Fix for a base64 decode heap buffer overflow vulnerability.

Fixed some compiler warnings.  Fixed a low incidence memory leak in the test server.

Updated as suggested by Samuel Díaz García

krb4 fixed

Curl_base64_decode() now returns an allocated buffer

Thanks for the notification iDEFENCE. We are the "initial vendor" and we sure
got no notification, no mail, no nothing.

You didn't even bother to mail us when you went public with this. Cool.

NTLM buffer overflow fix, as reported here:

http://www.securityfocus.com/archive/1/391042

added test case 234 which is like 233 but uses --location-trusted instead so
thus the second request to the new host will use authentication fine

Ralph Mitchell reported a flaw when you used a proxy with auth, and you
requested data from a host and then followed a redirect to another
host. libcurl then didn't use the proxy-auth properly in the second request,
due to the host-only check for original host name wrongly being extended to
the proxy auth as well. Added test case 233 to verify the flaw and that the
fix removed the problem.

socket leak, mingw build

Based on Mike Dobbs' report, BUILDING_LIBCURL is now defined in here if it
runs to build with mingw.

close the socket properly when returning error due to failing localbind
Bug report #1124588 by David

mention filename= for the -F

Christopher R. Palmer reported a problem with HTTP-POSTing using "anyauth"
that picks NTLM. Thanks to David Byron letting me test NTLM against his
servers, I could quickly repeat and fix the problem. It turned out to be:

When libcurl POSTs without knowing/using an authentication and it gets back a
list of types from which it picks NTLM, it needs to either continue sending
its data if it keeps the connection alive, or not send the data but close the
connection. Then do the first step in the NTLM auth. libcurl didn't send the
data nor close the connection but simply read the response-body and then sent
the first negotiation step. Which then failed miserably of course. The fixed
version forces a connection if there is more than 2000 bytes left to send.

check for ENGINE_load_builtin_engines() as well if engine is around

changed config-vms info

changed curlmsg.* entries to see if CVS would ignore it now

Rename Curl_pretransfersec() to *_second_connect() since it does not just
do pretransfer stuff like Curl_pretransfer().

Fixed bad krb4 code. It always tried to use krb4 if built enabled.

rename amigaos.c and nwlib.c if they exist before building

Removed per Marty's request: The .h_* files aren't needed anymore, I
consolidated them into one file called config-vms.h.  The curlmsg.h and .sdl
files are generated from the curlmsg.msg file and, thus, shouldn't be in the
dist.

re-sync'd with curlmsg.msg

ignore curlmsg.h and .sdl as they are generated by curlmsg.msg

sync'd error codes with include/curl.h

Added $Id$ and pre-exisiting logical check

remove the check for strftime(), we don't need it

Removed all uses of strftime() since it uses the localised version of the
week day names and month names and servers don't like that.

valgrind stuff for test suite, vms build and more

Moved out the valgrind report parser to valgrind.pm, to make it easier to
test it outside the test suite. Now we also disable valgrind usage if libcurl
was built shared, as then valgrind is only testing the wrapper-script running
shell which is pointless.

typecast assign to ftpport from int to prevent warnings

init fix for non-SSL builds

Reduced the two config-vms.h_* files into this one.

David Byron fixed his SSL problems, initially mentioned here:
http://curl.haxx.se/mail/lib-2005-01/0240.html. It turned out we didn't use
SSL_pending() as we should.

This was TODO-RELEASE issue #59.

David Byron identified the lack of SSL_pending() use, and this is my take
at fixing this issue.

better error checking and SSL init by David Byron

prevent a compiler warning

Some functions are static here, but extern in libxml's
SAX.h. gcc doesn't like that. Rename.

the new ftp code and Gisle's DICT fix

issue #54 done

Set 'bits.close' in case of malloc fail.
Don't free 'lud_dn' twice in case curl_unescape()
fails.

add missing error codes

Use CURL_SOCKET_BAD.

Handle CURLE_LOGIN_DENIED in strerror.c.
For ftp only?

FD_SET can be big macro, use braces

FTP code turned into state machine. Not completely yet, but a good start.
The tag 'before_ftp_statemachine' was set just before this commit in case
of future need.

Replace LF with CRLF. Ref RFC-2229, sec 2.3:
"Each command line must be terminated by a CRLF".

-O clarification

inflate and out of memory fixes

ares_gethostbyname wants a 'ares_host_callback' in the 4th argument

Curl_addrinfo?_callback() and addrinfo_callback() now returns
CURLE_OK or CURLE_OUT_OF_MEMORY.
Add typecast in hostares.c.

Don't free too much in freedirs() if realloc() fails.

Curl_wait_for_resolv() no longer disconnects on failure, but leaves that
operation to the caller. Disconnecting has the disadvantage that the conn
pointer gets completely invalidated and this is not handled on lots of places
in the code.

Fix for a bug report that compressed files that are exactly 64 KiB long
produce a zlib error.

Preserve previous status in Curl_http_done().

valgrind errors occur too often when 'make test' is used. It is because too
many third-party libs and tools have problems. When curl is built without
--disable-shared, the testing is done with a front-end script which makes the
valgrind testing include (ba)sh as well and that often causes valgrind
errors. Either we improve the valgrind error scanner a lot to better identify
(lib)curl errors only, or we disable valgrind checking by default

fix type

Eric Vergnaud found a use of an uninitialized variable

David Byron pointed out that this -1 on the buffer size is pointless since
the buffer is already BUFSIZE +1 one big to fit the extra trailing zero. This
change is reported to fix David's weird SSL problem...

another example

HTML parsing example with libtidy, by Jeff Pohlmeyer

and we start over again

7.13 coming up

somewhat nicer libcurl usage

htmltitle

HTML <head> parsing (with libxml) example code by Lars Nilsson.

four changes

if the DO operation returns failure, bail out and close down nicely to
prevent memory leakage

Let's add a cookie interface in 7.14

Bugfixed the parser that scans the valgrind report outputs. I noticed that it
previously didn't detect and report the "Conditional jump or move depends on
uninitialised value(s)" error.

When I fixed this, I caught a few curl bugs with it. And then I had to spend
time to make the test suite IGNORE these errors when OpenSSL is used since it
produce massive amounts of valgrind warnings (but only of the "Conditional..."
kind it seems).

So, if a test that requires SSL is run, it ignores the "Conditional..."
errors, and you'll get a "valgrind PARTIAL" output instead of "valgrind OK".

properly mark tests as requiring feature 'SSL'

Use calloc() to save us the memset() call and terminate conn->host.name
properly, to avoid reading uninited variables when using file:// (valgrind)

Clear the urlglob struct when allocated, since we might otherwise use
uninitialized variables. Pointed out to us by the friendly Valgrind.

include "url.h" for the Curl_safefree() proto

Using the multi interface, and doing a requsted a re-used connection that
gets closed just after the request has been sent failed and did not re-issue
a request on a fresh reconnect like the easy interface did. Now it does!
(define CURL_MULTIEASY, run test case 160)

Define CURL_MULTIEASY when building this, to use my new curl_easy_perform()
that uses the multi interface to run the request. It is a great testbed for
the multi interface and I believe we shall do it this way for real in the
future when we have a successor to curl_multi_fdset().

corrected the URL

conn->ip_addr MUST NOT be used on re-used connections

when using valgrind, include a much longer stack trace

multi interface: when a request is denied due to "Maximum redirects followed"
libcurl leaked the last Location: URL.

Connect failures with the multi interface was often returned as "connect()
timed out" even though the reason was different. Fixed this problem by not
setting this timeout to zero when using multi.

adjusted to the moved unlock of the DNS entry

KNOWN_BUGS #17 fixed. A DNS cache entry may not remain locked between two
curl_easy_perform() invokes. It was previously unlocked at disconnect, which
could mean that it remained locked between multiple transfers. The DNS cache
may not live as long as the connection cache does, as they are separate.

To deal with the lack of DNS (host address) data availability in re-used
connections, libcurl now keeps a copy of the IP adress as a string, to be able
to show it even on subsequent requests on the same connection.

Stephen More pointed out that CURLOPT_FTPPORT and the -P option didn't work
when built ipv6-enabled. I've now made a fix for it. Writing test cases for
custom port strings turned too tricky so unfortunately there's none.

test the EPRT/LPRT/PORT somewhat more

Use the same work-around for the memdebug stuff as in the command line client,
to allow the contents of the env var decide the file name.

a slightly involved work-around to prevent the debug-tracing from logging
a free-without-alloc as the first call

Make the debug build get the debug dump file path from the environment
variable to allow the test suite to better control where it ends up.

verify a part of the PORT line

Make the server ignore the given PORT address, to make it possible to test
curl's -P option easier.

added more official web and download mirrors

new curlpp URL

fixed sort, mention C, the java binding is now maintained by Vic Hanson

add number to the bugs to make them easier to refer to

two known bugs

Ian Ford asked about support for the FTP command ACCT, and I discovered it is
present in RFC959... so now (lib)curl supports it as well. --ftp-account and
CURLOPT_FTP_ACCOUNT set the account string. (The server may ask for an account
string after PASS have been sent away. The client responds with "ACCT [account
string]".) Added test case 228 and 229 to verify the functionality. Updated
the test FTP server to support ACCT somewhat.

A minor "syntax error" in numerous test files corrected

new web mirror

--protocols is added in 7.13.0

David Shaw contributed a fairly complete and detailed autoconf macro you can
use to detect libcurl and setup variables for the protocols the installed
libcurl supports: docs/libcurl/libcurl.m4

Use plain structs and not typedef'ed ones in the hash and linked-list code.

two options less