If the sudoreplay ID option is a fully-qualified path, use it directly.
Previously, one had to use the -d option to override the I/O log directory.

regen

Add conditional for sesh path in sudo.conf manual.

Bug #895

Use the SUDO_CONV_PREFER_TTY flag during authentication.
This prevents the password and PAM prompts from being redirected.
Bug #895

Fix typo that prevented a missing linux audit lib from being detected.

Use fputs(), not printf() for plain strings.

Recent fixes.

Add user ID to the search filter when matching sudoUser.
We already support group IDs but the user ID was missing.
From sudo-1.8.23-ldapsearchuidfix.patch in RHEL 7.

Fix parsing of double-quoted Defaults bindings that start with % or +.
From sudo-1.8.23-fix-double-quote-parsing-for-Defaults-values.patch in RHEL 7.

Restore core dump resource limit before the PAM session module is run.
Otherwise, we may override the limits set by PAM.
Bug #894

sys_signame on macOS contains lower-cases names

Add regress tests for str2sig() and sig2str().

SIGIOT and SIGABRT are aliases on BSD systems.

Fix handling of real-time signals.

ipa_hostname fix

Fix special handling of ipa_hostname that was lost in sudo 1.8.24.
We now include the long and short hostname in sudo parser container.

Remove unused include file.

Mention I/O log signal change in NEWS and UPGRADE files.

Asturian translation for sudoers from translationproject.org.

Check source dir if source file is not listed in MANIFEST.
Previously, we just used the file name without $(srcdir).

Store signal name, not number in I/O log timing file.
The "SIG" prefix is not used so, e.g. SIGTERM -> "TERM".
This makes the I/O log files portable from one system to another.
Older I/O log files with signal numbers can still be replayed.

Disable stringop-truncation false positive warnings on gcc 8.
Strings in struct utmp/utmpx are not guaranteed to be NUL-terminated.

Replace non-essential strncpy() calls.

Revert version back to 1.8.28

Link util functions being tested directly with the test harness.
Otherwise we may get the version from the installed libsudo_util.so.

Updated translations from translationproject.org

Use strftime(3) instead of formatting struct tm by hand.
Fixes a warning on newer versions of gcc.

Update error message when the password cannot be read from the terminal.

Fix for Bug #888

If the command in sudoers does not exist on the file system, match by name.
We still want to match the command even if it doesn't exist so that the
NOPASSWD flag on sudoers entries with non-existant paths works as expected.
Bug #888.

More verbose error message when a password is required and no terminal
is present.  Bug #828.

regen

Document that PAM session modules are now run with the silent flag.

Simpler change to retry sudo_secure_file() as root as needed.

If we are unable to stat() sudoers as non-root, try again as root.
By default, sudo relies soley on group permissions to read sudoers
to make it possible to store sudoers on NFS.  However, if /etc/sudoers
is not accessible to non-root uids for some reason, sudo will fail.
Bug #880.

Clarify that ttyin contains raw terminal input.

Expand the description of the I/O log files.

Remove trailing whitespace.

Rename PLUGINDIR -> plugindir

Use $libexecdir in default settings used by the documentation.
The web and pdf pages will substitute /usr/local/libexec for $noexec_file.
Also do substitution of variables using exec_prefix even if we don't use
them in the Makefile since the documentation may reference them.

Add conditional for sesh path in sudo.conf manual.

Update plugindir even when --disable-shared is specified.
Otherwise, the default value is substituted into the Makefiles and
documentation which may not match --prefix.  Bug #886

Add ssizeof macro that returns ssize_t.
We can use this instead of casting the result of size_t to int.
Also change checks for snprintf() returning <=0 to <0.

sudoedit should be used for editing files instead of "sudo editor"
That way the user's editor config files are used by the editor.

Move the section on HOME to be after the environment section.
Also strongly discourage the disabling of env_reset.

Remove the Solaris last login question, add one about HOME.
The PAM session is opened with PAM_SILENT so last login info is not printed.
It is dangerous to preserve HOME from the user's environment.

Use the term pseudo-terminal more consistently.

Document why HOME should not be preserved from the user's environment.
Text was adapted from what is already present in the UPGRADE file.
Also mark set_home and always_set_home as obsolete.

Refer to command line options, not flags.

sync

sudo will now prompt for a password as long as /dev/tty is available.

Remove .cat pages, there is no need for them in the modern world.
Sudo only shipped .cat pages for Irix, which lacked nroff.
Irix is long dead and there are multiple open source nroff options.

Make env_editor the default.
It is already the default in the package script.

Don't describe env_editor as a security hole.
Users that are able to edit sudoers can grant themselves permissions
so the fact that visudo runs the editor as root is not a security issue.

Fix details of how EDITOR, VISUAL and SUDO_EDITOR are (or are not) preserved.
The description in the editor option was incorrect and didn't mention env_keep.
Reported by Sander Bos

Modern visudo locks the actual sudoers file, not the sudoers.tmp file.
Refer to sudoers.tmp as a temporary file, not a lock file.
Reported by Sander Bos

In tty_present(), check for /dev/tty if sudo was unable to get the tty name.
For requiretty it is enough to check that /dev/tty is available.
If sudo can't get the tty from the kernel (missing /proc?) that is OK.

Don't refuse to use the tty unless /dev/tty is unavailable.
We don't care whether sudo was able to get the tty name from the kernel.
All that really matters is whether we are able to disable echo as needed.

Use of "they" was ambiguous.

Better description of secure_path.
The secure_path option affects the resolution of unqualified commands
as well as the environment that commands run with.

Add Sander Bos

Fix a few typos and awkward wording.
Use the singular "they" instead of he/she.
Add back missing text in description of variables starting with ().
Based on changes from Sander Bos.

Clarify which environment variables are set based on the target user.

libsudo_util depends on LT_DEP_LIBS even when building a static lib

Solaris getentropy() requires that sys/random.h be included.

Use the runhost for "User foo is not allowed to run sudo on bar."
Otherwise, if the -h option is specified sudo will print the local
host name instead of the host specified via -h.

Document that "no tty present and no askpass program specified" may
happen when /proc is not accessible.

Add Sangamesh Mallayya and Michael Spradling

Add -B option to ring the bell before the password prompt.

Allow the user to change their password if expired on AIX.
Bug #883

When using AIX auth, don't display the AIX password incorrect message.
Avoids a "3004-300 You entered an invalid login name or password"
message in addition to sudo's own "Sorry, try again" message.

AIX packages were not being build with optimization enabled.

Fix a typo.

Support using macOS SDKs from /Library/Developer/CommandLineTools/SDKs

It is safe to assume _POSIX_VDISABLE is defined.
The old compat defines were to support pre-termios systems.

Remove second catopen() which is never called.

Sudo's conversation functions now filters out the last login information.

Add pam_acct_mgmt setting to enable/disable PAM account validation.

regen

Sudo 1.8.28

Add SPDX-License-Identifier to files.

Filter out last login messages on HP-UX unless running a shell.
HP-UX in trusted mode will display last login messages as part of
the PAM account management module by libpam_comsec.  There is no
way to suppress these messages from the PAM configuration in trusted
mode so we need to filter them in the conversation function.  In
regular mode, similar (but different) messages may be produced by
libpam_hpsec.

FreeBSD's /dev/fd only contains fds 0-2 unless fdescfs is mounted.
In practice this doesn't matter since FreeBSD >= 8 has a native closefrom

Keep debug fds open in send_mail() to aid in debugging.
Adds closefrom_nodebug() which acts like closefrom(3) but doesn't
close debug fds for use by send_mail().
Also moves the code to exec the mailer to its own function.

Set def_mailerflags even if sendmail was not found at configure time.
Fixes a NULL dereference when mailerpath is set but mailerflags is not.
Bug #878

Add a proper getdelim(3) replacement and use it instead of getline(3).

Restrict the PAM_TTY kludge to Solaris and Linux-PAM.
Setting PAM_TTY to the empty string causes problems with some modules
on HP-UX so restrict it to systems where it is fixes known issues.

Fix the counting of supplementary groups on AIX.
We should not assume that basegid will be present in the list of
gids returned by getgrset().

Plug a memory leak on user/group lookup failure found by ASAN.

Fix test failure when run by a user other than the file owner.

Updated translations from translationproject.org

Test cvtsudoers stdout and stderr separately.
Fixes a test failure on systems with musl libc.  Bug #873

Better comment about EOVERFLOW and pstat_getproc().
Also remove some useless casts.

Ignore EOVERFLOW from pstat_getproc(), it is not a fatal error.
It just means that one of the fields in pstat lacks the precision to
store a value.  That's not an issue for pst_highestfd.

update copyright year

Fix error message when a fully-qualified plugin path does not exist.

Fix unescaped '\' and remove an extra '[' in the definition of digest.

Ignore carriage return before a linefeed.
This allows sudo to parse files with DOS-style line endings.

For sssd, the nsswitch.conf setting should be "sss" not "sssd".
From Johnathan Smith.