Use sigaction_t and quiet a gcc warning.

Must reset signal handlers before we exec

Be carefule now that tgetpass() can return NULL (user hit ^C).
PAM version needs testing.
Set SIGTSTP to SIG_DFL during password entry so user can suspend us.

Add support for interrupting/suspending tgetpass via keyboard input.
If you suspend sudo from the password prompt and resume it will
re-prompt you.

Don't block keyboard interrupt signals, just set them to SIG_IGN.

add back HAVE_SIGACTION

regen

Kill POSIX_SIGNALS define and old signal support now that we emulate POSIX ones
Also be sure to correctly initialize struct sigaction.

Don't need config.h or "#ifndef HAVE_STRERROR" wrapper.

Add scaffolding for POSIX signal emulation

o Add missing ';' so this compiles
o Can't use NULL since we don't include stdio.h

Emulate sigaction() using sigvec()

Document new behavior of negative values of timestamp_timeout
Fix a typo

Add security note about command not being logged after 'sudo su' and
friends.

Mention that -V prints default values when run as root, including
the list of environment variables to clear.

Run pod2man with --quotes=none to avoid stupid quoting of C<> entries.

Add mail_badpass option
Also modify mail_always behavior to also send mail when the password is wrong

Dump default bad env table when 'sudo -V' is run by root.

document env_delete

Add support for '*' in env_keep when not resetting the environment
(ie: the normal case).

Add env_delete variable that lets the user replace/add to the bad_env_table.
Allow '*' wildcard in env_keep entries.

Force umask to 022 to guarantee sane directory permissions.

add sudo.tab.h and sudo.tab.c to sudo.tab.o dependency

fix breakage in last commit

acsite.m4 -> aclocal.m4

fix I_TS_TIMEOUT vs. I_TIMESTAMP_TIMEOUT pasto in previous commit

regenerated from def_data.in

Add new T_UINT type that most things use instead of T_INT
If timestamp_timeout is < 0 then treat the ticket as never expiring
(to be expired manually by the user).

change most T_INT -> T_UINT

fix warning when no args

Change 2 Exit() -> exit()
Avoid stdio in Exit() and call _exit() if we are a signal handler.
We no longer print the signal number but the user can just check the
exit value for that.

when setting up pipes in child process check for case where stdin == pipe fd 0

Ignore editor exit value since XPG4 says vi's exit value is the count
of editing errors made (failed searches, etc).

regen

sco now is identified by config.guess as *-sco-*

Check for getspnam() in -lgen if not in -lc for UnixWare.

"upper case" -> "uppercase"

fix typos and grammar; pjanzen@foatdi.harvard.edu

Missing word (specify); krapht@secureops.com

If we fail to lookup a login class, apply the default one.

In log_error() free message, not logline unconditionally, then
free logline if it is not the same as message.  No function change
but this mirrors how they are allocated.

regenerate

remove some backslash quotes that are unneeded

o Tweaks to make this work with autoconf-2.50
o Use AC_LIBOBJ instead of changing LIBOBJS directly
o Use AC_REPLACE_FUNCS where we can
o Use AC_CHECK_FUNCS instead of AC_CHECK_FUNC so we don't have to
  AC_DEFINE things manually.

Updated from autoconf-2.50

Update mailing list section.  We use mailman now, not majordomo.

Use setpwent()/endpwent() + all the shadow variants to make sure
we don't inadvertantly leak an fd to the child.  Apparently Linux's
shadow routines leave the fd open even if you don't call setspent().
Reported by mike@gistnet.com; different patch used.

s/eg./e.g./

select() may return EAGAIN.  If so, continue like we do for EINTR.

Fix a non-exploitable buffer overflow in the word splitting code.  This
should really be rewritten.

FAQ link goes away

Tell people to look in sample.syslog.conf for examples, not FAQ

Update list of env vars that are cleared

remove struct env_table decl since that stuff has all moved to env.c

Fix a pasto in flock-style unlocking and include <sys/file.h> for flock
on older systems; twetzel@gwdg.de

regen to get NeXT lockf/flock fix

force NeXT to use flock since lockf is broken

Use stashed user_gid when checking against exempt gid since sudo
sets its gid to a a value that makes sudoers readable.  Previously
if you used gid 0 as the exempt group everyone would be exempt.
From Paul Kranenburg <pk@cs.few.eur.nl>

regen

#include stdio.h in SUDO_CHECK_TYPE since IRIX 6 aparently defines some
types (such as ssize_t) therein.

Fix negation of paths in a boolean context.  Problem found by apt@UH.EDU

pasto

SA_RESETHAND means the opposite of what I was thinking--oops
To block all signals in old-style signals use ~0, not 0xffffffff

coerce difference of pointers to int when used in a string length printf
format; deraadt@openbsd.org

Block all signals in Exit() to avoid a signal race.  There is still a
tiny window but I'm not going to worry about it.

glibc uses the LANGUAGE env var so clear that too; Solar Designer

Regenerate with a fix to flex.skl that preserves errno from clobbering
by isatty().

Some defaults I_ defines got renamed.

Move defaults info into its own files from which we generate
.h and .c files.  This makes adding or rearranging variables
much simpler.

fix typo in last commit

Add check + emulation for setegid (like seteuid).

Make env_keep override badenv_table as documented
Fix traversal of badenv_table (broken in last commit)

Don't try and build saved uid version of set_perms on systems w/o them.
Rename set_perms_saved_uid() -> set_perms_posix()
Make set_perms_setreuid simply be set_perms_fallback() and simply include
  the appropriate function at compile time (setreuid() vs. setuid()).

PATH is also preserved when env_reset is in effect

New Defaults options:
 o stay_setuid - sudo will remain setuid if system has saved uids or setreuid(2)
 o env_reset - reset the environment to a sane default
 o env_keep - preserve environment variables that would otherwise be cleared

No longer use getenv/putenv/setenv functions--do environment munging by hand.
Potentially dangerous environment variables can be cleared only if they
contain '/' pr '%' characters to protect buggy programs.
Moved environment routines into env.c (new file)

Clear up --without-passwd description

We now build up a new environment from scratch and assign it to "environ".

Grammatical fixes from Paul Janzen

If there was a syntax error and the user just wants to quit, unlink
sudoers if it is zero length.

'Q' means ignore parse error, not 'q'

Open sudoers for writing with mode SUDOERS_MODE
From Dimitry Andric <dim@xs4all.nl>

Add missing #ifdef HAVE_LOGIN_CAP_H; ayamura@ayamura.org

Darwin / Mac OS X support from Wilfredo Sanchez <wsanchez@apple.com>

Use exit(127), not exit(-1)

Move set_perms() to its own file and use POSIX saved uid or setreuid()
if available.

Added stay_setuid option for systems that have libraries that perform
extra paranoia checks in system libraries for setuid programs (ie:
anything with issetugid(2)).

strip more bits from the environment and add a facility for stripping
things only if they contain '/' or '%' to address printf format string
vulnerabilities in other programs.

regen

For NCR, add -lc89 to LIBS, not SUDO_LIBS and cache the existence
of strcasecmp().

regen

Check for strcasecmp(3) in -lc89 for NCR Unix

Define HAVE_INNETGR #ifdef HAVE__INNETGR

regen

Add check for _innetgr(3) since NCR systems have that instead of
innetgr(3).

check return value of creadcfg()
call sd_close() after sd_auth()
store username in sd->username so we don't rely on the USER env variable

document --with-bsdauth

regen

--with-bsdauth assumes --with-logincap

When prompting for a response to a challenge, if the user just hits return
then reprompt with echo turned on.

Remove debugging code that should not have been committed, oops.

Use lower-level routines and get the password ourselves.
Checks for a challenge and if there is one echo is not turned off.