CHANGES: another fix now in 4.99.2. [skip ci]

CHANGES: add another now-backported fix. [skip ci]

CHANGES: add a change recently backported to 4.99.2. [skip ci]

CI: Relax the illumos exemption rule. [skip appveyor]

As it turns out, the same warnings reproduce with other Clang versions
(at least 11) and other illumos distributions (at least OmniOS), so omit
Clang version in the pattern.

Rename two pcapng test files to .pcapng

Fix two invalid tests

Fix these cppcheck warnings:
addrtoname.c:1288:11: warning: Checking if unsigned expression 'num'
is less than zero. [unsignedLessThanZero]
 if (num  <= 0) {
          ^
addrtoname.c:1308:11: warning: Checking if unsigned expression 'num'
is less than zero. [unsignedLessThanZero]
 if (num  <= 0) {
          ^

PPP: Change the pointer to packet data

Thus it can be used for debugging.

RESP: Remove an unnecessary test

Moreover:
Remove an unneeded variable.

Revert "Clean a bunch of fuzzed files not to fuzz the container."

This reverts commit a02c2faeec982d233a32b6db4df20ce817dd1563.

That zeroed out bits in the non-reserved portion of the field; the
reserved portion was already zero.

Clean a bunch of fuzzed files not to fuzz the container.

For some reason pcap fuzzers just *love* to fuzz the "link-layer type
plus other stuff" part of the pcap file header.  That can produce a file
that has non-zero values in reserved fields, which means it can get
rejected well before being handed to anything for dissection.

Clear out one of the reserved parts of that field, as we'll be changing
libpcap to check for non-zero values and reporting an error.

Add a const qualifier

ASCII/hex: Rename a variable

s/oset/offset/

Moreover:
Fix indentation.

RESP: Fix an invalid check

Fix this cppcheck warning:
print-resp.c:215:22: warning: Checking if unsigned expression 'length'
is less than zero. [unsignedLessThanZero]
    if(!bp || length <= 0)
                     ^

RX: Add a const qualifier

TCP: Fix an invalid check

Fix this cppcheck warning:
print-tcp.c:711:20: warning: Checking if unsigned expression 'length'
is less than zero. [unsignedLessThanZero]
        if (length <= 0)
                   ^

ESP: Add a const qualifier

instrument functions: Reduce the scope of a variable

Update config.{guess,sub}, timestamps 2022-01-09,2022-01-03

From repository git://git.savannah.gnu.org/config.git

RADIUS: Remove a no more used label 'trunc'

Fix the previous commit.

RADIUS: Use GET_U_1() to replace a direct dereference

Remove some now unnecessary ND_TCHECK_*().

ISAKMP: Use GET_U_1() to replace a direct dereference

Moreover:
Remove an unnecessary cast and an & operator.

OSPF: Remove two unnecessary dereferences

Remove also two unnecessary ND_TCHECK_SIZE().

OSPFv3: Remove two unnecessary dereferences

Remove also two unnecessary ND_TCHECK_SIZE().

Moreover:
Remove an unnecessary cast.

man: Put commit 4a904f4 right. [skip ci]

BGP: Refine the previous commit.

Fix references in some comments, reduce scope of a couple variables,
lose an excess ND_TCHECK_LEN() before nd_printjn() and update the change
log.

bgp: Shutdown message can be up to 255 bytes length according to rfc9003

Signed-off-by: Donatas Abraitis <[email protected]>

Zephyr: Fix the ZEPHYR_PRINT() macro

A block is needed.

BGP: Fix parsing the AIGP attribute

There was an invalid ND_TCHECK_LEN(), thus the AIGP metric attribute
at the end of an update message was incorrectly shown as truncated.

Remove it because the data fetching is secured by GET_BE_U_8 and
print_unknown_data.

Add a test file with AIGP attribute at the end of an update message.

This should fix GitHub issue #975.

Remark:
This code need more updates on length checks to change some 'truncated'
process to 'invalid' process.

Zephyr: Avoid printing non-ASCII characters

The "%s" format is a risk (no non-ASCII filtering), thus use
the fn_print_str() function via the ZEPHYR_PRINT() macro.

Zephyr: Fix indentation

Replace 19 instances of 8 spaces at beginning of a line by <tab>
like in all other cases (109).

ICMP: Avoid printing non-ASCII characters in Interface Name

The "%.*s" format is a risk (no non-ASCII filtering), thus use
the nd_printjnp() function.

ICMP: Fix printing the Interface Name Sub-Object

RFC 5837 - 4.3.  Interface Name Sub-Object
"The Interface Name Sub-Object MUST have a length that is a multiple
 of 4 octets and MUST NOT exceed 64 octets.

 The Length field represents the length of the Interface Name Sub-
 Object, including the length and the interface name in octets."

The length of the interface name to print is: (Length field) - 1.
The offset is only: Length field

Add sanity checks: Multiple of 4 octets, <= 64 octets.

Fix the icmp-rfc5837.pcap test.
The interface name length in octets is 63, thus the length field must be 64.
Update also the ICMP Multi-Part Extensions checksum.

Keep an invalid length field in icmp-cksum-oobr-2.pcap.

Update the output of two tests accordingly.

ICMP: Print the length field of the Interface Name Sub-Object

Update the output of two tests accordingly.

Moreover:
Fix indentation.

Do not list CVE-2018-16301 twice in CHANGES. [skip ci]

Remove the earlier incorrect entry: at the time of tcpdump release 4.9.3
the problem was not fixed, and it was not related to libpcap.

ICMP: Fix indentation in parsing multi-part message extensions code

Use spaces like in other lines in this part of the code.

Moreover:
Remove some blank lines.

Add CVE-2018-16301 to CHANGES. [skip ci]

One of the effects of commit faf8fb7 was fixing a buffer overflow that
was discovered and reported by Include Security (case reference "F2").
Their work was sponsored by Mozilla under the Secure Open Source
program.  The vulnerability was assigned CVE-2018-16301 on 2018-09-01
(MITRE request reference "scr562827"), but was not properly documented
afterwards.  Add a line to the change log section for 4.99.0, which at
the time of this writing is the first release to incorporate the fix.

See also https://github.com/the-tcpdump-group/libpcap/issues/855

ICMPv6: Remove an unused macro and extra blank lines

[skip ci]

ICMPv6: Add a comment about "don't use GET_IP6ADDR_STRING()"

[skip ci]

ICMPv6: Modernize RPL DAO-ACK parsing

Use GET_IP6ADDR_STRING(), ND_ICHECK_U() and nd_print_invalid().
Remove the redundant ND_TCHECK*() instances and the trunc label.
Fix indentation.

ICMPv6: Modernize RPL DAO parsing

Use GET_IP6ADDR_STRING(), ND_ICHECK_U() and nd_print_invalid().
Remove the redundant ND_TCHECK*() instances and the trunc label.
Fix indentation.

ICMPv6: Update the output to show a RPL DAO field name

ICMPv6: Add a length check in the rpl_dio_print() function

ICMPv6: Use GET_IP6ADDR_STRING() in the rpl_dio_print() function

Remove a redundant ND_TCHECK_SIZE().
Remove the trunc label.
Remove an unnecessary variable.
Fix indentation.

HNCP: Add a comment about "don't use GET_IPADDR_STRING()"

RADIUS: Add a comment about "don't use GET_IP6ADDR_STRING()"

EGP: Add two comments about "don't use GET_IPADDR_STRING()"

Use more S_SUCCESS and S_ERR_HOST_PROGRAM in main()

instrument functions: Remove tcpdump_ prefix from flag files

This make easier to use instrument-functions.c in other projects.

bgp: Parse rfc9072 (Extended Optional Parameters Length for BGP OPEN Message)

Signed-off-by: Donatas Abraitis <[email protected]>

pflog: use BSD socket AF numbers, not RFC 1700 AF numbers.

Fix names for action values.

Run the test that fails on OpenBSD only if we're not on OpenBSD.

Don't test whether we have net/if_pflog.h, test whether we're on
OpenBSD; we no longer check for net/if_pflog.h in the configure script,
and that's not a valid "is this OpenBSD?" check in any case, as other
*BSDs have it as well.

Handle DLT_PFLOG on all OSes.

Don't pad the pflog header with BPF_WORDALIGN(); round up to a multiple
of 4, instead, as that's what all but FreeBSD do, and FreeBSD used to do
that and should go back to doing so (kern/261566).

Don't rely on the OS's pflog include files to define direction types,
reason types, action types, or the layout of the header; instead, define
them ourselves in a header of our own, with #ifs to select the ones that
are only on some platforms.  That way, it'll handle some fields and
field values (the ones common to all OSes with pflog) on all OSes, even
ones without pflog.

That also expands the set of direction, reason, and action codes to what
various *BSDs and Darwin support.

Also, handle all the different AF_INET6 values in various *BSDs and
Darwin.

instrument functions: Enhance the output

If entering in a function, print also the calling function name with
file name and line number. There may be a small shift in the line number.

In some cases, with Clang 11, the file number is unknown (printed '??')
or the line number is unknown (printed '?'). In this case, use GCC.

To print nothing, like with no instrumentation:
$ make instrument_off

As before, the following commands are available:
To configure the printing of only the global functions names:
$ make instrument_global

To go back to print all the functions names:
$ make instrument_all

The library libbfd is used, therefore the binutils-dev package is required.

realtek: redo the checks for different protocols.

Do it iwth an if chain, which is somewhat the equivalent of what
Wireshark does (it uses heuristic dissectors; our ifs do the same checks
that Wireshark's heuristic dissectors do).

That makes it a bit more obvious that the necessary tests are somewhat
weird, thanks to Realtek not just deciding to make the first octet a
protocol discriminator *even for switch tags*.

We also treat a first octet of 0x23 as meanin RLDP, just as Wireshark
does, as some switch chips use 0x23 for loop detection packets.

Shuffle some comments while we're at it (and epand the one for RLDP to
match all the stuff going on with various RLDP packets).

Rename two pcapng test files to .pcapng

instrument functions: Remove a now useless #include

Remove: #include <dlfcn.h>
No more use of dladdr().

This is a follow-up to 6d854639ea6702adc7fcb077361ae00d2229f875.

bgp: Print enhanced route refresh message subtype

Add a test to check if we print subtype for enhanced route refresh msg.

Signed-off-by: Donatas Abraitis <[email protected]>

bgp: Check if Enhanced route-refresh capability is printed properly

Signed-off-by: Donatas Abraitis <[email protected]>

bgp: Print Enhanced route refresh capability

No need for a decoder here.

The Capability Length field of this capability is zero.

Update the output of a test accordingly.

Signed-off-by: Donatas Abraitis <[email protected]>

Rename print-rrcp.c to print-realtek.c.

It handles more than just RRCP, so rename it appropriately.

Support more Realtek protocols than RRCP.

The Ethertype 0x8899 is used by Realtek for several over-the-wire
protocols, as well as for supplying tag information to a host CPU from a
Realtek chip.  Add code to handle protocols other than RRCP, although we
don't fully dissect all of them.

Fix indentation and remove a blank line

[skip ci]

Makefile.in: Ignore build errors with nm command in Solaris

The default output format is different and the grep don't find anything.

To be fixed later.

autoconf: Enhance the --enable-instrument-functions result output

It prints now, by default, also the static functions names.

To configure the printing of only the global functions names, as before:
$ make instrument_global

To go back to print all the functions names:
$ make instrument_all

In case of truncation, the indentation level is reset to its previous
level in pretty_print_packet().

[skip ci]

Cirrus CI: Use GCC 11 for FreeBSD. [skip appveyor]

man: Refer to pcap-filter(7) early. [skip ci]

Replace some 'if(' with 'if (' (style)

[skip ci]

Get rid of the Windows ether_ntohost().

We don't use it, and there's no Windows tradition of an "ethers file"
that I know of, so I'm not sure there's a reason to use it.

Fixes GitHub issue #971.

ESP: Put static and int on the same line (style)

[skip ci]

Update tok2strbuf() to a static function

It is only used in util-print.c.

Rename a pcapng test file to .pcapng

autoconf: Add the option to print functions names (entry and exit)

This should help some debugging processes.

Usage:
./configure --enable-instrument-functions

Generate instrumentation calls for entry and exit to functions.
Just after function entry and just before function exit, these
profiling functions are called and print the function names with
indentation and call level.

To instument a static function, remove temporarily the static specifier.

In case of truncation, the indentation level is reset currently to 1 in
pretty_print_packet(), main is level 0.

Add --print-sampling option to print every Nth packet

New option `--print-sampling=NTH` will parse and print every NTH packet,
with all other packets producing no output. This option enables
`--print` and `-S` flags.

Print sampling is useful for real-time inspection of an interface with
a high packet rate, or initial inspection of large capture files.

Makefile.in: Sort the files in EXTRA_DIST

Memory allocator: Update nd_add_alloc_list() to a static function

autoconf: Use AS_HELP_STRING macro instead of AC_HELP_STRING

Avoid the warning: The macro `AC_HELP_STRING' is obsolete.

libsmi: Use AS_HELP_STRING macro in configure.ac

Update the help message: State that the default is yes *if available*.

SMB: Use AS_HELP_STRING macro in configure.ac

IPv6: Remove an obsolete code in an always-false #if wrapper

RFC 1883 is obsolete.

Moreover:
Fix indentation.

DCCP: Modernize packet parsing

Enable ND_LONGJMP_FROM_TCHECK.
Use ND_ICHECK*() for length checks.
Fix some length checks.
Add and use standard "invalid" sections.
Remove the redundant ND_TCHECK*() instances.
Add a ND_TCHECK_1().
Factorize some codes.
Update default format for tok2str() calls.
Indicate better invalid packet types, invalid option types,
invalid reset codes and invalid features.
Fix process for DCCP_OPTION_CHANGE_L/DCCP_OPTION_CHANGE_R, not the
same that DCCP_OPTION_CONFIRM_L/DCCP_OPTION_CONFIRM_R process.
Remove spaces in some dccp_feature_num_str[] strings.
Update the output of a test accordingly.

DCCP: Rename a variable

s/len/length/
This change allows to have a better error message in a next commit
with ND_ICHECK_U().

DCCP: Factorize some code

All the code is in verbose mode.

DCCP: Get rid of trailing commas in lists

WHOIS: Add its own printer source file and printer function

Like all other text protocols.

This is a follow-up to 185b7ce04b182d2d7e490f23a3f0c7b9ea5916e4.

ENC: Lose an unused variable after commit 1de5051.

NetBSD 9.2/AArch64
clang version 13.0.0

./print-enc.c:103:8: error: variable 'caplen' set but not used
 [-Werror,-Wunused-but-set-variable]

bgp: Deprecate DPA, ADVERTISER and RCID_PATH path attributes

rfc6938

Signed-off-by: Donatas Abraitis <[email protected]>

The new home of Npcap is npcap.com, not npcap.org.

(npcap.org redirects there.)

[skip ci]

appveyor CI: update Npcap site, update to 1.12 SDK

As per the comments on https://github.com/nmap/npcap/issues/576, we
should go to npcap.com for Npcap-related stuff.

The current SDK is 1.12; use that.

[skip cirrus] [skip buildbot]

DCCP: Rename a function parameter and simplify code

s/option/bp/
Use new 'option' variable to store the option value.

Moreover:
Better indentation.

OpenFlow: Refine more length checks.

In print-openflow-1.0.c and print-openflow-1.3.c replace the remaining
"goto invalid" checks with ND_ICHECK_U() and ND_ICHECKMSG_U().  Redo the
changes from commit 1ce16ea: use the same order of arguments and the
same comparison operators as before the change and lose the unsigned
compensation, which is no longer required.  Add another test case using
a malformed packet from Francois-Xavier.

Use unified diff by default. [skip ci]

GNU/Linux (specifically, the GNU part), FreeBSD, NetBSD, OpenBSD,
illumos and even Solaris 9 and AIX 7.1 all have a diff that supports
"-u" for unified output format.  Let that be the default to make test
failures more intelligible for humans.  The old behaviour is available
with "DIFF_FLAGS= make check".

CI: Disable shellcheck SC2006 in the Makefile. [skip ci]

Same as in tcpslice and libpcap.

SCTP: Use ND_ICHECKMSG_U() and ND_ICHECKMSG_ZU()

Moreover:
Update a comment.

Put a space between type and '*' in pointer declarators (style)

CHANGES: Update macros names prefix from ND_LCHECK to ND_ICHECK

OpenFlow 1.0: Improve handling of some lengths.

For OFPT_PACKET_OUT print "actions_len", as it is a part of the message
and should appear in its decoding (in other message types it is derived
from the message length).

ND_ICHECK_*() in of10_actions_print(), of10_flow_stats_reply_print() and
of10_packet_out_print() after printing at least some of the output.
This, compared to just "(invalid) (invalid)", makes it much easier to
understand  where and why the packet data was not fully decoded.  Define
OF_ACTION_MINLEN unsigned to squelch the induced compiler warnings.  A
number of similar checks still remain to be converted the same way.

Update the ND_LCHECK*() macros to ND_ICHECK*() macros

ICHECK like Invalid-Check.
Reminder: If the checked expression is true an error message is printed
and a 'goto invalid' is executed.

This change adds the parameter 'operator'.

Before this change, '<' comparison was hard coded.
We can do now:
ND_ICHECK_U(length, <, HEADER_LEN);
ND_ICHECK_U(length, ==, 24);
ND_ICHECK_U(length, !=, 8);
ND_ICHECK_ZU(length, <, sizeof(struct my_struct));
ND_ICHECKMSG_U("message length", msg_tlen, <, 4);
...
(Any comparison operator)

Remark: The change of names from ND_LCHECK*() to ND_ICHECK*() is
because something else than a length(L) can be checked.

Moreover:
Place the 'message' parameter at the beginning of ND_ICHECKMSG_U()
and ND_ICHECKMSG_ZU() paramaters lists.

Cirrus CI: Use the current FreeBSD releases. [skip appveyor]

Same as in tcpslice and libpcap.

Juniper: Report invalid packets as invalid, not truncated

Update the output of a test accordingly.