Add documentation for extensions/filter

extensions/extb_extgecos: Fix breakage

This commit returns $x's old behavior as long as the mask does not
contain a #, otherwise it uses the new behavior that supports
CIDR notation.

This fixes `$x:*badword*` not matching realnames containing "badword".

Clarify messages when auspex users have hidden their own idle times

Co-authored-by: Doug Freed <redacted>

prioritise telling opers that a auspexed target is +I

show opers a reasonable message when auspex allows them to see idle time

Add ACCOUNTEXTBAN ISUPPORT token

To support the draft IRCv3 spec: https://github.com/ircv3/ircv3-specifications/pull/464

modules: quietly succeed at loading a module if already loaded

This allows explicitly loading a module in the config so it's available
for later config items that might need it, and skips the double load
when main loads all modules, which would cause errors

modules: clear module list and mod paths in init

If main is called more than once (like in tests), everything is
reinitialized except the loaded module list and module paths, so clear
them too so that modules are loaded again and the path list is correct.

support RSFNC indicating type of FNC (e.g. FORCE vs REGAIN) (#406)

extensions/extb_extgecos: support CIDR masks in $x extbans (#414)

This allows a channel operator to set a channel ban such as
"$x:*!*@192.0.2.0/24#*web.libera.chat*" and have it function
as intended.

Closes solanum-ircd/solanum#26

Add extban type for unidentified connections (#411)

* Add extension extb_guest

This module provides an extban type that acts as a normal ban but
only matches unidentified users.

* Document extban g in help/opers/extban

* extensions/extb_guest: support CIDR masks in $g extbans

This allows a channel operator to set a channel ban such as
"$g:*!*@192.0.2.0/24#*web.libera.chat*" and have it function
as intended.

---------

Co-authored-by: Aaron Jones <redacted>

Warn opers about unresponsive servers

Sort reps in CREDITS case insensitive alphabetically

Replace libera reps with amdj and spb

reference.conf: document `hide_opers`

m_shedding: user shedding module based on oftc-hybrid

doc/connecting-servers: update example atheme protocol module

Atheme has had a protocol module designed specifically for Solanum for some time now that includes proper support for new IRCd features.

Add "automake" and "libtool" to the list of packages required for building

chmode: convert bants to a proper serial

This way it increments for every change. It need not be a timestamp, as
its actual value is not important.

This fixes an issue where a ban could be set, hit, and cleared all in
the same second, and the affected client would still be cached as banned
because the bants hadn't actually changed.

um_callerid: increase hook priority to restore +Rg behavior

Before splitting things out into hooks, umode +Rg would only notify the
recipient if the sender satisfied +R. This restores that behavior by
making the +g hook happen after +R.

ircd/authproc.c: avoid crash on lack of any configured DNSBLs

Fixes fbc97166a6e455f5cccf
Closes #396

help/opers/: add HELP entry for DEHELPER

authd: fix crash/restart breaking DNSBL lookups (#394)

authd child processes are only told about configured DNSBLs when the
configuration is being parsed.

This is bad, because when authd crashes or is killed, IRCd will restart
it, but will not tell it about any configured DNSBLs until IRCd is next
rehashed.

We already have a dictionary that stores configured DNSBLs (for hit
statistics for `STATS n'), so store the additional needed fields in
that structure, and loop over that dictionary's entries when authd is
restarted, sending the fields just as if the configuration were being
reloaded.

Reported-By: @Unit193

strip_colour: Strip '\x11' (monospace) and '\x1e' (strikethrough)

Also clarify the comment: this function strips more than just colours.

send RPL_LOGGEDIN to target_p upon ENCAP SU (#308)

Remove the unused COMPRESSED flag and stats handler

- Null "compress" handler left as-is in newconf.c

Don't crash on receiving GRANT from a server

ssld: Remove unused zlib_ok variable

SET SPANNUM: Fix incorrect > 0 check to be >= 0

CHGHOST when only case changes (#384)

timeout_dead_authd_clients(): fix memory leak and order of operations (#385)

Ensure we deallocate the nodes created by the first loop, and zero out
the authd data after removing them from the authd clients dict.

The authd_abort_client() function already does the latter, so just call
that instead of authd_free_client().

Make auto-accept on message conditional on oper:always_message, not oper:general. This updates the test to match current behaviour of +g

Note that messages caught in +g/+G are discarded

ircd.conf.example: reference.conf: fix invalid line wrapping

extensions/umode_hide_idle_time: mask times for hidden sources (#373)

If the user performing a WHOIS has hidden their idle time (is umode +I),
also prevent them from seeing other user's idle times, even if said users
are not themselves umode +I.

Suggested-by: @Unit193

librb/helper: pass our fd limit to the child

Instead of arbitrarily limiting it to 256.  This avoids an issue with
busy authds "running out" of fds because librb says no more.

Unify helper snotes and make netwide.

m_sasl: Remove implicit abort on registration

This doesn't make sense in a world where post-registration SASL is
allowed, and should fix one case of an annoying login desync that's seen
in the real world.

Specifically, when a client sends its final AUTHENTICATE and Atheme
receives it, it sends an SVSLOGIN for that client. If the client sends
us its CAP END *before* we see the SVSLOGIN, the implicit abort will try
to abort the SASL session that's already succeeded.

Atheme interprets this as an instruction to forget about the successful
SASL session; you'll connect unidentified. But it's already sent
SVSLOGIN, which will log the client in ircd-side, causing ircd and
services views to differ until the user authenticates again manually.

I think allowing a SASL session to be aborted when it has already
succeeded is an Atheme bug, and it can still be triggered without this
change. But our behaviour here seems silly anyway.

make some authd warnings L_NETWIDE

help/cmode: correct chm_regmsg help

chm_regmsg: fix typo in description

add help for `chm_regmsg`

Make +R play nicely with +z

Add semicolon to fix a compile error in librb/src/arc4random.c

Add oper:free_target (#374)

Co-authored-by: Ed Kellett <redacted>

remove old reference to the unsupported directory

the unsupported directory was removed by charybdis a while ago

Add umode +I to allow users to hide their idle time (#220)

Remove missed Winsock2 check

Remove ancient portability code (#361)

Remove portability code for systems that don't follow at least SUSv3.
This fairly closely aligns with ISO C99, which solanum already requires.

OpenSSL 3.0 compatibility

Edited by @aaronmdjones:

- Correct some data types and casts

- Minor style fixups (e.g. we put * on the variable name not the type)

- librb/src/openssl.c:

  - Defer call of BIO_free(3ssl) to the end of the conditional block
    to avoid having calls to it in multiple paths

  - Check the return value of SSL_CTX_set0_tmp_dh_pkey(3ssl) because if
    it fails then we must use EVP_PKEY_free(3ssl) to avoid a memory leak

    This could fail if, for example, the user supplied DSA parameters
    in the DH parameters file instead.

- ircd/newconf.c:

  - Check whether OSSL_DECODER_CTX_new_for_pkey(3ssl) was able to parse
    the given CHALLANGE public key as a valid RSA public key, and then
    check whether OSSL_DECODER_from_bio(3ssl) actually loads it
    successfully

- ircd/s_newconf.c:

  - Use EVP_PKEY_free(3ssl) instead of OPENSSL_free(3ssl) on EVP_PKEY
    pointers; this will avoid inadvertent memory leaks if the EVP_PKEY
    structure contains any dynamically-allocated child members

- modules/m_challenge.c:

  - Unconditionally use EVP(3ssl) to generate the SHA-1 digest of the
    random challenge; this API has been around for a very long time and
    is available in all supported versions of OpenSSL

  - Add lots of error checking to all steps of the process

Tested against 1.1.1 and 3.0; both with missing and provided DH parameters
(which works as you'd expect; the server will not negotiate a DHE cipher
without them), and CHALLENGE, including missing keys or keys of the wrong
type (e.g. when you supply an EdDSA key instead of an RSA key).

This does break compatibility with OpenSSL 1.1.0 and below, which are now
all end-of-life and unsupported anyway.

Closes #357

m_stats: z: remove unnecessary casting and fix format strings

m_stats: z: restore total memory display

librb/src/crypt.c: rb_sha*_crypt_r: avoid UB pointer math

This code is doing (foo - (char*)0) to convert foo from a pointer
value into a numeric value. Unfortunately, this is undefined
behaviour, which clang-14 is now warning about [1].

Cast to uintptr_t instead. Same result, but well-defined.

[1] cf. commit 0302f1532b66e9d09b70

CI: Modernize

Fix assert = hard assignments

The spaces surrounding the = is bad syntax, which causes the shell to try to
execute 'assert'.

Granted, all of this is just cosmetic, as the only use of $assert seems to be
in the echo at the end of the configure run.

Fix SCTP support on FreeBSD & NetBSD

Unlike Linux, Solaris, and Illumos (and probably others), the 2 BSDs that still
support SCTP didn't put SCTP into its own library, they put it into libc.

They, unlike Linux, don't set SOL_SCTP for us. The official method appears to
be calling getprotobyname("sctp") & endprotoent(), with getprotobyname()
returning a struct that has a p_proto entry. This all reads from
/etc/protocols. However, SCTP is assigned 132 by IANA, so it's 132 everywhere,
so I just set SOL_SCTP to 132 if it's not already set.

um_regonlymsg: prevent unregistered users from NOTICEing +R users too

EBMASK capab, to burst BMASK metadata (#354)

send "End of burst" snote to L_NETWIDE (#356)

chm_regmsg: don't duplicate nick in 415

sendto_one_numeric already includes the nick, so there's no need to
duplicate it. OFTC does not.

serv_connect(): ensure both sa_bind[]/sa_connect[] are always populated (#352)

Due to [1], linking with SCTP sometimes does not multi-home correctly.
This is triggered by the rand() on the lines immediately above these.

The connect{} blocks already support an `aftype` parameter to instruct
IRCd to prefer IPv4 or IPv6. This commit additionally ensures that the
other structure is always populated with the other address (if any) if
this parameter is specified.

This will allow SCTP server-linking users to work around the bug and
ensure that it always multi-homes by setting `connect::aftype` to IPv4.
Without this commit, that would cause Solanum to not include the IPv6
addresses (if any) in the connect block in its SCTP setup.

If there isn't a valid IP address in the other sockaddr, this should be
of no consequence, because it will not be used by rb_connect_tcp(), and
both rb_connect_sctp() and rb_sctp_bindx_only() already verify that
there is a valid IP address in the sockaddr before making use of it.

[1] https://marc.info/?l=linux-sctp&m=165684809726472&w=2

Cast time_t to long long when printing

global masktrace doesn't need to be an operspy action

ERROR instead of NOTICE for failed WEBIRC

refuse opers setting an invalidly long k-line reason

ircd/listener: return a TLS record layer alert to D-Lined TLS clients

chmode: Use original string when removing a mask

Illumos fixes

- getexecname(3) returns const char *
- pid_t is long

Normalize snprintf size to use sizeof where possible

chmode: Fix snprintf size

valid_temp_time: more simplification and test fixes

valid_temp_time: simplify/correct overflow check

the logic for trying to detect the maximum value of time_t was broken;
since we target a lower maximum time anyway, just use that for the
overflow check

don't truncate operspy WHO

Remove stray semicolons (#339)

Normalize generation for reproducible builds

While working on reproducible builds for openSUSE, I found that
our package varied even when building in clean VMs
with as little non-determinism as possible.
This was because of

+++ solanum-0~ch560/ircd/version.c.last
@@ -25,7 +25,7 @@
 #include "serno.h"
 #include "stdinc.h"

-const char *generation = "6";
+const char *generation = "5";
 const char *creation = "1653004800";
 const char *ircd_version = PATCHLEVEL;
 const char *serno = SERNO;

Add description parameter to auth blocks (#327)

Apply cmode C to replies (#328)

Make valid_temp_time overflow-resistant

Test some edge cases of valid_temp_time

Make opers talking through +g controllable by user mode +M (#275)

Times out after 30 minutes, and adds oper:always_message privilege for
bots and services to always talk through +g

show IPs in remote /stats i (#312)

Co-authored-by: Eric Mertens <redacted>

authd/providers/opm.c: include <netinet/tcp.h> (#318)

This header defines the TCP_NODELAY flag, which this compilation
unit uses.

Other C libraries implicitly include this header from some other
header we are using (I have not investigated which), but musl's
system headers do not, which breaks building on musl.

Reported-by: 0x5c <redacted>

whowas.c: store account name in whowas (#323)

Co-authored-by: Eric Mertens <redacted>

Remove the subset ban restriction

I think this was always pretty questionable. You can set redundant bans
in various ways anyway, and preventing all of them would only make the
situation worse, as wide temporary bans would destroy narrow permanent
ones, for example.

valid_temp_time: style fixes

Add tests for valid_temp_time

remove some header dependencies on client.h

Support more human friendly k/d/x-line duration format

Fix comment in example configuration

Remove ambiguity in descriptions +u

The old descriptions might be interpreted as meaning that +u enables
server-side filtering.

don't subject remote users to chm_nonotice

channel: always send chm_hidden modes to servers

ircd/packet.c: make function definition consistent with declaration (#301)

This function has a static forward-declaration, and is not used outside
this compilation unit. However, the definition was non-static. Fix this.

better standardised SNO_FULL. always show host AND ip

check_one_kline: fix kline_spoof_ip handling

Fix link to doc/readme.txt

just a stray colon where it wasn't meant to have :)

m_list: fail on invalid parameters

Loose port of 6ea60b2297948211925e22bd1f284179d680b4ae. I've chosen to
reduce indentation where it's convenient, and I'm allowing >-[0-9] as a
way of specifying a minimum of 0 because... I don't know, it just seems
neater to me.

m_list: Treat valid names with wildcards as masks

* and ? are valid characters for channel names on IRC, and ELIST M gives
no way to distinguish between `LIST #foo-*` that's meant to search for
channels beginning `#foo-` and `LIST #foo-*` that's meant to list one
channel named literally `#foo-*`.

In order to deal with this, we will always assume a name with wildcards
is a mask. If it's also a channel name, that will be listed first.

Add mask modifiers to LIST help