sudoedit should be used for editing files instead of "sudo editor"
That way the user's editor config files are used by the editor.

Move the section on HOME to be after the environment section.
Also strongly discourage the disabling of env_reset.

Remove the Solaris last login question, add one about HOME.
The PAM session is opened with PAM_SILENT so last login info is not printed.
It is dangerous to preserve HOME from the user's environment.

Use the term pseudo-terminal more consistently.

Document why HOME should not be preserved from the user's environment.
Text was adapted from what is already present in the UPGRADE file.
Also mark set_home and always_set_home as obsolete.

Refer to command line options, not flags.

sync

sudo will now prompt for a password as long as /dev/tty is available.

Remove .cat pages, there is no need for them in the modern world.
Sudo only shipped .cat pages for Irix, which lacked nroff.
Irix is long dead and there are multiple open source nroff options.

Make env_editor the default.
It is already the default in the package script.

Don't describe env_editor as a security hole.
Users that are able to edit sudoers can grant themselves permissions
so the fact that visudo runs the editor as root is not a security issue.

Fix details of how EDITOR, VISUAL and SUDO_EDITOR are (or are not) preserved.
The description in the editor option was incorrect and didn't mention env_keep.
Reported by Sander Bos

Modern visudo locks the actual sudoers file, not the sudoers.tmp file.
Refer to sudoers.tmp as a temporary file, not a lock file.
Reported by Sander Bos

In tty_present(), check for /dev/tty if sudo was unable to get the tty name.
For requiretty it is enough to check that /dev/tty is available.
If sudo can't get the tty from the kernel (missing /proc?) that is OK.

Don't refuse to use the tty unless /dev/tty is unavailable.
We don't care whether sudo was able to get the tty name from the kernel.
All that really matters is whether we are able to disable echo as needed.

Use of "they" was ambiguous.

Better description of secure_path.
The secure_path option affects the resolution of unqualified commands
as well as the environment that commands run with.

Add Sander Bos

Fix a few typos and awkward wording.
Use the singular "they" instead of he/she.
Add back missing text in description of variables starting with ().
Based on changes from Sander Bos.

Clarify which environment variables are set based on the target user.

libsudo_util depends on LT_DEP_LIBS even when building a static lib

Solaris getentropy() requires that sys/random.h be included.

Use the runhost for "User foo is not allowed to run sudo on bar."
Otherwise, if the -h option is specified sudo will print the local
host name instead of the host specified via -h.

Document that "no tty present and no askpass program specified" may
happen when /proc is not accessible.

Add Sangamesh Mallayya and Michael Spradling

Add -B option to ring the bell before the password prompt.

Allow the user to change their password if expired on AIX.
Bug #883

When using AIX auth, don't display the AIX password incorrect message.
Avoids a "3004-300 You entered an invalid login name or password"
message in addition to sudo's own "Sorry, try again" message.

AIX packages were not being build with optimization enabled.

Fix a typo.

Support using macOS SDKs from /Library/Developer/CommandLineTools/SDKs

It is safe to assume _POSIX_VDISABLE is defined.
The old compat defines were to support pre-termios systems.

Remove second catopen() which is never called.

Sudo's conversation functions now filters out the last login information.

Add pam_acct_mgmt setting to enable/disable PAM account validation.

regen

Sudo 1.8.28

Add SPDX-License-Identifier to files.

Filter out last login messages on HP-UX unless running a shell.
HP-UX in trusted mode will display last login messages as part of
the PAM account management module by libpam_comsec.  There is no
way to suppress these messages from the PAM configuration in trusted
mode so we need to filter them in the conversation function.  In
regular mode, similar (but different) messages may be produced by
libpam_hpsec.

FreeBSD's /dev/fd only contains fds 0-2 unless fdescfs is mounted.
In practice this doesn't matter since FreeBSD >= 8 has a native closefrom

Keep debug fds open in send_mail() to aid in debugging.
Adds closefrom_nodebug() which acts like closefrom(3) but doesn't
close debug fds for use by send_mail().
Also moves the code to exec the mailer to its own function.

Set def_mailerflags even if sendmail was not found at configure time.
Fixes a NULL dereference when mailerpath is set but mailerflags is not.
Bug #878

Add a proper getdelim(3) replacement and use it instead of getline(3).

Restrict the PAM_TTY kludge to Solaris and Linux-PAM.
Setting PAM_TTY to the empty string causes problems with some modules
on HP-UX so restrict it to systems where it is fixes known issues.

Fix the counting of supplementary groups on AIX.
We should not assume that basegid will be present in the list of
gids returned by getgrset().

Plug a memory leak on user/group lookup failure found by ASAN.

Fix test failure when run by a user other than the file owner.

Updated translations from translationproject.org

Test cvtsudoers stdout and stderr separately.
Fixes a test failure on systems with musl libc.  Bug #873

Better comment about EOVERFLOW and pstat_getproc().
Also remove some useless casts.

Ignore EOVERFLOW from pstat_getproc(), it is not a fatal error.
It just means that one of the fields in pstat lacks the precision to
store a value.  That's not an issue for pst_highestfd.

update copyright year

Fix error message when a fully-qualified plugin path does not exist.

Fix unescaped '\' and remove an extra '[' in the definition of digest.

Ignore carriage return before a linefeed.
This allows sudo to parse files with DOS-style line endings.

For sssd, the nsswitch.conf setting should be "sss" not "sssd".
From Johnathan Smith.

Add simple API for to allow reading environment data from different sources.
Currently, this is used to read a file like /etc/environment.

Fix pasto; the unrestricted env file was read when we want the restricted one.

Be sure to include sudo_queue.h where needed instead of relying on other headers.

Only export sudo_arc4random_uniform() if arc4random_uniform() is missing.

Quiet a warning on gcc 8

AIX 7.1 defines O_CLOEXEC but it can't be used outside the kernel.
Redefine O_CLOEXEC if it doesn't fit in an int and pipe2() is missing.

Split command match code out into match_command.c.
Also remove unused SUDOERS_NAME_MATCH code.

Split out digest matching into its own file.

Split out digest matching into its own file.

Rename FOLLOW and NOFOLLOW tokens FOLLOWLNK and NOFOLLOWLNK.
Fixes a namespace collision on Solaris when bison is used.

Add stub definition of digest_matches() for SUDOERS_NAME_MATCH

No longer need to include sudo_lbuf.h

On RedHat/CentOS get the OS major version from /etc/redhat-release.
We cannot determine this from the output of "pp --probe" since it
doesn't contain a period to separate the major and minor numbers.

Use SET macro instead of bitwise OR.

In sudo_make_grlist_item() the calculation of total did not include
space for pointers to the group names.

Use correct debug_decl() names.

Add fallback values for sudoers uid, gid and mode if not set in Makefile.

include stddef.h to make sure we get NULL

Fix memory leak when there are no network interfaces or an error occurs.

Use $ac_cv_search_FUNCTION instead of $ac_lib and $ac_res.
Fixes a problem where libcrypt is not used with autoconf caching.
Adapted from a diff from Adam Labbe.

Updated translations from translationproject.org

Fix listpw=never and verifypw=never.  Bug #869

Minor snprintf() usage tweaks:
1) don't assume snprintf() returns -1 on error, check for <0
2) when comparing return value of sizeof(foo), cast the sizeof, not the len
3) cast return value to void in cases where snprintf cannot fail

The AIX nofiles hard limit fix and bug #867 will make 1.8.27.

Use PAM_SILENT to prevent pam_lastlog from printing last login
information on RedHat except when explicitly running a shell.
Adapted from a patch from Nir Soffer.  Bug #867

Fix the default nofiles and stack hard limits.
The table of default hard limits in /etc/security/limits was out
of date with respect to the current documentation.  The default
hard limit for nofiles should be unlimited, not 8196.  The default
hard limit for stack should be 4194304 blocks (which fits in an
unsigned long on 32-bit platforms).

regen

Final updates for sudo 1.8.27.

Update copyright year

Update for 2019

Fix setting of utmp entry when running command in a pty.
Regression introduced in sudo 1.8.22.

Use debug_return_int not debug_return_bool in resolve_host

sudo 1.8.27

Allow the sudoers file to be specified without the -f option.
Bug #864

The iolog_dir section is below the maxseq section, not above.

Updated translations from translationproject.org

Add -n and -R options to help; reported by Radovan Sroka

Add missing description of padding option and missing argument to -c.

The -c option was missing from the help info; from Radovan Sroka

Fix some typos; reported by Radovan Sroka

In sudo_pam_approval(), for the exempt case, only overwrite pam
status when the passwd is expired or needs to be updated.

The fix for bug #843 was incomplete and caused pam_end() to be called early.
sudo_pam_approval() must not set the global pam status to an error
value if it returns AUTH_SUCCESS.  Otherwise, sudo_pam_cleanup()
will call pam_end() before sudo_pam_begin_session().  This resulted
in a NULL PAM handle being used in sudo_pam_begin_session().

Don't run the command in a pty if no I/O plugins are logging anything.
That way an I/O plugin that doesn't actually log anything won't cause
the command to be run in a pty.

Update ignore patterns to match doc changes.