base64: Fixed compilation warnings when using Curl_base64_decode()

curl_sasl.c:294: warning: dereferencing type-punned pointer will break
strict-aliasing rules

getpart.c:201: warning: dereferencing type-punned pointer will break
strict-aliasing rules

connect: Fixed "Whut?" no server connection failures

Introduced in commit 7d7df831981fee curl would loop displaying "Whut?"
if it was trying to connect to an address and port that didn't have
anything listening on it.

http: Post base64 decoding tidy up

Renamed copy_header_value() to Curl_copy_header_value() as this
function is now non static.

Simplified proxy flag in Curl_http_input_auth() when calling
sub-functions.

Removed unnecessary white space removal when using negotiate as it had
been missed in commit cdccb422671aeb.

glob_range: pass the closing bracket for a-z ranges

Regression since commit 5ca96cb844102 (release in 7.33.0)

Reported-by: Marcin Gryszkalis

getpart: Fixed base64 encoded parts following commit e17c1b25bc33eb

http: Added proxy tunnel authentication message header value extraction

...following recent changes to Curl_base64_decode() rather than trying
to parse a header line for the authentication mechanisms which is CRLF
terminated and inline zero terminate it.

http: Added authentication message header value extraction

...following recent changes to Curl_base64_decode() rather than trying
to parse a header line for the authentication mechanisms which is CRLF
terminated and inline zero terminate it.

curl_multi_wait: accept 0 from multi_timeout() as valid timeout

The code rejected 0 as a valid timeout while in fact the function could
indeed legitimately return that and it should be respected.

Reported-by: Bjorn Stenberg

email: Corrected a couple of typos from commit aa0eaef4838ccd

TODO: Removed the 'Graceful base64 decoding failure' sections

Updated following the recent changes to support graceful failures
during the authentication phrase.

email: Post graceful SASL authentication cancellation tidy up

tests: use proper padding in NTLM responses

NSS: support for CERTINFO feature

base64: removed trailing white space

and updated copyright year

base64: Added basic validation to base64 input string when decoding

A base64 string should be a multiple of 4 characters in length, not
contain any more than 2 padding characters and only contain padding
characters at the end of string. For example: Y3VybA==

Strings such as the following are considered invalid:

Y=   - Invalid length
Y==  - Invalid length
Y=== - More than two padding characters
Y=x= - Padding character contained within string

RELEASE-NOTES: synced with 255826c40f9316

bugfix: Don't block waiting for socket1 connect.

This patch fixes a bug in Happy Eyeballs where curl would wait for a
connect response from socket1 before checking socket2.

Also, it updates error messages for failed connections, showing the ip
addresses that failed rather than just the host name repeatedly.

Bug: http://curl.haxx.se/mail/lib-2013-10/0236.html
Reported-by: Paul Marks

sasl: Updated create_digest_md5_message() to use a dynamic buffer

SECURITY: "curl security for developers"

Describes our security process from a project and curl developer's
perspective.

OS400: coding style standards

email: Added support for cancelling NTLM authentication

sasl: Removed unused variables from commit b87ba2c94217c0

email: Added support for cancelling DIGEST-MD5 authentication

email: Corrected a couple of typos from 1e39b95682781f

docs/examples/httpput.c: fix build for MSVC

"Dan Fandrich" <dan@coneharvesters.com> wrote:

>> But I'm not sure <unistd.h> is needed at all.
>
> It's needed for close(2). But the only reason that's needed is because fstat
> is used instead of stat(2); if you fix that, then you could remove that
> include altogether.

Okay. I've tested the following with MSVC and MingW. htttput.c now
simply uses stat():

email: Added support for canceling CRAM-MD5 authentication

Typo fix in trynextip().

TODO: remove "Happy Eyeball dual stack connect"

... as it was just merged in commit 7d7df

Add "Happy Eyeballs" for IPv4/IPv6.

This patch invokes two socket connect()s nearly simultaneously, and
the socket that is first connected "wins" and is subsequently used for
the connection. The other is terminated.

There is a very slight IPv4 preference, in that if both sockets connect
simultaneously IPv4 is checked first and thus will win.

email: Added initial support for cancelling authentication

Should a client application fail to decode an authentication message
received from a server, or not support any of the parameters given by
the server in the message, then the authentication phrase should be
cancelled gracefully by the client rather than simply terminating the
connection.

The authentication phrase should be cancelled by simply sending a '*'
to the server, in response to erroneous data being received, as per
RFC-3501, RFC-4954 and RFC-5034.

This patch adds the necessary state machine constants and appropriate
response handlers in order to add this functionality for the CRAM-MD5,
DIGEST-MD5 and NTLM authentication mechanisms.

email: Moved authentication message parsing into a separate function

...in preparation for upcoming modifications.

ftp: Fixed compiler warning

warning: 'result' may be used uninitialized in this function

FTP: make the data connection work when going through proxy

This is a regression since the switch to always-multi internally
c43127414d89c.

Test 1316 was modified since we now clearly call the Curl_client_write()
function when doing the LIST transfer part and then the
handler->protocol says FTP and ftpc.transfertype is 'A' which implies
text converting even though that the response is initially a HTTP
CONNECT response in this case.

tool_help: Added login options to --user description

email: Added references to SASL LOGIN authentication draft proposal

tests: Tidy up of SMTP and POP3 tests

Corrected line endings, RFC references and standardised on user names
and passwords used in the tests.

tool_help: Added clarity to the --oauth2-bearer option

...as XOAUTH2 is the extended (or non-standard) SASL identifier and
OAuth 2 is the protocol name (and version).

smtp: Fixed response code parsing for bad AUTH continuation responses

This workaround had been previously been implemented for IMAP and POP3
but not SMTP. Some of the recent test case additions implemented this
behaviour to emulate a bad server and the SMTP code didn't cope with it.

gskit.c: Code policing following commit 2cc9246477285d

Corrected 80 character line length error and pointer declarations (some
of which were previously incorrect)

test907: Corrected DIGEST-MD5 response given in commit 820ed48a0088cd

As the URI, which is contained within the DIGEST-MD5 response, is
constructed from the service and realm, the encoded message differs
from that generated under POP3.

RELEASE-NOTES: Synced with d24b7953c2132a

tests: Added SMTP OAUTH2 authentication with initial response test

tests: Added SMTP NTLM authentication with initial response test

tests: Added SMTP OAUTH2 authentication test

tests: Added SMTP DIGEST-MD5 authentication test

tests: Regrouped SMTP authentication tests

OS400: sync RPG wrapper, zlib support, fix header file names, ...
IFS compilation support, SSL GSKit backend by default, TLSv1.[12] support in
  GSKit for OS400 >= V7R1, no more tabs in make scripts.

sasl: Fixed memory leak in OAUTH2 message creation

ftpserver.pl: Added support for empty pop3 authentication data

CURLOPT_RESOLVE: mention they don't time-out

Clarify in the documentation that DNS entries added with CURLOPT_RESOLVE
won't time-out.

Bug: http://curl.haxx.se/mail/lib-2013-10/0062.html
Reported-by: Romulo Ceccon

tests: Added POP3 OAUTH2 authentication test

tests: Added empty response support to custom replies

...and fixed up test869 as DIGEST-MD transcript is as follows:

S: Challenge
C: Authentication String
S: Continue Response
C: Empty String

sasl: fix compiler warning

error: unused variable 'table16'

tests: Added POP3 DIGEST-MD5 authentication test

configure: check for long long when building with cyassl

cyassl/ctaocrypt/types.h needs SIZEOF_LONG_LONG

Reported-by: Chris Conlon

test1240: verify 867b52a7ac52 (glob ranges with text to the right)

glob: fix regression from commit 5ca96cb844

Plain strings after glob ranges/lists weren't treated correctly but
caused broken URLs to get used.

Reported-by: Javier Barroso

Adding a .travis.yml file to use the travis-ci.org

From wikipedia:

Travis CI is a hosted, distributed continuous integration service used
to build and test projects hosted at GitHub.

Travis CI is configured by adding a file named .travis.yml, which is a
YAML format text file, to the root directory of the GitHub repository.

Travis CI automatically detects when a commit has been made and pushed
to a GitHub repository that is using Travis CI, and each time this
happens, it will try to build the project and run tests. This includes
commits to all branches, not just to the master branch. When that
process has completed, it will notify a developer in the way it has been
configured to do so — for example, by sending an email containing the
test results (showing success or failure), or by posting a message on an
IRC channel. It can be configured to run the tests on a range of
different machines, with different software installed (such as older
versions of a programming language, to test for compatibility).

ssh: initialize per-handle data in ssh_connect()

... if not already initialized.  This fixes a regression introduced by
commit 4ad8e142da463ab208d5b5565e53291c8e5ef038, which caused test619
to intermittently fail on certain machines (namely Fedora build hosts).

curl.1: add missing exit-code

I noted a missing text for exit-code 89 in docs/curl.1

cmake: unbreak for non-Windows platforms

Patch-by: Oliver Kuckertz
Bug: http://curl.haxx.se/bug/view.cgi?id=1292

ftpserver.pl: Fixed syntax error from commit 5b31b38c27bb7a

test866: Fixed user response from commit 7f7fbe7fbdb449

ftpserver.pl: Fixed processing of POP3 authentication strings

...and corrected response when check fails from 500 to -ERR.

tests: Added POP3 NTLM authentication test

tests: Added POP3 CRAM-MD5 authentication test

tests: Added POP3 login authentication test

tests: Added POP3 plain authentication test

tests: Added POP3 APOP authentication test

ftpserver.pl: Added support for APOP POP3 authentication

tests: Added POP3 RSET test

RELEASE-NOTES: Synced with ce61510127ea60

email: Fixed QUIT / LOGOUT being sent when SSL connect fails

curl_sasl: initialize NSS before using crypto

SSL: Follow up work to commits 6a1363128f1107 and 87861c9b0e8155

Changed the failure code when TLS v1.1 and v1.2 is requested but not
supported by older OpenSSL versions, following review from libcurl
peers, and reduced the number of required preprocessor if statements.

SSL: Added unsupported cipher version check for OpenSSL

...with the use of CURL_SSLVERSION_TLSv1_1 and CURL_SSLVERSION_TLSv1_2
being conditional on OpenSSL v1.0.1 as the appropriate flags are not
supported under earlier versions.

DOCS: Added libcurl version number to CURLOPT_SSLVERSION

SSL: Corrected version number for new symbols from commit ad34a2d5c87c7f

SSL: Corrected typo from commit 87861c9b0e8155

SSL: Fixed OpenSSL builds prior to v1.0.1

Commit ad34a2d5c87c7f relies on definitions that are only present in
OpenSSL v1.0.1 and up. This quick fix allows the builds that use
older versions of OpenSSL to continue building.

test906: Fixed failing test on some platforms

Bug: http://sourceforge.net/p/curl/bugs/1291
Reported-by: David Walser

NSS: acknowledge the --no-sessionid/CURLOPT_SSL_SESSIONID_CACHE option

ssh: Handle successful SSH_USERAUTH_NONE

According to the documentation for libssh2_userauth_list(), a NULL
return value is not necessarily an error. You must call
libssh2_userauth_authenticated() to determine if the SSH_USERAUTH_NONE
request was successful.

This fixes a segv when using sftp on a server that allows logins with an
empty password. When NULL was interpreted as an error, it would
free the session but not flag an error since the libssh2 errno would be
clear. This resulted in dereferencing a NULL session pointer.

Signed-off-by: Tyler Hall <tylerwhall@gmail.com>

usercertinmem: fix memory leaks

build: distribute and install libcurl.m4 by default

tool: use XFERFUNCTION to save some casts

curl.1: fix typo conjuction -> conjunction

curl: document the new --tlsv1.[012] options

SSL: protocol version can be specified more precisely

CURL_SSLVERSION_TLSv1_0, CURL_SSLVERSION_TLSv1_1,
CURL_SSLVERSION_TLSv1_2 enum values are added to force exact TLS version
(CURL_SSLVERSION_TLSv1 means TLS 1.x).

axTLS:
axTLS only supports TLS 1.0 and 1.1 but it cannot be set that only one
of these should be used, so we don't allow the new enum values.

darwinssl:
Added support for the new enum values.

SChannel:
Added support for the new enum values.

CyaSSL:
Added support for the new enum values.
Bug: The original CURL_SSLVERSION_TLSv1 value enables only TLS 1.0 (it
did the same before this commit), because CyaSSL cannot be configured to
use TLS 1.0-1.2.

GSKit:
GSKit doesn't seem to support TLS 1.1 and TLS 1.2, so we do not allow
those values.
Bugfix: There was a typo that caused wrong SSL versions to be passed to
GSKit.

NSS:
TLS minor version cannot be set, so we don't allow the new enum values.

QsoSSL:
TLS minor version cannot be set, so we don't allow the new enum values.

OpenSSL:
Added support for the new enum values.
Bugfix: The original CURL_SSLVERSION_TLSv1 value enabled only TLS 1.0,
now it enables 1.0-1.2.

Command-line tool:
Added command line options for the new values.

darwinssl: un-break iOS build after PKCS#12 feature added

SecPKCS12Import() returns a few errors that are enumerated in OS X's
headers but not in iOS' headers for some reason.

bump: start working on 7.33.1

THANKS: added contributors from the 7.33.0 announcement

RELEASE-NOTES: synced with 92cf6141ed0de

curl: fix --oauth2-bearer in the --help output

After the option rename in 5df04bfafd1

OpenSSL: improve the grammar of the language in 39beaa5ffbcc

Reported-by: Petr Pisar

OpenSSL: use failf() when subjectAltName mismatches

Write to CURLOPT_ERRORBUFFER information about mismatch alternative
certificate subject names.

Signed-off-by: Andrej E Baranov <admin@andrej-andb.ru>

curl: rename --bearer to --oauth2-bearer

The option '--bearer' might be slightly ambiguous in name. It doesn't
create any conflict that I am aware of at the moment, however, OAUTH v2
is not the only authentication mechanism which uses "bearer" tokens.

Reported-by: Kyle L. Huff
URL: http://curl.haxx.se/mail/lib-2013-10/0064.html

ssh: improve the logic for detecting blocking direction

This fixes a regression introduced by commit 0feeab78 limiting the speed
of SCP upload to 16384 B/s on a fast connection (such as localhost).

Fixed typo in Makefile.inc that left http2.h out of the tar ball

minor fix in doc