os400: minimum supported OS version: V6R1M0.
Do not log compilation informational messages.

tests: Fix for http/2 feature

Bug: https://curl.haxx.se/mail/lib-2016-07/0070.html
Reported-by: Paul Howarth

README: Mention wolfSSL in the 'Dependencies' section

vauth.h: No need to query HAVE_GSSAPI || USE_WINDOWS_SSPI for SPNEGO

As SPNEGO is only defined when these pre-processor variables are defined
there is no need to query them explicitly.

spnego: Corrected miss-placed * in Curl_auth_spnego_cleanup() declaration

Typo introduced in commit ad5e9bfd5d.

SECURITY: mention how to get windows-specific CVEs

... and make the distros link a proper link

test558: fix test by stripping file paths from FD lines

tests: distribute the http2-server.pl script, too

docs: distribute the CURLINFO_HTTP_VERSION(3) man page, too

bump: start working on 7.50.1

RELEASE-NOTES: version 7.50.0 ready

THANKS: 13 new contributors from the 7.50.0 release

winbuild: fix embedded manifest option

Embedded manifest option didn't work due to typo.

Reported-by: Stefan Kanthak

vauth: Fix memleak by freeing credentials if out of memory

This is a follow up to the parent commit dcdd4be which fixes one leak
but creates another by failing to free the credentials handle if out of
memory. Also there's a second location a few lines down where we fail to
do same. This commit fixes both of those issues.

vauth: Fixed memory leak due to function returning without free

This patch allocates memory to "output_token" only when it is required
so that memory is not leaked if function returns.

test558: updated after ipv6-check move

Follow-up commit to c50980807c5 to make this test pass.

connect: disable TFO on Linux when using SSL

- Linux TFO + TLS is not implemented yet.

Bug: https://github.com/curl/curl/issues/907

ROADMAP: QUIC and TLS 1.3

RELEASE-NOTES: synced with c50980807c5

curl_global_init: Check if IPv6 works

- Curl_ipv6works() is not thread-safe until after the first call, so
call it once during global init to avoid a possible race condition.

Bug: https://github.com/curl/curl/issues/915
PR: https://github.com/curl/curl/pull/918

CURLMOPT_SOCKETFUNCTION.3: fix typo

Closes https://github.com/curl/curl/pull/914

library: Fix memory leaks found during static analysis

Closes https://github.com/curl/curl/pull/913

cookie.c: Fix misleading indentation

Closes https://github.com/curl/curl/pull/911

FAQ: Update FTP directory listing section for MLSD command

Explain how some FTP servers support the machine readable listing
format MLSD from RFC 3659 and compare it to LIST.

Ref: https://github.com/curl/curl/issues/906

Appveyor: Updates for options - CURL_STATICLIB/BUILD_TESTING

Closes #892

TODO: 17.4 also brings more HTTP/2 support

TODO: try next proxy if one doesn't work

Closes #896

conn: don't free easy handle data in handler->disconnect

Reported-by: Gou Lingfeng
Bug: https://curl.haxx.se/mail/lib-2016-06/0139.html

test1244: test different proxy ports same URL

curl_global_init.3: improved formatting of the flags

curl_global_init.3: expand on the SSL and WIN32 bits purpose

Reported-by: Richard Gray
Bug: https://curl.haxx.se/mail/lib-2016-06/0136.html

cleanup: minor code cleanup in Curl_http_readwrite_headers()

- the expression of an 'if' was always true
- a 'while' contained a condition that was always true
- use 'if(k->exp100 > EXP100_SEND_DATA)' instead of 'if(k->exp100)'
- fixed a typo

Closes #889

SFTP: set a generic error when no SFTP one exists...

... as otherwise we could get a 0 which would count as no error and we'd
wrongly continue and could end up segfaulting.

Bug: https://curl.haxx.se/mail/lib-2016-06/0052.html
Reported-by: 暖和的和暖

ROADMAP: http2 tests are merged, mention http2 perf

docs/README.md: to render nicer pages on github

... as previously the README.cmake would be picked and put at the bottom
of the docs page there and it wasn't very representative!

README.md: change host name for the svg logo

rawgit.com asks to use the domain cdn.rawgit.com for production

See #900

README.md: use the SVG logo

README.md: logo on top!

KNOWN_BUGS: 3.4 POP3 expects "CRLF.CRLF" eob for some

Closes #740

RELEASE-NOTES: synced with d61c80515aa8

acinclude.m4: improve autodetection of CA bundle on FreeBSD

The FreeBSD Port security/ca_root_nss installs the Mozilla NSS CA bundle
to /usr/local/share/certs/ca-root-nss.crt. Use this bundle in the
discovery process.

This change also removes the former FreeBSD path that has been obsolete
for 8 years since this FreeBSD ports commit:
https://svnweb.freebsd.org/ports/head/security/?view=revision&revision=215953

Closes #894

configure: don't specify .lib for libs on windows

Another follow up for crypt32.lib linking with winssl

configure: fix winssl LIBS change typo

follow-up from 120bf29e

TODO: "TCP Fast Open" is done, add monitor pool connections

configure: add crypt32.lib for winssl builds

Necessary since 6cabd78531f

Makefile.vc: link with crypt32.lib for winssl builds

Necessary since 6cabd78531f

Fixes #853

VC: Add crypt32.lib to Visual Sudio project template files

Closes #854

vc: fix the build for schannel certinfo support

Broken since 6cabd785, which adds use of the Curl_extract_certinfo
function from the x509asn1.c file.

typedefs: use the full structs in internal code...

... and save the typedef'ed names for headers and external APIs.

internals: rename the SessionHandle struct to Curl_easy

headers: forward declare CURL, CURLM and CURLSH as structs

Instead of typedef'ing to void, typedef to their corresponding actual
struct names to allow compilers to type-check.

Assisted-by: Reinhard Max

vtls: Only call add/getsession if session id is enabled

Prior to this change we called Curl_ssl_getsessionid and
Curl_ssl_addsessionid regardless of whether session ID reusing was
enabled. According to comments that is in case session ID reuse was
disabled but then later enabled.

The old way was not intuitive and probably not something users expected.
When a user disables session ID caching I'd guess they don't expect the
session ID to be cached anyway in case the caching is later enabled.

curl.1: the used progress meter suffix is k in lower case

Closes #883

cmake: now using BUILD_TESTING=ON/OFF

CMake build now using BUILD_TESTING=ON/OFF (default is OFF) to build
tests and enabling CTest integration. Options BUILD_CURL_TESTS and
BUILD_DASHBOARD_REPORTS was removed.

Closes #882

Reviewed-by: Brad King

cleanup: fix method names in code comments

Closes #887

curl-compilers.m4: improve detection of GCC's -fvisibility= flag

Some builds of GCC produce output on both stdout and stderr when --help
--verbose is used.  The 2>&1 redirection caused them to be arbitrarily
interleaved with each other because of stream buffering.  Consequently,
grep failed to match the fvisibility= string in the mixed output, even
though the string was present in GCC's standard output.

This led to silently disabling symbol hiding in some builds of curl.

tests: fix the HTTP/2 tests

The HTTP/2 tests brought with commit bf05606ef1f were using the internal
name 'http2' for the HTTP/2 server, while in fact that name was already
used for the second instance of the HTTP server. This made tests using
the second instance (like test 2050) fail after a HTTP/2 test had run.

The server is now known as HTTP/2 internally and within the <server>
section in test cases. 1700, 1701 and 1702 were updated accordingly.

openssl: use more 'const' to fix build warnings with 1.1.0 branch

curl.1: missed 'T' in the progress unit suffixes

curl.1: mention the unix for the progress meter

os400: add new definitions to ILE/RPG binding.

openssl: fix cert check with non-DNS name fields present

Regression introduced in 5f5b62635 (released in 7.48.0)

Reported-by: Fabian Ruff
Fixes #875

axtls: Use Curl_wait_ms instead of the less-portable usleep

axtls: Fixed compile after compile 31c521b0

tests: Added HTTP proxy keywords to tests 1141 & 1142

cmake: Fix build with winldap

Bug: https://github.com/curl/curl/pull/874
Reported-by: Sergei Nikulov

CURLOPT_POSTFIELDS.3: Clarify what happens when set empty

When CURLOPT_POSTFIELDS is set to an empty string libcurl will send a
zero-byte POST. Prior to this change it was documented as sending data
from the read callback.

This also changes the wording of what happens when empty or NULL so that
it's hopefully easier to understand for people whose primary language
isn't English.

Bug: https://github.com/curl/curl/issues/862
Reported-by: Askar Safin

curl_multi_socket_action.3: Fix rewording

- Remove some erroneous text.

Closes https://github.com/curl/curl/pull/865

resolve: enable protocol family logic for synthesized IPv6

- Enable protocol family logic for IPv6 resolves even when support
for synthesized addresses is enabled.

This is a follow up to the parent commit that added support for
synthesized IPv6 addresses from IPv4 on iOS/OS X. The protocol family
logic needed for IPv6 was inadvertently excluded if support for
synthesized addresses was enabled.

Bug: https://github.com/curl/curl/issues/863
Ref: https://github.com/curl/curl/pull/866
Ref: https://github.com/curl/curl/pull/867

resolve: add support for IPv6 DNS64/NAT64 Networks on OS X + iOS

Use getaddrinfo() to resolve the IPv4 address literal on iOS/Mac OS X.
If the current network interface doesn’t support IPv4, but supports
IPv6, NAT64, and DNS64.

Closes #866
Fixes #863

tests: two more HTTP/2 tests

1701 and 1702

runtests: don't display logs when http2 server fails to start

runtests: make stripfile work on stdout as well

... and have test 1700 use that to strip out the nghttpx server: headers

http2-tests: test1700 is the first real HTTP/2 test

It requires that 'nghttpx' is in the PATH, and it will run the tests
using nghttpx as a front-end proxy in front of the standard HTTP/1 test
server. This uses HTTP/2 over plain TCP.

If you like me have nghttpx installed in a custom path, you can run test 1700
like this:

$ PATH=$PATH:$HOME/build-nghttp2/bin/ ./runtests.pl 1700

RELEASE-NOTES: synced with 34855feeb4c299

schannel: Disable ALPN on Windows < 8.1

Calling QueryContextAttributes with SECPKG_ATTR_APPLICATION_PROTOCOL
fails on Windows < 8.1 so we need to disable ALPN on these OS versions.

Inspiration provide by: Daniel Seither

Closes #848
Fixes #840

checksrc: Add LoadLibrary to the banned functions list

LoadLibrary was supplanted by Curl_load_library for security
reasons in 6df916d.

http: Fix HTTP/2 connection reuse

- Change the parser to not require a minor version for HTTP/2.

HTTP/2 connection reuse broke when we changed from HTTP/2.0 to HTTP/2
in 8243a95 because the parser still expected a minor version.

Bug: https://github.com/curl/curl/issues/855
Reported-by: Andrew Robbins, Frank Gevaerts

connect.c: Fixed compilation warning from commit 332e8d6164

connect.c:952:5: warning: suggest explicit braces to avoid ambiguous 'else'

win32: Used centralised verify windows version function

Closes #845

win32: Added verify windows version functionality

win32: Introduced centralised verify windows version function

tool_urlglob: fix off-by-one error in glob_parse()

... causing SIGSEGV while parsing URL with too many globs.
Minimal example:

$ curl $(for i in $(seq 101); do printf '{a}'; done)

Reported-by: Romain Coltel
Bug: https://bugzilla.redhat.com/1340757

libcurl-multi.3: fix small typo

Closes #850

makefile.m32: add crypt32 for winssl builds

Dependency added by 6cabd78

Closes #849

vtls: fix ssl session cache race condition

Sessionid cache management is inseparable from managing individual
session lifetimes. E.g. for reference-counted sessions (like those in
SChannel and OpenSSL engines) every session addition and removal
should be accompanied with refcount increment and decrement
respectively. Failing to do so synchronously leads to a race condition
that causes symptoms like use-after-free and memory corruption.
This commit:
 - makes existing session cache locking explicit, thus allowing
   individual engines to manage lock's scope.
 - fixes OpenSSL and SChannel engines by putting refcount management
   inside this lock's scope in relevant places.
 - adds these explicit locking calls to other engines that use
   sessionid cache to accommodate for this change. Note, however,
   that it is unknown whether any of these engines could also have
   this race.

Bug: https://github.com/curl/curl/issues/815
Fixes #815
Closes #847

schannel: add CURLOPT_CERTINFO support

Closes #822

RELEASE-NOTES: synced with 142ee9fa15002315

openssl: rename the private SSL_strerror

... to make it not look like an OpenSSL function

openssl: Use correct buffer sizes for error messages

Closes #844

curl: fix -q [regression]

This broke in 7.49.0 with commit e200034425a7625

Fixes #842

URL parser: allow URLs to use one, two or three slashes

Mostly in order to support broken web sites that redirect to broken URLs
that are accepted by browsers.

Browsers are typically even more leniant than this as the WHATWG URL
spec they should allow an _infinite_ amount. I tested 8000 slashes with
Firefox and it just worked.

Added test case 1141, 1142 and 1143 to verify the new parser.

Closes #791

cmake: Added missing mbedTLS support

Closes #837

mbedtls: removed unused variables

Closes #838

http: add CURLINFO_HTTP_VERSION and %{http_version}

Adds access to the effectively used http version to both libcurl and
curl.

Closes #799

bump: start the journey toward 7.50.0

openssl: fix build with OPENSSL_NO_COMP

With OPENSSL_NO_COMP defined, there is no function
SSL_COMP_free_compression_methods

Closes #836

memdebug: fix MSVC crash with -DMEMDEBUG_LOG_SYNC

Fixes #828

README.md: polish

Closes #834

RELEASE-NOTES: fix vuln link