Switch to TLS_method

This ensures server linking uses the latest available TLS version, not
just TLSv1.

Taken partly from
https://github.com/charybdis-ircd/charybdis/commit/73470f0b3c0b3dc8ecce6823a9d2d630ccca76bb
probably could do with a few more backports, but this makes things work
again.

Awful hack to workaround OpenSSL 1.1 + TLS 1.3 issues

Fix to build against OpenSSL 1.1, plus siginfo_t for recent Linux

Load SSL extban module

Merge branch 'security-fix' into blitzed

m_capab: fix a possible remote crash triggered by the CAPAB parsing code.

Another blitzed default

Merge Blitzed defaults

Added tag charybdis-3.3.0 for changeset 55f974346090

Autoreconf.

Added tag charybdis-3.3.0 for changeset c941077f6d84

Charybdis 3.3.0.

Update NEWS.

Example configuration: Set the default TLS port to 6697.

mkpasswd: Default to MD5-based crypt instead of SHA-based.

We have own code for MD5-based crypt and can therefore
support this even if the OS does not. The SHA-based crypts
are not ubiquitous yet.

mkpasswd: Default to SHA512 instead of inherently insecure DES.

Show the services login name in WHOWAS.

The numeric is the same (330) as used in WHOIS.

This takes at most half a megabyte of memory (large network, 30 char nicks).

Move RPL_WHOISLOGGEDIN to sendto_one_numeric().

Note that can_join() is not remote-user safe.

Provide an error message when a user does /quote ban.

Add target change for channels.

This has a separate enabling option channel::channel_target_change.

It applies to PRIVMSG, NOTICE and TOPIC by unvoiced unopped non-opers.

The same slots are used for channels and users.

Add initial pass at 3.3.x NEWS

Send only one ERR_MLOCKRESTRICTED per MODE command.

This agrees with other error messages from MODE.

Change ERR_MLOCKRESTRICTED to 742 as 735-739 seem for MONITOR extensions.

Remove redundant MyClient check, it is already checked above.

Merge backout of 8939a7e03d15

Backed out changeset 8939a7e03d15

The code behind this capability was never implemented, and subsequent
discussions have agreed to approach the problem differently. There seems no
reason to continue advertising a capability that does nothing.

Most of this was out of date too.

Clean up documentation.

Enforce TS rules on MLOCKs.

Send numeric 735 on MLOCK policy-restricted mode changes that are ignored.

Add ERR_MLOCKRESTRICTED (735) to reflect bounces caused by MLOCK.

Kill unsupported modules directory.

Change oper-up message.

Tweak auto-accept:
* does not apply to NOTICE (as those may well be automated)
* mirrors +g behaviour so that no useless accept entries are added for services
* respects max_accept, if it would be exceeded the message is dropped with numeric 494
* check moved up so this is checked before floodcount/tgchange

Stop griefing through taunting while hiding behind CALLERID.
This shouldn't provide any way for a client to get on a CALLERID list
without authorization, as if a client is +g already, a CTCP request, for
example, won't be replied to.

strip_colour(): strip ASCII 29 (mIRC 7 italics).

Propagate changed away messages to other servers,
even if the away status did not change.

Make number_per_ident actually apply to unidented connections as well,
as documented in reference.conf.

Noticed by: spb

Fix memory leaks in PASS command, both in normal and repeated use.

dline help: add oper reason, clarify temps, add ON <server>.

Add help/opers/extban for users and opers.

Automated merge with ssh://hg.atheme.org//hg/charybdis

Recommend EFNet's RBL instead of DroneBL due to trustworthiness issues.
(StaticBox policy change as of May 14, 2010.)

openssl: Avoid cutting off OpenSSL errors at 119 chars.

ERR_error_string() is just broken, as it returns at most 119 chars
which means error messages are frequently truncated.
Allow for 511 chars using ERR_error_string_n().

openssl: Avoid cutting off OpenSSL errors at 119 chars.

ERR_error_string() is just broken, as it returns at most 119 chars
which means error messages are frequently truncated.
Allow for 511 chars using ERR_error_string_n().

Update MLOCK protocol documentation to match changes in code

Branch merge

Backed out changeset c57955c5225e

Now that MLOCK is no longer stored as a struct Mode, this is unnecessary.

Fix compiler warning

Allow the final parameter of MLOCK to be empty, to remove an existing mlock

Branch merge

Rework ircd-side MLOCK enforcement: instead of trying to track modes locked on or off, instead keep a simple list of mode letters that are locked, and reject any change to those modes.

Improve technical documentation of BAN protocol.

Fix crash if identify_service/identify_command were not specified in ircd.conf.

Do not allow a topic change if a user may not send to the channel
(resv, cmode +m, cmode +b, cmode +q, etc.).

This is only checked for local users.

For optimal compatibility, a failure for this reason still
returns ERR_CHANOPRIVSNEEDED.

Side effect: normal users cannot change topics of resv'ed
channels, even if they have ops, just like they already
cannot send messages. This only matters if resv_forcepart
is disabled, as the user would have been removed from the
channel otherwise.

Automated merge with ssh://hg.atheme.org//hg/charybdis

Hook up source-account-hostmask client protocol extension.

Change config option for ident_timeout to default_ident_timeout as jilles
recommended.

Add a configuration option for ident_timeout.

New custom channel mode API allowing reloading such modules.
Additionally, attempting to use too many modes or two times
the same letter is now detected and prevented.

Modules now request that a channel mode be added/orphaned,
instead of ugly manipulation from which that request had
to be guessed.

Slight changes are needed to modules that provide channel modes.
From the old API, one important function has been made static,
the other important function has been renamed, so loading old
modules should fail safely.

Add help for MODRELOAD.

Fix various compiler warnings.

Restore snotes, logs for UNRESV nick.

This bug was introduced when adding bandb.

Add propagated resvs, like klines and xlines.

XLINE: Do not cluster unxlines ON specific servers.

This bug was introduced with BAN support for XLINE.

Remove unused variable.

BAN: xlines do not have oper reasons, their "reason" is already oper only.

Add propagated xlines, like klines.

Fix a signedness comparison warning.

Add option general::use_propagated_bans to allow disabling new KLINE.

If this option is yes (default), KLINE by itself sets global (propagated) bans.
If this option is no, KLINE by itself sets a local kline following cluster{},
compatible with 3.2 and older versions.

chm_simple(): enforce MLOCK

Add propagation of MLOCK state for simple modes.
Special modes like +j can be tracked easily just by adding the necessary
code to parse them to set_channel_mlock().  This will cover propagation
as well.

Fix order on channel_mlock() call.

Fix typo.

Add MLOCK message to netjoin burst.

Add MLOCK capability token.

Rename channel_modes() to channel_modes_real(), and use macros to build both the mode list, and the mlock list.

Add syntax description of MLOCK message to ts6-protocol.txt.

struct Channel: add mode_lock structure to the channel object.

struct Mode: add off_mode bitfield to describe disabled channel modes.

Correct 325 (RPL_CHANNELMLOCKIS) numeric.

Add RPL_CHANNELMLOCKIS for ircd-side MLOCK enforcement.

Automated merge with ssh://hg.atheme.org//hg/charybdis

Fix construction of the channel mode vector table.
This fixes chm_* modules and should be backported to ircd-seven and charybdis 3.2.

Document BAN message.

Update CREDITS.

Show d/kline setter to opers in stats/testline.

Hgignore some generated files.

Avoid crash if get_oper_name() somehow gave no {} for local oper.

BAN: Reject bans with insufficient non-wildcard characters.

Such bans are not applied locally, but are propagated normally.
They can only be removed on a server that applies them.

Note that normally KLINE will not accept such bans.
This is mainly for services, differing min_wildcard and
ircd changes.

Add /stats g to show propagated (global) klines.

Among bans with the same creation time, prefer the one with longest lifetime.

BAN: Avoid fake direction.

Remove +/- from the BAN message, instead indicating unban with duration=0.

A kline must now last at least one second since its creation time.

Also add better logic for bans that have already expired
when they come in.

Use memmove instead of memcpy where there is overlap (modunload).

Add propagated klines.

A KLINE command without the ON clause now sets a propagated
("global") ban. KLINE commands with the ON clause work as
before.

Propagated klines can only be removed with an UNKLINE command
without the ON clause, and this removes them everywhere.
In fact, they remain in a deactivated state until the latest
expiry ever used for the mask has passed.

Propagated klines are part of the netburst using a new BAN
message and capab. If such a burst has an effect, both the
server name and the original oper are shown in the server
notice.

No checks whatsoever are done on bursted klines at this time.

The system should be extended to XLINE and RESV later.

There is currently no way to list propagated klines,
but TESTLINE works normally.

kline: Fix oper reasons.

Fix --disable-balloc.

libratbox r26769

Skip propagated bans in rehash txlines/tresvs.