New "Debian release" 21.1-0ab2

Debian: Don't adjust path names that are correct by default

(cherry picked from commit f5944a17e44b1acd642aaeaf1ad551e3b0074fb5)

Debian: Correctly set and use "docdir"

(cherry picked from commit 06920df4bb88260aba7d5bf1c2000d2e521bab3e)

ngIRCd Release 21.1

Use server password when PAM is compiled in but disabled

(cherry picked from commit 485d0aec813db9966922f17aae044df2d82b0b67)

Conflicts:
src/ngircd/conf.c

doc/Platforms.txt: Update from master branch

Spoofed prefixes: Really kill connection on non-server links

This fixes commit 6cbe1308 which only killed the connection when the
spoofed prefix itself belonged to a non-server client.

(cherry picked from commit 5009ab3e8c5a6fe7db5c5ad1d3fdc8aecfc64b55)

Fix two K&R C portability issues

Fix the following two errors emitted by the Apple K&R C compiler
on Apple A/UX:

"./class.c", line 47: no automatic aggregate initialization
"./class.c", line 47: illegal lhs of assignment operator

"./conf.c", line 1052: syntax error

Tested on A/UX 3.1.1.

(cherry picked from commit a4ed90ba9af1dce4df3f57f6a7c84097000c7256)

CHARCONV: Fix handling conversion errors

Don't overwrite already converted text!

(cherry picked from commit abf280d5bd5648817135c487a19941b2ef4b0701)

Services.txt: Update information for Anope 2.x

(cherry picked from commit 755562d1477ed28e4e793fb42fa0cc0b295ea1b5)

Correctly use cloaked IRC masks on "INVITE nickname"

The cloaked IRC mask of a user is his visible mask, so the daemon has
to use it for generating the "one time" entries for the invite list of
the given channel.

Without this patch, ngIRCd records the real IRC mask which will never
match while the target client is "+x", and even worse, will disclose
the real mask on "MODE #channel +I" commands :-/

Bug reported by Cahata on #ngircd, thanks!

(cherry picked from commit 20b52fe33dc3387d50790ed6da8c47c34277527a)

configure: Only link "contrib/Debian" if it exists

This isn't the case on "VPATH builds", for example.

(cherry picked from commit 14a84dfca57efeb744aa6219ca7776dc629871b7)

Use $(MKDIR_P) instead of $(mkinstalldirs) in Makefile's

And test for "mkdir -p" using AC_PROG_MKDIR_P in "configure".

(cherry picked from commit 90062111f7fd3be5941d94781470b391bebfccaa)

Fix configure script and "make check" for TCP Wrappers

Add missing #include's and static variables.

Problem spotted on OpenBSD.

(cherry picked from commit e747fe92775f577a38f8dd681f7a58f751348f5e)

Conflicts:
configure.ng
src/portab/portabtest.c

Add libwrap at the end of the configure run

If libwrap becomes added earlier, other tests may fail because of not all
external variables required by libwrap are available when linking: for
example allow_severity and deny_severity.

This patch adds generic support for the LDFLAGS_END and LIBS_END variables
(CFLAGS_END has been implemented already).

Problem spotted on OpenBSD.

(cherry picked from commit 0f85c4c6a70a71c935af9c28e2c469ea4b66220a)

Conflicts:
configure.ng

platformtest.sh: don't use "test -e", it isn't portable

(cherry picked from commit e2b85ccde360ccc389afb0af12d5d75f0549f666)

Makefile.am: don't use "test -e", it isn't portable

(cherry picked from commit 7b358a57acfbb6e70f7c63d796b1e45e86431d1f)

Update Copyright notices for 2014

(cherry picked from commit 788da901ee3fa525a38dc99016d2612f6b945352)

Fix permanent k/gline

Reported by Toni Spets (hifi - at - jnz - dot - fi).

(cherry picked from commit 9230f2fff1d374ecef93dafeb14099f22c9ef787)

WEBIRC: Don't respect hostname when DNS is disabled

When DNS lookups are disabled, don't set the hostname received by the
WEBIRC command, but use the IP address instead.

Reported by Toni Spets <toni.spets@iki.fi>, thanks!

Closes bug #167.

(cherry picked from commit 1a628fff51fcfddde391e6c0f27686835e1b6d2e)

OS X has a working getaddrinfo() implementation

(cherry picked from commit bd33bd770decd470577487fa4bd399cb1d8426fc)

Check for working getaddrinfo() function

At least AIX 4.3.3 and 5.1 have a broken implementation of getaddrinfo()
which doesn't handle "0" as numeric service correctly. This patch adds
a configure check for this case and changes all calling functions to only
use getaddrinfo() if it "works".

See <http://www.stacken.kth.se/lists/heimdal-discuss/2004-05/msg00059.html>

(cherry picked from commit b8433e9261c516d7b8743b33681050b6666192e5)

Conflicts:
configure.ng

Only use unsetenv() when it is available

AIX 4.3 dosn't support it, for example.

(cherry picked from commit ae00c100acdb4d2d3f99524d30258d07eefcfb6d)

conf-ssl.h: make code compatible with pre-ANSI C compilers

(cherry picked from commit 61d1c864c55291c1f5f81f284e984b044fe2722f)

vsnprintf.c: make code compatible with ansi2knr tool

(cherry picked from commit 8d25044ce515e25f453d22426c484a11d00af0f1)

Remove wrong #ifdef in Option_String()

This fixes the following error when compiling without zlib support:

  irc.c: In function ‘Option_String’:
  irc.c:487: error: ‘options’ undeclared (first use in this function)

Reported by "der_baer" on #ngircd.

(cherry picked from commit 4ab688c5e82281c4d9ad2a4498523b1722c1f738)

ngIRCd Release 21

doc/Platforms.txt: add Mac OS X 10.6.8

Update doc/Platforms.txt

ngircd.init: Make sure no stale PID file is left over

platformtest.sh/Platforms.txt: allow user names up to 8 characters

Check and call arc4random_stir() if present

FreeBSD prior to 10.0 does not automatically stir on fork(). Same with
current NetBSD. If arc4random_stir() is present assume is needed and
call it instead of srand().

Debian: Fix sed(1) rules adjusting "ngircd-full" package

Error introduced by last commit :-/

Debian: Fix default "HelpFile" file name in ngircd.conf

The "full" package variants must use "/usr/share/doc/ngircd-full/Commands.txt"
and "/usr/share/doc/ngircd-full-dbg/Commands.txt" respectively.

ngIRCd Release 21~rc2

platformtest.sh: Detect clang compilers

Add support for longer config lines

With the introduction of CipherList we could have longer config lines.
Handle up to 1024 bytes and warn if the line will be truncated.

Report the correct file on error

doc/Platforms.txt: Add Open64 and tcc C compilers on Linux

Thanks to Götz Hoffart!

platformtest.sh: Detect tcc compiler

Add support for arc4random

If arc4random is present it will be used over the srand/rand interface.
This fixes some warnings in OpenBSD-current.

Fix another strcat warning missed in commit 4c5b43

platformtest.sh: Clean up GIT source tree, when possible

platformtest.sh: Detect Apple LLVM (clang) compiler

Update (date of) manual pages

ChnageLog file: even more spelling fixes ...

INSTALL file: Update "Upgrade Information"

Fix spelling in NEWS and ChangeLog files

ngircd.c, main(): use strlcat() instead of strcat()

This fixes the following warning on OpenBSD 5.3:

 ngircd.o(.text+0xeb4): In function `main':
  src/ngircd/ngircd.c:300: warning: strcat() is almost always misused,
                                    please use strlcat()

Thanks to Götz Hoffart for reporting this!

ngIRCd Release 21~rc1

Update NEWS and ChangeLog files

Actually KILL clients on GLINE/KLINE

Kill all clients that match a new GLINE/KLINE mask and genrate apropriate
KILL commands. These KILL commands can be superfluous, but are required
when the IRC Operator isn't allowd to set remote G-Lines or if there are
older servers in the network that don't kill clients on GLINE/KLINE.

Closes bug #156.

Don't forward KILL commands for unknown clients

New function IRC_KillClient() to kill clients

The old local function Kill_Nick() in irc.c has been an ugly hack. This
patch implements a generic function for killing clients.

Adjust all callers of Kill_Nick() and respect the return code!

Adjust log messages for invalid and spoofed prefixes

Now invalid prefixes aren't logged no more when originating from an other
server (besides in debug mode), and spoofed prefixes are correctly logged
using LOG_WARNING (from an other server) or LOG_ERR (from a client) levels.

In addition, the log message texts have been adjusted to better reflect
what will happen: commands with invalid prefixes are ignored and logged,
commands with spoofed prefixes will result in the client being disconncted
(regular users) or the command being ignored (other servers).

This cleans up logging of commands related to already KILL'ed clients.

Remove CLIENT.oper_by_my, Client_SetOperByMe() and Client_OperByMe()

All places where Client_OperByMe() is used can either be converted to
Client_HasMode(Client, 'o') or Op_Check().

And Op_Check() itself can use the connection handle for deciding whether
the IRC Operator is a local user or not.

Add support to show user links using "STATS L"

Change "stats L" to show servers and user links and restrict it to
IRC Operators.

Log an error (not info) when working directory can't be changed

doc/PAM.txt: add a slightly more useful example

Change the certificate fingerprint digest to sha256

While here correct some indentation.

Change cipher defaults

Switch cipher defaults to HIGH:!aNULL:@STRENGTH (OpenSSL) or
SECURE128 (GnuTLS).

Merge remote-tracking branch 'alex/bug162-SSLCipherList'

* alex/bug162-SSLCipherList:
  Cipher list selection for GnuTLS
  ConnSSL_Init_SSL(): correctly set CONN_SSL flag
  Cipher list selection for OpenSSL
  ConnSSL_InitLibrary(): Code cleanup

Fix server reconnection

In some error cases conn_id will be left as SERVER_WAIT and
subsequently ignored in Check_Servers(). Ensure conn_id is set to
NONE before returning from New_Server() if we couldn't establish
the connection.

Prompted by a report from gabrielgi-at-gmail-dot-com.

Don't ignore SSL-related errors during startup

Without this patch, ngIRCd ignores SSL-related messages and continues
to start up but only listens on plain text communication ports -- and
this most probably isn't what the administrator wanted ...

Closes bug #163.

Cipher list selection for GnuTLS

This patch implements the missing functionality for cipher list selection
using GnuTLS (our OpenSSL code has this already).

ConnSSL_Init_SSL(): correctly set CONN_SSL flag

The CONN_SSL flag must be set before any calls to ConnSSL_Free()!

Cipher list selection for OpenSSL

This patch introduces the possibility to arbitrarily select ciphers which
should be promoted resp. declined when establishing a SSL connection
with a client by implementing the new configuration option "CipherList".

By default, OpenSSL would accept low and medium strength and RC-4 ciphers,
which nowadays are known to be broken.

This patch only implements the feature for OpenSSL. A GnuTLS counterpart
has to be implemented in another patch ...

Original patch by Bastian <bastian-ngircd@t6l.de>.

Closes bug #162.

ConnSSL_InitLibrary(): Code cleanup

TRACE: fix error message when there are too many parameters

ircd 2.11 ignores additional parameters silently, but I don't think
that this is the correct behaviour either ...

IRC_SetPenalty(): Code cleanup

Add more penalty times

Ensure before every numeric 461 there is a call to IRC_SetPenalty().

Rework check for number of parameters

Move most of the checks that return numeric 461 into Handle_Request().

Reorder checks

Move oper and Conf_MorePrivacy checks after checking the number of
parameters.

Move the IRC_SetPenalty() call after the asserts

Correct numeric returned by whois

As per RFC whois should return 431 if no nick is provided.  While
here convert upper check to use irc-macros. As a bonus we get to set
the penalty for free.

Minor cosmetic change

Add a define to indicate any client.  While I'm here use hex values
instead of decimal, it's somewhat clearer that they could be OR'ed
together.

Commands.txt: Document proprietary DIE <message> parameter

getpid.sh: use /bin/pidof when available

Don't enforce channel types for other servers

The configuration option "AllowedChannelTypes" must only be enforced for
regular clients and not for remote servers. Channels created by other
servres are always allowed, because they already exist and the daemon
must stay in sync with the network.

Only log "IDENT ... no result" when IDENT was looked up

Without this patch, ngIRCd logged the "IDENT lookup for connection X:
no result"-message even when IDENT lookups have been disabled using the
"Ident = no" configuration option, which is a little bit misleading.

Reported by "btwe" in #ngircd.

ngircd: use setgid/setuid errno value in error path

Need to use saved errno value as strerror argument, else you
get bogus output ('success') in the log message.

Show connection flag "s" (SSL) in RPL_TRACE{LINK|SERVER}

Now you can check if a server-to-server link is SSL-encrypted or not
using the IRC "TRACE" command.

Idea by Götz Hoffart, thanks!

Change away to be allocated dynamically

Ignore "operation not permitted" while dropping groups

Without this exception, you can't start ngIRCd as user any more,
it is analog to setting the user and group ID.

ngircd: discard supplementary group ids on startup

The intention was to switch to JUST uid:gid, but setgid is not
sufficient.

Reported-by: Michael Scherer <misc@zarb.org>

Xcode: update project settings for Xcode 5

Merge branch 'bug159-WebircIPA'

* bug159-WebircIPA:
  Introduce Free_Client() function to free CLIENT structure
  Save client IP address text for "WebIRC" users

Introduce Free_Client() function to free CLIENT structure

Save client IP address text for "WebIRC" users

This patch introduces a new field in the CLIENT structure, "ipa_text",
which points to an optional textual representation of the client IP
address (or NULL) which can be used to store the "real" IP address
information of a client using the "WEBIRC" protocol.

Without this patch, ngIRCd ignored the <ip-address> paramater ...

In addition, the functions Client_SetIPAText() and Client_IPAText()
have been introduced to set and get the textual representation of the
client IP address.

Client_IPAText() can be used even when no "IP address text" has been
set before, it then returns the real IP address of the connection.

Closes bug #159.

Implement new configuration option "DefaultUserModes"

The new configuration option "DefaultUserModes" lists user modes that
become automatically set on new local clients right after login.

Please note that only modes can be set that the client could set on
itself, you can't set "a" (away) or "o" (IRC Op), for example! User
modes "i" (invisible) or "x" (cloaked) etc. are "interesting", though.

Default: set no modes (like without this patch).

Closes bug #160.

Change strdup() to strndup()

private strndup() implementation in case libc does not provide it

Cosmetic changes to METADATA

Update certfp and sort entries.

Silence warning

Cast the result of the operation to long, not the time(NULL) call.
On systems where sizeof(time_t) is other than long this will produce
a warning.

Plug memory leak

Implement account login support

This is done via the `accountname' METADATA command and used to
automatically identify users after netsplits or across service
restarts.

Fix spelling

ngIRCd Release 20.3

(cherry picked from commit bb6e2779636aa6d74bbff474880829f0183a3c94)

Conflicts:
ChangeLog
NEWS

Correctly handle return code of Handle_Write()

There have been code paths that ignored the return code of Handle_Write()
when sending "notice auth" messages to new clients connecting to the
server. But because Handle_Write() would have closed the client connection
again if an error occurred, this would have resulted in new errors and
assert()'s later on that could have crashed the server (denial of service).

Only setups having the configuration option "NoticeAuth" enabled are
affected, which is not the default.

CVE-2013-5580.

Enhance log messages on "recursive" connection errors