curl_easy_setopt.3: Added SMTP information to CURLOPT_INFILESIZE_LARGE

Although added to CURLOPT_INFILESIZE in commit ee3d3adc6fe155 it was
never added to CURLOPT_INFILESIZE_LARGE.

tests: Disabled NTLM tests when running with SSPI enabled

connect.c: Fixed compilation warning

warning: 'res' may be used uninitialized in this function

runtests.pl: Fixed slightly incorrect regex in commit 28dd47d4d41900

connect: Try all addresses in first connection attempt

Fixes a bug when all addresses in the first family fail immediately, due
to "Network unreachable" for example, curl would hang and never try the
next address family.

Iterate through all address families when to trying establish the first
connection attempt.

Bug: http://curl.haxx.se/bug/view.cgi?id=1315
Reported-by: Michal Górny and Anthony G. Basile

runtests.pl: Optimised feature present checking code

...to exclude not present features.

runtests.pl: Added the ability to run tests when a feature is not present

ftpserver.pl: Fixed compilation error

Unmatched right curly bracket at line 758, at end of line

ftpserver.pl: Reworked SMTP verified server detection

Following the addition of informational commands to the SMTP protocol,
the test server is no longer required to return the verified server
information in responses that curl only outputs in verbose mode.

Instead, a similar detection mechanism to that used by FTP, IMAP and
POP3 can now be used.

sendf.c: Fixed compilation warning from f2d234a4dd9bcc

sendf.c:450:81: warning: Longer than 79 columns

FILE: Fixed sending of data would always return CURLE_WRITE_ERROR

Introduced in commit 2a4ee0d2215556 sending of data via the FILE
protocol would always return CURLE_WRITE_ERROR regardless of whether
CURL_WRITEFUNC_PAUSE was returned from the callback function or not.

FILE: we don't support paused transfers using this protocol

Make sure that we detect such attempts and return a proper error code
instead of silently handling this in problematic ways.

Updated the documentation to mention this limitation.

Bug: http://curl.haxx.se/bug/view.cgi?id=1286

vtls: Updated comments referencing sslgen.c and ssluse.c

vtls: Fixed up include of vtls.h

curl_dofree: allow free(NULL)

Previously this memdebug free() replacement didn't properly work with a
NULL argument which has made us write code that avoids calling
free(NULL) - which causes some extra nuisance and unnecessary code.
Starting now, we should allow free(NULL) even when built with the
memdebug system enabled.

free(NULL) is permitted by POSIX

RELEASE-NOTES: Synced with 0ff0a994ada62a

Curl_thread_create: use Curl_safefree to allow NULL better

free() itself allows a NULL input but our memory debug system requires
Curl_safefree() to be used instead when a "legitimate" NULL may be freed. Like
in the code here.

Pointed-out-by: Steve Holme

threaded resolver: Use pthread_t * for curl_thread_t

... since pthread_t may be non-scalar and/or may represent a real thread
with scalar 0.

Bug: http://curl.haxx.se/bug/view.cgi?id=1314

imap: Fixed auth preference not being honored when CAPABILITY not supported

If a user indicated they preferred to authenticate using a SASL
mechanism, but SASL authentication wasn't supported by the server, curl
would always fall back to clear text when CAPABILITY wasn't supported,
even though the user didn't want to use this.

pop3: Fixed auth preference not being honored when CAPA not supported

If a user indicated they preferred to authenticate using APOP or a SASL
mechanism, but neither were supported by the server, curl would always
fall back to clear text when CAPA wasn't supported, even though the
user didn't want to use this.

This also fixes the auto build failure caused by commit 6f2d5f0562f64a.

TheArtOfHttpScripting: major update, converted layout and more

Curl_pp_readresp: use memmove not memcpy, possibly overlapping areas

Fixes commit 1deac31eba7

RELEASE-NOTES: Corrected copy/paste typo

pop3: Fixed APOP being determined by CAPA response rather than by timestamp

This commit replaces that of 9f260b5d6610f3 because according to RFC-2449,
section 6, there is no APOP capability "...even though APOP is an
optional command in [POP3].  Clients discover server support of APOP by
the presence in the greeting banner of an initial challenge enclosed in
angle brackets."

tests: Removed APOP timestamp from default server greeting

test936: Corrected login details from commit 7246255416617a

ftpserver.pl: Updated custom full text REPLY regex

SASL downgrade tests: 833, 835, 879, 881, 935 and 937 would fail as
they contained a minus sign in their authentication mechanism and this
would be missed by the custom reply parser.

tests: Corrected syntax error from commit 7246255416617a

tests: Added SMTP SASL downgrade tests

tests: Added POP3 SASL downgrade tests

tests: Added IMAP SASL downgrade tests

docs: mention CURLOPT_MAX_RECV/SEND_SPEED_LARGE don't work for FILE://

FILE: don't wait due to CURLOPT_MAX_RECV_SPEED_LARGE

The FILE:// code doesn't support this option - and it doesn't make sense
to support it as long as it works as it does since then it'd only block
even longer.

But: setting CURLOPT_MAX_RECV_SPEED_LARGE would make the transfer first
get done and then libcurl would wait until the average speed would get
low enough. This happened because the transfer happens completely in the
DO state for FILE:// but then it would still unconditionally continue in
to the PERFORM state where the speed check is made.

Starting now, the code will skip from DO_DONE to DONE immediately if no
socket is set to be recv()ed or send()ed to.

Bug: http://curl.haxx.se/bug/view.cgi?id=1312
Reported-by: Mohammad AlSaleh

ftpserver.pl: Fixed runtime warning from commit 7da9c95bcf1fe6

Use of uninitialized value $FTPARG in concatenation (.) or string at
line 3255.

ftpserver.pl: Added the ability to send custom full text replies

ftpserver.pl: Added the ability to specify custom full text replies

ftpserver.pl: Renamed commandreply variable from customreply

tests: Added SASL cancellation keywords

Added SASL CANCELLATION keywords to differentiate these tests from the
upcoming SASL downgrade tests.

email: Fixed segfault introduced in commit 195b63f99c2fe3

code police: fix indent level to silence checksrc complaints

email: Extended the login options to support multiple auth mechanisms

Curl_pp_readresp: replace stupid loop with memcpy

Curl_pp_readresp: zero terminate line

The comment in the code mentions the zero terminating after having
copied data, but it mistakingly zero terminated the source data and not
the destination! This caused the test 864 problem discussed on the list:

http://curl.haxx.se/mail/lib-2013-12/0113.html
Signed-off-by: Daniel Stenberg <daniel@haxx.se>

Revert "pop3: Added debug information to assist with test864 failure"

This reverts commit 727d798d680f29c8b3cb7d7f03d6b6a3eb4356da.

pop3: Added debug information to assist with test864 failure

RELEASE-NOTES: Synced with 812c5ace759d04

pop3: Fixed APOP timestamp detection from commit 1cfb436a2f1795

Makefile.inc: use standard source header

Makefile.inc: specify the vtls sources+headers separately

vtls: renamed sslgen.[ch] to vtls.[ch]

openssl: renamed backend files to openssl.[ch]

vtls: moved all TLS/SSL source and header files into subdir

vtls: created subdir, moved sslgen.[ch] there, updated all include lines

pop3: Fixed selection of APOP when server replies with an invalid timestamp

Although highlighted by a bug in commit 1cfb436a2f1795, APOP
authentication could be chosen if the server was to reply with an empty
or missing timestamp in the server greeting and APOP was given in the
capability list by the server.

pop3: Fixed processing of more than one response when sent in same packet

Added a loop to pop3_statemach_act() in which Curl_pp_readresp() is
called until the cache is drained. Without this multiple responses
received in a single packet could result in a hang or delay.

pop3: Moved CAPA response handling to pop3_state_capa_resp()

Similar to the processing of untagged CAPABILITY responses in IMAP and
multi-line EHLO responses in SMTP, moved the processing of multi-line
CAPA responses to pop3_state_capa_resp().

pop3: Moved APOP detection into pop3_state_servergreet_resp()

In an effort to reduce what pop3_endofresp() does and bring the POP3
source back inline with the IMAP and SMTP protocols, moved the APOP
detection into pop3_state_servergreet_resp().

curl_easy_setopt: Fixed OAuth 2.0 Bearer option name

Bug: http://curl.haxx.se/bug/view.cgi?id=1313
Reported-by: Viktor Szakáts

curl.1: remove URL encoding phrase from --data description

... it could be misleading a reader into thinking it _has_ to be encoded.

imap/pop3/smtp: Added support for SASL authentication downgrades

Added support for downgrading the SASL authentication mechanism when the
decoding of CRAM-MD5, DIGEST-MD5 and NTLM messages fails. This enhances
the previously added support for graceful cancellation by allowing the
client to retry a lesser SASL mechanism such as LOGIN or PLAIN, or even
APOP / clear text (in the case of POP3 and IMAP) when supported by the
server.

RELEASE-PROCEDURE: new document

gitignore: ignore .dirstamp files

smtp: fix compiler warning

smtp.c:478:21: error: unused variable 'smtpc' [-Werror=unused-variable]

smtp: Moved the calculation of SASL login details into a separate function

pop3: Moved the calculation of SASL login details into a separate function

imap: Moved the calculation of SASL login details into a separate function

smtp: Moved the sending of the AUTH command into a separate function

pop3: Moved the sending of the AUTH command into a separate function

imap: Moved the sending of the AUTHENICATE command into a separate function

email: Renamed *_perform_authenticate() functions

In preparation for the upcoming SASL downgrade feature renamed the
imap__perform_authenticate(), pop3__perform_authenticate() and
smtp__perform_authenticate() functions.

bump: start working on the next release

RELEASE-NOTES: synced with c0ef05e67

... for the pending 7.34.0 release

Upped the contributor count

THANKS: add contributors from 7.34.0 release

24 new great friends

gtls: respect *VERIFYHOST independently of *VERIFYPEER

Security flaw CVE-2013-6422

This is conceptually the same problem and fix that 3c3622b6 brought to the
OpenSSL backend and that resulted in CVE-2013-4545.

This version of the problem was independently introduced to the GnuTLS
backend with commit 59cf93cc, present in the code since the libcurl
7.21.4 release.

Advisory: http://curl.haxx.se/docs/adv_20131217.html
Bug: http://curl.haxx.se/mail/lib-2013-11/0214.html
Reported-by: Marc Deslauriers

curl.1 document -J doesn't %-decode

...also added as KNOWN_BUG #87 with reference to bug #1294

multi: add timer inaccuracy margin to timeout/connecttimeout

Since all systems have inaccuracy in the timeout handling it is
imperative that we add an inaccuracy margin to the general timeout and
connecttimeout handling with the multi interface. This way, when the
timeout fires we should be fairly sure that it has passed the timeout
value and will be suitably detected.

For cases where the timeout fire before the actual timeout, we would
otherwise consume the timeout action and still not run the timeout code
since the condition wasn't met.

Reported-by: He Qin
Bug: http://curl.haxx.se/bug/view.cgi?id=1298

RELEASE-NOTES: synced with dd4d9ea542

curl_easy_setopt: clarify some USERPWD and PROXYUSERPWD details

login options: remove the ;[options] support from CURLOPT_USERPWD

To avoid the regression when users pass in passwords containing semi-
colons, we now drop the ability to set the login options with the same
options. Support for login options in CURLOPT_USERPWD was added in
7.31.0.

Test case 83 was modified to verify that colons and semi-colons can be
used as part of the password when using -u (CURLOPT_USERPWD).

Bug: http://curl.haxx.se/bug/view.cgi?id=1311
Reported-by: Petr Bahula
Assisted-by: Steve Holme
Signed-off-by: Daniel Stenberg <daniel@haxx.se>

imap: Fixed exclude of clear text when using auth=* in commit 75cd7fd66762bb

It is not 100% clear whether * should include clear text LOGIN or not
from RFC-5092, however, including it is then consistent with current
POP3 behaviour where clear text, APOP or SASL may be chosen.

imap: Fixed incorrect fallback to clear text authentication

If a specific SASL authentication mechanism was requested by the user
as part of the login options but wasn't supported by the server then
curl would fallback to clear text, when it shouldn't, rather than
reporting "No known authentication mechanisms supported" as the POP3
and SMTP protocols do.

parsedate: avoid integer overflow

In C, signed integer overflow is undefined behavior. Thus, the compiler
is allowed to assume that it will not occur. In the check for an
overflow, the developer assumes that the signed integer of type time_t
will wrap around if it overflows. However, this behavior is undefined in
the C standard. Thus, when the compiler sees this, it simplifies t +
delta < t to delta < 0. Since delta > 0 and delta < 0 can't both be
true, the entire if statement is optimized out under certain
optimization levels. Thus, the parsedate function would return
PARSEDATE_OK with an undefined value in the time, instead of return -1 =
PARSEDATE_FAIL.

parseconfig: warn if unquoted white spaces are detected

Commit 0db811b6 made some existing config files pass on unexpected
values to libcurl that made it somewhat hard to track down what was
really going on.

This code detects unquoted white spaces in the parameter when parsing a
config file as that would be one symptom and it is generally a bad
syntax anyway.

RELEASE-NOTES: recount contributors and libcurl options

RELEASE-NOTES: synced with c4f46e97ca6c

TFTP: let tftp_multi_statemach()'s return codes through

It would otherwise always clobber the return code with new function
calls and it couldn't return timeout etc.

Bug: http://curl.haxx.se/bug/view.cgi?id=1310

darwinssl: Fix #if 10.6.0 for SecKeychainSearch

The comment here says that SecKeychainSearch causes a deprecation
warning when used with a minimum Mac OS X SDK version of 10.7.0, which
is correct.  However, the #if guard did not match.  It was intended to
only use the code if 10.6.0 support was enabled, but it had 10.7.0
instead.  This caused a warning if the minimum was exactly 10.7.0.

curl.h: <sys/select.h> for OpenBSD

curl.h should also include <sys/select.h> on OpenBSD to reliably
pull in select().  Typically, including <sys/time.h> will be enough,
but not if strict standards-compliance is requested (e.g. by defining
_XOPEN_SOURCE).

digest: fix CURLAUTH_DIGEST_IE

The URI that is passed in as part of the Authorization: header needs to
be cut off at '?' if CURLAUTH_DIGEST_IE is set. Previously the code only
did when calculating the MD5sum.

Bug: http://curl.haxx.se/bug/view.cgi?id=1308
Patched-by: Sergey Tatarincev

Curl_is_connected: use proxy name in error message when proxy is used

(bug introduced in 255826c4, never present in a release)

Reported-by: Dima Tisnek
Bug: http://curl.haxx.se/mail/lib-2013-12/0006.html

imap/pop3: Post graceful cancellation consistency changes

pop3: Fix POP3_TYPE_ANY signed compilation warning

POP3_TYPE_ANY, or ~0, is written to pop3c->preftype in lib/pop3c.c, an
unsigned int variable.  The result of ~0 is -1, which caused a warning
due to writing a negative number to an unsigned variable.  To fix this,
make the expression ~0U so that its value is considered the unsigned
number UINT_MAX which is what SASL_AUTH_ANY does in curl_sasl.h.

tool_metalink: do not use HAVE_NSS_INITCONTEXT

... no longer provided by the configure script

nss: make sure that 'sslver' is always initialized

nss: unconditionally require NSS_InitContext()

... since we depend on NSS 3.14+ because of SSL_VersionRangeSet() anyway

nss: allow to use TLS > 1.0 if built against recent NSS

Bug: http://curl.haxx.se/mail/lib-2013-11/0162.html

nss: put SSL version selection into separate fnc

nss: use a better API for controlling SSL version

This change introduces a dependency on NSS 3.14+.

OS400: sync wrappers and RPG binding.

multi.c: Fixed compilation warning

warning: declaration of 'pipe' shadows a global declaration