It is safe to pass ldap_msgfree() a NULL pointer.

On overflow, warn before freeing anything.

Use user_runhost and user_srunhost instead of user_host and user_shost.
Fixes "sudo -l -h other_host" for LDAP and sssd.

Silence warning in digest_matches() on systems with no fexecve(2).

Fix free() of invalid pointer introduced in the commit that stripped
whitespace between a '!' and the name in a sudoOption.

Fix free() of invalid pointer introduced in the commit that stripped
whitespace between a '!' and the name in a sudoOption.

Add missing dfd argument to the version of sudo_edit_openat_nofollow()
for systems without O_NOFOLLOW.

Update description of sudoedit_checkdir.  Reported by Sander Bos.

No need to check whether the fd we opened is really a directory in
sudo_edit_open_nonwritable() since if not, the openat() will fail
with ENOTDIR anyway.

Rewritten sudoedit_checkdir support that checks all the dirs in the
path and refuses to follow symlinks in writable directories.
This is a better fix for CVE-2015-5602.
Adapted from a diff by Ben Hutchings.  Bug #707

sync with translationproject.org

Add support for using fexecve() if supported on commands that are
checksummed.

Call openat() with the basename not the full path.  From Ben Hutchings.

Fix compilation with --disable-shared

Check for existing dso in LD_PRELOAD and only add it if it is not
already present.

Clarify when SIGINT and SIGQUIT are relayed by sudo to the command.

Actually use the plugin_dir Path setting in sudo.conf.

The Path setting for the plugin directory is "plugin_dir" not "plugin".

Allow sudo.conf Path settings to disable path names (by setting the
value of NULL).

Change noexec flag in selinux_execve() from int to bool.

Refactor code to set LD_PRELOAD (or the equivalent) in the environment
into a preload_dso() function.  Also avoid allocating a new copy
of the environment array if the size of the array does not change.

Add missing square brackets in configure option descriptions.

Document the names of the I/O log files and mention buffering.
Document that I/O logs are in gzip format by default.

Add BASHOPTS to initial_badenv_table[]; from Stephane Chazelas

When parsing sudoOptions that include an operator (!, +, +=, -=)
strip out any whitespace on either side of the operator.

Strip whitespace around '!', '=', '+=' and '-=' in Defaults entries.

Document the race condition between the digest check and command
execution.

When checking the query results, don't set user_matches in the
netgroup pass unless sudo_ldap_check_non_unix_group() returns true.
This was preventing the mail_no_user sudoOption from being effective.

In list mode, we always want to clear FLAG_NO_USER and FLAG_NO_HOST
regardless of whether or not there was an actual match.  Otherwise,
warning mail may be sent which is not what we want in list mode.
This is consistent with what the sudoers file backend does.

Use size_t for length parameters in the fill functions used by the
lexer.

Use yy_size_t for digest_len since newer flex uses yy_size_t for
yyleng.  Old flex uses int for yyleng so we need to use a cast to
avoid a sign compare warning.

Use https in sudo.ws urls

Use https in urls.

sudo 1.8.16

When preserving variables from the invoking user's environment, if
there are duplicates only keep the first instance.

Add debug_return_ssize_t

Avoid compilation error on Solaris 10 with Stun Studio 12.
Bug #727

sync with translationproject.org

Mention ssp configure fix.

sync with translationproject.org

Don't use CPPFLAGS for the -fstack-protector check.  Otherwise on
systems with _FORTIFY_SOURCE support we'll get an error due to the
lack of optimization flags.  Bug #725

When checking for stack protector support we need to actually link
the test program.

Preserve LDFLAGS when checking for stack protector as they may include
rpath settings to allow the stack protector lib to be found.  Avoid
using existing CFLAGS since we don't want the compiler to optimize
away the stack variable.

Better configure test for -fstack-protector.  Some gcc installations
may be missing the ssp library even though the compiler supports it.

Set errno to EISDIR instead of ENOTDIR if directory is writable
since ENOTDIR can be a legitimate errno.  This avoids a bogus
"directory is writable" error in that case.

Fix the check for whether to include 32-bit arch in Mac OS X packages.

regen

When creating a new file, sudoedit will now check that the file's
parent directory exists before running the editor.

Add always_query_group_plugin

Add ABOUT-NLS from GNU gettext.

Add directory writability checks for sudoedit.

Latest.

Ignore the SUDO_CONV_PROMPT_ECHO_OK flag when echo is enabled.
This was preventing a match of SUDO_CONV_PROMPT_ECHO_ON which
resulted in a masked password instead of an echoed one.

Repair challenge/response prompting for BSD authentication which
got broken while it was converted to use the conversation function.

Use the auth_getpass (and the plugin conversation fuction) for Tru64
SIA.  This prevents sudo from sleeping while holding the tty ticket
lock.

For env_reset, SHELL should be set based on the target user, not
the invoking user unless preserved via env_keep.

sync with translationproject.org

Hungarian and Slovak translations

Add new Slovak and Hungarian translations from translationproject.org

Remove S_ISREG check from sudo_edit_open(), it is already done in
the caller.

Open sudoedit files with O_NONBLOCK and fail if they are not regular
files.

It is possible for WIFSTOPPED to be true even if waitpid() is not
given WUNTRACED if the child is ptraced.  Don't exit the waitpid()
loop if WIFSTOPPED is true, just in case.

rebuild .mo files

sync with translationproject.org

There's no point in trying to interpose protected versions of the
exec family of functions.  Many modern C libraries use hidden symbols
for the functions and syscalls defined in libc such that they cannot
be overridden inside libc itself.  We have to just wrap all the exec
variants plus system and popen.

List all the functions wrapped by sudo_noexec.so.

The section is now called "EXEC and NOEXEC" and it is above, not
below.

Also wrap popen(3).

Also interpose system(3).  On glibc systems you cannot interpose
the syscalls used internally by libc.

Set active debug instance to sudo_debug_instance() during the
conversation function.

LOGNAME and USERNAME are set the same way as USER

Document behavior when the command dies from a signal in EXIT STATUS.

Bug #722

When the command sudo is running is killed by a signal, sudo will
now send itself the same signal with the default signal handler
instead of exiting.  The bash shell appears to ignore some signals,
e.g.  SIGINT, unless the command is killed by that signal.  This
makes the behavior of commands run under sudo the same as without
sudo when bash is the shell.  Bug #722

Adjust set_logname description to new behavior when any of LOGNAME,
USER or USERNAME are preserved.

If some, but not all, of the LOGNAME, USER or USERNAME environment
variables have been preserved from the invoking user's environment,
sudo will now use the preserved value to set the remaining variables
instead of using the runas user.  This ensures that if, for example,
only LOGNAME is present in the env_keep list, that sudo will not
set USER and USERNAME to the runas user.

Fix passing of the callback pointer to the conversation function.
This was preventing the on_suspend and on_resume functions from
being called on PAM systems.

Explicitly mark large hex constants unsigned.

Cast sizeof(entry) to off_t before making it a negative offset for
lseek().  Fixes "sudo -k" on Solaris and probably others.

Add explicit mention of sudo's netgroup semantics since they differ
from most other netgroup consumers.

sync with translationproject.org

Fix potential double free of the cookie when sudo is suspended at
the password prompt.

sync with translationproject.org

sync with translationproject.org

Bug #719

SIGHUP is now relayed to the command.  Bug #719

When a terminal device is closed, SIGHUP is sent to the controlling
process associated with that terminal.  It is not sent to the entire
process group so sudo needs to relay SIGHUP to the command when it
is not being run in a new pty.  Bug #719

Mention visudo bug in 1.8.14

We reserved two slots at the end of the editor argv for the line
number and the file name.  However, resolve_editor() adds "--"
before the file names so the +line_number is interpreted as a file
name, not a line number so we need to overwrite the "--" as well.

Remove checks for __sys_siglist and __sys_signame.  They are internal
to libc and there are no known systems that export those symbols
that do not already export the single underbar or no-underbar versions.

Sync with translationproject.org

regen

Restore old signal handlers before tty settings.  That way SIGTTOU
is at its original value if sudo_term_restore() should fail.

Document what happens when the on_suspend/on_resume callbacks
return an error.

No need to have version macros for hooks, callbacks and the sudoers
group plugin.  We can just use the main sudo API macros.  The sudoers
group plugin macros are preserved for source compatibility but are
not documented.

Properly escape the backslash before a comma in an example so the
example rule is parsable by visudo.

Ignore callbacks if major version doesn't match.

Remove include/compat/timespec.h.  Systems old enough to lack struct
timespec are too old to build a modern sudo.

Bug #713

Fill in cstat if exec_setup() fails.  Previously it was only filled
in for an execve() failure.  Fixes an unkillable sudo process when
exec_setup() fails and I/O logging is enabled.