lib/makefile.m32: add arch -m32/-m64 to LDFLAGS

This fixes using a multi-target mingw distro to build curl .dll for the
non-default target.
(mirroring the same patch present in src/makefile.m32)

RELEASE-NOTES: synced with cd39b944afc

I've not mentioned the bug fixes that were shipped in 7.42.1 from the
7_42 branch.

THANKS: merged from the 7.42.1 release

CURLOPT_HEADEROPT: default to separate

Make the HTTP headers separated by default for improved security and
reduced risk for information leakage.

Bug: http://curl.haxx.se/docs/adv_20150429.html
Reported-by: Yehezkel Horowitz, Oren Souroujon

docs/libcurl: Corrected a typo in the CURLOPT_PROXY_SERVICE_NAME documentation

hash: simplify Curl_str_key_compare()

dist: ship CURLOPT_PROXY_SERVICE_NAME and CURLOPT_SERVICE_NAME

Negotiate: custom service names for SPNEGO.

* Add new options, CURLOPT_PROXY_SERVICE_NAME and CURLOPT_SERVICE_NAME.
* Add new curl options, --proxy-service-name and --service-name.

http2: unify http_conn variable names to 'c'

ConnectionExists: call it multi-use instead of pipelining

So that it fits HTTP/2 as well

nss: fix compilation failure with old versions of NSS

Bug: http://curl.haxx.se/mail/lib-2015-04/0095.html

sws: init http2 state properly

It would otherwise cause problems when running tests after 1801 etc.

curl_easy_getinfo.3: document 'internals' in CURLINFO_TLS_SESSION

... as it was previouly undocumented what the pointer was.

runtests: use a DISABLED.local file too

... and have git ignore that. Allows for a dev to add tests to ignore in
local tests and yet don't obstruct a normal git work flow.

schannel.c: Fix typo introduced with 3447c973d0

schannel.c: Fix possible SEC_E_BUFFER_TOO_SMALL error

Reported-by: Brian Chrisman

schannel: re-indented file to follow curl style better

white space changes only

Curl_ossl_init: load builtin modules

To have engine modules work, we must tell openssl to load builtin
modules first.

Bug: https://github.com/bagder/curl/pull/206

configure: follow-up fix for krb5-config

commit 5b66860652 was incomplete so here's a follow-up fix

Reported-by: Dagobert Michelsen
Bug: https://github.com/bagder/curl/commit/5b668606527613179d0349f21b4ab0df2971e3d2#commitcomment-10473445

openssl: fix serial number output

The code extracting the cert serial number was broken and didn't display
it properly.

Bug: https://github.com/bagder/curl/issues/235
Reported-by: dkjjr89

sasl_sspi: Populate domain from the realm in the challenge

Without this, SSPI based digest auth was broken.

Bug: https://github.com/bagder/curl/pull/141.patch

tool: New option --data-raw to HTTP POST data, '@' allowed.

Add new option --data-raw which is almost the same as --data but does
not have a special interpretation of the @ character.

Prior to this change there was no (easy) way to pass the @ character as
the first character in POST data without it being interpreted as a
special character.

Bug: https://github.com/bagder/curl/issues/198
Reported-by: Jens Rantil

test2039: fixed line endings that caused a test failure

netrc: add unit tests for 'default' support

netrc: support 'default' token

The 'default' token has no argument and means to match _any_ domain.
It must be placed last if there are 'machine <name>' tokens in the same file.

See full description here:
https://www.gnu.org/software/inetutils/manual/html_node/The-_002enetrc-File.html

ROADMAP.md: extended the HTTP/2 section, reformatted

Elaborated on several of the remaining HTTP/2 parts and made document
use a format that ends up nicer on the web page:
http://curl.haxx.se/dev/roadmap.html

curl -z: do not write empty file on unmet condition

This commit fixes a regression introduced in curl-7_41_0-186-g261a0fe.
It also introduces a regression test 1424 based on tests 78 and 1423.

Reported-by: Viktor Szakats
Bug: https://github.com/bagder/curl/issues/237

tool: fixed a comment typo

README: convert to UTF-8

cyassl: Implement public key pinning

Also add public key extraction example to CURLOPT_PINNEDPUBLICKEY doc.

curl.1: fix typo

docs: distribute the CURLOPT_PINNEDPUBLICKEY(3) man page, too

tests/unit/.gitignore: hide unit1601 and above, too

connectionexists: follow-up to fd9d3a1ef1f

PROTOPT_CREDSPERREQUEST still needs to be checked even when NTLM is not
enabled.

Mistake-caught-by: Kamil Dudka

connectionexists: fix build without NTLM

Do not access NTLM-specific struct fields when built without NTLM
enabled!

bug: http://curl.haxx.se/?i=231
Reported-by: Patrick Rapin

bump: start working toward 7.43.0

nss: implement public key pinning for NSS backend

Bug: https://bugzilla.redhat.com/1195771

dist: include {src,lib}/checksrc.whitelist

RELEASE-NOTES: updated for 7.42.0

THANKS: added contributors from 7.42.0 release notes

THANKS-filter: a few more alterations to squash

contrithanks.sh: helper script for maintaining THANKS

http_done: close Negotiate connections when done

When doing HTTP requests Negotiate authenticated, the entire connnection
may become authenticated and not just the specific HTTP request which is
otherwise how HTTP works, as Negotiate can basically use NTLM under the
hood. curl was not adhering to this fact but would assume that such
requests would also be authenticated per request.

CVE-2015-3148

Bug: http://curl.haxx.se/docs/adv_20150422B.html
Reported-by: Isaac Boukris

fix_hostname: zero length host name caused -1 index offset

If a URL is given with a zero-length host name, like in "http://:80" or
just ":80", `fix_hostname()` will index the host name pointer with a -1
offset (as it blindly assumes a non-zero length) and both read and
assign that address.

CVE-2015-3144

Bug: http://curl.haxx.se/docs/adv_20150422D.html
Reported-by: Hanno Böck

cookie: cookie parser out of boundary memory access

The internal libcurl function called sanitize_cookie_path() that cleans
up the path element as given to it from a remote site or when read from
a file, did not properly validate the input. If given a path that
consisted of a single double-quote, libcurl would index a newly
allocated memory area with index -1 and assign a zero to it, thus
destroying heap memory it wasn't supposed to.

CVE-2015-3145

Bug: http://curl.haxx.se/docs/adv_20150422C.html
Reported-by: Hanno Böck

ConnectionExists: for NTLM re-use, require credentials to match

CVE-2015-3143

Bug: http://curl.haxx.se/docs/adv_20150422A.html
Reported-by: Paras Sethia

openssl: add OPENSSL_NO_SSL3_METHOD check

CURLOPT_HEADERFUNCTION.3: match parameter name in synopsis and desc

Bug: https://github.com/bagder/curl/issues/229
Reported-by: bsammon

configure --with-nss: remove unneeded libs from the fallback

contributors.sh: fix help output, filter out (-prefix from names

RELEASE-NOTES: synced with cc0e7ebc3be0

CURLMOPT_TIMERFUNCTION.3: Clarify, add an example

vtls/openssl: use https in URLs and a comment typo fixed

curl_version_info.3: fixed the 'protocols' variable type

Reported-by: John Marshall
Bug: https://github.com/bagder/curl/issues/225

test1423: added missing "file" to server section

TheArtOfHttpScripting: Multiple URLs + Multiple HTTP methods

... and some minor edits

Revert "HTTP: don't abort connections with pending Negotiate authentication"

This reverts commit 5dc68dd6092a789bb5e0a67a1c1356ba87fdcbc6.

Bug: https://github.com/bagder/curl/issues/223
Reported-by: Michael Osipov

cyassl: Fix include order

Prior to this change CyaSSL's build options could redefine some generic
build symbols.

http://curl.haxx.se/mail/lib-2015-04/0069.html

configure --with-nss: drop redundant if statement

configure --with-nss=PATH: query pkg-config if available

Bug: https://github.com/bagder/curl/pull/171

parsecfg: do not continue past a zero termination

When a config file line ends without newline, the parsing function could
continue reading beyond that point in memory.

Reported-by: Hanno Böck

gitignore: Ignore Windows build output directories

RELEASE-NOTES: synced with 1ba6e4c88e0

TODO: 17.9 Choose the name of file in braces for complex URLs

TODO: a little caution that maybe not all ideas are still good

TODO: 17.8 offer color-coded HTTP header output

TODO: 17.7 warning when sending binary output to terminal

KNOWN_BUGS: #90 IMAP "SEARCH ALL" truncates output on large boxes

cyassl: Add support for TLS extension SNI

gitignore: ignore test-driver file

vtls_openssl: improve PKCS#12 load failure error message

vtls_openssl: fix minor typo in PKCS#12 load routine

vtls_openssl: improve client certificate load failure error messages

vtls_openssl: remove ambiguous SSL_CLIENT_CERT_ERR constant

BUGS: refer to the github issue tracker now as primary

firefox-db2pem: fix wildcard to find Firefox default profile

At some point, Firefox has changed and generates different directory
names for the default profile that made this script fail to find them.

Bug: https://github.com/bagder/curl/issues/207
Reported-by: sneakyimp

cyassl: Include the CyaSSL build config

CyaSSL >= 2.6.0 may have an options.h that was generated during
its build by configure.

build: Generate source prerequisites for Visual Studio in generate.bat

Prior to this change Visual Studio builds could fail due to missing
prerequisites src/tool_hugehelp.c and include/curl/curlbuild.h.

http://curl.haxx.se/mail/lib-2015-04/0034.html

lib/makefile.m32: add missing libs to build libcurl.dll

Add 'gdi32' and 'crypt32' Windows implibs to avoid failure
while building libcurl.dll using the mingw compiler.
The same logic is used in 'src/makefile.m32' when
building curl.exe.

test142[23]: verify that an empty file is stored on success

src/tool_operate: create output file on successful download

... of an empty file

Bug: https://github.com/bagder/curl/issues/183

src/tool_cb_wrt: separate fnc for output file creation

lib/transfer.c: Remove factor of 8 from sleep time calculation

The factor of 8 is a bytes-to-bits conversion factor, but pkt_size and
rate_bps are both in bytes. When using the rate limiting option, curl
waits 8 times too long, and then transfers very quickly until the
average rate reaches the limit. The average rate follows the limit over
time, but the actual traffic is bursty.

Thanks-to: Benjamin Gilbert

x509asn1: Silence x64 loss-of-data warning on RSA key length assignment

The key length in bits will always fit in an unsigned long so the
loss-of-data warning assigning the result of x64 pointer arithmetic to
an unsigned long is unnecessary.

cyassl: Use CYASSL_MAX_ERROR_SZ for error buffer size

Also fix it so that all ERR_error_string calls use an error buffer.
CyaSSL's implementation of ERR_error_string only writes the error when
an error buffer is passed.

http://www.yassl.com/forums/topic599-openssl-compatibility-and-errerrorstring.html

cyassl: Remove 'Connecting to' message from cyassl_connect_step2

Prior to this change libcurl could show multiple 'CyaSSL: Connecting to'
messages since cyassl_connect_step2 is called multiple times, typically.
The message is superfluous even once since libcurl already informs the
user elsewhere in code that it is connecting.

checksrc.bat: quotes to support an SRC_DIR with spaces

hostip: fix compiler warnings

introduced in the previous mini-series of 3 commits

actually implement CURLOPT_RESOLVE removals

- also log when a CURLOPT_RESOLVE entry couldn't get parsed

move Curl_share_lock and ref counting into Curl_fetch_addr

fix refreshing of obsolete dns cache entries

- cache entries must be also refreshed when they are in use
- have the cache count as inuse reference too, freeing timestamp == 0 special
  value
- use timestamp == 0 for CURLOPT_RESOLVE entries which don't get refreshed
- remove CURLOPT_RESOLVE special inuse reference (timestamp == 0 will prevent refresh)
- fix Curl_hostcache_clean - CURLOPT_RESOLVE entries don't have a special
  reference anymore, and it would also release non CURLOPT_RESOLVE references
- fix locking in Curl_hostcache_clean
- fix unit1305.c: hash now keeps a reference, need to set inuse = 1

RELEASE-NOTES: synced with abf6bddc14a

checksrc.bat: Check lib\vtls source

cyassl: Set minimum protocol version before CTX callback

This change is to allow the user's CTX callback to change the minimum
protocol version in the CTX without us later overriding it, as we did
prior to this change.

build-openssl.bat: Fix mixed line endings

Use LF not CRLF, throughout.  msysgit will only convert a file to CRLF
on checkout if it's not mixed.

cyassl: Fix certificate load check

SSL_CTX_load_verify_locations can return negative values on fail,
therefore to check for failure we check if load is != 1 (success)
instead of if load is == 0 (failure), the latter being incorrect given
that behavior.

http2: Fix missing nghttp2_session_send call in Curl_http2_switched

Previously in Curl_http2_switched, we called nghttp2_session_mem_recv to
parse incoming data which were already received while curl was handling
upgrade.  But we didn't call nghttp2_session_send, and it led to make
curl not send any response to the received frames.  Most likely, we
received SETTINGS from server at this point, so we missed opportunity to
send SETTINGS + ACK.  This commit adds missing nghttp2_session_send call
in Curl_http2_switched to fix this issue.

Bug: https://github.com/bagder/curl/issues/192
Reported-by: Stefan Eissing

cookie: handle spaces after the name in Set-Cookie

"name =value" is fine and the space should just be skipped.

Updated test 31 to also test for this.

Bug: https://github.com/bagder/curl/issues/195
Reported-by: cromestant
Help-by: Frank Gevaerts

cyassl: Fix library initialization return value

(Curl_cyassl_init)
- Return 1 on success, 0 in failure.

Prior to this change the fail path returned an incorrect value and the
evaluation to determine whether CyaSSL_Init had succeeded was incorrect.
Ironically that combined with the way curl_global_init tests SSL library
initialization (!Curl_ssl_init()) meant that CyaSSL having been
successfully initialized would be seen as that even though the code path
and return value in Curl_cyassl_init were wrong.

CURLOPT_HTTP200ALIASES.3: Mainly SHOUTcast servers use "ICY 200"

Icecast versions 1.3.0 through 1.3.12 would reply with "ICY 200"
under certain conditions:

    client_wants_icy_headers (connection_t *con)
    {
            const char *val;

            if (!con)
                    return 1;

            val = get_user_agent (con);
            if (!val || !val[0] || strcmp (val, "(null)") == 0)
                    return 1;

            if (con->food.client->use_icy)
                    return 1;
            if (strncasecmp (val, "winamp", 6) == 0)
                    return 1;
            if (strncasecmp (val, "Shoutcast", 9) == 0)
                    return 1;

            return 0;
    }

So mainly if there is no 'user agent' or it is '(null)' or contains
'winamp' or 'Shoutcast'.

No mainstream distribution carries Icecast 1.3.x anymore, after all
it was released in 2002 and superseded by Icecast 2.x.