curlssl: make tls backend symbols use curlssl in the name

url: let the backend decide CURLOPT_SSL_CTX_ support

... to further remove specific TLS backend knowledge from url.c

vtls: have the backend tell if it supports CERTINFO

configure: allow --with-ca-path with PolarSSL too

Missed this in af45542c.

Signed-off-by: Catalin Patulea <cat@vv.carleton.ca>

CURLOPT_CAPATH: return failure if set without backend support

http2: Fix busy loop when EOF is encountered

Previously we did not handle EOF from underlying transport socket and
wrongly just returned error code CURL_AGAIN from http2_recv, which
caused busy loop since socket has been closed.  This patch adds the
code to handle EOF situation and tells the upper layer that we got
EOF.

build: Added batch wrapper to checksrc.pl

RELEASE-NOTES: Synced with bd3df5ec6d

sasl_sspi: Fixed Unicode build

Bug: http://curl.haxx.se/bug/view.cgi?id=1422
Verified-by: Steve Holme

libcurl-tutorial.3: fix GnuTLS link to thread-safety guidelines

The former link was turned into a 404 at some point.

Reported-By: Askar Safin

contributors.sh: split list of names at comma

... to support a list of names provided in a commit message.

ntlm: Fixed HTTP proxy authentication when using Windows SSPI

Removed ISC_REQ_* flags from calls to InitializeSecurityContext to fix
bug in NTLM handshake for HTTP proxy authentication.

NTLM handshake for HTTP proxy authentication failed with error
SEC_E_INVALID_TOKEN from InitializeSecurityContext for certain proxy
servers on generating the NTLM Type-3 message.

The flag ISC_REQ_CONFIDENTIALITY seems to cause the problem according
to the observations and suggestions made in a bug report for the
QT project (https://bugreports.qt-project.org/browse/QTBUG-17322).

Removing all the flags solved the problem.

Bug: http://curl.haxx.se/mail/lib-2014-08/0273.html
Reported-by: Ulrich Telle
Assisted-by: Steve Holme, Daniel Stenberg

newlines: fix mixed newlines to LF-only

I use the curl repo mainly on Windows with the typical Windows git
checkout which converts the LF line endings in the curl repo to CRLF
automatically on checkout. The automatic conversion is not done on files
in the repo with mixed line endings. I recently noticed some weird
output with projects/build-openssl.bat that I traced back to mixed line
endings, so I scanned the repo and there are files (excluding the
test data) that have mixed line endings.

I used this command below to do the scan. Unfortunately it's not as easy
as git grep, at least not on Windows. This gets the names of all the
files in the repo's HEAD, gets each of those files raw from HEAD, checks
for mixed line endings of both LF and CRLF, and prints the name if
mixed. I excluded path tests/data/test* because those can have mixed
line endings if I understand correctly.

for f in `git ls-tree --name-only --full-tree -r HEAD`;
do if [ -n "${f##tests/data/test*}" ];
    then git show "HEAD:$f" | \
        perl -0777 -ne 'exit 1 if /([^\r]\n.*\r\n)|(\r\n.*[^\r]\n)/';
    if [ $? -ne 0 ];
        then echo "$f";
    fi;
fi;
done

mk-ca-bundle.pl: converted tabs to spaces, deleted trailing spaces

ROADMAP: markdown eats underscores

It interprets them as italic indictors unless we backtick the word.

ROADMAP: tiny formatting edit for nicer web output

ROADMAP.md: Updated GSSAPI authentication following 7.38.0 additions

INTERNALS: Added email and updated Kerberos details

FEATURES: Updated Kerberos details

Added support for Kerberos 5 to the email protocols following the recent
additions in 7.38.0.

Removed Kerberos 4 as this has been gone for a while now.

openssl: build fix for versions < 0.9.8e

Bug: http://curl.haxx.se/mail/lib-2014-09/0064.html

mk-ca-bundle.pl: first, try downloading HTTPS with curl

As a sort of step forward, this script will now first try to get the
data from the HTTPS URL using curl, and only if that fails it will
switch back to the HTTP transfer using perl's native LWP functionality.
To reduce the risk of this script being tricked.

Using HTTPS to get a cert bundle introduces a chicken-and-egg problem so
we can't really ever completely disable HTTP, but chances are that most
users already have a ca cert bundle that trusts the mozilla.org site
that this script downloads from.

A future version of this script will probably switch to require a
dedicated "insecure" command line option to allow downloading over HTTP
(or unverified HTTPS).

LICENSE-MIXING: removed krb4 info

krb4 has been dropped since a while now

bump: on the 7.38.1-DEV train now!

SSLCERTS: minor updates

Edited format to look better on the web, added a "it is about trust"
section.

dist: two cmake files are no more

CMake/FindOpenSSL.cmake and FindZLIB.cmake are gone since 14aa8f0c117b

RELEASE-NOTES: final update for 7.38.0

cookies: reject incoming cookies set for TLDs

Test 61 was modified to verify this.

CVE-2014-3620

Reported-by: Tim Ruehsen
URL: http://curl.haxx.se/docs/adv_20140910B.html

cookies: only use full host matches for hosts used as IP address

By not detecting and rejecting domain names for partial literal IP
addresses properly when parsing received HTTP cookies, libcurl can be
fooled to both send cookies to wrong sites and to allow arbitrary sites
to set cookies for others.

CVE-2014-3613

Bug: http://curl.haxx.se/docs/adv_20140910A.html

HISTORY: fix the 1998 title position

HISTORY: extended and now markdown

SSLCERTS: converted to markdown

Only minor edits to make it generate nice HTML output using markdown, as
this document serves both in source release tarballs as on the web site.

URL: http://curl.haxx.se/docs/sslcerts.html

ftp-wildcard.c: spell fix

Reported-By: Frank Gevaerts

RELEASE-NOTES: synced with 921a0c22a6f

THANKS: synced with RELEASE-NOTES for 921a0c22a6f

polarassl: avoid memset() when clearing the first byte is enough

polarssl: support CURLOPT_CAPATH / --capath

Signed-off-by: Catalin Patulea <cat@vv.carleton.ca>

SECURITY: eh, make more sense!

SECURITY: how to join the curl-security list

RELEASE-NOTES: fix the required nghttp2 version typo

Ensure progress.size_dl/progress.size_ul are always >= 0

Historically the default "unknown" value for progress.size_dl and
progress.size_ul has been zero, since these values are initialized
implicitly by the calloc that allocates the curl handle that these
variables are a part of.  Users of curl that install progress
callbacks may expect these values to always be >= 0.

Currently it is possible for progress.size_dl and progress.size_ul
to by set to a value of -1, if Curl_pgrsSetDownloadSize() or
Curl_pgrsSetUploadSize() are passed a "size" of -1 (which a few
places currently do, and a following patch will add more).  So
lets update Curl_pgrsSetDownloadSize() and Curl_pgrsSetUploadSize()
so they make sure that these variables always contain a value that
is >= 0.

Updates test579 and test599.

Signed-off-by: Brandon Casey <drafnel@gmail.com>

tests: Added test1420 to the makefile

test1420: Removed unnecessary CURLOPT setting

tests: Added more "Clear Text" authentication keywords

tests: Updated "based on" text due to email test renumbering

tests: For consistency added --libcurl to test name

tests: Added --libcurl for IMAP test case

multi.c: Avoid invalid memory read after free() from commit 3c8c873252

As the current element in the list is free()d by Curl_llist_remove(),
when the associated connection is pending, reworked the loop to avoid
accessing the next element through e->next afterward.

multi.c: Fixed compilation warning from commit 3c8c873252

warning: implicit conversion from enumeration type 'CURLMcode' to
different enumeration type 'CURLcode'

url.c: Use CURLAUTH_NONE constant rather than 0

Small follow up to commit 898808fa8c to use auth constants rather than
hard code value when clearing picked authentication mechanism.

RELEASE-NOTES: Synced with fd1ce3856a

darwinssl: Use CopyCertSubject() to check CA cert.

SecCertificateCopyPublicKey() is not available on iPhone. Use
CopyCertSubject() instead to see if the certificate returned by
SecCertificateCreateWithData() is valid.

Reported-by: Toby Peterson

RELEASE-NOTES: Clarify email Kerberos support is currently via Windows SSPI

MAIL-ETIQUETTE: "1.8 I posted, now what?"

CURLOPT_CA*: better refering between *CAINFO and *CAPATH

... and a minor wording edit

THANKS: added Dennis Clarke

Dennis Clarke from Blastwave.org for ensuring that nightly builds run
smooth on Solaris!

curl_multi_cleanup: remove superfluous NULL assigns

... as the struct is free()d in the end anyway. It was first pointed out
to me that one of the ->msglist assignments were supposed to have been
->pending but was a copy and paste mistake when I realized none of the
clearing of pointers had to be there.

multi: convert CURLM_STATE_CONNECT_PEND handling to a list

... instead of scanning through all handles, stash only the actual
handles that are in that state in the new ->pending list and scan that
list only. It should be mostly empty or very short. And only used for
pipelining.

This avoids a rather hefty slow-down especially notable if you add many
handles to the same multi handle. Regression introduced in commit
0f147887 (version 7.30.0).

Bug: http://curl.haxx.se/mail/lib-2014-07/0206.html
Reported-by: David Meyer

RELEASE-NOTES: synced with e608324f9f9

polarssl: implement CURLOPT_SSLVERSION

Forwards the setting as minimum ssl version (if set) to polarssl.  If
the server does not support the requested version the SSL Handshake will
fail.

Bug: http://curl.haxx.se/bug/view.cgi?id=1419

Merge pull request #115 from ldx/darwinsslfixpr

darwinssl: now accepts cacert bundles in PEM format in addition to single certs

Check CA certificate in curl_darwinssl.c.

SecCertificateCreateWithData() returns a non-NULL SecCertificateRef even
if the buffer holds an invalid or corrupt certificate. Call
SecCertificateCopyPublicKey() to make sure cacert is a valid
certificate.

low-speed-limit: avoid timeout flood

Introducing Curl_expire_latest(). To be used when we the code flow only
wants to get called at a later time that is "no later than X" so that
something can be checked (and another timeout be added).

The low-speed logic for example could easily be made to set very many
expire timeouts if it would be called faster or sooner than what it had
set its own timer and this goes for a few other timers too that aren't
explictiy checked for timer expiration in the code.

If there's no condition the code that says if(time-passed >= TIME), then
Curl_expire_latest() is preferred to Curl_expire().

If there exists such a condition, it is on the other hand important that
Curl_expire() is used and not the other.

Bug: http://curl.haxx.se/mail/lib-2014-06/0235.html
Reported-by: Florian Weimer

resolve: cache lookup for async resolvers

While waiting for a host resolve, check if the host cache may have
gotten the name already (by someone else), for when the same name is
resolved by several simultanoues requests.

The resolver thread occasionally gets stuck in getaddrinfo() when the
DNS or anything else is crappy or slow, so when a host is found in the
DNS cache, leave the thread alone and let itself cleanup the mess.

Fix CA certificate bundle handling in darwinssl.

If the --cacert option is used with a CA certificate bundle that
contains multiple CA certificates, iterate through it, adding each
certificate as a trusted root CA.

getinfo-times: Typo fixed

libcurl.3: Typo fixed

curl_formadd.3: setting CURLFORM_CONTENTSLENGTH 0 zero means strlen

curl.1: add an example for -H

FAQ: mention -w in the 4.20 answer as well

FAQ: 4.20 curl doesn't return error for HTTP non-200 responses

CURLOPT_NOBODY.3: clarify this option is for downloads

When enabling CURLOPT_NOBODY, libcurl effectively switches off upload
mode and will do a download (without a body). This is now better
explained in this man page.

Bug: http://curl.haxx.se/mail/lib-2014-08/0236.html
Reported-by: John Coffey

INTERNALS: nghttp2 must be 0.6.0 or later

Compile with latest nghttp2

THANKS: removed a few more duplicates

RELEASE-NOTES: synced with 007242257683a

... and bumped the contributor amount after recount

THANKS: added 52 missing contributors

I re-ran contributors.sh on all changes since 7.10 and I found these
contributors who are mentioned in the commits but never were added to
THANKS before!

I also removed a couple of duplicates (mostly due to different
spellings).

contributors: grep and sort case insensitively

configure.ac: Add support for recent GSS-API implementations for HP-UX

By default, configure script assumes that libcurl will use the
HP-supplied GSS-API implementation which does not have krb5-config.
If a dev needs a more recent version which has that config script,
the change will allow to pass an appropriate GSSAPI_ROOT.

CONNECT: close proxy connections that fail to CONNECT

This is usually due to failed auth. There's no point in us keeping such
a connection alive since it shouldn't be re-used anyway.

Bug: http://curl.haxx.se/bug/view.cgi?id=1381
Reported-by: Marcel Raad

RELEASE-NOTES: added two missing HTTP/2 bug fixes

And renamed all http2 references to HTTP/2 in this file

RELEASE-NOTES: synced with f646e9075f47

Cmake: Possibility to use OpenLDAP, OpenSSL, LibSSH2 on windows

At this point I can build libcurl on windows. It provides at least the same
list of protocols as for linux build and works with our software.

Cmake: Removed repeated content from ending blocks

They are unnecesary in modern CMake and removing them improves readability.

Cmake: Removed some useless empty SET statements.

Undefined variables resolve to empty strings and we do not ever test if
the variable is defined thus those SETs are superfluous.

Cmake: Removed useless comments from CMakeLists.txt

They look like some relics after changes.

Cmake: Don't check for all headers each time

One header at a time is the right way. Apart from that the output on
windows goes from:
...
-- Looking for include files I:/src/libssh2-1.4.3/include/libssh2.h, ws2tcpip.h
-- Looking for include files I:/src/libssh2-1.4.3/include/libssh2.h, ws2tcpip.h
- found
-- Looking for 3 include files I:/src/libssh2-1.4.3/include/libssh2.h, ..., wins
ock2.h
-- Looking for 3 include files I:/src/libssh2-1.4.3/include/libssh2.h, ..., wins
ock2.h - found
-- Looking for 4 include files I:/src/libssh2-1.4.3/include/libssh2.h, ..., stdi
o.h
-- Looking for 4 include files I:/src/libssh2-1.4.3/include/libssh2.h, ..., stdi
o.h - found
-- Looking for 5 include files I:/src/libssh2-1.4.3/include/libssh2.h, ..., wind
ows.h
-- Looking for 5 include files I:/src/libssh2-1.4.3/include/libssh2.h, ..., wind
ows.h - found
-- Looking for 6 include files I:/src/libssh2-1.4.3/include/libssh2.h, ..., wins
ock.h
-- Looking for 6 include files I:/src/libssh2-1.4.3/include/libssh2.h, ..., wins
ock.h - found
-- Looking for 7 include files I:/src/libssh2-1.4.3/include/libssh2.h, ..., sys/
filio.h
-- Looking for 7 include files I:/src/libssh2-1.4.3/include/libssh2.h, ..., sys/
filio.h - not found
-- Looking for 7 include files I:/src/libssh2-1.4.3/include/libssh2.h, ..., sys/
ioctl.h
-- Looking for 7 include files I:/src/libssh2-1.4.3/include/libssh2.h, ..., sys/
ioctl.h - not found
-- Looking for 7 include files I:/src/libssh2-1.4.3/include/libssh2.h, ..., sys/
resource.h
...

To much nicer:
...
-- Looking for ws2tcpip.h
-- Looking for ws2tcpip.h - found
-- Looking for winsock2.h
-- Looking for winsock2.h - found
-- Looking for stdio.h
-- Looking for stdio.h - found
-- Looking for windows.h
-- Looking for windows.h - found
-- Looking for winsock.h
-- Looking for winsock.h - found
-- Looking for sys/filio.h
-- Looking for sys/filio.h - not found
-- Looking for sys/ioctl.h
-- Looking for sys/ioctl.h - not found
-- Looking for sys/resource.h

Cmake: Append OpenSSL include directory to search path

At this point I can build libcurl with OpenSSL, OpenLDAP and LibSSH2.
Supported protocols are at least:
HTTP, HTTPS, FTP, SFTP, TFTP, LDAP, LDAPS, POP3, SMTP
(those are the ones we have regression tests for
in our product's testsuite)

Cmake: Search for liblber, LDAP SSL headers, swith for using OpenLDAP code.

Cmake: LibSSH2 detection and use.

Cmake: Moved macros out of the main CMakeLists.txt

Cmake: Added missing protocol-disable switches

They already have their defines in config.h. This makes it possible to
disable the protocols from command line during configure step.

Cmake: Made boolean defines be defined to "1" instead of "ON"

It's by convention, for compatibility and because the comments say so.
Just mabe someone have written a test like "#if HAVE_XX==1"

Cmake: Require at least CMake 2.8.

CMake 2.6 is already a bit old. Many bugs have been fixed since
its release. We use 2.8 in our company and we have no intention
of polluting our environment with old software, so 2.6 would
not be tested. This shouldn't be a problem since all one need
to build CMake from source is C and C++ compiler.

disconnect: don't touch easy-related state on disconnects

This was done to make sure NTLM state that is bound to a connection
doesn't survive and gets used for the subsequent request - but
disconnects can also be done to for example make room in the connection
cache and thus that connection is not strictly related to the easy
handle's current operation.

The http authentication state is still kept in the easy handle since all
http auth _except_ NTLM is connection independent and thus survive over
multiple connections.

Bug: http://curl.haxx.se/mail/lib-2014-08/0148.html
Reported-by: Paras S

curl.1: clarify --limit-rate's effect on both directions

Bug: http://curl.haxx.se/bug/view.cgi?id=1414
Reported-by: teo8976

curl.1: mention the --post30x options within the --location desc

sasl: Fixed a memory leak on OOM

NTLM: ignore CURLOPT_FORBID_REUSE during NTLM HTTP auth

Problem: if CURLOPT_FORBID_REUSE is set, requests using NTLM failed
since NTLM requires multiple requests that re-use the same connection
for the authentication to work

Solution: Ignore the forbid reuse flag in case the NTLM authentication
handshake is in progress, according to the NTLM state flag.

Fixed known bug #77.

openssl.c: Fixed longer than 79 columns

openssl.c: Fixed compilation warning

warning: declaration of 'minor' shadows a global declaration