Make set_perms() and restore_perms() return an error instead of
calling exit() on failure.

Eliminate calls to fatal() in sudoers.c and just pass back a return
value.

Elimate calls to fatal() in the logging code.

Quiet a compiler warning on Solaris.

Move the sha2 code into libreplace and add configure checks for
SHA224Update in libc and libmd.  Solaris uses "void *" where we use
"unsigned char *" so we need a check for that too.  Solaris sha2.h
defines SHA224, SHA256, SHA384, and SHA512 so rename those tokens.
Adapted from changes from Vladimir Marek in bug #641.

Fix matching of uids and gids broken in sudo 1.8.9.

Fix -P option in usage()

Remove a few more unnecessary uses of fatal().

Use log_warning() not log_fatal() for the "Invalid authentication
methods compiled into sudo" message.  We return -1 on error anyway.

Return MODE_ERROR from sudoers_policy_deserialize_info() instead
of calling fatalx().

parse_gid_list() now returns -1 on error instead of calling fatalx().

Forward SIGINFO to running command if supported.  If the command
is being run in the background (or exec_background is set in sudoers),
it is the sudo process, not the actual command, that receives the ^T.

Remove calls to log_fatal() in I/O log functions and just pass an
error back to the caller.

Make "internal error, %s overflow" arguments consistent, using
__func__ where possible (when debugging is allowed).

Use common printf format when warning of buffer overflow prevention.

Remove init.d/*.sh in distclean

Correctly ignore init.d/*.sh

Remove remaining calls to fatalx(); just pass the error to the caller.

Make a password/group cache collision a warning rather than fatal.
This should not be possible in practice and we can safely return
the new (potentially duplicate) item as it will be freed by the
caller.  Make sudo_set_grlist() return an error on failure instead
of calling fatalx().

Use log_warning() instead of log_fatal() if the ticket or lecture
path is too long and just return an error.  This can only happen
from a misconfiguration so just ignoring the ticket/lecture file
is safe.

In find_path(), return NOT_FOUND_ERROR instead of calling fatal()
if the path is too long.  Remove an extraneous check against PATH_MAX
in set_cmnd() since find_path() already contains such a check.

Remove unused MODE_LISTDEFS define and correct a comment.

Make hexchar() return -1 on invalid input instead of calling fatalx().
Callers used to check that the string was hex before calling hexchar().
Now callers must check for a -1 return value instead.

Propagate errors in audit code to caller instead of using fatal().
If we fail to audit an otherwise successful command, return an error
from the policy.  For Linux audit, sudo may be compiled with audit
support but auditing may not be setup, so we don't consider that
an error.

Remove unused variable on Linux.

Fix warning on systems where mode_t is not unsigned int (Solaris).

Audit path too long errror.  Add comments about non-audit events
and placeholders for future audit hooks.

Remove unused FLAG_USER auth flag.  We have no auth methods that
require that authentication be run as the invoking user.

Fix aliasing warning in old-style interface probe code.

Fix some sign comparision warnings.

Don't call fatal/fatalx in common/*.c

Fix expansion of %p in the prompt for "sudo -l" when rootpw, runaspw
or targetpw is set.  Bug #639

Sudo 1.8.10p2

Don't write an empty timestamp record when timestamp_timeout is
zero.  If we find an empty record in the timestamp file, overwrite
it with a good one, truncating the file as needed.

Fix typos in description of the -x option.  Bug #637

Sudo 1.8.10p1

Fix typo/thinko that prevented "Defaults !tty_tickets" from working.

Fix "sudo -l command" output when the matching command is negated.
Bug #636

The atofoo_test and hltq_test tests now display their own test error rate.
Display pass/fail count separately for sudo_conf and sudo_parseln tests.
Check stderr output for the sudo_conf test.

Don't run the check_ttyname test if cross compiling.

CWD no longer used.

Fix diff of toke and err output files in "make check"

sync with translationproject.org

Check whether ber.h is needed before ldap.h even if we are not using
any ber functions.  Needed for older versions of nss ldap.

Fix compiler warning in debug code.

Catalan translation for sudo from translationproject.org.

Document negation fix in JSON output.

Fix handling of '!' operator when converting sudoers.  We now add
a "negated" boolean flag to objects that have the '!' operator.

Czech translation for sudoers from translationproject.org

Try -libmldap before -lldap in case there is no link from libibmldap.so
to libldap.so.  Since IBM ldap is installed under /opt we should only
be able to reach it if --with-ldap was given an explicit path.

Only check for ber_set_option() if LBER_OPT_DEBUG_LEVEL is defined.

Fix typo in setreuid() PERM_ROOT error message.

No longer need to disable setresuid() on debian.

Fix conversion of timestamp_timeout from double to struct timeval.
Also quiet a printf format warning on 32-bit systems.

Serbian translation for sudoers from translationproject.org.

Add Ingo Schwarze

When exporting sudoers in JSON format, use the same type of Options
object for both Defaults and Cmnd_Specs.

Silence cppcheck false positive.

sync with translationproject.org

Mention init.d scripts on AIX and HP-UX
Mention sudoers group mismatch fix

Talk about clearing files at boot time, not reboot time since it
happens when the system comes up, not down.

We also need to open the sudoers file as root if there is a GID
mismatch.

Install /etc/rc.d/init.d/sudo and /etc/rc.d/rc2.d/S90sudo for
AIX rpm packages.

Remove init.d file and link in uninstall target.

Fix INIT_DIR for real this time.

Use correct init.d dir on HP-UX.
Fix pp warnings from rc.d and init.d dirs.

First cut add installing an init.d file for HP-UX and AIX to remove
old sudo timestamp files at boot time.

Use .Ar macro instead of "file ..."
Use ".Cm -" instead of ".Li -" for the default login class.
From Ingo Schwarze.

Remove some extraneous markup; from Ingo Schwarze
 * No need to explicitly end a macro with No before |
   because | counts as middle punctuation
   and falls out of the macro, anyway.
 * No need to explicitly re-open in-line macros after |
   because | counts as middle punctuation
   and the macros resume afterwards, anyway.
 * Simplify the mnemonic remarks regarding the option letters,
   no need for manual font and spacing control with No and Ns.
 * Trim Ns No to just Ns, it already implies No.

Move zerowidth space in :alpha: after the colon for consistency.

regen

Remove extraneous keeps in SYNOPSIS now that mandoc does implied
keeps when converting from mdoc to man.

Properly escape the : in :alpha:

Replace some uses of .Sy with .Ar, .Ev and .Pa as appropriate.
From Jan Stary.

Fix indentation of Defaults entries.  The initial indent should be
outside the loop iterating over the entries.

sync with translationproject.org

We must include gettext.h before missing.h as it includes system
headers.  Also add missing DEFAULT_TEXT_DOMAIN defines in sudoers
audit code that does not include sudoers.h.

When emulating DSO_NEXT with shl_get() we need to skip the program's
handle.  This used to be documented as being index -2 but now it
seems to be index 0.  As this is not guaranteed we need to look up
the real handle value for PROG_HANDLE and skip it when interating
through all the DSOs.  Fixes infinite recursion on HP-UX in the
getenv() replacement.

Export getenv() so it is visible to shared objects we link with.

Add some initprogname() calls to the test programs.

regen

Mention that there is now a default LDAP search filter.

Minor word choice change.

Add use_netgroups sudoers option.  For LDAP-based sudoers, netgroup
support requires an expensive substring match on the server.  If
netgroups are not needed, this option can be disabled to reduce the
load on the LDAP server.

Update copyright year.

Mention LDAP changes.

Use a default LDAP search filter of (objectClass=sudoRole).  When
constructing the netgroup query, add (sudoUser=*) to the query so
we don't fall below the 3 character OpenLDAP substring threshold.
Otherwise the index for sudoUser will never be used for that query.
Pointed out by Michael Stroeder.

Don't warn about an insecure lecture dir twice.
Display warnings in the user's locale.

Mention the fix for ^Z at the password prompt when sudo was started
in the background.

In term_restore(), only restores the terminal if we are in the
foregroup process group.  Instead of calling tcgetpgrp(), which is
racy, we set a temporary handler for SIGTTOU and check whether it
was received after a failed call to tcsetattr().

Use inet_pton() instead of inet_aton() and include a version from
BIND for those without it.

Quiet a gcc warning.

Need to include limits.h for USHRT_MAX.

Use bool for function return values instead of 1 or 0.

Warn the user if the rundir needs to be cleared in the rc files.
Neither AIX not HP-UX clear /var/run (if it even exists).

Update for sudo 1.8.9p5

When the closefrom limit is greater than any of the preserved fds,
the pfds list will be non-empty but lastfd will be -1 triggering
an ecalloc(0) assertion.  Instead, test for lastfd being -1 and
make sure we always update it, even if dup() fails.
Also restore initial value of lowfd after we are done relocating.
Fixes bug #633

Document function return values.

term_restore() now restarts itself so we don't need to do it ourselves.

syscall restarting is broken on Mac OS X when interrupted by a tty
signal so restart tcsetattr() by hand.  For details, see.
http://openradar.appspot.com/radar?id=6402578615107584

Add regress for atobool(), atoid() and atomode()