces of FBOpenSSL SPNEGO support

This is just fundamentally broken. SPNEGO (RFC4178) is a protocol which
allows client and server to negotiate the underlying mechanism which will
actually be used to authenticate. This is *often* Kerberos, and can also
be NTLM and other things. And to complicate matters, there are various
different OIDs which can be used to specify the Kerberos mechanism too.

A SPNEGO exchange will identify *which* GSSAPI mechanism is being used,
and will exchange GSSAPI tokens which are appropriate for that mechanism.

But this SPNEGO implementation just strips the incoming SPNEGO packet
and extracts the token, if any. And completely discards the information
about *which* mechanism is being used. Then we *assume* it was Kerberos,
and feed the token into gss_init_sec_context() with the default
mechanism (GSS_S_NO_OID for the mech_type argument).

Furthermore... broken as this code is, it was never even *used* for input
tokens anyway, because higher layers of curl would just bail out if the
server actually said anything *back* to us in the negotiation. We assume
that we send a single token to the server, and it accepts it. If the server
wants to continue the exchange (as is required for NTLM and for SPNEGO
to do anything useful), then curl was broken anyway.

So the only bit which actually did anything was the bit in
Curl_output_negotiate(), which always generates an *initial* SPNEGO
token saying "Hey, I support only the Kerberos mechanism and this is its
token".

You could have done that by manually just prefixing the Kerberos token
with the appropriate bytes, if you weren't going to do any proper SPNEGO
handling. There's no need for the FBOpenSSL library at all.

The sane way to do SPNEGO is just to *ask* the GSSAPI library to do
SPNEGO. That's what the 'mech_type' argument to gss_init_sec_context()
is for. And then it should all Just Work™.

That 'sane way' will be added in a subsequent patch, as will bug fixes
for our failure to handle any exchange other than a single outbound
token to the server which results in immediate success.

ntlm_wb: Avoid invoking ntlm_auth helper with empty username

ntlm_wb: Fix hard-coded limit on NTLM auth packet size

Bumping it to 1KiB in commit aaaf9e50ec is all very well, but having hit
a hard limit once let's just make it cope by reallocating as necessary.

RELEASE-NOTES: synced with 4cb2521595

test506: verify aa6884845168

After the fixed cookie lock deadlock, this test now passes and it
detects double-locking and double-unlocking of mutexes.

cookie: avoid mutex deadlock

... by removing the extra mutex locks around th call to
Curl_flush_cookies() which takes care of the locking itself already.

Bug: http://curl.haxx.se/mail/lib-2014-02/0184.html

gnutls: fix compiler warning

conversion to 'int' from 'long int' may alter its value

test320: strip off the actual negotiated cipher width

It's irrelevant to the test, and will change depending on which SSL
library is being used by libcurl.

gnutls: detect lack of SRP support in GnuTLS at run-time and try without

Reported-by: David Woodhouse

configure: respect host tool prefix for krb5-config

Use ${host_alias}-krb5-config if available. This improves cross-
compilation support and fixes multilib on Gentoo (at least).

gnutls: handle IP address in cert name check

Before GnuTLS 3.3.6, the gnutls_x509_crt_check_hostname() function
didn't actually check IP addresses in SubjectAltName, even though it was
explicitly documented as doing so. So do it ourselves...

build: set _POSIX_PTHREAD_SEMANTICS on Solaris to get proper getpwuid_r

RELEASE-NOTES: next one is called 7.37.1

gnutls: improved error message if setting cipher list fails

Reported-by: David Woodhouse

netrc: fixed thread safety problem by using getpwuid_r if available

The old way using getpwuid could cause problems in programs that enable
reading from netrc files simultaneously in multiple threads.

Reported-by: David Woodhouse

RELEASE-NOTES: add the reporter of the previous bug fix

netrc: treat failure to find home dir same as missing netrc file

This previously caused a fatal error (with a confusing error code, at
that).

Reported by: Glen A Johnson Jr.

RELEASE-NOTES: Synced with aaaf9e50ec

ntlm_wb: Fixed buffer size not being large enough for NTLMv2 sessions

Bug: http://curl.haxx.se/mail/lib-2014-07/0103.html
Reported-by: David Woodhouse

build: Fixed overridden compiler PDB settings in VC7 to VC12

The curl tool project files for VC7 to VC12 would override the default
setting with the output filename being the same as the linker PDB file.
As such the compiler file would be overwritten with the linker file
for all debug builds.

To avoid this overwrite and for consistency with the libcurl project
files, removed the setting to force the default filename to be used.

tests: added globbing keyword to URL globbing tests

Fixed some "statement not reached" warnings

gnutls: fixed a couple of uninitialized variable references

gnutls: fixed compilation against versions < 2.12.0

The AES-GCM ciphers were added to GnuTLS as late as ver. 3.0.1 but
the code path in which they're referenced here is only ever used for
somewhat older GnuTLS versions. This caused undeclared identifier errors
when compiling against those.

gnutls: explicitly added SRP to the priority string

This seems to have become necessary for SRP support to work starting
with GnuTLS ver. 2.99.0. Since support for SRP was added to GnuTLS
before the function that takes this priority string, there should be no
issue with backward compatibility.

tests: adjust for capitalization differences in newer gnutls-serv

test320/1/2/4: fix the port number substitution variables

These tests have been broken since commit 1958fe57 in Oct. 2011

tests: document more test identifiers and variables

gnutls: ignore invalid certificate dates with VERIFYPEER disabled

This makes the behaviour consistent with what happens if a date can
be extracted from the certificate but is expired.

CURLOPT_UPLOAD: Corrected argument type

FAQ: expand the thread-safe section

... with a mention of *NOSIGNAL, based on talk in bug #1386

url.c: Fixed memory leak on OOM

This showed itself on some systems with torture failures
in tests 1060 and 1061

Update instances of some obsolete CURLOPTs to their new names

compiler warnings: potentially uninitialized variables

... pointed out by MSVC2013

Bug: http://curl.haxx.se/bug/view.cgi?id=1391

nss: make the list of CRL items global

Otherwise NSS could use an already freed item for another connection.

nss: fix a memory leak when CURLOPT_CRLFILE is used

nss: make crl_der allocated on heap

... and spell it as crl_der instead of crlDER

nss: let nss_{cache,load}_crl return CURLcode

tool: oops, forgot to include <plarenas.h>

... that contains the declaration of PL_ArenaFinish()

tool: call PL_ArenaFinish() on exit if NSPR is used

This prevents valgrind from reporting still reachable memory allocated
by NSPR arenas (mainly the freelist).

Reported-by: Hubert Kario

example: use correct type (long) for CURLOPT_FOLLOWLOCATION

Document type of argument for CURLOPT_FOLLOWLOCATION.

Document type of argument for CURLOPT_ERRORBUFFER.

Document type of argument for CURLOPT_COPYPOSTFIELDS.

Document type of argument for CURLOPT_ADDRESS_SCOPE.

curl.1: minor language fix

Bug: http://curl.haxx.se/mail/archive-2014-07/0006.html

progress callback: skip last callback update on errors

When an error has been detected, skip the final forced call to the
progress callback by making sure to pass the current return code
variable in the Curl_done() call in the CURLM_STATE_DONE state.

This avoids the "extra" callback that could occur even if you returned
error from the progress callback.

Bug: http://curl.haxx.se/mail/lib-2014-06/0062.html
Reported by: Jonathan Cardoso Machado

opts: fixed some CURLOPT references so they get turned into links

tool: call PR_Cleanup() on exit if NSPR is used

This prevents valgrind from reporting possibly lost memory that NSPR
uses for file descriptor cache and other globally allocated internal
data structures.

nss: make the fallback to SSLv3 work again

This feature was unintentionally disabled by commit ff92fcfb.

nss: do not abort on connection failure

... due to calling SSL_VersionRangeGet() with NULL file descriptor

reported-by: upstream tests 305 and 404

opts: Document the socket callback function parameters

opts: Fixed some typos

curl_easy_setopt.3: fixed the error code for an unsupported option

opts: added some DEFAULT and RETURN VALUE sections

libcurl docs: man page edits

mainly to improve how the web versions render

curl_easy_setopt.3: fixed some typos

lib man pages: update easy setopt option references

... by using the "\fIopt(3)\fP" syntax they will be linked properly when
the web version of the page is generated.

opts: the CURLOPT_SSL_ENABLE_*PN options are enabled by default

lib: documentation updates in README.hostip

c-ares now does support IPv6;
avoid implying threaded resolver is Windows-only;
two referenced source files were renamed in 7de2f92

curl_easy_setopt.3: CURLOPT_POSTFIELDS is the exception

... to the always-copy-char *-argument.

And fix some minor mistakes.

curl_easy_setopt.3: refer to the individual man pages

With all the new individual option man pages created, this now refers to
each separate one instead of duplicaing the info. Also makes this page
easier to overview.

opts: fixed mancheck for out-of-tree builds

curl_easy_setopt.3: shorten

shorten descriptions, mostly refer to the separate descriptions

CURLOPT_DNS_LOCAL_IP4.3: better short desc

opts: document CURLE_OUT_OF_MEMORY among other return values

opts: fixed some typos

opts: various corrections

opts: add the rest of the options

... and fixed mancheck to ignore obsolete options

opts: the final bunch of options as man pages

Now all current options have their own man pages.

opts: 37 additional man pages

CURLOPT_URL: move up the text from "Notes"

ROADMAP: removed, now ROADMAP.md

ROADMAP.md: make it markdown formatted

ROADMAP: initial commit of "curl the next few years"

To be further discussed, debated and edited