Don't link test programs with the sudoers-specific locale code
if we don't need to.

sudoreplay does not need to link with the sudoers-specific locale code.

new_digest was prototyped as static but not explicitly declared
static.

Some versions of HP-UX 11.11 do not expose struct sockaddr_ext if
_XOPEN_SOURCE_EXTENDED is defined.  Only define _XOPEN_SOURCE_EXTENDED
if we can still compile net/if.h.

Some versions of HP-UX make will ignore suffix rules if they are
empty.

Don't skip debug printfs in handle_sigchld() just because execve()
returned an error.

Add definition of nitems for those without it and use it throughout.

Update copyright year.

Sudo 1.8.17p1

Set user groups in exec_setup() if they were not already set by
policy_init_session().  Bug #749

Point the reader to the sudoers manual for the list of supported
arguments after the plugin path.

forgot to update date in last commit

Fix typo; cn=default should be cn=defaults

Fold lines at 80 characters for the clean: target

Remove mksiglist, siglist.c, mksigname, signame.c as part of "distclean"

sync with translationproject.org

LDAP sudoers doesn't support negated users, groups or netgroups.

Bug #746

When matching paths with glob(3), check returned matches against
user_cmnd first if it is fully-qualified.  This avoids a lot of
needless stat(2) calls and avoids a mismatch between safe_cmnd and
argv[0] if there are multiple matches with the same inode/dev due
to links.  Bug #746.

Add execve failure in pty bug fix.

sync with translationproject.org

In handle_sigchld() fix the return value when we've already received
an exec error.  We don't want to overwrite the error status but we
do need to indicate that the command is no longer running.
Fixes as hang on execve(2) error when running in a pty.

Move sudo_debug_execve() call into sudo_execve().

sync with translationproject.org

update for 1.8.17 final

Fix setting of hard stack limit when stack_hard is not specified
in /etc/security/limits.  When 64-bit resource limits are supported
we can use the default value of 8388608 512-byte blocks directly.
We should only resort to using RLIM_SAVED_MAX for 32-bit resource
limits.

regen

Ignore empty ipa_hostname

Better martching of ipa_hostname in sssd.conf

Use the value of ipa_hostname from /etc/sssd/sssd.conf if present
instead of the system hostname.

When matching host, short-circuit the loop when we get a match.
Only check username as part of the netgroup when netgroup_tuple is
enabled.

Avoid using !strcmp()

SSSD doesn't handle netgroups, we have to ensure they are correctly filtered
in sudo. The rules may contain mixed sudoUser specification so we have to
check not only for netgroup membership but also for user and group matches.
Adapted from a patch from Daniel Kopecek.

Return PAM_CONV_ERR from the conversation function if getpass returns
NULL or the user pressed ^C.

Make base64 decoding table-driven.

Back out cfa26b99228f, it was already fixed differently.
Caught by regress checks.

Allow double-quoted groups and netgroups to be part of a Defaults spec.
From Daniel Kopecek.

The sudoers.ldap manual is installed in section 4 or 5, not 1m or 8.
Also fix the section for ldap.conf cross-references.

Fix copy pasta, "sudoNotAfter" not "sudoNotBefore".
Add missing word "order" in a sentence describing sudoOrder.

For sudo -ll (long list) print the SSSD role just like we do
for the LDAP backend.  Adapted from sudo-1.8.6p3-sssdrulenames.patch

Setting timestamp_timeout less than zero only lasts until the
next reboot.  Adapted from a RedHat patch.

sync with translationproject.org

fputs() is now specified as returning non-negative on success, not
explicitly zero.  Fixes a failure on glibc.

Don't try to dereference replies[] if it is a NULL pointer.

sudo_version should be unsigned

sync with translationproject.org

Korean translation for sudo and sudoers from translationproject.org.

Ignore PAM_SESSION_ERR from pam_open_session() since this can
apparently happen on systems using Solaris-derived PAM.  Other
errors from pam_open_session() are treated as fatal.  This avoids
the "policy plugin failed session initialization" error message
seen on some systems.

Don't read from stdin when flushing final buffers in blocking mode.
Reading from the pipe can block too if the other end is not closed.

Mention visudo -x change.

There's no need to escape forward slashes in JSON output.  While
it is legal to escape a forward slash, it is not required.

Document that in 1.8.12 sudo started being able to check the NIS
domain on Solaris.

Better description of the I/O logging pipe issue.

In del_io_events(), avoid reading from the pty master in blocking
mode.  We now do two passes, one with SUDO_EVLOOP_NONBLOCK and
another that could block if stdin is a pipe.  This ensures we consume
the pipe until EOF.

Improve debug info in sudo_ev_add() and sudo_ev_del()

In pty_close(), call del_io_events with the SUDO_EVLOOP_ONCE flag
so the event loop will exit after a single run through.  Otherwise,
we may hang at exit on non-BSD systems.

regen

Bump I/O buffer size to 64K.  We don't use PIPE_BUF or _PC_PIPE_BUF
for this because that corresponds to the value for atomic pipe
writes.  The actual pipe buffer is much larger on modern systems
and 64K is what BSD and Linux support for large pipe buffers.

I/O logging bug fix

Don't use SUDO_EVLOOP_NONBLOCK when flushing buffers at pty close
time, only when the user suspends sudo.  Fixes a problem where all
buffers might not get flushed at exit when logging I/O.  Reproducible
via "sudo tar cf - foo | (cd /tmp && sudo tar xf -)" on OpenBSD.

Don't try to fflush(export_fp) or ferror(export_fp) if export_fp
is NULL, which can happen on the error path.

O_NOCTTY has no effect when opening /dev/tty as the open can only
succeed if there is already a controlling tty.

Do not need to open /dev/tty with O_NONBLOCK, it doesn't block on
first open like a physical terminal.  By definition, if you have a
controlling tty, the first open (which might block) has already
occurred.

Use O_NOCTTY when opening a tty.

regen

No need to set pass to NULL after freeing at the end of the loop
it since it is already set to NULL each time through the loop.

SELinux fixes in 1.8.17.

Check fprintf() return value in writeln_wrap() and return the number
of characters actually written, or -1 on error.

Check fputs() return value.

Do not write directly to stdout/stderr, use sudo_printf which calls
the conversation function.

Do not write directly to stdout/stderr, use sudo_printf which calls
the conversation function.

Use ferror() after fflush() to check the error status of the stdio
stream we wrote to.

printf() returns < 0 on error, not explicitly -1

Regen for 1.8.17

Document that you need to preserve EDITOR and/or VISUAL for env_editor
to be useful.

Fix last commit, now that argc is not reset we need to explicitly
start the copy from argv[1].  From Daniel Kopecek

cosmetic change to warning string

Avoid adding an extraneous warning string to sudoers.pot.

Use EOVERFLOW, not ENOMEM for overflow conditions.
For snprintf() and vsnprintf(), POSIX says we should return -1 and
set errno to EOVERFLOW if the size param is > INT_MAX; also zero
out the string in this case (not mandated by POSIX) for safety.

Now that pam_open_session() failure is fatal we should print and log
an error from it.  Bug #744

Repair SELinux support, broken by 397722cdd7ec.
From Daniel Kopecek.

Remove sudo_mkpwcache() and sudo_mkgrcache().  We now create the
caches as needed on demand.  Also remove calls to sudo_freepwcache()
and sudo_freegrcache() that are immediately followed by execve(),
they are not needed.

Eliminate use of setpwent()/endpwent() and setgrent()/endgrent().
Sudo never iterates over the passwd or group file.
Rename sudo_set{pw,gr}ent() -> sudo_mk{pw,gr}cache() and
use sudo_free{pw,gr}cache() instead of sudo_end{pw,gr}ent().

Remove unnecessary NULL checks in the RUNAS_CHANGED macro.  The
only place where the pointers could be NULL is in visudo_json.c but
we already check for "next" being NULL there.  Quiets a cppcheck
warning.

In replay_session() free iov at the end of the function (if needed)
instead of after processing each line from the timing file.
Coverity CID 104843.

Add io_log_read() and io_log_gets() to hide differences between
gzread/fread and gzgets/fgets.  Check for premature EOF and error
from io_log_read().  Also sanity check the index in the timing file.
Coverity CID 104630.

Break up io_callback() into read_callback() and write_callback()
to make it clear that we can't get an event with both read and write
set.

In io_callback() make sure we clear SUDO_EV_READ if we close the
fd.  It should not be possible for SUDO_EV_READ to be set when
revent is non-NULL but this makes static analyzers happier.
Coverity CID 104124.

In sudo_krb5_copy_cc_file() move the close(ofd) to the done: label
so we only have to cleanup in one place.  Coverity CID 104577.

Fix memory leak in sudo_netgroup_lookup() in the non-error case.
Coverity CID 104572, 104573, 104574, 104575.

Fix fd leak in sudo_krb5_copy_cc_file() if restore_perms() fails.
Coverity CID 104571.

Free the events and event base before returning from replay_session().
Coverity CID 104116, 104117.

In sudo_edit_create_tfiles(), fix fd leak if sudo_edit_mktemp() fails.
Coverity CID 104114.

Fix fd leak in sudo_edit_open_nonwritable() if dir_is_writable()
returns an error.  Coverity CID 104113.

Fix memory leak of sesh_args in selinux_edit_copy_tfiles().
Coverity CID 104112.

Fix memory leak in get_editor() if resolve_editor() fails with
an error.  Coverity CID 104107.

Fix memory leak on error if sudo_new_key_val() fails.
Coverity CID 104103.

Ignore the return value of the initial sudoersparse(), before
we have actually edited any files.  Coverity CID 104078.

Ignore the result of send() on exec error, if it fails the other
end of the pipe is gone and we are headed for exit.
Coverity CID 104066.

In fill_args() clean up properly if there is an internal overflow
(which should not be possible).  Coverity CID 104569.