Use new TLS method APIs with new LibreSSL

OpenBSD 5.8 includes LibreSSL 2.2.2, which finally brings the API up to
what they claim it is by implementing the new TLS client and server
method APIs. Therefore, in furtherance of commits a4c8c827 and 1a4e224a
we can build with the new APIs if building against (real) OpenSSL 1.1.0
or LibreSSL 2.2.2.

Reported-by: Juuso Lapinlampi <redacted>

Merge pull request #106 from awilfox/master

Fix MONITOR C

monitor: don't use already-freed pointer, unlike the moronic atheme developers

Revert "remove MONITOR for now pending a complete rewrite"

This reverts commit 87fa262fec3149bff8daf9552b9df7f38a973890.

remove MONITOR for now pending a complete rewrite

monitor: additional cleanup pointed out by mr_flea

monitor: additional cleanups, and add a missing free_monitor() in m_monitor

monitor: fix the resource leak properly, unlike the moronic elemental-ircd developers

Fix build on glibc (no strlcpy).

Use new info when sending away-notify after QJM.

s_conf: Split out a function.

kqueue: Remove unnecessary cast.

Remove the unneeded username parameter to register_local_user().

Check CIDR ban IP address for validity.

Otherwise, we compare to uninitialized stack data. This is wrong but seems
harmless.

Closes #103

Merge pull request #101 from Elizafox/master

Relocate report_Klines to proper home

Relocate report_Klines to proper home

This function is not used anywhere else but m_stats, so should be put
there.

Merge pull request #100 from Mkaysi/readme

Update NEWS & README.md

Update NEWS & README.md

* Point to irc.freenode.net instead of irc.atheme.org. I know that it's
  CNAME to chat, but I think it's preferable to use the irc. subdomain
  to make it clear that it's IRC.
* Point to GitHub issue tracker instead of bugs-meta.atheme.org that
  doesn't exist
* Remove mentioning of BUGS file and change README.FIRST to README.md as
  the first doesn't exist and I think they are the same file.

Merge pull request #95 from jailbird777/master

Spring cleaning redux

Merge pull request #89 from prgmrbill/add-channel-mode-s-help-cmode

Adds extension channel modes to help/opers/cmode

LibreSSL have far advanced OPENSSL_VERSION_NUMBER beyond the
feature set they support (2.0 even!), deliberately breaking
backward compatibility. Therefore, in order to fix a regression
introduced by commit a4c8c827 with regard to LibreSSL's stupidity,
unconditionally use the old TLS API if building against LibreSSL.

libratbox/openssl: Set explicit cipher list for the client context aswell

This is in furtherance of commits 9799bea4 and 1f384464 and addresses
any potential vulnerability to LogJam <https://weakdh.org/>

Fix regression introduced by previous commit

I really shouldn't copy and paste code.

Tidy up OpenSSL options code, support new version-agnostic client and server APIs

Spring cleaning redux:
- Implemented changes suggested by Jilles
- Remove some unused parameters in functions
- Remove some unused ssl procs
- 63-bit time_t support in TS deltas
- const char * vs char * cleanup
- struct alignment (void *) casts
- signed vs unsigned fixes
- bad memset() call
- Bad LT_MAIN in libratbox
- char -> unsigned char casts for isdigit/isspace/etc calls

Thanks Jilles!

Misc code cleanups

* src/packet.c: Remove a dead store
* src/res.c: Remove a dead store
* src/sslproc.c: Remove a dead store
* src/sslproc.c: Don't call the same accessor twice

These silence some fairly harmless compiler warnings

INFO: Be easier on human eyes

Remove network_desc configuration option, never actually used anywhere

Merge pull request #92 from aaronmdjones/master

Use accessor function for certificate fingerprint, allow fingerprint generation for chained unknown roots

Generate fingerprints for chained certificates with an unknown root

Use X509_digest() instead of memcpy() to obtain cert fingerprint

This will continue to work even if the OpenSSL developers make the
X509* structure opaque, the current approach will not.

cap: missed a spot on =sticky caps removal

ircd manpage: remove references to ircd.conf(5) (closes #91)

Merge pull request #90 from aaronmdjones/master

Update ciphersuite string to prohibit RC4

Update ciphersuite string to prohibit RC4

This is in accordance with RFC 7465
<https://tools.ietf.org/html/rfc7465>

Also correct the key exchange mechanism strings; these should be
prefixed with 'k'.

Updates format to match help/users/umode

Instead of adding a new section I made it look like the example from help/users/umode.

Adds a new section for extension channel modes

Adds new section - "FROM EXTENSIONS". These channel modes may not be available if the related extension is not loaded.

Wraps long lines + adds TLS

- Fixes long line by wrapping
- Adds TLS as charybdis now has SSL_OP_NO_SSLv3

Adds SSL only channel mode

Adds +S channel mode - Only users connected via SSL may join the channel while this mode is set. Users already in the channel are not affected.

cap: sasl is now enforced as sticky again

cap: chase ircv3.2 interpretation of sticky/ack-required caps (basically dropping support other than serverside enforcement of stickyness)

change request @ ircv3/ircv3-specifications#122

Merge pull request #86 from rnjohnson18/patch-1

Change example.conf to ircd.conf.example

Change example.conf to ircd.conf.example

charybdis 3.5.0 rc1.

sasl: reformat the other messages consistently

sasl: adjust 'H' message following commit 7d33cce8efb

Fix some compiler warnings about signed/unsigned comparison.

conf: Correct message when serverinfo::nicklen is set too low (<9).

cap-notify: Fix possible crash on 64-bit systems.

find_named_client() was called without a prototype and therefore the
pointer could be truncated.

send: sendto_local_clients_with_capability() needn't use serial

sendto_local_clients_with_capability() sends to a subset of the list of
local clients and cannot visit the same client multiple times like
sendto_channel_flags() and sendto_common_channels_local() can.

m_cap: do not allow sasl CAP when the agent is offline

charybdis 3.5.0-test1.

config: further EGD removal

libratbox: remove RB_PRNG_EGD in its entirety (closes #85)

cap-notify: implement cap-notify for sasl service (closes #84)

cap-notify: add sendto_local_clients_with_capability() (ref #84)

cap-notify: add cap-notify cap

sasl: making the sasl capability actually sticky seems incompatible with broken implementations, so we make it just a formality instead.

sasl: fix null deref on remote client exit

sasl: ircv3 wg decided sasl capability should be sticky (ref ircv3/ircv3-specifications#103)

src/channel: add support for IRCv3.2 userhost-in-names

cap: remove SASL_REAUTH capability

sasl: allow reauth without sasl-reauth capability (since it's being dropped)

move README to markdown.

remove references to LIBPATH (closes #26).

ircd.conf.example: explain DH parameters size better (closes #68)

Merge pull request #82 from grawity/sasl-send-conn-info

m_sasl: send information about the client connection

Revert "m_invite: add support for CAP invite-notify"

This reverts commit 93eb76cc323f9b1219c86ac9b360e00ea215388f.

libratbox/gnutls: call gnutls_rnd_refresh() to ensure our PRNG is initialized

rebuild configure

configure: move some OS X toolchain checks around (closes #40)

m_invite: add support for CAP invite-notify

Specification:
<https://github.com/ircv3/ircv3-specifications/blob/master/extensions/invite-notify-3.2.md>

m_sasl: move some struct members around for sasl-reauth

cap: fix compile

cap: allow clients to do sasl reauth if they requested sasl and sasl-reauth (ref ircv3/ircv3#103).

cap: add notion of required dependency caps

Merge pull request #83 from maxteufel/feature/saslserv_config_option

m_sasl: add configuration option for the nick of the SASL agent

m_sasl: add configuration option for the nick of the SASL agent

This allows multiple improvements to m_sasl. With this change, the SASL
authentication gets aborted immediately when services are offline.
Additionally, we send the SASL ENCAP messages directly to the specified
SASL agent.

Ignore duplicate USER and PASS.

If SASL starts using USER/PASS for unregistered clients, this change stops
users from using one USER/PASS for SASL while using another for connecting.

m_sasl: send information about the client connection

Merge pull request #81 from attilamolnar/master+openssl

openssl: Disable session tickets and session caching

openssl: Disable session caching

openssl: Disable session tickets

fix target list generation edge case where WALLCHOPS was requested alongside normal users if the source user was not a channel op.
from ircd-hybrid r5457

Merge branch 'master+sjoin-deadcode' of https://github.com/attilamolnar/charybdis

SJOIN: Remove some dead code

introduce_client(): Remove redundant check for sockhost starting with colon.

Other code (inet_ntop6() in libratbox/src/commio.c and
extensions/m_webirc.c) ensures the sockhost does not start with a colon.
Checking only here does not make sense.

Reported by: Attila

Don't append a domain to names without dot from reverse lookup.

Some code to append "domain" from /etc/resolv.conf to unqualified names (for
server connections) erroneously applied to names from reverse DNS lookups as
well.

The effect was that "domain" from /etc/resolv.conf was appended to
"localhost", even though the DNS server intended "localhost" to be a fully
qualified name.

Allow clients to have a resolved hostname of localhost

I slightly changed the patch to match surrounding style.

(cherry picked from commit 0b06270fd6266c85d19e008efcd039605daf59d0)

pretty_mask(): Stop temporarily modifying the passed mask entirely.

pretty_mask(): Use explicit lengths instead of temporarily writing '\0'.

This is slightly simpler and should fix Coverity warnings.

libratbox: Fix sizeof in two memsets.

This fixes a compiler warning. The necessary fields of the struct sigevent
were initialized so there was no problem.

Submitted by: Aaron (via IRC)
Reviewed by: Attila

linebuf: Fix possible memory corruption when receiving many CR/LF.

The last byte of balloc.c's block pointer could be changed from 10 or 13 to
0. On amd64, this is not possible. On i386, this is possible and usually
causes a crash soon.

Merge pull request #73 from Argure/master

Explicitly drop SSLv3 connections (SSL_OP_NO_SSLv3) - might break TLS-ca...

Merge pull request #75 from attilamolnar/master+nullcharfix

Fix sending null char after ERROR when the server is full

Fix sending null char after ERROR when the server is full

Explicitly drop SSLv3 connections (SSL_OP_NO_SSLv3) - might break TLS-capable clients that still depend on SSLv23 handshake

ban: Fix build breakage.

A normal 'make' did not rebuild m_ban.c even though dependencies had
changed.

tools: Remove Hybrid 6 conversion tools.

Hybrid 6 is old enough that the conversion tools can go away now.
They are for I and K lines; the ircd.conf converter was already removed.

This removes compiler/analyzer warnings about these tools.

bandb: Don't apply empty ban list when bandb starts sending bans.

When bandb sends the ban list, it first sends 'C', then all bans and
finally 'F'. Only when 'F' is sent is ircd supposed to apply the bans.
Because of a missing break, 'C' also did 'F', clearing the ircd active
permanent bans until bandb sent 'F'.

The effect is pretty limited because having bandb send the ban list via
/rehash bans is uncommon and most bans will be enforced when reset.