cookie: fix tailmatching to prevent cross-domain leakage

Cookies set for 'example.com' could accidentaly also be sent by libcurl
to the 'bexample.com' (ie with a prefix to the first domain name).

This is a security vulnerabilty, CVE-2013-1944.

Bug: http://curl.haxx.se/docs/adv_20130412.html

Enabled MinGW sync resolver builds.

if2ip.c: fix compiler warning

Fixed lost OpenSSL output with "-t" - followup.

The previously applied patch didnt work on Windows; we cant rely
on shell commands like 'echo' since they act diffently on each
platform and each shell.
In order to keep this script platform-independent the code must
only use pure Perl.

test1217: verify parsing 257 responses with "rubbish" before path

Test 1217 verifies commit e0fb2d86c9f78, and without that change this
test fails.

FTP: handle "rubbish" in front of directory name in 257 responses

When doing PWD, there's a 257 response which apparently some servers
prefix with a comment before the path instead of after it as is
otherwise the norm.

Failing to parse this, several otherwise legitimate use cases break.

Bug: http://curl.haxx.se/mail/lib-2013-04/0113.html

Fixed ares-enabled builds with static makefiles.

Fixed lost OpenSSL output with "-t".

The OpenSSL pipe wrote to the final CA bundle file, but the encoded PEM
output wrote to a temporary file.  Consequently, the OpenSSL output was
lost when the temp file was renamed to the final file at script finish
(overwriting the final file written earlier by openssl).
Patch posted to the list by Richard Michael (rmichael edgeofthenet org).

test1216: test tailmatching cookie domains

This test is an attempt to repeat the problem YAMADA Yasuharu reported
at http://curl.haxx.se/mail/lib-2013-04/0108.html

RELEASe-NOTES: synced with 29fdb2700f797

added "tcpkeepalive on Mac OS X"

darwinssl: disable insecure ciphers by default

I noticed that aria2's SecureTransport code disables insecure ciphers such
as NULL, anonymous, IDEA, and weak-key ciphers used by SSLv3 and later.
That's a good idea, and now we do the same thing in order to prevent curl
from accessing a "secure" site that only negotiates insecure ciphersuites.

tcpkeepalive: Support CURLOPT_TCP_KEEPIDLE on OSX

MacOS X doesn't have TCP_KEEPIDLE/TCP_KEEPINTVL but only a single
TCP_KEEPALIVE (see
http://developer.apple.com/library/mac/#DOCUMENTATION/Darwin/Reference/ManPages/man4/tcp.4.html).
Here is a patch for CURLOPT_TCP_KEEPIDLE on OSX platforms.

configure: remove CURL_CHECK_FUNC_RECVFROM

1 - We don't use the results from the test and we never did. recvfrom()
is only used by the TFTP code and it has not caused any problems.

2 - the CURL_CHECK_FUNC_RECVFROM function is extremely slow

RELEASE-NOTES: Corrected duplicate NTLM memory leaks

RELEASE-NOTES: Removed trailing full stop

proxy: make ConnectionExists() check credential of proxyconnections too

Previously it only compared credentials if the requested needle
connection wasn't using a proxy. This caused NTLM authentication
failures when using proxies as the authentication code wasn't send on
the connection where the challenge arrived.

Added test 1215 to verify: NTLM server authentication through a proxy
(This is a modified copy of test 67)

RELEASE-NOTES: sync with 704a5dfca9

TODO-RELEASE: cleaned up, not really maintained lately

if2ip.c: Fixed another warning: unused parameter 'remote_scope'

cookie.c: Made cookie sort function more deterministic

Since qsort implementations vary with regards to handling the order
of similiar elements, this change makes the internal sort function
more deterministic by comparing path length first, then domain length
and finally the cookie name. Spotted with testcase 62 on Windows.

curl_schannel.c: Follow up on memory leak fix ae4558d

Revert "getpart.pm: Strip carriage returns to fix Windows support"

This reverts commit e51b23c925a2721cf7c29b2b376d3d8903cfb067.
As discussed on the mailinglist, this was not the correct approach.

http_negotiate.c: Fixed passing argument from incompatible pointer type

ftp.c: Added missing brackets around ABOR command logic

sockfilt.c: Fixed detection of client-side connection close

WINSOCK only:
Since FD_CLOSE is only signaled once, it may trigger at the same
time as FD_READ. Data actually being available makes it impossible
to detect that the connection was closed by checking that recv returns
zero. Another recv attempt could block the connection if it was
not closed. This workaround abuses exceptfds in conjunction with
readfds to signal that the connection has actually closed.

curl_schannel.c: Fixed memory leak if connection was not successful

if2ip.c: Fixed warning: unused parameter 'remote_scope'

runtests.pl: Fixed --verbose parameter passed to http_pipe.py

sockfilt.c: Reduce CPU load while running under a Windows PIPE

tftpd.c: Apply sread timeout to the whole data transfer session

getpart.pm: Strip carriage returns to fix Windows support

ftp tests: libcurl returns CURLE_FTP_ACCEPT_FAILED better now

Since commit 57aeabcc1a20f, it handles errors on the control connection
while waiting for the data connection better.

Test 591 and 592 are updated accordingly.

FTP: wait on both connections during active STOR state

When doing PORT and upload (STOR), this function needs to extract the
file descriptor for both connections so that it will respond immediately
when the server eventually connects back.

This flaw caused active connections to become unnecessary slow but they
would still often work due to the normal polling on a timeout. The bug
also would not occur if the server connected back very fast, like when
testing on local networks.

Bug: http://curl.haxx.se/bug/view.cgi?id=1183
Reported by: Daniel Theron

tftpd.c: Follow up cleanup and restore of previous sockopt

connect: treat an interface bindlocal() problem as a non-fatal error

I am using curl_easy_setopt(CURLOPT_INTERFACE, "if!something") to force
transfers to use a particular interface but the transfer fails with
CURLE_INTERFACE_FAILED, "Failed binding local connection end" if the
interface I specify has no IPv6 address. The cause is as follows:

The remote hostname resolves successfully and has an IPv6 address and an
IPv4 address.

cURL attempts to connect to the IPv6 address first.

bindlocal (in lib/connect.c) fails because Curl_if2ip cannot find an
IPv6 address on the interface.

This is a fatal error in singleipconnect()

This change will make cURL try the next IP address in the list.

Also included are two changes related to IPv6 address scope:

- Filter the choice of address in Curl_if2ip to only consider addresses
with the same scope ID as the connection address (mismatched scope for
local and remote address does not result in a working connection).

- bindlocal was ignoring the scope ID of addresses returned by
Curl_if2ip . Now it uses them.

Bug: http://curl.haxx.se/bug/view.cgi?id=1189

tftpd.c: Fixed sread timeout on Windows by setting it manually

ftp.pm: Added tskill to support Windows XP Home

runtests.pl: Modularization of MinGW/Msys compatibility functions

ftp.pm: Made Perl testsuite able to handle Windows processes

util.c: Revert workaround eeefcdf, 6eb56e7 and e3787e8

ftp.pm: Made Perl testsuite able to kill Windows processes

util.c: Follow up cleanup on eeefcdf

cpp: use #ifdef __MINGW32__ to avoid compiler complaints

... instead of just #if

util.c: Made write_pidfile write the correct PID on MinGW/Msys

This workaround fixes an issue on MinGW/Msys regarding the Perl
testsuite scripts not being able to signal or control the server
processes. The MinGW Perl runtime only sees the Msys processes and
their corresponding PIDs, but sockfilt (and other servers) wrote the
Windows PID into their PID-files. Since this PID is useless to the
testsuite, the write_pidfile function was changed to search for the
Msys PID and write that into the PID-file.

RELEASE-NOTES: synced with 5e722b2d09087

3 more bug fixes, 6 more contributors

sockfilt.c: Fixed handling of multiple fds being signaled

curl_global_init.3: improve description of CURL_GLOBAL_ALL

Reported by: Tomas Mlcoch

examples/multi-single.c: fix the order of destructions

... so that it adheres to the API documentation.

Reported by: Tomas Mlcoch

Curl_open: restore default MAXCONNECTS to 5

At some point recently we lost the default value for the easy handle's
connection cache, and this change puts it back to 5 - which is the
former default value and it is documented in the curl_easy_setopt.3 man
page.

sockfilt.c: Added wrapper functions to fix Windows console issues

The new read and write wrapper functions support reading from stdin
and writing to stdout/stderr on Windows by using the appropriate
Windows API functions and data types.

lib1509.c: fix compiler warnings

easy.c: fix compiler warning

--engine: spellfix the help message

Reported by: Fredrik Thulin

http_negotiate.c: follow-up for commit 3dcc1a9c

easy: Fix the broken CURLOPT_MAXCONNECTS option

Copy the CURLOPT_MAXCONNECTS option to CURLMOPT_MAXCONNECTS in
curl_easy_perform().

Bug: http://curl.haxx.se/bug/view.cgi?id=1212
Reported-by: Steven Gu

Updated copyright date.

Another small output fix for --help and --version.

http_negotiate.c: fix several SPNEGO memory handling issues

Added a cont to specify base64 line wrap.

Fixed version output.

Added support for --help and --version options.

Added option to specify length of base64 output.

Based on a patch posted to the list by Richard Michael.

curl_easy_setopt.3: CURLOPT_HTTPGET disables CURLOPT_UPLOAD

Curl_cookie_add: only increase numcookies for new cookies

Count up numcookies in Curl_cookie_add() only when cookie is new one

SO_SNDBUF: don't set SNDBUF for win32 versions vista or later

The Microsoft knowledge-base article
http://support.microsoft.com/kb/823764 describes how to use SNDBUF to
overcome a performance shortcoming in winsock, but it doesn't apply to
Windows Vista and later versions. If the described SNDBUF magic is
applied when running on those more recent Windows versions, it seems to
instead have the reversed effect in many cases and thus make libcurl
perform less good on those systems.

This fix thus adds a run-time version-check that does the SNDBUF magic
conditionally depending if it is deemed necessary or not.

Bug: http://curl.haxx.se/bug/view.cgi?id=1188
Reported by: Andrew Kurushin
Tested by: Christian Hägele

darwinssl: additional descriptive messages of SSL handshake errors

(This doesn't need to appear in the release notes.)

Added dns and connect time to output.

RELEASE-NOTES: synced with 0614b902136

code-policed

tcpkeepalive: support TCP_KEEPIDLE/TCP_KEEPINTVL on win32

Patch by: Robert Wruck
Bug: http://curl.haxx.se/bug/view.cgi?id=1209

BINDINGS: BBHTTP is a cocoa binding, Julia has a binding

ftp_sendquote: use PPSENDF, not FTPSENDF

The last remaining code piece that still used FTPSENDF now uses PPSENDF.
In the problematic case, a PREQUOTE series was done on a re-used
connection when Curl_pp_init() hadn't been called so it had messed up
pointers. The init call is done properly from Curl_pp_sendf() so this
change fixes this particular crash.

Bug: http://curl.haxx.se/mail/lib-2013-03/0319.html
Reported by: Sam Deane

RELEASE-NOTES: Corrected typo

multi-uv.c: remove unused variable

RELEASE-NOTES: add two references

test1509: verify proxy header response headers count

Modified sws to support and use custom CONNECT responses instead of the
previously naive hard-coded version. Made the HTTP test server able to
extract test case number from the host name in a CONNECT request by
finding the number after the last dot. It makes 'machine.moo.123' use
test case 123.

Adapted a larger amount of tests to the new <connect> style.

Bug: http://curl.haxx.se/bug/view.cgi?id=1204
Reported by: Martin Jansen

Added libuv example multi-uv.c

NTLM: fix several NTLM code paths memory leaks

WIN32 MemoryTracking: track wcsdup() _wcsdup() and _tcsdup() usage

As of 25-mar-2013 wcsdup() _wcsdup() and _tcsdup() are only used in
WIN32 specific code, so tracking of these has not been extended for
other build targets. Without this fix, memory tracking system on
WIN32 builds, when using these functions, would provide misleading
results.

In order to properly extend this support for all targets curl.h
would have to define curl_wcsdup_callback prototype and consequently
wchar_t should be visible before that in curl.h.  IOW curl_wchar_t
defined in curlbuild.h and this pulling whatever system header is
required to get wchar_t definition.

Additionally a new curl_global_init_mem() function that also receives
user defined wcsdup() callback would be required.

curl_ntlm_msgs.c: revert commit 463082bea4

reverts unreleased invalid memory leak fix

RELEASE-NOTES: synced with bc6037ed3ec02

More changes, bugfixes and contributors!

Curl_proxyCONNECT: count received headers

Proxy servers tend to add their own headers at the beginning of
responses. The size of these headers was not taken into account by
CURLINFO_HEADER_SIZE before this change.

Bug: http://curl.haxx.se/bug/view.cgi?id=1204

sasl: Corrected a few violations of the curl coding standards

Corrected some incorrectly positioned pointer variable declarations to
be "char *" rather than "char* ".

multi.c: Corrected a couple of violations of the curl coding standards

Corrected some incorrectly positioned pointer variable declarations to
be "type *" rather than "type* ".

imap-tests: Added CRLF to reply data to be compliant with RFC-822

Updated the reply data in tests: 800, 801, 802, 804 and 1321 to possess
the CRLF as per RFC-822.

multi.c: Fix compilation warning

warning: an enumerated type is mixed with another type

multi.c: fix compilation error

warning: conversion from enumeration type to different enumeration type

lib1900.c: fix compilation warning

warning: declaration of 'time' shadows a global declaration

build_vms.com: use existing curlbuild.h and parsing fix

This patch removes building curlbuild.h from the build_vms.com procedure
and uses the one in the daily or release tarball instead.

packages/vms/build_curlbuild_h.com is obsolete with this change.

Accessing the library module name "tool_main" needs different handling
when the optional extended parsing is enabled.

Tested on IA64/VMS 8.4 and VAX/VMS 7.3

darwinssl: disable ECC ciphers under Mountain Lion by default

I found out that ECC doesn't work as of OS X 10.8.3, so those ciphers are
turned off until the next point release of OS X.

FEATURES: Small tidy up for constancy and grammar

Curl_proxyCONNECT: clear 'rewindaftersend' on success

After having done a POST over a CONNECT request, the 'rewindaftersend'
boolean could be holding the previous value which could lead to badness.

This should be tested for in a new test case!

Bug: https://groups.google.com/d/msg/msysgit/B31LNftR4BI/KhRTz0iuGmUJ

TODO: Reordered the protocol and security sections

Moved SMTP, POP3, IMAP and New Protocol sections to be listed after the
other protocols (FTP, HTTP and TELNET) and SASL to be after SSL and
GnuTLS as these are all security related.

Additionally fixed numbering of the SSL and GnuTLS sections as they
weren't consecutive.

tests: specify 'text' mode for some output files in verify section

imap: Fixed incorrect initial response generation for SASL AUTHENTICATE

Fixed incorrect initial response generation for the NTLM and LOGIN SASL
authentication mechanisms when the SASL-IR was detected.

Introduced in commit: 6da7dc026c14.

FEATURES: Expanded the supported enhanced IMAP command list

TODO: Corrected typo in TOC

TODO: Added IMAP section and removed unused Other protocols section

TODO: Added graceful base64 decoding failure to SMTP and POP3

TODO: Corrected typo on section 10.2 heading