update copyright year

force debian pkg to use patched openssl, and disable version check

refresh debian patch

debian pkg: tidy up statoverride on purge

Update unlang for attribute references

note recent changes

Allow array references on the LHS of attr/attr maps.

Made radius_map2request() no longer use radius_pairmove()

which makes this code more complicated, but should make
the server slightly faster.  Adding array references to
radius_pairmove() is just a non-starter.

If the tags are equal, go check the values

Fix warning on Linux with GDB

Revert "Forbid self to self maps"

This reverts commit 9b4b44e8e071c0cbaad25de8156c175ee7aa674b.

Apparently it's needed for the cache module.  We'll have a
better fix later

Update logfile API.

We need to close the FP in rlm_detail.  Which means that the
locks on the FD will be closed.  And we don't want to close
the main FD.  So we add a new API to unlock the mutex without
closing the FD.  And we always return a DUP'd FD to the caller,
instead of the main one.

Fixes a whack of Coverity complaints

Minor fixes to make Coverity happy.

The logfile API is a bit weird with respect to mutexes.  It's
intended reply with mutexes held

Forbid self to self maps

Remove hex2bin, the xlat code would require significant reworking for this to be safe

More sanity checks and messages for list assignment.

list := `...` is now a warning.  This is because the assignment
makes it look like it over-writes the list.  It doesn't.  We now
require

list = `...`  which is clearer that the operators used are the
ones which are returned from the external program.

Distinguish failure cases

Set the stack to zero to simplify gdb output

Verify VPs we're printing

Correctly set fields when compiling literal string

when we have an ATTR on the LHS, and a LITERAL on the RHS,
we need to set the RHS to be VPT_TYPE_DATA, not the LHS
and there are other fields we need to set, too

Clean up syntax for list to list assignments

list !* ANY remove all attributes in the list
list := list2 delete list, copy list2, and assign the copy to list
list += list2 copy list2, and append the copy to list

list := `foo`   read attrs from program, and assign to list
list += `foo` read attrs from program, and append to list

Don't core if vpt->vpd is NULL

In radius_map2vp(), always expand XLAT structures.

Looking for a % in the map name is pointless.  If the vpt is
marked as xlat, it's xlat.  The parser should take care of
ensuring that strings without % are created as literals

re-add xlat_spaces for debugging

Make radius_map2vp() call radius_vpt_get_vp() for map->src

So that we can have array references on the RHS of update
statements. And tags on the RHS, too

LF at EOL

Move debug print map functionality to its own function

And as a side effect, always properly reparent the VP...

Use radius_list_ctx() rather than re-implementing it

allow radius_vpt_get_vp() to use array references

Add tags and array references to value_pair_tmpl_t

radius_parse_attr() parses them
radius_tmpl2str() prints them
condition.txt tests them
radius_vpt_get_vp() uses tag now, but not array ref

No other code has been updated. e.g. evaluate, etc.

Add function to look up "name:0" or "name[1]" or "name:0[1]"

Because it's easier and faster to do it here, than to force
all of the callers to manually massage the dictionary names

radius_parse_attr() doesn't deal with tags or array references

Make str2tmpl call radius_parse_attr()

So we don't have 2 pieces of code doing the same thing.

Small update to docs/concepts/proxy.rst

Some file locations are updated in more recent versions of FreeRADIUS.

Use correct talloc ctx for VPs

Add function to return TALLOC_CTX from pair_lists_t

Allocate from the local map ctx

Use packet for VP context

Tests for new compilation

Distinguish failure modes

Convert "%{Attribute-Name}" to just &Attribute-Name

which should speed things up slightly at run time.

Formatting

note recent changes

Run Post-Proxy-Type fail on no reply.  Fixes #576

Complain about blocked only on the first pass through the queue

Allow DHCP NAKs to be delayed

via response:FreeRADIUS-Response-Delay

Cast to const

"i" is needed only if we have threads

Note recent changes

Manually merge rlm_counter from master.

Includes fixes for VSAs as counters

remove unneeded FIXME

Fix calls to radius_paircreate()

It now takes a CTX rather than a REQUEST.  And all callers
use the correct context.

Revert "Create reply attributes parented from the reply"

The changes required are more extensive.

This reverts commit 4d9b7afbd9c5bf14fb4166a58ef5e46c67f7da7b.

Use talloc_free.  Fixes #582

Remove unused argument

use the correct name

Added hextobin xlat.

It's useful for creating binary nonsense

Sanitize return codes.  "do nothing" is NOOP

Make response delay more generic.

For now, it only applies to Access-Reject packets

Hold main lock for less time

When we open a file, we grab the mutex for that file, rather than
continuing to hold the main mutex during the open() operation

Lock from the start of the file.

Check lock for error

Use the new logfile API

re-open the file if someone has deleted it

i.e. while we waited for the lock, or while we were doing
something else.

Use mode_t, and create any necessary directories

Use the new logfile API

Use the new logfile API

Added logging API

So that multiple threads can log to files with (a) no thread
race conditions, and (b) file locks for external processes.

We do this by opening a file descriptor for each file, and leaving
it open for a long time.  When a thread needs to log to a file,
it passes the filename to the API, and gets an FD in return.
That FD is then left open, for re-use by other threads.

The FD is also protected by a mutex, so that other threads which
try to log to the same file have to wait until the current one
is finished.

This nonsense is required because the POSIX file lock API is
per process, so that locks in one thread don't block other threads.
The POSIX API also releases *all* locks on a file when ANY FD for
that file.  So the threads can't rely on just file locks to prevent
readers from reading the wrong thing.  They have to have ONE FD
for all threads.

Since the FD is never closed, the locks on it always apply.
Since the FD is protected by a mutex, only one thread at a time
can write to the file.

And peace reigns in the land.

Log files are 0640, not 0666.  WTF?

Allow unset auth_type to mean local

Free cast before checking for error

Check for truncation in more places

Really not a typo

Quotations around strings look nicer

Handle embedded NULs in strings for xlat.  Fixes #571

Note recent changes

Double-check the data length.  CID #1198852

Which will never happen in reality, because the called functions
never return more than the size of the output buffer

Always set type correctly

Coverity #1198850 #1198851 #1198852

CID #1198853 *sigh*

For travis tests, allow vulnerable versions of OpenSSL.

Strictly for testing

Use correct talloc type

Use correct talloc type

Create reply attributes parented from the reply

Use RDEBUG instead of DEBUG

Check for invalid TLS handshake

If the system has a vulnerable version of OpenSSL, and the
admin has told us to allow it, we want to catch and stop
the problem.

If we fail during tls handshake, don't send an EAP-Fail msg

Because tls_handshake_recv() says there's something wrong with
the TLS session.  Therefore, we can't use it for anything

Add request number

Extra paranoia. Check panic_action both on startup, and when we attempt to execute it.

Add warning on pattach

Tweak visual grouping to make ssl version easier to read

Don't be lazy when printing openssl version numbers

A simple framework to deal with future security issues in libssl

Revert "Use correct URL"

This reverts commit 8146612b7849e785bc2039a6ce15395027ec2161.

Use correct URL

Don't replicate reply packets.

The code never handled it, so it's safe to delete the functions

The input packet can't be an Access-Challenge

Remove "auto_header" functionality.  It's not used anywhere.

Note recent changes

Removed conf2xml and conf2file functionality.

No one uses it, and we shouldn't carry around legacy code

Remove unused functions