THANKS: updated with 7.43.0 names

http: do not leak basic auth credentials on re-used connections

CVE-2015-3236

This partially reverts commit curl-7_39_0-237-g87c4abb

Reported-by: Tomas Tomecek, Kamil Dudka
Bug: http://curl.haxx.se/docs/adv_20150617A.html

test2040: verify basic auth on re-used connections

SMB: rangecheck values read off incoming packet

CVE-2015-3237

Detected by Coverity. CID 1299430.

Bug: http://curl.haxx.se/docs/adv_20150617B.html

schannel: schannel_recv overhaul

This commit is several drafts squashed together. The changes from each
draft are noted below. If any changes are similar and possibly
contradictory the change in the latest draft takes precedence.

Bug: https://github.com/bagder/curl/issues/244
Reported-by: Chris Araman
%%
%% Draft 1
%%
- return 0 if len == 0. that will have to be documented.
- continue on and process the caches regardless of raw recv
- if decrypted data will be returned then set the error code to CURLE_OK
and return its count
- if decrypted data will not be returned and the connection has closed
(eg nread == 0) then return 0 and CURLE_OK
- if decrypted data will not be returned and the connection *hasn't*
closed then set the error code to CURLE_AGAIN --only if an error code
isn't already set-- and return -1
- narrow the Win2k workaround to only Win2k

%%
%% Draft 2
%%
- Trying out a change in flow to handle corner cases.

%%
%% Draft 3
%%
- Back out the lazier decryption change made in draft2.

%%
%% Draft 4
%%
- Some formatting and branching changes
- Decrypt all encrypted cached data when len == 0
- Save connection closed state
- Change special Win2k check to use connection closed state

%%
%% Draft 5
%%
- Default to CURLE_AGAIN in cleanup if an error code wasn't set and the
connection isn't closed.

%%
%% Draft 6
%%
- Save the last error only if it is an unrecoverable error.

Prior to this I saved the last error state in all cases; unfortunately
the logic to cover that in all cases would lead to some muddle and I'm
concerned that could then lead to a bug in the future so I've replaced
it by only recording an unrecoverable error and that state will persist.

- Do not recurse on renegotiation.

Instead we'll continue on to process any trailing encrypted data
received during the renegotiation only.

- Move the err checks in cleanup after the check for decrypted data.

In either case decrypted data is always returned but I think it's easier
to understand when those err checks come after the decrypted data check.

%%
%% Draft 7
%%
- Regardless of len value go directly to cleanup if there is an
unrecoverable error or a close_notify was already received. Prior to
this change we only acknowledged those two states if len != 0.

- Fix a bug in connection closed behavior: Set the error state in the
cleanup, because we don't know for sure it's an error until that time.

- (Related to above) In the case the connection is closed go "greedy"
with the decryption to make sure all remaining encrypted data has been
decrypted even if it is not needed at that time by the caller. This is
necessary because we can only tell if the connection closed gracefully
(close_notify) once all encrypted data has been decrypted.

- Do not renegotiate when an unrecoverable error is pending.

%%
%% Draft 8
%%
- Don't show 'server closed the connection' info message twice.

- Show an info message if server closed abruptly (missing close_notify).

Fix typo in docs

s/curret/current/

docs: update URLs

RELEASE-NOTES: synced with f29f2cbd00dbe5f

README: use secure protocol for Git repository

HTTP2.md: use SSL/TLS IETF URLs

LICENSE-MIXING: update URLs

* use SSL/TLS where available
* follow permanent redirects

LICENSE-MIXING: refreshed

curl_easy_duphandle: see also *reset

rtsp_do: fix DEAD CODE

"At condition p_request, the value of p_request cannot be NULL."

Coverity CID 1306668.

security:choose_mech fix DEAD CODE warning

... by removing the "do {} while (0)" block.

Coverity CID 1306669

curl.1: netrc is in man section 5

curl.1: small format fix

use \fI-style instead of .BR for references

urldata: store POST size in state.infilesize too

... to simplify checking when PUT _or_ POST have completed.

Reported-by: Frank Meier
Bug: http://curl.haxx.se/mail/lib-2015-06/0019.html

test1530: added http to required features

build: Fix typo from OpenSSL 1.0.2 version detection fix

build: Properly detect OpenSSL 1.0.2 when using configure

curl_multi_info_read.3: fix example formatting

BINDINGS: there's a new R binding in town!

BINDINGS: added the Xojo binding

schannel: Add support for optional client certificates

Some servers will request a client certificate, but not require one.
This change allows libcurl to connect to such servers when using
schannel as its ssl/tls backend. When a server requests a client
certificate, libcurl will now continue the handshake without one,
rather than terminating the handshake. The server can then decide
if that is acceptable or not. Prior to this change, libcurl would
terminate the handshake, reporting a SEC_I_INCOMPLETE_CREDENTIALS
error.

curl_easy_cleanup.3: provide more SEE ALSO

debug: remove http2 debug leftovers

VERSIONS: now using markdown

RELEASE-PROCEDURE: remove ascii logo at the top of file

INTERNALS: absorbed docs/LIBCURL-STRUCTS

INTERNALS: cat lib/README* >> INTERNALS

and a conversion to markdown. Removed the lib/README.* files. The idea
being to move toward having INTERNALS as the one and only "book" of
internals documentation.

Added a TOC to top of the document.

openssl: LibreSSL and BoringSSL do not use TLS_client_method

Although OpenSSL 1.1.0+ deprecated SSLv23_client_method in favor of
TLS_client_method LibreSSL and BoringSSL didn't and still use
SSLv23_client_method.

Bug: https://github.com/bagder/curl/commit/49a6642#commitcomment-11578009
Reported-by: asavah@users.noreply.github.com

RELEASE-NOTES: synced with 20ac3458068

CURLOPT_OPENSOCKETFUNCTION: return error at once

When CURL_SOCKET_BAD is returned in the callback, it should be treated
as an error (CURLE_COULDNT_CONNECT) if no other socket is subsequently
created when trying to connect to a server.

Bug: http://curl.haxx.se/mail/lib-2015-06/0047.html

fopen.c: fix a few compiler warnings

docs: Spelling fixes

docs: man page indentation and syntax fixes

help: Add --proxy-service-name and --service-name to the --help output

openssl: Fix verification of server-sent legacy intermediates

- Try building a chain using issuers in the trusted store first to avoid
problems with server-sent legacy intermediates.

Prior to this change server-sent legacy intermediates with missing
legacy issuers would cause verification to fail even if the client's CA
bundle contained a valid replacement for the intermediate and an
alternate chain could be constructed that would verify successfully.

https://rt.openssl.org/Ticket/Display.html?id=3621&user=guest&pass=guest

BINDINGS: update several URLs

Stop linking to the curl.haxx.se anchor pages, they are usually only
themselves pointers to the real page so better point there directly
instead.

BINDINGS: the curl-rust binding

curl.h: add CURL_HTTP_VERSION_2

The protocol is named "HTTP/2" after all. It is an alias for the
existing CURL_HTTP_VERSION_2_0 enum.

openssl: removed error string #ifdef

ERR_error_string_n() was introduced in 0.9.6, no need to #ifdef anymore

openssl: removed USERDATA_IN_PWD_CALLBACK kludge

Code for OpenSSL 0.9.4 serves no purpose anymore!

openssl: remove SSL_get_session()-using code

It was present for OpenSSL 0.9.5 code but we only support 0.9.7 or
later.

openssl: remove dummy callback use from SSL_CTX_set_verify()

The existing callback served no purpose.

LIBCURL-STRUCTS: clarify for multiplexing

cookie: Stop exporting any-domain cookies

Prior to this change any-domain cookies (cookies without a domain that
are sent to any domain) were exported with domain name "unknown".

Bug: https://github.com/bagder/curl/issues/292

RELEASE-PROCEDURE: refreshed 'coming dates'

curl_setup: Change fopen text macros to use 't' for MSDOS

Bug: https://github.com/bagder/curl/pull/258#issuecomment-107915198
Reported-by: Gisle Vanem

curl_multi_timeout.3: added example

curl_multi_perform.3: added example

curl_multi_info_read.3: added example

checksrc: detect fopen() for text without the FOPEN_* macros

Follow-up to e8423f9ce150 with discussionis in
https://github.com/bagder/curl/pull/258

This check scans for fopen() with a mode string without 'b' present, as
it may indicate that an FOPEN_* define should rather be used.

curl_getdate.3: update RFC reference

curl_setup: Add macros for FOPEN_READTEXT, FOPEN_WRITETEXT

- Change fopen calls to use FOPEN_READTEXT instead of "r" or "rt"
- Change fopen calls to use FOPEN_WRITETEXT instead of "w" or "wt"

This change is to explicitly specify when we need to read/write text.
Unfortunately 't' is not part of POSIX fopen so we can't specify it
directly. Instead we now have FOPEN_READTEXT, FOPEN_WRITETEXT.

Prior to this change we had an issue on Windows if an application that
uses libcurl overrides the default file mode to binary. The default file
mode in Windows is normally text mode (translation mode) and that's what
libcurl expects.

Bug: https://github.com/bagder/curl/pull/258#issuecomment-107093055
Reported-by: Orgad Shaneh

http2-upload.c: use PIPEWAIT for playing HTTP/2 better

http2-download: check for CURLPIPE_MULTIPLEX properly

Bug: http://curl.haxx.se/mail/lib-2015-06/0001.html
Reported-by: Rafayel Mkrtchyan

HTTP-NTLM: fail auth on connection close instead of looping

Bug: https://github.com/bagder/curl/issues/256

5.6 Refuse "downgrade" redirects

README.pingpong: removed

ROADMAP: remove HTTP/2 multiplexing - its here now

HTTP2.md: formatted properly

HTTP2: moved docs into docs/ and make it markdown

README.http2: refreshed and added multiplexing info

dist: add the http2 examples

http2 examples: clean up some comments

examples: added two programs doing multiplexed HTTP/2

scripts: moved contributors.sh and contrithanks.sh into subdir

RELEASE-NOTES: synced with c005790ff1c0a

openssl: typo in comment

openssl: Use TLS_client_method for OpenSSL 1.1.0+

SSLv23_client_method is deprecated starting in OpenSSL 1.1.0. The
equivalent is TLS_client_method.

https://github.com/openssl/openssl/commit/13c9bb3#diff-708d3ae0f2c2973b272b811315381557

FAQ: How do I port libcurl to my OS?

CURLOPT_COOKIELIST.3: Explain Set-Cookie without a domain

Document that if Set-Cookie is used without a domain then the cookie is
sent for any domain and will not be modified.

Bug: http://curl.haxx.se/mail/lib-2015-05/0137.html
Reported-by: Alexander Dyagilev

http2: Copy data passed in Curl_http2_switched into HTTP/2 connection buffer

Previously, after seeing upgrade to HTTP/2, we feed data followed by
upgrade response headers directly to nghttp2_session_mem_recv() in
Curl_http2_switched().  But it turns out that passed buffer, mem, is
part of stream->mem, and callbacks called by
nghttp2_session_mem_recv() will write stream specific data into
stream->mem, overwriting input data.  This will corrupt input, and
most likely frame length error is detected by nghttp2 library.  The
fix is first copy the passed data to HTTP/2 connection buffer,
httpc->inbuf, and call nghttp2_session_mem_recv().

CURLOPT_COOKIE.3: Explain that the cookies won't be modified

The CURLOPT_COOKIE doc says it "sets the cookie header explicitly in the
outgoing request(s)." However there seems to be some user confusion
about cookie modification. Document that the cookies set by this option
are not modified by the cookie engine.

Bug: http://curl.haxx.se/mail/lib-2015-05/0115.html
Reported-by: Alexander Dyagilev

CURLOPT_COOKIELIST.3: Add example

testcurl.pl: use rel2abs to make the source directory absolute

This function makes a platform-specific absolute path which uses
backslashes on Windows. This form works when passing it on the
command-line, as well as if the source is on another drive.

conncache: fixed memory leak on OOM (torture tests)

perl: remove subdir, not touched in 9 years

log2changes.pl: moved to scripts/

scripts: add zsh.pl for generating zsh completion

test1510: another flaky test

security: fix "Unchecked return value" from sscanf()

By (void) prefixing it and adding a comment. Did some minor related
cleanups.

Coverity CID 1299423.

security: simplify choose_mech

Coverity CID 1299424 identified dead code because of checks that could
never equal true (if the mechanism's name was NULL).

Simplified the function by removing a level of pointers and removing the
loop and array that weren't used.

RTSP: catch attempted unsupported requests better

Replace use of assert with code that properly catches bad input at
run-time even in non-debug builds.

This flaw was sort of detected by Coverity CID 1299425 which claimed the
"case RTSPREQ_NONE" was dead code.

share_init: fix OOM crash

A failed calloc() would lead to NULL pointer use.

Coverity CID 1299427.

parse_proxy: switch off tunneling if non-HTTP proxy

non-HTTP proxy implies not using CURLOPT_HTTPPROXYTUNNEL

Bug: http://curl.haxx.se/mail/lib-2015-05/0056.html
Reported-by: Sean Boudreau

curl: fix potential NULL dereference

Coverity CID 1299428: Dereference after null check (FORWARD_NULL)

http2: on_frame_recv: return early on stream 0

Coverity CID 1299426 warned about possible NULL dereference otherwise,
but that would only ever happen if we get invalid HTTP/2 data with
frames for stream 0. Avoid this risk by returning early when stream 0 is
used.

http: removed self assignment

Follow-up fix from b0143a2a33f0

Detected by coverity. CID 1299429

http2: Make HTTP Upgrade work

This commit just add implicitly opened stream 1 to streams hash.

strerror: Change SEC_E_ILLEGAL_MESSAGE description

Prior to this change the description for SEC_E_ILLEGAL_MESSAGE was OS
and language specific, and invariably translated to something not very
helpful like: "The message received was unexpected or badly formatted."

Bug: https://github.com/bagder/curl/issues/267
Reported-by: Michael Osipov

telnet: Fix read-callback change for Windows builds

Refer to b0143a2 for more information on the read-callback change.

CURLOPT_HTTPPROXYTUNNEL.3: only works with a HTTP proxy!

testcurl.pl: allow source to be in an arbitrary directory

This way, the build directory can be located on an entirely different
filesystem from the source code (e.g. a tmpfs).

read_callback: move to SessionHandle from connectdata

With many easy handles using the same connection for multiplexing, it is
important we store and keep the transfer-oriented stuff in the
SessionHandle so that callbacks and callback data work fine even when
many easy handles share the same physical connection.

http2: show stream IDs in decimal

It makes them easier to match output from the nghttpd test server.

http2: Faster http2 upload

Previously, when we send all given buffer in data_source_callback, we
return NGHTTP2_ERR_DEFERRED, and nghttp2 library removes this stream
temporarily for writing.  This itself is good.  If this is the sole
stream in the session, nghttp2_session_want_write() returns zero,
which means that libcurl does not check writeability of the underlying
socket.  This leads to very slow upload, because it seems curl only
upload 16k something per 1 second.  To fix this, if we still have data
to send, call nghttp2_session_resume_data after nghttp2_session_send.
This makes nghttp2_session_want_write() returns nonzero (if connection
window still opens), and as a result, socket writeability is checked,
and upload speed becomes normal.

gtls: don't fail on non-fatal alerts during handshake

Stop curl from failing when non-fatal alert is received during
handshake.  This e.g. fixes lots of problems when working with https
sites through proxies.