Initialize sudo_user based on the SUDO_USER environment variable
if present.  This allows things like :Defaults:username editor=foo"
to work when visudo is run via sudo.

Add function name in "command resumed" debug message

If waitpid() returns 0 or -1, display a warning, this should never happen.
Add a check for unhandled wait status (also should never happen).

Flag settings have a NULL value so we can't use that to test whether
an entry in struct early_default is set or not.  Add a "set" member
and use that instead.

Explicitly check for a continued process with waitpid(2).  Otherwise,
waitpid() will return 0 when the command is resumed after being
suspended, which we were treating the same as -1.  Fixes suspend
and resume on Linux and probably others.

Fix --with-fqdn, the value should be NULL since it is a flag.

Add support for early defaults to the ldap and sssd backends.

Repair symlink check in sudo_edit_openat_nofollow() on systems
without O_NOFOLLOW, it must be done relative to dfd.  Previously
the lstat() would always fail, possibly leading to a false positive.
Also add an early symlink check like in sudo_edit() while here.

On systems that lack the O_NOFOLLOW open(2) flag, check in
sudo_edit_open() whether the path to be opened is symlink before
opening it.  This is racey but we detect losing the last post-open
and it is better to fail early if possible.  When editing a link
to a non-existent file, a zero-length file will be left behind but
it is too dangerous to try and remove it after the fact.
Bug #753

Update debug_decl for sudo_edit_openat_nofollow()
Remove unused variables when O_NOFOLLOW is not present.

Split set_default_entry() out of set_default() so we can call it
from check_defaults() to validate the defaults value.  In visudo,
suppress warnings from update_defaults() and rely on check_defaults()
to provide warnings.

Split binding match code out of default_type_matches() into
default_binding_matches().  We can now use default_type_matches()
in check_defaults().

Pass quiet flag to init_parser() and update_defaults() when doing
first parse of sudoers.

Update defaults in visudo after sudoers has been edited so we pick
up locale changes.  The init_defaults() function will now re-init
the sudoers locale.

Set sudoers locale before calling sudoersparse().  We don't need
to restore the user's locale since warnings are displayed in the
user's locale anyway.

Set the locale to the sudoers locale when parsing and restore the
user's locale afterward.  Also set the warn/fatal locale helper
function so warning messages during a sudoers parse are displayed
in the user's own locale.

Add forward decl of union sudo_defs_val to silence a gcc warning.

Set the warn/fatal locale helper function in sudoers_policy_init()
so warning messages during sudoers loading are displayed in the
user's own locale.

Move sudoers locale callback function to locale.c and user it in
visudo and testsudoers.

In cb_sudoers_locale() actually set the locale in addition to storing
its name.  Otherwise, it won't take effect until sudoers lookup time.

Fix regression that would cause early defaults entries to be
set multiple times.

sudo 1.8.18

Only set early defaults once, regardless of how many times the
variable is set in sudoers.  This avoids running an early callback
more than once.  For example, we don't want to call cb_fqdn() if
sudo is compiled with FQDN set but sudoers has "Defaults !fqdn".

Make strings const in functions that set defaults as they are
not modified.

In cb_fqdn() just return if the fqdn flag is set to false.

Implement callbacks for defaults flags (T_FLAG).

add debug_decl for cb_runas_default and cb_sudoers_locale

Convert fqdn to a callback and add it to the list of early defaults.

Change defaults callbacks to take a union sudo_defs_val * instead
of a char *.

When updating defaults, process certain values fist since they can
influence how other defaults are parsed.  Currently, runas_default
and sudoers_locale are processed early.

Fix typo introduced in last commit to fix fill_args() overflow check.

Fix underflow checl in fill_args().

Make sure we account for the trailing NUL when computing arg_size
in fill_args().  Bug #752

Make arg_size and arg_len unsigned since we do bitwise operations
on them.

Only remove backup files as part of "make uninstall" when INSTALL_BACKUP
is set.

Only keep backups of installed files on HP-UX where you cannot
unlink a shared library that is in use.

Ignore a missing or insecure #includedir, it is not a fatal error.

Make sure we always call sudoerserror() on error in read_dir_files(),
otherwise sudo will not treat it as a fatal error.

Set the sudoers locale before opening the sudoers file.
Previously the sudoers locale was used when evaluating sudoers
but not during the inital parse.  Bug #748

Add debugging

Don't link test programs with the sudoers-specific locale code
if we don't need to.

sudoreplay does not need to link with the sudoers-specific locale code.

new_digest was prototyped as static but not explicitly declared
static.

Some versions of HP-UX 11.11 do not expose struct sockaddr_ext if
_XOPEN_SOURCE_EXTENDED is defined.  Only define _XOPEN_SOURCE_EXTENDED
if we can still compile net/if.h.

Some versions of HP-UX make will ignore suffix rules if they are
empty.

Don't skip debug printfs in handle_sigchld() just because execve()
returned an error.

Add definition of nitems for those without it and use it throughout.

Update copyright year.

Sudo 1.8.17p1

Set user groups in exec_setup() if they were not already set by
policy_init_session().  Bug #749

Point the reader to the sudoers manual for the list of supported
arguments after the plugin path.

forgot to update date in last commit

Fix typo; cn=default should be cn=defaults

Fold lines at 80 characters for the clean: target

Remove mksiglist, siglist.c, mksigname, signame.c as part of "distclean"

sync with translationproject.org

LDAP sudoers doesn't support negated users, groups or netgroups.

Bug #746

When matching paths with glob(3), check returned matches against
user_cmnd first if it is fully-qualified.  This avoids a lot of
needless stat(2) calls and avoids a mismatch between safe_cmnd and
argv[0] if there are multiple matches with the same inode/dev due
to links.  Bug #746.

Add execve failure in pty bug fix.

sync with translationproject.org

In handle_sigchld() fix the return value when we've already received
an exec error.  We don't want to overwrite the error status but we
do need to indicate that the command is no longer running.
Fixes as hang on execve(2) error when running in a pty.

Move sudo_debug_execve() call into sudo_execve().

sync with translationproject.org

update for 1.8.17 final

Fix setting of hard stack limit when stack_hard is not specified
in /etc/security/limits.  When 64-bit resource limits are supported
we can use the default value of 8388608 512-byte blocks directly.
We should only resort to using RLIM_SAVED_MAX for 32-bit resource
limits.

regen

Ignore empty ipa_hostname

Better martching of ipa_hostname in sssd.conf

Use the value of ipa_hostname from /etc/sssd/sssd.conf if present
instead of the system hostname.

When matching host, short-circuit the loop when we get a match.
Only check username as part of the netgroup when netgroup_tuple is
enabled.

Avoid using !strcmp()

SSSD doesn't handle netgroups, we have to ensure they are correctly filtered
in sudo. The rules may contain mixed sudoUser specification so we have to
check not only for netgroup membership but also for user and group matches.
Adapted from a patch from Daniel Kopecek.

Return PAM_CONV_ERR from the conversation function if getpass returns
NULL or the user pressed ^C.

Make base64 decoding table-driven.

Back out cfa26b99228f, it was already fixed differently.
Caught by regress checks.

Allow double-quoted groups and netgroups to be part of a Defaults spec.
From Daniel Kopecek.

The sudoers.ldap manual is installed in section 4 or 5, not 1m or 8.
Also fix the section for ldap.conf cross-references.

Fix copy pasta, "sudoNotAfter" not "sudoNotBefore".
Add missing word "order" in a sentence describing sudoOrder.

For sudo -ll (long list) print the SSSD role just like we do
for the LDAP backend.  Adapted from sudo-1.8.6p3-sssdrulenames.patch

Setting timestamp_timeout less than zero only lasts until the
next reboot.  Adapted from a RedHat patch.

sync with translationproject.org

fputs() is now specified as returning non-negative on success, not
explicitly zero.  Fixes a failure on glibc.

Don't try to dereference replies[] if it is a NULL pointer.

sudo_version should be unsigned

sync with translationproject.org

Korean translation for sudo and sudoers from translationproject.org.

Ignore PAM_SESSION_ERR from pam_open_session() since this can
apparently happen on systems using Solaris-derived PAM.  Other
errors from pam_open_session() are treated as fatal.  This avoids
the "policy plugin failed session initialization" error message
seen on some systems.

Don't read from stdin when flushing final buffers in blocking mode.
Reading from the pipe can block too if the other end is not closed.

Mention visudo -x change.

There's no need to escape forward slashes in JSON output.  While
it is legal to escape a forward slash, it is not required.

Document that in 1.8.12 sudo started being able to check the NIS
domain on Solaris.

Better description of the I/O logging pipe issue.

In del_io_events(), avoid reading from the pty master in blocking
mode.  We now do two passes, one with SUDO_EVLOOP_NONBLOCK and
another that could block if stdin is a pipe.  This ensures we consume
the pipe until EOF.

Improve debug info in sudo_ev_add() and sudo_ev_del()

In pty_close(), call del_io_events with the SUDO_EVLOOP_ONCE flag
so the event loop will exit after a single run through.  Otherwise,
we may hang at exit on non-BSD systems.

regen

Bump I/O buffer size to 64K.  We don't use PIPE_BUF or _PC_PIPE_BUF
for this because that corresponds to the value for atomic pipe
writes.  The actual pipe buffer is much larger on modern systems
and 64K is what BSD and Linux support for large pipe buffers.

I/O logging bug fix

Don't use SUDO_EVLOOP_NONBLOCK when flushing buffers at pty close
time, only when the user suspends sudo.  Fixes a problem where all
buffers might not get flushed at exit when logging I/O.  Reproducible
via "sudo tar cf - foo | (cd /tmp && sudo tar xf -)" on OpenBSD.