Merge pull request #18907 from mrc0mmand/test-dissect-sanitizers

test: fix TEST-50-DISSECT under sanitizers

Merge pull request #18910 from yuwata/socket-util-initialize-variable

socket-util: initialize variable with cleanup attribute

socket-util: initialize variable with cleanup attribute

Follow-up for 83e03c4fc23dae0cbb3fd4e7c2f9ef533fc26160.

Fixes CID#1448460.

test: fix TEST-50-DISSECT under sanitizers

This test would normally get stuck when trying to mount the verity image
due to:

systemd-udevd[299]: dm-0: '/usr/sbin/dmsetup udevflags 6293812'(err) '==371==ASan runtime does not come first in initial library list; you should either link runtime to your application or manually preload it with LD_PRELOAD.'
systemd-udevd[299]: dm-0: Process '/usr/sbin/dmsetup udevflags 6293812' failed with exit code 1
...
systemd-udevd[299]: dm-0: '/usr/sbin/dmsetup udevcomplete 6293812'(err) '==372==ASan runtime does not come first in initial library list; you should either link runtime to your application or manually preload it with LD_PRELOAD.'
systemd-udevd[299]: dm-0: Process '/usr/sbin/dmsetup udevcomplete 6293812' failed with exit code 1.
systemd-udevd[299]: dm-0: Command "/usr/sbin/dmsetup udevcomplete 6293812" returned 1 (error), ignoring.

so let's add a simple udev rule which sets $LD_PRELOAD for the block
subsystem.

Also, install the ASan library along with necessary dependencies into
the verity minimal image, to get rid of the annoying (yet harmless)
errors about missing library from $LD_LIBRARY.

test: tidy up the ASan-related stuff

Merge pull request #18892 from poettering/cname-tweaks

resolved: properly handle stub replies for chains of multiple CNAMEs

dissect: fix memleak

Fixes #18903.

Manual page fixes (#18906)

Merge pull request #18891 from keszybz/size_t-cast-removal

size_t cast removal

resolved: when synthesizing stub replies from multiple upstream packet, let's avoid RR duplicates

If we synthesize a stub reply from multiple upstream packet (i.e. a
series of CNAME/DNAME redirects), it might happen that we add the same
RR to a different reply section at a different CNAME/DNAME redirect
chain element. Let's clean this up once we are about to send the reply
message to the client: let's remove sections from "lower-priority"
sections when they are already listed in a "higher-priority" section.

resolved: fully follow CNAMEs in the DNS stub after all

In 2f4d8e577ca7bc51fb054b8c2c8dd57c2e188a41 I argued that following
CNAMEs in the stub is not necessary anymore. However, I think it' better
to revert to the status quo ante and follow it after all, given it is
easy for us and makes sure our D-Bus/varlink replies are more similar to
our DNS stub replies that way, and we save clients potential roundtrips.

Hence, whenever we hit a CNAME/DNAME redirect, let's restart the query
like we do for the D-Bus/Varlink case, and collect replies as we go.

resolved: split out helper that checks whether we shall reply with EDNS0 DO

Just some refactoring, no actual code changes.

resolved: handle multiple CNAME redirects in a single reply from upstream

www.netflix.com responds with a chain of CNAMEs in the same packet.
Let's handle that properly (so far we only followed CNAMEs a single step
when in the same packet)

Fixes: #18819

resolved: tighten checks in dns_resource_record_get_cname_target()

Let's refuse to consider CNAME/DNAME replies matching for RR types where
that is not really conceptually allow (i.e. on CNAME/DNAME lookups
themselves).

(And add a similar check to dns_resource_key_match_cname_or_dname() too,
which implements a smilar match)

dns-query: export CNAME_MAX, so that we can use it in other files, too

Let's rename it a bit, to be more explanatory while exporting it.

(And let's bump the CNAME limit to 16 — 8 just sounded so little)

Merge pull request #18890 from keszybz/fuzz-bus-match

Add fuzzers for bus match parsing code

sd-bus: remove unnecessary variable

Also use structued initialization in one more place, use '\0' for NUL bytes,
and move variable to the right block (the code was OK, but it is strange to
have 'char *value' defined in a different scope then 'size_t value_allocated').

docs: document fuzzer variables

fuzz-main: allow the number of runs to be overridden

This is useful when debugging.

sd-bus: fix memleak in failure path in bus_match_parse()

fuzz-bus-match: add example from bugzilla#1935084

The fuzzer seems to have no trouble with this sample. It seems that the
problem reported in the bug is not caused by the match parsing code. But
let's add the sample just in case.

https://bugzilla.redhat.com/show_bug.cgi?id=1935084

fuzz-bus-match: new fuzzer

This fuzzer is based on test-bus-match. Even the initial corpus is
derived entirely from it.

https://bugzilla.redhat.com/show_bug.cgi?id=1935084 shows an crash
in bus_match_parse(). I checked the coverage stats on oss-fuzz, and
sadly existing fuzzing did not cover this code at all.

test-bus-match: small modernization

sd-bus: avoid alloc and missing oom check in bus_match_dump()

sd-bus: let bus_match_dump() take an output file

sd-bus: fix memstream buffer extraction

I'm getting the following error under valgrind:

==305970== Invalid free() / delete / delete[] / realloc()
==305970==    at 0x483E9F1: free (vg_replace_malloc.c:538)
==305970==    by 0x4012CD: mfree (alloc-util.h:48)
==305970==    by 0x4012EF: freep (alloc-util.h:83)
==305970==    by 0x4017F4: LLVMFuzzerTestOneInput (fuzz-bus-match.c:58)
==305970==    by 0x401A58: main (fuzz-main.c:39)
==305970==  Address 0x59972f0 is 0 bytes inside a block of size 8,192 free'd
==305970==    at 0x483FCE4: realloc (vg_replace_malloc.c:834)
==305970==    by 0x4C986F7: _IO_mem_finish (in /usr/lib64/libc-2.33.so)
==305970==    by 0x4C8F5E0: fclose@@GLIBC_2.2.5 (in /usr/lib64/libc-2.33.so)
==305970==    by 0x49D2CDB: fclose_nointr (fd-util.c:108)
==305970==    by 0x49D2D3D: safe_fclose (fd-util.c:124)
==305970==    by 0x4A4BCCC: fclosep (fd-util.h:41)
==305970==    by 0x4A4E00F: bus_match_to_string (bus-match.c:859)
==305970==    by 0x4016C2: LLVMFuzzerTestOneInput (fuzz-bus-match.c:58)
==305970==    by 0x401A58: main (fuzz-main.c:39)
==305970==  Block was alloc'd at
==305970==    at 0x483FAE5: calloc (vg_replace_malloc.c:760)
==305970==    by 0x4C98787: open_memstream (in /usr/lib64/libc-2.33.so)
==305970==    by 0x49D56D6: open_memstream_unlocked (fileio.c:97)
==305970==    by 0x4A4DEC5: bus_match_to_string (bus-match.c:859)
==305970==    by 0x4016C2: LLVMFuzzerTestOneInput (fuzz-bus-match.c:58)
==305970==    by 0x401A58: main (fuzz-main.c:39)
==305970==

So the fclose() which is called from _cleanup_fclose_ clearly reallocates the
buffer (maybe to save memory?). open_memstream(3) says:

  The locations referred to by these pointers are updated each time the
  stream is flushed (fflush(3)) and  when the stream is closed (fclose(3)).

This seems to mean that we should close the stream first before grabbing the
buffer pointer.

fuzz-bus-message: move sources to src/libsystemd/

There's also fuzz-bus-label, but despite the name, it tests code that is in
src/shared/, so it shouldn't move.

bus/bus-match: use "ret_" prefix for output parameters

bus/bus-match: inline iterator variable declarations

format-table: fix potentail memleak and invalid-free

fstab-generator: fix typo

udev: run link_update() with increased retry count in second invocation

In PR #17431 we have introduced retry loop in link_update() in order to
maximize the chance that we end up with correct target when there are
multiple contenders for given symlink.

Number of iterations in retry loop is either 1 or
LINK_UPDATE_MAX_RETRIES, depending on the value of 'initialized' db
flag. When device appears for the first time we need to set the
flag before calling link_update() via update_devnode() for the second
time to make sure we run the second invocation with higher retry loop
counter.

Merge pull request #18896 from poettering/no-localhost-ipv6

if ipv6 is turned off, don't synthesize localhost as ::1 ever

test: disable at_exit LSan check for dbus.service

When running integration tests under sanitizers D-Bus fails to
shutdown cleanly, causing unnecessary noise in the logs:

```
dbus-daemon[272]: ==272==LeakSanitizer has encountered a fatal error.
dbus-daemon[272]: ==272==HINT: For debugging, try setting environment variable LSAN_OPTIONS=verbosity=1:log_threads=1
dbus-daemon[272]: ==272==HINT: LeakSanitizer does not work under ptrace (strace, gdb, etc)
```

Since we're not "sanitizing" D-Bus anyway let's disable LSan's at_exit
check for the dbus.service to get rid of this error.

dissect: avoid overflow access by NULLSTR_FOREACH

NULLSTR_FOREACH expects two terminating NULs, but the joined string
for extension-release.d only had the canonical one.
Use a placeholder when joining and fix it manually.

socket-util: refuse "all" and "default" as valid ifnames

Let's avoid collisions with special sysctls.

Merge pull request #18875 from keszybz/localed-error

localed: return error when setting a non-installed keymap

Update 60-sensor.hwdb (#18884)

added support for the Lenovo IdeaPad D330-10IGM screen orientation

resolved: never return ::1 when localhost or local hostname is resolved while IPv6 is off in the kernel

Fixes: #18812

socket-util: add helper for checking if IPv6 is enabled

socket-util: cache result of socket_ipv6_is_supported()

And while we are at it, log about unexpected errors.

basic: move shared/sysctl-util.[ch] → basic/

This is self-contained ans allows us later to use the provided APIs from
other code in src/basic/

sysctl-util: use read_full_virtual_file() for reading sysctls

Given these files are part of procfs, let's use the correct API calls
for reading them.

This changes one occasion of read_one_line_file() to
read_full_virtual_file(), which superficially is a different thing, but
shouldn't actually be a difference, since sysctls can't be longer than
4K anyway, and the piecemeal logic behind read_one_line_file() cannot
work with the special semantics of procfs anyway.

Drop some (size_t) casts

Upcasts of the same type are automatic, so no need for an explicit cast.

Drop parens from around already-parenthesized defines

network-wait-online: use sd_event_add_time_relative()

Merge pull request #18852 from yuwata/tree-wide-use-UINT64_MAX

tree-wide: use UINT64_MAX or friends

Merge pull request #18885 from yuwata/udev-fix-import-program-rhbz-1935062

udev: fix importing program result

test: add test for IMPORT{program}= udev rule

test: merge udev tests

Merge pull request #18873 from yuwata/use-config-parse-many-and-null-or-empty-path

tree-wide: use config_parse_many() and null_or_empty_path()

dhcp-server: also append specified additional options and vendor specific option on DHCP_OFFER

Fixes #15780.

udev: also not unescape command result on debug log

udev: do not unescape command result

This fixes a bug introduced by 28a5065149c31a8689738ddcd1100502371a7c34.

Fixes RHBZ#1935062 (https://bugzilla.redhat.com/show_bug.cgi?id=1935062).

strv: introduce strv_split_newlines_full()

hwdb: add fuzz for Dell Latitude E7470 (#18876)

install: use null_or_empty_path()

network: use null_or_empty_path()

This also drops unnecessary fseek().

udev/net: use null_or_empty_path()

udev/net: make .link files support drop-in config

copy: move sync_rights() to copy.c and rename copy_rights()

It's so similar to copy_access(), hence let's move it over and rename it
in similar style to the rest of the functions.

No change in behaviour, just moving things over.

copy: simplify error paths when creating temporary files

efi: introduce UINT32_MAX and UINT64_MAX

tree-wide: use UINT64_MAX or friends

table: drop last SIZE_MAX from table_set_sort() and table_set_display()

tree-wide: use usec_add() and usec_sub_unsigned()

journal: make namespace invocation also support drop-in config

run: tweak algorithm for generating unit name from dbus unique name

This reverts behaviour of systemd-run's unit name generation to the
status quo ante of #18871: we chop off the ":1." prefix if we can.
However, to address the issue that the unique name can overrun we then
do what #18871 did as fallback: only chop off the ":" prefix.

This way we should have pretty names that look like they always looked
in the common case, but in the case of a unique name overrun we still
will have names that work.

Follow-up for #18871

rm-rf: fix up chmod in the _cleanup_ rm_rf() destructors

REMOVE_CHMOD is necessary to remove files/dirs that are owned by us but
have an access mode that would not allow us to remove them. In generic
destructor calls for use with `_cleanup_` that are "fire-and-forget"
style we should make use of that, to maximize the chance we can actually
remove the files/dirs.

(Also, add in REMOVE_MISSING_OK. Just because prettier, we ignore the
return codes anyway, but it' a bit nicer to ignore a bit fewer errors.)

man: document how to use --network-interface= during boot

Fixes: #18793

fileio: minor read_full_stream_full() optimization

If we shall read as much of a file/stream as we can, then it makes sense
to use the full malloc()ed memory, not just the part we asked for.

Merge pull request #18615 from xry111/private-ipc-1

New directives PrivateIPC and IPCNamespacePath

trans_time sec is int32,it will overflow if local system time is later than 2038.

Merge pull request #18840 from yuwata/libudev-monitor-tiny-cleanup

io-util: introduce ppoll_usec()

install: include OS headers before our own definition

Doesn't matter much, but matches more our usual coding style where our
definition are done after all headers provided by the OS are included.

Merge pull request #18773 from yuwata/network-move-several-functions

network: move several functions

shared/kbd-util: simplify suffix stripping

It only came to me now that this can be prettified.

localed: refuse to set a keymap which is not installed

In https://bugzilla.redhat.com/show_bug.cgi?id=1933873 a keymap was set without
the package that provides it being installed (it2 is in kbd-legacy, which is
not installed by default). Setting a non-installed keymap is problematic,
because it results in nasty failures afterward (*). So let's to the same as
e.g. for locale data, and refuse a setting if the definition doesn't exists in
the filesystem.

The implementation using nftw() is not the most efficient, but I think it's OK
in this case. This is definitely not in any kind of hot path, and I prefer not
to duplicate the filename manipulation logic in a second function.

(*) If the keymap is not found, vconsole-setup.service will fail.
dracut-cmdline-ask.service has Requires=vconsole-setup.service, so it will also
fail, and this breaks boot. dracut-cmdline-ask.service having a hard dependency
is appropriate though: we sadly don't display what the keymap is, and with a wrong
keymap, any attempts to enter a password are likely to fail.

shared/kbd-util: return error on resource errors

I guess we should still not fail on failure to access a directory and such.

shared/kbd-util: fix return value confusion with nftw()

We would return a real error sometimes from the callback, and FTW_STOP other
times. Because of FTW_ACTIONRETVAL, everything except FTW_STOP would be
ignored. I don't think using FTW_ACTIONRETVAL is useful.

nftw() can only be used meaningfully with errno. Even if we return a proper
value ourselves from the callback, it will be propagated as a return value from
nftw(), but there is no way to distinguish this from a value generated by
nftw() itself, which is -1/-EPERM on error. So let's set errno ourselves so the
caller can at least look at that.

The code still ignores all errors.

run: update dbus unique names check

Some code in systemd-run checks that a bus's unique name must start with
`:1.`. However the dbus specification on unique connection names only specifies
that it must begin with a colon. And the freedesktop/dbus implementation allows
allows unique names to go up to `:INT_MAX.INT_MAX`. So update the
current check to only look for a colon at the beginning.

Move basic/kbd-util to shared/

It is (or should be used) in localectl, localed, and a few other places,
no reason to keep it in basic/.

core: fix mtime calculation of dropin files

Nominally, the bug was in unit_load_dropin(), which just took the last mtime
instead of calculating the maximum. But instead of adding code to wrap the
loop, this patch goes in the other direction.

All (correct) callers of config_parse() followed a very similar pattern to
calculate the maximum mtime. So let's simplify things by making config_parse()
assume that mtime is initialized and update it to the maximum. This makes all
the callers that care about mtime simpler and also fixes the issue in
unit_load_dropin().

config_parse_many_nulstr() and config_parse_many() are different, because it
makes sense to call them just once, and current ret_mtime behaviour make sense.

Fixes #17730, https://bugzilla.redhat.com/show_bug.cgi?id=1933137.

coredumpctl: show container hostame

Fixes #18321. I don't see any point in showing the hostname in
_HOSTNAME: it's either the same as COREDUMP_HOSTNAME or irrelevant.

Merge pull request #18864 from poettering/fsync-tweaks

make sure fsync_directory_of_file() + fsync_full() work on more inode types reasonably

rm-rf: fstatat() might fail if containing dir has limited access mode, patch that too

fs-util: when opening arbitrary inodes, better use O_NONBLOCK

In case this is a device node where opening might block.

gpt: generalize validator for GPT partition labels

This adds a proper validator function.

No change in behaviour, just some minor refactoring (this should be
useful elsewhere later on though)

fs-util: port open_parent() to path_extract_directory()

po: Added translation using Weblate (Sinhala)

Co-authored-by: Hela Basa <r45xveza@pm.me>

tree-wide: use ppoll_usec()

io-util: introduce ppoll_usec() helper function

libudev: shorten code a bit

fd_wait_for_event() or ppoll() does not return -EAGAIN.

fs-util: handle gracefully if fsync_full() is called on block devices and such

fs-util: allow fsync_directory_of_file() on directories too

(in which case the parent dir is synced)

Remount /dev/mqueue in unshared mount namespace for PrivateIPC

New directives PrivateIPC and IPCNamespacePath

Refactor network namespace specific functions in generic helpers

fuzz: add NetworkNamespacePath= into directives.service

rules: Move ID_SMARTCARD_READER definition to a <70 configuration.

70-uaccess.rules sets the uaccess tag on devices with ID_SMARTCARD_READER
set, but it is set in 99-systemd.rules .
Move this to a 60-*.rules which already matches USB CCID class, factorising
the matching, so 70-uaccess.rules sets up these devices as expected.