Cache passwd db entries in 2 reb-black trees; one indexed by uid,
the other by user name.  The data returned from the cache should
be considered read-only and is destroyed by sudo_endpwent().

add cast to uid_t

missing free in alias_destroy

Can't use rbapply() for rbdestroy since the destructor is passed a
data pointer, not a node pointer.

Create and use private versions of setpwent() and endpwent() that
set/end the shadow password file too.

Store aliases in a red-black tree.

red-black tree implementation

Edit all sudoers file if there were unused or undefined aliases and we
are in strict mode.

Bring back the "secure_path" Defaults option now that Defaults take
effect before the path is searched.

A user can always list their own entries, even with -u.
Better error message when failing to list another user's entries.

The syntax to list another user's entries is now "-u otheruser -l".
Only root or users with sudo "ALL" may list other user's entries.

Update env variable info in SECURITY NOTES

strip CDPATH too

strip exported bash functions from the environment.

Only reset sudo_user.pw based on SUDO_USER environment variables for
real commands and sudoedit.  This avoids a confusing message when a
user tries "sudo -l" or "sudo -v" and is denied.

Extend LIST_APPEND to deal with appending lists too

Convert some bitwise AND to ISSET

toke.c replaces lex.yy.c

sync

new parser fixes most of the outstanding bugs

regen

Rework for the new parser.
Now checks for unused aliases in sudoers.

Rewrite for the new parser.  Now supports a -d flag (dump) and adds a -h
flag (host).  It now defaults to the local hostname unless otherwise
specified.

Add new prototypes.
Remove NOMATCH/UNSPEC (now in parse.h)

Update for new parse.  We now call find_path() *after* we have updated
the global defaults based on sudoers.  Also adds support for listing
other user's privs if you are root.

Working LDAP support; also remove a now-unneeded rewind().

Add NO_STDERR flag.

Split sudo_ldap_check() into three pieces: sudo_ldap_open(),
udo_ldap_update_defaults() and sudo_ldap_check().  This allows
us to connecto to LDAP, apply the default options, find the command
in the user's path, and then check whether the user is allowed to
run it.  The important thing here is that the default runas user
may be specified as a default option and that needs to be set
before we search for the command.

Add casts to unsigned char for isspace() to quiet a gcc warning.

Add prototype for update_defaults()

Don't warn about line numbers now that we operate on a set of data
structures (or LDAP) and not a file.

No long use lsearch()

Update for new and changed file names.

no more BSD lsearch.c

foo_matches() routines now live in match.c
Added user_matches(), runas_matches(), host_matches(), cmnd_matches()
and alias_matches() that operate on the parsed sudoers file.

Move parse.lex -> toke.l
Rename buffer_frob() -> switch_buffer()
WORD no longer needs to exclude '@'
kill yywrap()

Rewritten parser that converts sudoers into a set of data structures.
This eliminates ordering issues and makes it possible to apply
sudoers Defaults entries before searching for the command.

We won't be using lsearch() any longer.

sudo should not send mail if someone who runs 'sudo -l' has no entry.

regen

Update warnings to match new visudo

The new parser doesn't have the old ordering constraints.

Document that -l now takes an optional username argument

AIX 5.2.0.0 works

If LDAP_OPT_SUCCESS is not defined, use LDAP_SUCCESS instead.
Fixes a compilation problem with Solaris 9's native LDAP.

Set FLAG_MONITOR when needed.

Call sudo_goodpath() *after* changing the cwd to match the traced process.
Fixes relative paths.

Kill set_perms() stub--it is no longer needed.

stay_setuid now requires set_reuid() or setresuid()

Kill use of POSIX saved uids; they aren't worth bothering with.

remove call to issetugid()

Remove warning about wildcards.  Now that we use glob() the bug is fixed.

Use glob(3) instead of fnmatch(3) for matching pathnames and stat each
result that matches the basename of the user's command.  This makes
"cd /usr/bin ; sudo ./blah" work when sudoers allows /usr/bin/blah.
Fixes bug #143.

Define HAVE_EXTENDED_GLOB for extended glob (GLOB_TILDE and GLOB_BRACE)

Check for a glob() that supports GLOB_BRACE and GLOB_TILDE

reference glob

4.4BSD glob(3) with fixes from OpenBSD and some unneeded extensions removed.

4.4BSD glob(3) with fixes from OpenBSD and some unneeded extensions removed.

Just return if STRIOCINJECT or STRIOCREPLACE fail.  It probably means
we are out of space in the stack gap...

sync

Take a stab at ldap sudoers support here.

Detach from tracee on SIGHUP, SIGINT and SIGTERM.  Now "sudo reboot"
doesn't cause reboot to inadvertanly kill itself.

put "monitor" in the proctitle, not "systrace"

When modifying the environment, don't replace envp when we can get
away with just rewriting pointers in the traced process.

Add environment updating via STRIOCINJECT (if available).

regen

regen

Fix bug introduced in unput() removal; want yyless(0) not yyless(1)

Include file is now mon_systrace.h

No longer call it tracing, it is now "monitoring" which should be more
a obvious name to non-hackers.

Fix some XXX

No need to include syscall.h, use 1024 as the max # of entries (the
max that systrace(4) allows).

Only need to use SYSTR_POLICY_ASSIGN once

Change check_syscall() -> find_handler() and have it return the
handler instead of just running it.  We need this since handler now
have two parts: one part that generates and answer and another that
gets called after the answer is accepted (to do logging).

Add some missing check_exec for emul execv

Add $Sudo$ tags.

Add missing HAVE_LINUX_SYSTRACE_H

add trace_systrace.o dependency

Also look for systrace.h in /usr/include/linux

Move all struct defs and prototypes into trace_systrace.h and mark all
but systace_attach() static.

Add support for tracing emulations.  At the moment, all emulations are
compiled in.  It might make sense to #ifdef them in the future, though
this impeeds readability.

rename systrace.c -> trace_systrace.c

Allow this to build with a K&R compiler again

sync

Use __attribute__((__noreturn__))

Exit() takes a negative value to indicate it was not called via signal.

regen

Define Err() and Errx() that are like err() and errx() but call Exit()
instead of exit().  Build private copy of alloc.o for visudo that calls
Err() and Errx().

regen

sync

Overhaul visudo for editing multiple files:
 o visudo has been broken out into functions (more work needed here)
 o each file is now edited before sudoers is re-parsed
 o if a #include line is added that file will be edited too

TODO:
 o cleanup temp files when exiting via err() or errx()
 o continue breaking things out into separate functions

Add keepopen arg to open_sudoers that open_sudoers can use to
indicate to the caller that the fd should not be closed when it
is done with it.  To be used by visudo to keep locked fds from
being closed prematurely (and thus losing the lock).

Add errorfile global that contains the name of the file that caused the
error.

return COMMENT to yacc grammar for a #include line

Remove us of unput() in favor of yyless() which is cheaper.

Allow an empty sudoers file.

Rewind sudoers_fp now that sudoers_lookup() doesn't do it for us.

regen

Do signal setup before calling edit_sudoers().
Don't shadow the "quiet" global.

If a sudoers file includes other files, edit those too.
Does not yes deal with creating the new includes files itself.

init_parser now takes a path

More scaffolding for dealing with multiple sudoers files:
 o init_parser() now takes a path used to populate the sudoers global
 o the sudoers global is used to print the correct file in yyerror()
 o when switching to a new sudoers file, perserve old file name and line number

Kill _PATH_SUDOERS_TMP; it is not meaningful now that we can have multiple
sudoers files.

Rewind sudoers_fp in open_sudoers() instead of sudoers_lookup() so
we start at the right file position when reading include files.