Better description of the I/O logging pipe issue.

In del_io_events(), avoid reading from the pty master in blocking
mode.  We now do two passes, one with SUDO_EVLOOP_NONBLOCK and
another that could block if stdin is a pipe.  This ensures we consume
the pipe until EOF.

Improve debug info in sudo_ev_add() and sudo_ev_del()

In pty_close(), call del_io_events with the SUDO_EVLOOP_ONCE flag
so the event loop will exit after a single run through.  Otherwise,
we may hang at exit on non-BSD systems.

regen

Bump I/O buffer size to 64K.  We don't use PIPE_BUF or _PC_PIPE_BUF
for this because that corresponds to the value for atomic pipe
writes.  The actual pipe buffer is much larger on modern systems
and 64K is what BSD and Linux support for large pipe buffers.

I/O logging bug fix

Don't use SUDO_EVLOOP_NONBLOCK when flushing buffers at pty close
time, only when the user suspends sudo.  Fixes a problem where all
buffers might not get flushed at exit when logging I/O.  Reproducible
via "sudo tar cf - foo | (cd /tmp && sudo tar xf -)" on OpenBSD.

Don't try to fflush(export_fp) or ferror(export_fp) if export_fp
is NULL, which can happen on the error path.

O_NOCTTY has no effect when opening /dev/tty as the open can only
succeed if there is already a controlling tty.

Do not need to open /dev/tty with O_NONBLOCK, it doesn't block on
first open like a physical terminal.  By definition, if you have a
controlling tty, the first open (which might block) has already
occurred.

Use O_NOCTTY when opening a tty.

regen

No need to set pass to NULL after freeing at the end of the loop
it since it is already set to NULL each time through the loop.

SELinux fixes in 1.8.17.

Check fprintf() return value in writeln_wrap() and return the number
of characters actually written, or -1 on error.

Check fputs() return value.

Do not write directly to stdout/stderr, use sudo_printf which calls
the conversation function.

Do not write directly to stdout/stderr, use sudo_printf which calls
the conversation function.

Use ferror() after fflush() to check the error status of the stdio
stream we wrote to.

printf() returns < 0 on error, not explicitly -1

Regen for 1.8.17

Document that you need to preserve EDITOR and/or VISUAL for env_editor
to be useful.

Fix last commit, now that argc is not reset we need to explicitly
start the copy from argv[1].  From Daniel Kopecek

cosmetic change to warning string

Avoid adding an extraneous warning string to sudoers.pot.

Use EOVERFLOW, not ENOMEM for overflow conditions.
For snprintf() and vsnprintf(), POSIX says we should return -1 and
set errno to EOVERFLOW if the size param is > INT_MAX; also zero
out the string in this case (not mandated by POSIX) for safety.

Now that pam_open_session() failure is fatal we should print and log
an error from it.  Bug #744

Repair SELinux support, broken by 397722cdd7ec.
From Daniel Kopecek.

Remove sudo_mkpwcache() and sudo_mkgrcache().  We now create the
caches as needed on demand.  Also remove calls to sudo_freepwcache()
and sudo_freegrcache() that are immediately followed by execve(),
they are not needed.

Eliminate use of setpwent()/endpwent() and setgrent()/endgrent().
Sudo never iterates over the passwd or group file.
Rename sudo_set{pw,gr}ent() -> sudo_mk{pw,gr}cache() and
use sudo_free{pw,gr}cache() instead of sudo_end{pw,gr}ent().

Remove unnecessary NULL checks in the RUNAS_CHANGED macro.  The
only place where the pointers could be NULL is in visudo_json.c but
we already check for "next" being NULL there.  Quiets a cppcheck
warning.

In replay_session() free iov at the end of the function (if needed)
instead of after processing each line from the timing file.
Coverity CID 104843.

Add io_log_read() and io_log_gets() to hide differences between
gzread/fread and gzgets/fgets.  Check for premature EOF and error
from io_log_read().  Also sanity check the index in the timing file.
Coverity CID 104630.

Break up io_callback() into read_callback() and write_callback()
to make it clear that we can't get an event with both read and write
set.

In io_callback() make sure we clear SUDO_EV_READ if we close the
fd.  It should not be possible for SUDO_EV_READ to be set when
revent is non-NULL but this makes static analyzers happier.
Coverity CID 104124.

In sudo_krb5_copy_cc_file() move the close(ofd) to the done: label
so we only have to cleanup in one place.  Coverity CID 104577.

Fix memory leak in sudo_netgroup_lookup() in the non-error case.
Coverity CID 104572, 104573, 104574, 104575.

Fix fd leak in sudo_krb5_copy_cc_file() if restore_perms() fails.
Coverity CID 104571.

Free the events and event base before returning from replay_session().
Coverity CID 104116, 104117.

In sudo_edit_create_tfiles(), fix fd leak if sudo_edit_mktemp() fails.
Coverity CID 104114.

Fix fd leak in sudo_edit_open_nonwritable() if dir_is_writable()
returns an error.  Coverity CID 104113.

Fix memory leak of sesh_args in selinux_edit_copy_tfiles().
Coverity CID 104112.

Fix memory leak in get_editor() if resolve_editor() fails with
an error.  Coverity CID 104107.

Fix memory leak on error if sudo_new_key_val() fails.
Coverity CID 104103.

Ignore the return value of the initial sudoersparse(), before
we have actually edited any files.  Coverity CID 104078.

Ignore the result of send() on exec error, if it fails the other
end of the pipe is gone and we are headed for exit.
Coverity CID 104066.

In fill_args() clean up properly if there is an internal overflow
(which should not be possible).  Coverity CID 104569.

Fix logic inversion in sudoers_gc_remove(), currently unused.
Coverity CID 104568

In io_mkdirs(), change the order from stat then mkdir, to mkdir then stat.
This more closely matches what "mkdir -p" does.
Coverity CID 104120.

In ts_mkdirs(), change the order from stat then mkdir, to mkdir then stat.
This more closely matches what "mkdir -p" does.
Coverity CID 104119.

Newer versions of Ubuntu have switched from using the "admin" group
to the "sudo" group to align with Debian.  create_admin_success_flag()
now accepts either one.
https://bugs.launchpad.net/ubuntu/+source/sudo/+bug/1387347

Cast off_t printed via printf(3) instead of assuming it is long long.

Instead of using stat(2) to see if the admin flag file exists and
creating it if not, just try to create the file and treat EEXIST
as a non-error.  Coverity CID 104121.

README file for the sample plugin that tells the user how to build,
install and enable it.

Fix compilation error and export sample_policy struct.
From Michael Evans

Update for 1.8.17

Sudo 1.8.17

Check return value of restore_perms() in vlog_warning().
Coverity CID 104079.

Fix memory leaks in resolve_editor() in the error path.
Coverity CID 104109, 104110

Fix memory leak of gid_list in sudoers_policy_exec_setup() in the
error path.  Coverity CID 104111.

Fix fd leak in do_logfile() if we fail to lock the log file.
Coverity CID 104115.

Fix memory leak of sss_result in sudo_sss_lookup()
Coverity CID 104106

Fix fd leak in open_io_fd() if gzdopen/fdopen fails.
Coverity CID 104105

Fix fd leak in io_nextid() in error path.
Coverity CID 104104

Check lseek() return value.
Coverity CID 104061.

Ignore ts_write() return value when disabling an entry with a bogus
timestamp.  We ignore the timestamp entry even it doesn't succeed.
Coverity CID 104062.

Cast the return value of fcntl() to void when setting FD_CLOEXEC.
Coverity CID 104063, 104064, 104069, 104070, 104071, 104072, 104073, 104074

Cast the return value of fcntl() to void when setting FD_CLOEXEC.
Coverity CID 104075, 104076, 104077.

Avoid a false positive.  Coverity CID 104056.

Avoid calling fclose(NULL) on error in export_sudoers().
Coverity CID 104091.

In fill_args(), check for "arg_size == 0" instead of
"sudoerslval.command.args == NULL" since the latter leads Coverity
to imply that sudoerslval.command.args could be NULL later on.
Coverity CID 104093.

Avoid calling fclose(NULL) if the sudoers file is not secure and
restore_perms() fails.  Coverity CID 104090.

In fill_args(), replace loop that increments arg_size() with
a simple add and mask.  Should prevent a false positive from
Coverity CID 104094.

In parse_expr(), move the "bad" label after the "default" case in
the switch(), not before it.  This seemed to confuse Covertity,
resulting in a false positive, CID 104095.

For "sudoreplay -l", not all predicates may be shortened to a single
character.  Both 'c' and 't' have more than one possibility.

pid_t is defined by POSIX as a signed integer type so we don't need
a cast when comparing to -1.

In dispatch_signal() for stopped processes check for tcgetpgrp()
returning -1.  Also change checks from "saved_pgrp != -1" to
"fd != -1".  Coverity CID 104098.

In relabel_tty() always jump to bad: on error, regardless of the
value of se_state.enforcing.  On error, return -1 if enforcing,
else 0.  Coverity CID 104099.

Define NO_LEAKS when sudo is built with Coverity.

In io_callback() if we write the complete buffer and find that there
is no associated reader just return as there is nothing else to be
done.  In practice is it not possible for SUDO_EV_READ to be set
if revent is NULL but an early return is harmless and possibly
easier to understand.  Coverity CID 104124.

Handle read() returning -1 when creating temporary files.
Coverity CID 104100

Fix cut and paste error when checking cols for 0.
Coverity CID 104081

Use a single debug message for cache hit or store to avoid another
situation where they get out of sync.  Bug #743

Sync the "cache hit" debug messages with the "cached" debug messages.
This fixes a bug where we could dereference a NULL pointer when we
look up a negative cached entry which is stored as a NULL passwd
or group struct pointer.  Bug #743.

Remove the check for __sprintf_chk when checking for _FORTIFY_SOURCE,
Some implementations are purely header-file based.  As long as we
can link a test program using sprintf() when _FORTIFY_SOURCE=2 it
should be safe to use.

Remove configure checks for dev_t, id_t, ino_t, ptrdiff_t, size_t
and ssize_t.  These have been specified by either ANSI C or POSIX
for long enough that if the system doesn't support them, it is
unlikely to be able to compile sudo anyway.

Do group setup in policy_init_session() before calling out to the
plugin.  This makes it possible for the pam_group module to change
the group in pam_setcred().  It's a bit bogus since pam_setcred()
is documented as not changing the group or user ID, but pam_group
is shipped with stock Linux-PAM so we need to support it.

Add missing newline when logging to a file (not syslog) and
loglinelen is set to a non-positive number.  Bug #742

style fix; fork_cmnd should start on a new line

Ignore SIGPIPE for the duration of sudo and not just in a few select
places.  We have no control over what nss, PAM modules or sudo
plugins might do so ignoring SIGPIPE is safest.

Use string_to_security_class() instead of pulling SECCLASS_CHR_FILE
from flask.h.  Avoids a warning with new SELinux includes.

When determining whether or not "sudo -l" or "sudo -b" should prompt
for a password, take all sudoers sources into account.  In other
words, if both file and ldap sudoers sources are in use, "sudo -v"
will now require that all entries in both sources be have NOPASSWD
(file) or !authenticate (ldap) in the entries.

If the auth_type setting in /etc/security/login.cfg is set to
PAM_AUTH but pam_start() fails, fall back to use AIX authentication.
Skip the auth_type check if sudo is not compiled with PAM support.

The header for sudo.conf(5) should be SUDO.CONF(5) not SUDO(5).

hook_version and hook_type are unsigned so use 0, not -1 in the
final (empty) entry.  Quiets a warning on Solaris Studio 12.2.

Work around an ambiguity in the PAM spec with respect to the conversation
function.  It is not clear whether the "struct pam_message **msg" is an
array of pointers or a pointer to an array.  Linux-PAM and OpenPAM use
an array of pointers while Solaris/HP-UX/AIX uses a pointer to an array.
Bug #726.

sync with translationproject.org

Bug #738

sync with translationproject.org