Merge openldap (2.5.17+dfsg-1) import into refs/heads/workingbranch

handle sizeof(time_t) > sizeof(long) in format strings

Last-Update: 2024-03-11
Forwarded: no

64-bit time_t means that on some architectures, time_t is now larger than
a long, and making some references in format strings incorrect.  To avoid
truncation or other size mismatch issues, always cast to a long long and
read using %lld.

Fixes an assertion failure detected during build-time tests on armhf:
slapd: ../../../../../servers/slapd/overlays/dds.c:422: dds_op_add: Assertion `bv.bv_len < sizeof( ttlbuf )' failed.

Gbp-Pq: Name 64-bit-time-t-compat.patch

Fix implicit declaration of kadm5_s_init_with_password_ctx

Bug-Debian: https://bugs.debian.org/1065633

Gbp-Pq: Name smbk5pwd-implicit-declaration

set-maintainer-name

Gbp-Pq: Name set-maintainer-name

Switch to lt_dlopenadvise() so back_perl can be opened with RTLD_GLOBAL. Open all modules with RTLD_GLOBAL, needed so that back_perl can load non-trivial Perl extensions that require symbols from back_perl.so itself.

Bug-Debian: http://bugs.debian.org/327585

Gbp-Pq: Name switch-to-lt_dlopenadvise-to-get-RTLD_GLOBAL-set.diff

fix-build-top-mk

Gbp-Pq: Name fix-build-top-mk

add-tlscacert-option-to-ldap-conf

Gbp-Pq: Name add-tlscacert-option-to-ldap-conf

ldap-conf-tls-cacertdir

Gbp-Pq: Name ldap-conf-tls-cacertdir

contrib-makefiles

Gbp-Pq: Name contrib-makefiles

do-not-second-guess-sonames

Rip out code that second-guesses the libsasl soname / Debian shlibs.  If
cyrus sasl upstream is breaking the ABI, this needs to be fixed upstream
there, not kludged around upstream here!

Debian bug #546885

Upstream ITS #6302 filed.

Gbp-Pq: Name do-not-second-guess-sonames

getaddrinfo-is-threadsafe

OpenLDAP upstream conservatively assumes that certain resolver functions
(getaddrinfo, getnameinfo, res_query, dn_expand) are not re-entrant; but we
know that the glibc implementations of these functions are thread-safe, so
we should bypass the use of this mutex.  This fixes a locking problem when
an application uses libldap and libnss-ldap is also used for hosts
resolution.

Closes Debian bug #340601.

Not suitable for forwarding upstream; might be made suitable by adding a
configure-time check for glibc and disabling the mutex only on known
thread-safe implementations.

Gbp-Pq: Name getaddrinfo-is-threadsafe

sasl-default-path

Add /etc/ldap/sasl2 to the SASL configuration search path.

Not submitted upstream.  Somewhat Debian-specific and probably not of
interest upstream.

Gbp-Pq: Name sasl-default-path

index-files-created-as-root

Document in the man page that slapindex should be run as the same user
as slapd, and print a warning if it's run as root (since Debian defaults
to running slapd as openldap).

Not suitable for upstream in this form.  This patch needs to be reworked
to check the BerkeleyDB database ownership and only warn if running as
root with a database that's not owned by root.

Upstream ITS #5356 filed requesting better handling of this.  Current
upstream discussion leans towards putting the check into the database
backend and aborting if slapd is run as a different user than the database
owner, which is an even better fix.

Gbp-Pq: Name index-files-created-as-root

wrong-database-location

Move the default slapd database location to /var/lib/ldap instead of
/var/openldap-data.

Debian-specific.

Gbp-Pq: Name wrong-database-location

ldapi-socket-place

Move the ldapi socket to /var/run/slapd from /var/run, since /var/run
is only writable by root and slapd runs as openldap.

Debian-specific.

Gbp-Pq: Name ldapi-socket-place

slapi-errorlog-file

The slapi error log file defaults to /var/errors given our setting
of --localstatedir.  Move it to /var/log/slapi-errors instead.

Debian-specific.

Gbp-Pq: Name slapi-errorlog-file

man-slapd

Patch the slapd man page to not refer to a header file that isn't
installed with the slapd package and to reference the correct path
for slapd.

Debian-specific.

Gbp-Pq: Name man-slapd

Replace upstream version with Debian version in version strings

Forwarded: not-needed

Gbp-Pq: Name debian-version

openldap (2.5.17+dfsg-1) unstable; urgency=medium

  * New upstream release.
    - fixed slapo-dynlist so it can't be global (ITS#10091) (Closes: #1040382)
  * debian/copyright: Exclude doc/guide/admin/guide.html from the upstream
    source, because the tool required to build it from source is not packaged
    in Debian. Fixes a Lintian error (source-is-missing).
  * Update Swedish debconf translation. (Closes: #1056955)
    Thanks to Martin Bagge and Anders Jonsson.
  * debian/salsa-ci.yml: Enable Salsa CI pipeline.

[dgit import unpatched openldap 2.5.17+dfsg-1]

Import openldap_2.5.17+dfsg.orig.tar.xz

[dgit import orig openldap_2.5.17+dfsg.orig.tar.xz]

Import openldap_2.5.17+dfsg-1.debian.tar.xz

[dgit import tarball openldap 2.5.17+dfsg-1 openldap_2.5.17+dfsg-1.debian.tar.xz]

Merge openldap (2.5.13+dfsg-5) import into refs/heads/workingbranch

set-maintainer-name

Gbp-Pq: Name set-maintainer-name

Switch to lt_dlopenadvise() so back_perl can be opened with RTLD_GLOBAL. Open all modules with RTLD_GLOBAL, needed so that back_perl can load non-trivial Perl extensions that require symbols from back_perl.so itself.

Bug-Debian: http://bugs.debian.org/327585

Gbp-Pq: Name switch-to-lt_dlopenadvise-to-get-RTLD_GLOBAL-set.diff

fix-build-top-mk

Gbp-Pq: Name fix-build-top-mk

add-tlscacert-option-to-ldap-conf

Gbp-Pq: Name add-tlscacert-option-to-ldap-conf

ldap-conf-tls-cacertdir

Gbp-Pq: Name ldap-conf-tls-cacertdir

contrib-makefiles

Gbp-Pq: Name contrib-makefiles

do-not-second-guess-sonames

Rip out code that second-guesses the libsasl soname / Debian shlibs.  If
cyrus sasl upstream is breaking the ABI, this needs to be fixed upstream
there, not kludged around upstream here!

Debian bug #546885

Upstream ITS #6302 filed.

Gbp-Pq: Name do-not-second-guess-sonames

getaddrinfo-is-threadsafe

OpenLDAP upstream conservatively assumes that certain resolver functions
(getaddrinfo, getnameinfo, res_query, dn_expand) are not re-entrant; but we
know that the glibc implementations of these functions are thread-safe, so
we should bypass the use of this mutex.  This fixes a locking problem when
an application uses libldap and libnss-ldap is also used for hosts
resolution.

Closes Debian bug #340601.

Not suitable for forwarding upstream; might be made suitable by adding a
configure-time check for glibc and disabling the mutex only on known
thread-safe implementations.

Gbp-Pq: Name getaddrinfo-is-threadsafe

sasl-default-path

Add /etc/ldap/sasl2 to the SASL configuration search path.

Not submitted upstream.  Somewhat Debian-specific and probably not of
interest upstream.

Gbp-Pq: Name sasl-default-path

index-files-created-as-root

Document in the man page that slapindex should be run as the same user
as slapd, and print a warning if it's run as root (since Debian defaults
to running slapd as openldap).

Not suitable for upstream in this form.  This patch needs to be reworked
to check the BerkeleyDB database ownership and only warn if running as
root with a database that's not owned by root.

Upstream ITS #5356 filed requesting better handling of this.  Current
upstream discussion leans towards putting the check into the database
backend and aborting if slapd is run as a different user than the database
owner, which is an even better fix.

Gbp-Pq: Name index-files-created-as-root

wrong-database-location

Move the default slapd database location to /var/lib/ldap instead of
/var/openldap-data.

Debian-specific.

Gbp-Pq: Name wrong-database-location

ldapi-socket-place

Move the ldapi socket to /var/run/slapd from /var/run, since /var/run
is only writable by root and slapd runs as openldap.

Debian-specific.

Gbp-Pq: Name ldapi-socket-place

slapi-errorlog-file

The slapi error log file defaults to /var/errors given our setting
of --localstatedir.  Move it to /var/log/slapi-errors instead.

Debian-specific.

Gbp-Pq: Name slapi-errorlog-file

man-slapd

Patch the slapd man page to not refer to a header file that isn't
installed with the slapd package and to reference the correct path
for slapd.

Debian-specific.

Gbp-Pq: Name man-slapd

Replace upstream version with Debian version in version strings

Forwarded: not-needed

Gbp-Pq: Name debian-version

openldap (2.5.13+dfsg-5) unstable; urgency=medium

  * Fix sha2-contrib autopkgtest failure. Call slappasswd using its full path.
    (Closes: #1030814)
  * Disable flaky test test069-delta-multiprovider-starttls.

[dgit import unpatched openldap 2.5.13+dfsg-5]

Import openldap_2.5.13+dfsg-5.debian.tar.xz

[dgit import tarball openldap 2.5.13+dfsg-5 openldap_2.5.13+dfsg-5.debian.tar.xz]

Merge openldap (2.5.13+dfsg-3) import into refs/heads/workingbranch

set-maintainer-name

Gbp-Pq: Name set-maintainer-name

Switch to lt_dlopenadvise() so back_perl can be opened with RTLD_GLOBAL. Open all modules with RTLD_GLOBAL, needed so that back_perl can load non-trivial Perl extensions that require symbols from back_perl.so itself.

Bug-Debian: http://bugs.debian.org/327585

Gbp-Pq: Name switch-to-lt_dlopenadvise-to-get-RTLD_GLOBAL-set.diff

fix-build-top-mk

Gbp-Pq: Name fix-build-top-mk

add-tlscacert-option-to-ldap-conf

Gbp-Pq: Name add-tlscacert-option-to-ldap-conf

ldap-conf-tls-cacertdir

Gbp-Pq: Name ldap-conf-tls-cacertdir

contrib-makefiles

Gbp-Pq: Name contrib-makefiles

do-not-second-guess-sonames

Rip out code that second-guesses the libsasl soname / Debian shlibs.  If
cyrus sasl upstream is breaking the ABI, this needs to be fixed upstream
there, not kludged around upstream here!

Debian bug #546885

Upstream ITS #6302 filed.

Gbp-Pq: Name do-not-second-guess-sonames

getaddrinfo-is-threadsafe

OpenLDAP upstream conservatively assumes that certain resolver functions
(getaddrinfo, getnameinfo, res_query, dn_expand) are not re-entrant; but we
know that the glibc implementations of these functions are thread-safe, so
we should bypass the use of this mutex.  This fixes a locking problem when
an application uses libldap and libnss-ldap is also used for hosts
resolution.

Closes Debian bug #340601.

Not suitable for forwarding upstream; might be made suitable by adding a
configure-time check for glibc and disabling the mutex only on known
thread-safe implementations.

Gbp-Pq: Name getaddrinfo-is-threadsafe

sasl-default-path

Add /etc/ldap/sasl2 to the SASL configuration search path.

Not submitted upstream.  Somewhat Debian-specific and probably not of
interest upstream.

Gbp-Pq: Name sasl-default-path

index-files-created-as-root

Document in the man page that slapindex should be run as the same user
as slapd, and print a warning if it's run as root (since Debian defaults
to running slapd as openldap).

Not suitable for upstream in this form.  This patch needs to be reworked
to check the BerkeleyDB database ownership and only warn if running as
root with a database that's not owned by root.

Upstream ITS #5356 filed requesting better handling of this.  Current
upstream discussion leans towards putting the check into the database
backend and aborting if slapd is run as a different user than the database
owner, which is an even better fix.

Gbp-Pq: Name index-files-created-as-root

wrong-database-location

Move the default slapd database location to /var/lib/ldap instead of
/var/openldap-data.

Debian-specific.

Gbp-Pq: Name wrong-database-location

ldapi-socket-place

Move the ldapi socket to /var/run/slapd from /var/run, since /var/run
is only writable by root and slapd runs as openldap.

Debian-specific.

Gbp-Pq: Name ldapi-socket-place

slapi-errorlog-file

The slapi error log file defaults to /var/errors given our setting
of --localstatedir.  Move it to /var/log/slapi-errors instead.

Debian-specific.

Gbp-Pq: Name slapi-errorlog-file

man-slapd

Patch the slapd man page to not refer to a header file that isn't
installed with the slapd package and to reference the correct path
for slapd.

Debian-specific.

Gbp-Pq: Name man-slapd

Replace upstream version with Debian version in version strings

Forwarded: not-needed

Gbp-Pq: Name debian-version

openldap (2.5.13+dfsg-3) unstable; urgency=medium

  [ Ryan Tandy ]
  * Disable flaky test test063-delta-multiprovider. Mitigates #1010608.

  [ Gioele Barabucci ]
  * slapd.scripts-common: Avoid double-UTF8-encoding org name (Closes: #1016185)
  * d/slapd.scripts-common: Remove outdated `migrate_to_slapd_d_style`
  * d/slapd.postinst: Remove test for ancient version
  * slapd.scripts-common: Remove unused `normalize_ldif`
  * d/slapd.scripts-common: Use sed instead of perl in `release_diagnostics`

[dgit import unpatched openldap 2.5.13+dfsg-3]

Import openldap_2.5.13+dfsg-3.debian.tar.xz

[dgit import tarball openldap 2.5.13+dfsg-3 openldap_2.5.13+dfsg-3.debian.tar.xz]

Merge openldap (2.5.13+dfsg-2) import into refs/heads/workingbranch

set-maintainer-name

Gbp-Pq: Name set-maintainer-name

Switch to lt_dlopenadvise() so back_perl can be opened with RTLD_GLOBAL. Open all modules with RTLD_GLOBAL, needed so that back_perl can load non-trivial Perl extensions that require symbols from back_perl.so itself.

Bug-Debian: http://bugs.debian.org/327585

Gbp-Pq: Name switch-to-lt_dlopenadvise-to-get-RTLD_GLOBAL-set.diff

fix-build-top-mk

Gbp-Pq: Name fix-build-top-mk

add-tlscacert-option-to-ldap-conf

Gbp-Pq: Name add-tlscacert-option-to-ldap-conf

ldap-conf-tls-cacertdir

Gbp-Pq: Name ldap-conf-tls-cacertdir

contrib-makefiles

Gbp-Pq: Name contrib-makefiles

do-not-second-guess-sonames

Rip out code that second-guesses the libsasl soname / Debian shlibs.  If
cyrus sasl upstream is breaking the ABI, this needs to be fixed upstream
there, not kludged around upstream here!

Debian bug #546885

Upstream ITS #6302 filed.

Gbp-Pq: Name do-not-second-guess-sonames

getaddrinfo-is-threadsafe

OpenLDAP upstream conservatively assumes that certain resolver functions
(getaddrinfo, getnameinfo, res_query, dn_expand) are not re-entrant; but we
know that the glibc implementations of these functions are thread-safe, so
we should bypass the use of this mutex.  This fixes a locking problem when
an application uses libldap and libnss-ldap is also used for hosts
resolution.

Closes Debian bug #340601.

Not suitable for forwarding upstream; might be made suitable by adding a
configure-time check for glibc and disabling the mutex only on known
thread-safe implementations.

Gbp-Pq: Name getaddrinfo-is-threadsafe

sasl-default-path

Add /etc/ldap/sasl2 to the SASL configuration search path.

Not submitted upstream.  Somewhat Debian-specific and probably not of
interest upstream.

Gbp-Pq: Name sasl-default-path

index-files-created-as-root

Document in the man page that slapindex should be run as the same user
as slapd, and print a warning if it's run as root (since Debian defaults
to running slapd as openldap).

Not suitable for upstream in this form.  This patch needs to be reworked
to check the BerkeleyDB database ownership and only warn if running as
root with a database that's not owned by root.

Upstream ITS #5356 filed requesting better handling of this.  Current
upstream discussion leans towards putting the check into the database
backend and aborting if slapd is run as a different user than the database
owner, which is an even better fix.

Gbp-Pq: Name index-files-created-as-root

wrong-database-location

Move the default slapd database location to /var/lib/ldap instead of
/var/openldap-data.

Debian-specific.

Gbp-Pq: Name wrong-database-location

ldapi-socket-place

Move the ldapi socket to /var/run/slapd from /var/run, since /var/run
is only writable by root and slapd runs as openldap.

Debian-specific.

Gbp-Pq: Name ldapi-socket-place

slapi-errorlog-file

The slapi error log file defaults to /var/errors given our setting
of --localstatedir.  Move it to /var/log/slapi-errors instead.

Debian-specific.

Gbp-Pq: Name slapi-errorlog-file

man-slapd

Patch the slapd man page to not refer to a header file that isn't
installed with the slapd package and to reference the correct path
for slapd.

Debian-specific.

Gbp-Pq: Name man-slapd

Replace upstream version with Debian version in version strings

Forwarded: not-needed

Gbp-Pq: Name debian-version

openldap (2.5.13+dfsg-2) unstable; urgency=medium

  * d/tests/smbk5pwd: Grant slapd access to /var/lib/heimdal-kdc. Fixes the
    autopkgtest failure due to heimdal setting mode 700 on this directory.
    (Closes: #1020442)
  * d/source/lintian-overrides: Add wildcards to make overrides compatible
    with both older and newer versions of lintian.
  * d/slapd-contrib.lintian-overrides: Remove unused
    custom-library-search-path override now that krb5-config no longer sets
    -rpath.

[dgit import unpatched openldap 2.5.13+dfsg-2]

Import openldap_2.5.13+dfsg-2.debian.tar.xz

[dgit import tarball openldap 2.5.13+dfsg-2 openldap_2.5.13+dfsg-2.debian.tar.xz]

Import openldap_2.5.13+dfsg.orig.tar.xz

[dgit import orig openldap_2.5.13+dfsg.orig.tar.xz]

Merge openldap (2.5.13+dfsg-1) import into refs/heads/workingbranch

set-maintainer-name

Gbp-Pq: Name set-maintainer-name

Switch to lt_dlopenadvise() so back_perl can be opened with RTLD_GLOBAL. Open all modules with RTLD_GLOBAL, needed so that back_perl can load non-trivial Perl extensions that require symbols from back_perl.so itself.

Bug-Debian: http://bugs.debian.org/327585

Gbp-Pq: Name switch-to-lt_dlopenadvise-to-get-RTLD_GLOBAL-set.diff

fix-build-top-mk

Gbp-Pq: Name fix-build-top-mk

add-tlscacert-option-to-ldap-conf

Gbp-Pq: Name add-tlscacert-option-to-ldap-conf

ldap-conf-tls-cacertdir

Gbp-Pq: Name ldap-conf-tls-cacertdir

contrib-makefiles

Gbp-Pq: Name contrib-makefiles

do-not-second-guess-sonames

Rip out code that second-guesses the libsasl soname / Debian shlibs.  If
cyrus sasl upstream is breaking the ABI, this needs to be fixed upstream
there, not kludged around upstream here!

Debian bug #546885

Upstream ITS #6302 filed.

Gbp-Pq: Name do-not-second-guess-sonames

getaddrinfo-is-threadsafe

OpenLDAP upstream conservatively assumes that certain resolver functions
(getaddrinfo, getnameinfo, res_query, dn_expand) are not re-entrant; but we
know that the glibc implementations of these functions are thread-safe, so
we should bypass the use of this mutex.  This fixes a locking problem when
an application uses libldap and libnss-ldap is also used for hosts
resolution.

Closes Debian bug #340601.

Not suitable for forwarding upstream; might be made suitable by adding a
configure-time check for glibc and disabling the mutex only on known
thread-safe implementations.

Gbp-Pq: Name getaddrinfo-is-threadsafe

sasl-default-path

Add /etc/ldap/sasl2 to the SASL configuration search path.

Not submitted upstream.  Somewhat Debian-specific and probably not of
interest upstream.

Gbp-Pq: Name sasl-default-path

index-files-created-as-root

Document in the man page that slapindex should be run as the same user
as slapd, and print a warning if it's run as root (since Debian defaults
to running slapd as openldap).

Not suitable for upstream in this form.  This patch needs to be reworked
to check the BerkeleyDB database ownership and only warn if running as
root with a database that's not owned by root.

Upstream ITS #5356 filed requesting better handling of this.  Current
upstream discussion leans towards putting the check into the database
backend and aborting if slapd is run as a different user than the database
owner, which is an even better fix.

Gbp-Pq: Name index-files-created-as-root

wrong-database-location

Move the default slapd database location to /var/lib/ldap instead of
/var/openldap-data.

Debian-specific.

Gbp-Pq: Name wrong-database-location

ldapi-socket-place

Move the ldapi socket to /var/run/slapd from /var/run, since /var/run
is only writable by root and slapd runs as openldap.

Debian-specific.

Gbp-Pq: Name ldapi-socket-place

slapi-errorlog-file

The slapi error log file defaults to /var/errors given our setting
of --localstatedir.  Move it to /var/log/slapi-errors instead.

Debian-specific.

Gbp-Pq: Name slapi-errorlog-file

man-slapd

Patch the slapd man page to not refer to a header file that isn't
installed with the slapd package and to reference the correct path
for slapd.

Debian-specific.

Gbp-Pq: Name man-slapd

Replace upstream version with Debian version in version strings

Forwarded: not-needed

Gbp-Pq: Name debian-version

openldap (2.5.13+dfsg-1) unstable; urgency=medium

  * d/rules: Remove get-orig-source, now unnecessary.
  * Check PGP signature when running uscan.
  * d/watch: Modernize watch file; use repacksuffix.
  * d/copyright: Update according to DEP-5.
  * d/control: Add myself to Uploaders.
  * New upstream release.

[dgit import unpatched openldap 2.5.13+dfsg-1]

Import openldap_2.5.13+dfsg-1.debian.tar.xz

[dgit import tarball openldap 2.5.13+dfsg-1 openldap_2.5.13+dfsg-1.debian.tar.xz]

Merge openldap (2.5.12+dfsg-2) import into refs/heads/workingbranch

set-maintainer-name

Gbp-Pq: Name set-maintainer-name

Switch to lt_dlopenadvise() so back_perl can be opened with RTLD_GLOBAL. Open all modules with RTLD_GLOBAL, needed so that back_perl can load non-trivial Perl extensions that require symbols from back_perl.so itself.

Bug-Debian: http://bugs.debian.org/327585

Gbp-Pq: Name switch-to-lt_dlopenadvise-to-get-RTLD_GLOBAL-set.diff

fix-build-top-mk

Gbp-Pq: Name fix-build-top-mk

add-tlscacert-option-to-ldap-conf

Gbp-Pq: Name add-tlscacert-option-to-ldap-conf

ldap-conf-tls-cacertdir

Gbp-Pq: Name ldap-conf-tls-cacertdir