Handle very large -f files by rejecting them.

_read(), on Windows, has a 32-bit size argument and a 32-bit return
value, so reject -f files that have more than 2^31-1 characters.

Add some #defines so that, on Windows, we use _fstati64 to get the size
of that file, to handle large files.

Don't assume that our definition for ssize_t is the same size as size_t;
by the time we want to print the return value of the read, we know it'll
fit into an int, so just cast it to int and print it with %d.

(cherry picked from commit faf8fb70af3a013e5d662b8283dec742fd6b1a77)

Juniper: initialize some structures

(backported from commit e1c739a83d2bb82f408a96f5b15cb2dad3dee919)

dns: add some additional error checks.

If the upper 2 bits of a label/pointer value are 10, treat that as an
error.

If a name is longer than 255 characters, treat that as an error.

This prevents some long loops with malformed packets, as found by Hardik
Shah.

(backported from commit 92d636a906d450f9bd344ee312cfa9c88c3d2bd6)

RSVP: add two missing breaks

Add a break at the end of the RSVP_OBJ_LABEL_SET case block as it fully
deals with class number 36 (LABEL_SET) from RFC 3473 Section 2.6 and is
not related to the class in next case block.

Add a break at the end of the RSVP_OBJ_S2L case block as it fully deals
with class number 50 (S2L_SUB_LSP) from RFC 4875 Section 19.3 and does
not need to fall through to the default case block.

(backported from commit f92b6812d0e114960225f187a8788be137ce587b)

PPP: When un-escaping, don't allocate a too-large buffer.

The buffer should be big enough to hold the captured data, but it
doesn't need to be big enough to hold the entire on-the-network packet,
if we haven't captured all of it.

(backported from commit e4add0b010ed6f2180dcb05a13026242ed935334)

Remove libpcap-layer issues from tests/l2tp-avp-overflow.pcap.

Remove libpcap-layer issues from tests/pktap-heap-overflow.pcap.

Travis CI: Revert to libpcap master branch (updated)

Travis CI: The 4.9.3 release needs libpcap 1.9.1 for tests

VERSION set for release

bump version to rc2

remove duplicate CVE item

do not redirect input from /dev/tty

Don't depend on $(command) working.

Not all Bourne shells support it.

generate list of test files from git

updated CHANGELOG and VERSION

config.h is always in build directory, not srcdir

show which directory is being built

create new eapon2 input file, without NBT packets

move nbns test case to SMB LIST

update kh-addrfail with libpcap error code

do not warn about extra lines in stderr if there is a stderr file that was compared

turn off debug, and remove -003 file, as no pcap file was copied

run tests with stdin connected to /dev/tty, and do not start tests in subdirectory anymore

rejig debugging, set $TCPDUMP in one place

found origin of esp test failures: the secrets file could not be read due to failure to substitute variables correctly

added some debugging, found wrong failure-outputs file

fill in empty esp4 file

if SKIPPASSED is set, then only show failures, and change some symbols for replacements

turn off extra debug for script name/srcdir

always put a newline before exit code info

updated configure to turn off smb by default

turn off SMB for now

change make check to work with POSIX shell

split off SMB test list to be selective

fix output directories for TESTonce

change make check to work with POSIX shell

look for cores and put them into the correct directory

put correct -vvv into smb print tests

adjustment to output file, and added relevant stderr file

updates to scripts for running in testdir vs builddir

updated test results for error results

pull in TESTrun from mainline

save stderr to file in case it is useful
do better recording of when stderr has content in it
the failed/passed count was not kept in the right place
and the failure-outputs need to be dumped from the right place
record status code better to file, and if it exists, compare the stderr as well
sanitizing the first line for filename path

show core dump status clearly

keep track of beginning of buffer, and do not permit buf to be set to before it

guard against possible error in fmt string

use clang-7

fix TEST checker to work without srcdir

fixup! bbe8e1171b4a2550d8a9d502bc8b6e15f6dc9445

do not cd into tests directory, since test runner will be run from build directory

clarify file name as pcapng

added test cases for smb issues

added additional kh test cases

turn on Werror on compile, but not for ./configure

sflowprint is truncated correctly after printing IPv4 header

added 11 additional fuzzing cases from Katie Holly, confirmed to be fixed in 4.9 branch

added Katie Holly 1b4 pcap, does not core dump

added Katie Holly 062 pcap, does not core dump

build on a combination of compilers and build options

guard against tlen becoming very large from subtraction

make check needs to work in build directories

added sflowprint

if there is a core dump, then save it

tested this CVE with 32-bit on 4.9.3, and it seems to be fixed

Fix a compiler warning.

We need to ensure that buf2 is set even if we have too many nested "*"s
in an SMB format string.

Add comments to further explain that code.

(for 4.9.3) CVE-2018-16452/SMB: prevent stack exhaustion

Enforce a limit on how many times smb_fdata() can recurse.

This fixes a stack exhaustion discovered by Include Security working
under the Mozilla SOS program in 2018 by means of code audit.

(for 4.9.3) CVE-2018-16300/BGP: prevent stack exhaustion

Enforce a limit on how many times bgp_attr_print() can recurse.

This fixes a stack exhaustion discovered by Include Security working
under the Mozilla SOS program in 2018 by means of code audit.

(for 4.9.3) add tests for print-smb.c:print_trans()

(This needs to be squashed into the bug fix properly.)

(for 4.9.3) OpenFlow: Fix the uses of the pointer to the end of current packet

Must be based on packet header caplen.

(This change was ported from commit ad69daa in the master branch.)

Add a test case.

(for 4.9.3) CVE-2018-16229/DCCP: Fix printing "Timestamp" and "Timestamp Echo" options

Add some comments.

Moreover:
Put a function definition name at the beginning of the line.

(This change was ported from commit 6df4852 in the master branch.)

Ryan Ackroyd had independently identified this buffer over-read later by
means of fuzzing and provided the packet capture file for the test.

(for 4.9.3) CVE-2018-16227/IEEE 802.11: add a missing bounds check

ieee802_11_print() tried to access the Mesh Flags subfield of the Mesh
Control field to find the size of the latter and increment the expected
802.11 header length before checking it is fully present in the input
buffer. Add an intermediate bounds check to make it safe.

This fixes a buffer over-read discovered by Ryan Ackroyd.

Add a test using the capture file supplied by the reporter(s).

(for 4.9.3) CVE-2018-16228/HNCP: make buffer access safer

print_prefix() has a buffer and does not initialize it. It may call
decode_prefix6(), which also does not initialize the buffer on invalid
input. When that happens, make sure to return from print_prefix() before
trying to print the [still uninitialized] buffer.

This fixes a buffer over-read discovered by Wang Junjie of 360 ESG
Codesafe Team.

Add a test using the capture file supplied by the reporter(s).

(for 4.9.3) CVE-2018-16230/BGP: fix decoding of MP_REACH_NLRI

When bgp_attr_print() tried to decode the variable-length nexthop value
for the NSAP VPN case, it did not check that the declared length is good
to interpret the value as a mapped IPv4 or IPv6 address. Add missing
checks to make this safe.

This fixes a buffer over-read discovered by Include Security working
under the Mozilla SOS program in 2018 by means of code audit.

Bhargava Shastry, SecT/TU Berlin, had independently identified this
vulnerability by means of fuzzing and provided the packet capture file
for the test.

(for 4.9.3) libdnet has bugs, do not use it.

The only function tcpdump used in libdnet was dnet_htoa(), which tries
to translate a binary DECnet address to a nodename through a lookup in
/etc/decnet.conf. The translation is slow and has a bug, so stop using
the function and remove the dependency on libdnet.

This makes tcpdump always print DECnet addresses in numeric format, if
anybody needs the translation back they are welcome to fix libdnet or
(more realistically) add an implementation of dnet_htoa() to the tcpdump
source code and use it.

(for 4.9.3) CVE-2018-14879/fix -V to fail invalid input safely

get_next_file() did not check the return value of strlen() and
underflowed an array index if the line read by fgets() from the file
started with \0. This caused an out-of-bounds read and could cause a
write. Add the missing check.

This vulnerability was discovered by Brian Carpenter & Geeknik Labs.

(for 4.9.3) CVE-2018-14882/ICMP6 RPL: Add a missing bounds check

Moreover:
Add and use *_tstr[] strings.
Update four tests outputs accordingly.
Fix a space.

Wang Junjie of 360 ESG Codesafe Team had independently identified this
vulnerability in 2018 by means of fuzzing and provided the packet capture
file for the test.

(for 4.9.3) CVE-2018-14880/OSPFv3: Fix a bounds check

Need to test bounds check for the last field of the structure lsa6_hdr.
No need to test other fields.

Include Security working under the Mozilla SOS program had independently
identified this vulnerability in 2018 by means of code audit.

Wang Junjie of 360 ESG Codesafe Team had independently identified this
vulnerability in 2018 by means of fuzzing and provided the packet capture
file for the test.

(for 4.9.3) EIGRP: Add two missing bounds checks

(for 4.9.3) SMB: Add two missing bounds checks

(for 4.9.3) BOOTP: Add a missing bounds check

(for 4.9.3) ICMP: fix a compiler warning

"ISO C90 forbids mixed declarations and code"

(for 4.9.3) LMP: Add some missing bounds checks

In lmp_print_data_link_subobjs(), these problems were identified
through code review.

Moreover:
Add and use tstr[].
Update two tests outputs accordingly.

(for 4.9.3) CVE-2018-14464/LMP: Add a missing bounds check

In lmp_print_data_link_subobjs().

This fixes a buffer over-read discovered by Bhargava Shastry,
SecT/TU Berlin.

Add a test using the capture file supplied by the reporter(s).

(for 4.9.3) VRRP: Add a missing bounds check

In vrrp_print().

This fixes a buffer over-read discovered by Konrad Rieck and
Bhargava Shastry.

Add a test using the capture file supplied by the reporter(s)
restricted to VRRP packets.

(for 4.9.3) BGP: Add a missing bounds check

In bgp_capabilities_print(), this problem was identified through code review.

Moreover:
Add and use tstr[].
Fix some spaces.

(for 4.9.3) CVE-2018-14467/BGP: Fix BGP_CAPCODE_MP.

Add a bounds check and a comment to bgp_capabilities_print().

This fixes a buffer over-read discovered by Bhargava Shastry,
SecT/TU Berlin.

Add a test using the capture file supplied by the reporter(s).

(for 4.9.3) CVE-2018-14881/BGP: Fix BGP_CAPCODE_RESTART.

Add a bounds check and a comment to bgp_capabilities_print().

This fixes a buffer over-read discovered by Bhargava Shastry,
SecT/TU Berlin.

Add a test using the capture file supplied by the reporter(s).

(for 4.9.3) CVE-2018-14463/VRRP: Add a missing bounds check

In vrrp_print().

This fixes a buffer over-read discovered by Bhargava Shastry.

Add a test using the capture file supplied by the reporter(s).

(for 4.9.3) CVE-2018-14465/RSVP: Add a missing bounds check

In rsvp_obj_print().

This fixes a buffer over-read discovered by Bhargava Shastry.

Add a test using the capture file supplied by the reporter(s).

(for 4.9.3) CVE-2018-14462/ICMP: Add a missing bounds check

In icmp_print().

This fixes a buffer over-read discovered by Bhargava Shastry.

Add two tests using the capture files supplied by the reporter(s).

(for 4.9.3) LDP: Add some missing bounds checks

In ldp_tlv_print(), these problems were identified through code review.

(for 4.9.3) CVE-2018-14461/LDP: Fix a bounds check

In ldp_tlv_print(), the FT Session TLV length must be 12, not 8 (RFC3479)

This fixes a buffer over-read discovered by Konrad Rieck and
Bhargava Shastry.

Add a test using the capture file supplied by the reporter(s).

Moreover:
Add and use tstr[].
Add a comment.

(for 4.9.3) CVE-2018-14469/ISAKMP: Add a missing bounds check

In ikev1_n_print() check bounds before trying to fetch the replay detection
status.

This fixes a buffer over-read discovered by Bhargava Shastry.

Add a test using the capture file supplied by the reporter(s).

(for 4.9.3) CVE-2018-14466/Rx: fix an over-read bug

In rx_cache_insert() and rx_cache_find() properly read the serviceId
field of the rx_header structure as a 16-bit integer. When those
functions tried to read 32 bits the extra 16 bits could be outside of
the bounds checked in rx_print() for the rx_header structure, as
serviceId is the last field in that structure.

This fixes a buffer over-read discovered by Bhargava Shastry,
SecT/TU Berlin.

Add a test using the capture file supplied by the reporter(s).

(for 4.9.3) FRF.16: Add a missing length check.

At the beginning of mfr_print() check the declared length too, not just
the size of the input buffer. This should make further length-based
decoding more correct.

Found by code inspection hence there is no test case at this time.

(for 4.9.3) Babel: Add a missing length check.

In babel_print_v2() check that the Babel packet body length does not
exceed the outer UDP packet payload. This helps to detect some invalid
packets earlier but does not fix a known vulnerability.

(for 4.9.3) CVE-2018-14470/Babel: fix an existing length check

In babel_print_v2() the non-verbose branch for an Update TLV compared
the TLV Length against 1 instead of 10 (probably a typo), put it right.

This fixes a buffer over-read discovered by Henri Salo from Nixu
Corporation.

Add a test using the capture file supplied by the reporter(s).

(for 4.9.3) CVE-2018-14468/FRF.16: Add a missing length check.

The specification says in a well-formed Magic Number information element
the data is exactly 4 bytes long. In mfr_print() check this before trying
to read those 4 bytes.

This fixes a buffer over-read discovered by Bhargava Shastry,
SecT/TU Berlin.

Add a test using the capture file supplied by the reporter(s).

(for 4.9.3) AoE: Add another bounds check.

In aoev1_print() check bounds before fetching the Flags octet to prevent
a buffer over-read.

Found by code inspection hence there is no test case at this time.