doh: clean up dangling DOH handles and memory on easy close

If you set the same URL for target as for DoH (and it isn't a DoH
server), like "https://example.com" in both, the easy handles used for
the DoH requests could be left "dangling" and end up not getting freed.

Reported-by: Paul Dreik
Closes #4366

unit1655: make it C90 compliant

Unclear why this was not detected in the CI.

Follow-up to b7666027296a

smb: check for full size message before reading message details

To avoid reading of uninitialized data.

Assisted-by: Max Dymond
Bug: https://crbug.com/oss-fuzz/16907
Closes #4363

quiche: persist connection details

... like we do for other protocols at connect time. This makes "curl -I"
and other things work.

Reported-by: George Liu
Fixes #4358
Closes #4360

openssl: fix warning with boringssl and SSL_CTX_set_min_proto_version

Follow-up to ffe34b7b59
Closes #4359

doh: fix undefined behaviour and open up for gcc and clang optimization

The undefined behaviour is annoying when running fuzzing with
sanitizers. The codegen is the same, but the meaning is now not up for
dispute. See https://cppinsights.io/s/516a2ff4

By incrementing the pointer first, both gcc and clang recognize this as
a bswap and optimizes it to a single instruction.  See
https://godbolt.org/z/994Zpx

Closes #4350

doh: fix (harmless) buffer overrun

Added unit test case 1655 to verify.
Close #4352

the code correctly finds the flaws in the old code,
if one temporarily restores doh.c to the old version.

docs: remove trailing ':' from section names in CURLOPT_TRAILER* man

docs: fix typo in CURLOPT_HTTP_VERSION man

CI: inintial github action job

First shot at a CI build on github actions

appveyor: add a winbuild

Assisted-by: Marcel Raad
Assisted-by: Jay Satiro
Closes #4324

FTP: allow "rubbish" prepended to the SIZE response

This is a protocol violation but apparently there are legacy proprietary
servers doing this.

Added test 336 and 337 to verify.

Reported-by: Philippe Marguinaud
Closes #4339

FTP: skip CWD to entry dir when target is absolute

Closes #4332

curl: fix memory leaked by parse_metalink()

This commit fixes a regression introduced by curl-7_65_3-5-gb88940850.
Detected by tests 2005, 2008, 2009, 2010, 2011, and 2012 with valgrind
and libmetalink enabled.

Closes #4326

parsedate: still provide the name arrays when disabled

If FILE or FTP are enabled, since they also use them!

Reported-by: Roland Hieber
Fixes #4325
Closes #4343

curl:file2string: load large files much faster

... by using a more efficient realloc scheme.

Bug: https://curl.haxx.se/mail/lib-2019-09/0045.html
Closes #4336

openssl: close_notify on the FTP data connection doesn't mean closure

For FTPS transfers, curl gets close_notify on the data connection
without that being a signal to close the control connection!

Regression since 3f5da4e59a556fc (7.65.0)

Reported-by: Zenju on github
Reviewed-by: Jay Satiro
Fixes #4329
Closes #4340

docs/HTTP3: fix `--with-ssl` ngtcp2 configure flag

Closes #4338

RELEASE-NOTES: synced

curlver: bump to 7.66.1

setopt: make it easier to add new enum values

... by using the *_LAST define names better.

Closes #4321

asyn-thread: s/AF_LOCAL/AF_UNIX for Solaris

Reported-by: Dagobert Michelsen
Fixes #4328
Closes #4333

winbuild/MakefileBuild.vc: Add vssh

Without that modification, the Windows build using the makefiles doesn't
work.

Signed-off-by: Bernhard Walle <bernhard.walle@posteo.eu>
Fixes #4322
Closes #4323

winbuild/MakefileBuild.vc: Fix line endings

The file had mixed line endings.

Signed-off-by: Bernhard Walle <bernhard.walle@posteo.eu>

ldap: Stop using wide char version of ldapp_err2string

Despite ldapp_err2string being documented by MS as returning a
PCHAR (char *), when UNICODE it is mapped to ldap_err2stringW and
returns PWCHAR (wchar_t *).

We have lots of code that expects ldap_err2string to return char *,
most of it failf used like this:

failf(data, "LDAP local: Some error: %s", ldap_err2string(rc));

Closes https://github.com/curl/curl/pull/4272

RELEASE-NOTES: curl 7.66.0

THANKS: from the 7.66.0 release

curl: make sure the parallel transfers do them all

The logic could erroneously break the loop too early before all
transfers had been transferred.

Reported-by: Tom van der Woerdt
Fixes #4316
Closes #4317

urlapi: one colon is enough for the strspn() input (typo)

urlapi: verify the IPv6 numerical address

It needs to parse correctly. Otherwise it could be tricked into letting
through a-f using host names that libcurl would then resolve. Like
'[ab.be]'.

Reported-by: Thomas Vegas
Closes #4315

openssl: use SSL_CTX_set_<min|max>_proto_version() when available

OpenSSL 1.1.0 adds SSL_CTX_set_<min|max>_proto_version() that we now use
when available.  Existing code is preserved for older versions of
OpenSSL.

Closes #4304

openssl: indent, re-organize and add comments

sspi: fix memory leaks

Closes #4299

travis: disable ngtcp2 builds (again)

Curl_fillreadbuffer: avoid double-free trailer buf on error

Reviewed-by: Jay Satiro
Reported-by: Thomas Vegas
Closes #4307

tool_setopt: handle a libcurl build without netrc support

Reported-by: codesniffer13 on github
Fixes #4302
Closes #4305

security:read_data fix bad realloc()

... that could end up a double-free

CVE-2019-5481
Bug: https://curl.haxx.se/docs/CVE-2019-5481.html

tftp: Alloc maximum blksize, and use default unless OACK is received

Fixes potential buffer overflow from 'recvfrom()', should the server
return an OACK without blksize.

Bug: https://curl.haxx.se/docs/CVE-2019-5482.html
CVE-2019-5482

tftp: return error when packet is too small for options

KNOWN_BUGS/TODO: cleanup and remove outdated issues

RELEASE-NOTES: synced

netrc: free 'home' on error

Follow-up to f9c7ba9096ec2

Coverity CID 1453474

Closes #4291

urldata: avoid 'generic', use dedicated pointers

For the 'proto' union within the connectdata struct.

Closes #4290

cleanup: move functions out of url.c and make them static

Closes #4289

smtp: check for and bail out on too short EHLO response

Otherwise, a three byte response would make the smtp_state_ehlo_resp()
function misbehave.

Credit to OSS-Fuzz
Bug: https://crbug.com/oss-fuzz/16918

Assisted-by: Max Dymond
Closes #4287

smb: init *msg to NULL in smb_send_and_recv()

... it might otherwise return OK from this function leaving that pointer
uninitialized.

Bug: https://crbug.com/oss-fuzz/16907

Closes #4286

ROADMAP: updated after recent user poll

In rough prio order

THANKS: remove duplicate

Curl_addr2string: take an addrlen argument too

This allows the function to figure out if a unix domain socket has a
file name or not associated with it! When a socket is created with
socketpair(), as done in the fuzzer testing, the path struct member is
uninitialized and must not be accessed.

Bug: https://crbug.com/oss-fuzz/16699

Closes #4283

CMake: remove needless newlines at end of gss variables

CI: remove duplicate configure flag for LGTM.com

CMake: use platform dependent name for dlopen() library

Closes #4279

quiche: expire when poll returned data

... to make sure we continue draining the queue until empty

Closes #4281

quiche: decrease available buffer size, don't assign it!

Found-by: Jeremy Lainé

RELEASE-NOTES: synced

curl: fix include conditions

plan9: fix installation instructions

Closes #4276

ngtcp2: on h3 stream close, call expire

... to trigger a new read to detect the stream close!

Closes #4275

ngtcp2: build latest ngtcp2 and ngtcp2_crypto_openssl

Closes #4278

ngtcp2: set flow control window to stream buffer size

Closes #4274

CURLOPT_HEADERFUNCTION.3: clarify

Closes #4273

CURLINFO docs: mention that in redirects times are added

Suggested-by: Brandon Dong
Fixes #4250
Closes #4269

travis: enable ngtcp2 builds again

Switched to the openssl-quic-draft-22 openssl branch.

Closes #4271

HTTP3: switched openssl branch to use

ngtcp2: Build with latest ngtcp2 and ngtcp2_crypto_openssl

Closes #4270

http2: when marked for closure and wanted to close == OK

It could otherwise return an error even when closed correctly if GOAWAY
had been received previously.

Reported-by: Tom van der Woerdt
Fixes #4267
Closes #4268

RELEASE-NOTES: synced

build-openssl: fix build with Visual Studio 2019

Reviewed-by: Marcel Raad
Contributed-by: osabc on github
Fixes #4188
Closes #4266

vauth: return CURLE_AUTH_ERROR on gss_init_sec_context() failure

This is a follow-up to https://github.com/curl/curl/pull/3864 .

Closes #4224

KNOWN_BUGS: USE_UNIX_SOCKETS on Windows

Closes #4040

quiche: send the HTTP body correctly on callback uploads

Closes #4265

travis: disable ngtcp2 builds (temporarily)

Just too many API changes right now

Closes #4264

ngtcp2: add support for SSLKEYLOGFILE

Closes #4260

ngtcp2: improve h3 response receiving

Closes #4259

ngtcp2: use nghttp3_version()

ngtcp2: sync with upstream API changes

Assisted-by: Tatsuhiro Tsujikawa

scp: fix directory name length used in memcpy

Fix read off end of array due to bad pointer math in getworkingpath for
SCP home directory case.

Closes #4258

http: the 'closed' struct field is used by both ngh2 and ngh3

and remove 'header_recvbuf', not used for anything

Reported-by: Jeremy Lainé
Closes #4257

ngtcp2: accept upload via callback

Closes #4256

defines: avoid underscore-prefixed defines

Double-underscored or underscore plus uppercase letter at least.

... as they're claimed to be reserved.

Reported-by: patnyb on github
Fixes #4254
Closes #4255

travis: add a build using ngtcp2 + nghttp3 (and a patched OpenSSL)

Runs no tests

Closes #4253

travis: bump to using nghttp2 version 1.39.2

Closes #4252

docs/examples/curlx: fix errors

Initialise 'mimetype' and require the -p12 arg.

Closes #4248

cleanup: remove DOT_CHAR completely

Follow-up to f9c7ba9096ec

The use of DOT_CHAR for ".ssh" was probably a mistake and is removed
now.

Pointed-out-by: Gisle Vanem
Bug: https://github.com/curl/curl/pull/4230#issuecomment-522960638

Closes #4247

spnego_sspi: add typecast to fix build warning

Reported in build "Win32 target on Debian Stretch (64-bit) -
i686-w64-mingw32 - gcc-20170516"

Closes #4245

openssl: build warning free with boringssl

Closes #4244

curl: make --libcurl use CURL_HTTP_VERSION_3

Closes #4243

ngtcp2: make postfields-set posts work

Closes #4242

http: remove chunked-encoding and expect header use for HTTP/3

configure: use pkg-config to detect quiche

This removes the need to hard-code the quiche target path in
configure.ac.

This depends on https://github.com/cloudflare/quiche/pull/128

Closes #4237

CURLOPT_SSL_VERIFYHOST: treat the value 1 as 2

For a long time (since 7.28.1) we've returned error when setting the
value to 1 to make applications notice that we stopped supported the old
behavior for 1. Starting now, we treat 1 and 2 exactly the same.

Closes #4241

curl: use .curlrc (with a dot) on Windows as well

Fall-back to _curlrc if the dot-version is missing.

Co-Authored-By: Steve Holme
Closes #4230

netrc: make the code try ".netrc" on Windows as well

... but fall back and try "_netrc" too if the dot version didn't work.

Co-Authored-By: Steve Holme

ngtcp2: use ngtcp2_version() to get the run-time version

... which of course doesn't have to be the same used at build-time.

Function just recently merged in ngtcp2.

ngtcp2: move the h3 initing to immediately after the rx key

To fix a segfault and to better deal with 0-RTT

Assisted-by: Tatsuhiro Tsujikawa

quiche: register debug callback once and earlier

The quiche debug callback is global and can only be initialized once, so
make sure we don't do it multiple times (e.g. if multiple requests are
executed).

In addition this initializes the callback before the connection is
created, so we get logs for the handshake as well.

Closes #4236

ssh: add a generic Curl_ssh_version function for SSH backends

Closes #4235

base64: check for SSH, not specific SSH backends

vssh: move ssh init/cleanup functions into backend code

vssh: create directory for SSH backend code