Update Esperanto translation

Set initial blank cursor

If the server doesn't support local cursors and want to render them
itself then we need to make sure the local cursor is invisible.

This also makes sure we always have some cursor allocated, so we can
remove the checks in some places.

Update source URLs in el6 spec file

Remove hard coded source URLs from travis-ci build script

Allow non-interactive installs for bionic (travis-ci)

Add ubuntu-bionic to travis-ci builds

Make sure travis-ci builds java viewer with latest openjdk 8

Mostly stylistic changes to java viewer to match recent changes to native viewer

Fix travis-ci build scripts broken by c59f195

Fix maximum compress lvl in parameter list

Commit 4e61f8dbc51f83b1d71319b763fbd4d916d13e98 fixed the GUI but forgot
to change the other places in the code.

Use the correct minimum value for compression lvl

There was even some confusion in the RFB protocol regarding this, but
the zlib implementation confirms that accepted values for compression
level is 0-9.

Use the correct maximum value for compression lvl

The GUI incorrectly noted the max level to be 6 while it in fact is 9.

Remove confusing note about compression level

Even if this note is true it just adds confusion.

Simplify color level descriptions

The number of colors used isn't something the end-users should have to
concern themselves with. I intentionally left the information in the
man-pages.

Merge branch 'secfix' of https://github.com/CendioOssman/tigervnc

Remove support for ubuntu trusty since it's been EoL for 6 months

Check the correct stream if there is more data pending

The input stream might no longer be the raw socket, so we need to
query what's currently active. That wrapping stream might have its
own buffering and may have more data even if the socket is drained.

Handle pending data in TLS buffers

There might be more bytes left in the current TLS record, even if
there is nothing on the underlying stream. Make sure we properly
return this when we aren't being requested to block.

Correctly calculate rects with no CopyRect support

The copied rects have already been merged in to the changed rects
at this point if the client doesn't support the CopyRect encoding.

Don't background the main session command

When used with -fg we expect the startup script to remain running until
the session is over. This will not happen if the session command is put
in the background using &.

Fix link order of nettle and hogweed

Hogweed needs nettle, not the other way around. So make sure they
are specified in the correct order for the static link to succeed.

Update Hungarian translation

Add Korean translation

Use openjdk-8 to build java viewer for bionic

Update build deps for Ubuntu Bionic packages

Add support for VMwareCursor pseudo encoding to Java client

Remove old Java applet support

RFB refactoring to sync with native client

Invalidate duplicate screens

Handle pixel formats with odd shift values

Our fast paths assume that each channel fits in to a separate byte.
That means the shift needs to be a multiple of 8. Start actually
checking this so that a client cannot trip us up and possibly cause
incorrect code exection.

Issue found by Pavel Cheremushkin from Kaspersky Lab.

Add unit tests for PixelFormat.is888() detection

Be defensive about overflows in stream objects

We use a lot of lengths given to us over the network, so be more
paranoid about them causing an overflow as otherwise an attacker
might trick us in to overwriting other memory.

This primarily affects the client which often gets lengths from the
server, but there are also some scenarios where the server might
theoretically be vulnerable.

Issue found by Pavel Cheremushkin from Kaspersky Lab.

Use size_t for lengths in stream objects

Provides safety against them accidentally becoming negative because
of bugs in the calculations.

Also does the same to CharArray and friends as they were strongly
connection to the stream objects.

Remove unused FixedMemOutStream

Add sanity checks for PixelFormat shift values

Otherwise we might be tricked in to reading and writing things at
incorrect offsets for pixels which ultimately could result in an
attacker writing things to the stack or heap and executing things
they shouldn't.

This only affects the server as the client never uses the pixel
format suggested by th server.

Issue found by Pavel Cheremushkin from Kaspersky Lab.

Fix depth sanity test in PixelFormat

Add unit test for PixelFormat sanity checks

Handle empty Tight gradient rects

We always assumed there would be one pixel per row so a rect with
a zero width would result in us writing to unknown memory.

This could theoretically be used by a malicious server to inject
code in to the viewer process.

Issue found by Pavel Cheremushkin from Kaspersky Lab.

Add write protection to OffsetPixelBuffer

No one should every try to write to this buffer. Enforce that by
throwing an exception if any one tries to get a writeable pointer
to the data.

Restrict PixelBuffer dimensions to safe values

We do a lot of calculations based on pixel coordinates and we need
to make sure they do not overflow. Restrict the maximum dimensions
we support rather than try to switch over all calculations to use
64 bit integers.

This prevents attackers from from injecting code by specifying a
huge framebuffer size and relying on the values overflowing to
access invalid areas of the heap.

This primarily affects the client which gets both the screen
dimensions and the pixel contents from the remote side. But the
server might also be affected as a client can adjust the screen
dimensions, as can applications inside the session.

Issue found by Pavel Cheremushkin from Kaspersky Lab.

Encapsulate PixelBuffer internal details

Don't allow subclasses to just override dimensions or buffer details
directly and instead force them to go via methods. This allows us
to do sanity checks on the new values and catch bugs and attacks.

Make ZlibInStream more robust against failures

Move the checks around to avoid missing cases where we might access
memory that is no longer valid. Also avoid touching the underlying
stream implicitly (e.g. via the destructor) as it might also no
longer be valid.

A malicious server could theoretically use this for remote code
execution in the client.

Issue found by Pavel Cheremushkin from Kaspersky Lab

Update Swedish translation

Update Czech translation

Set explicit connect timeout on socket and use timer instead of counting iterations

Poll local socket to make sure SSH tunnel is ready before connecting

Fix external SSH arguments dialog

Fix for dialog modality on Mac OS X

Fix for issue #796

Using socket.getPeerName() causes DNS lookup and noticable UI stall

Update Russian translation

Add build scripts for ubunto 18.04 (bionic)

Update Brazilian Portuguese translation

Update Bulgarian translation

Update German translation

Update Ukrainian translation

Update Chinese (traditional) translation

Merge pull request #894 from samhed/master

Don't show the context menu hint when no hotkey is chosen

Don't show the context menu hint when no hotkey

[java] Add support for java 9+ (removes support for java 7). Fixes #708,#771

[java] Trim any leading/trailing whitespace from servername

Change development version to 1.10.80

Update translation template file

Merge branch 'fix-mistake' of https://github.com/gschwind/tigervnc

Fix bad PixelBuffer reference in VNCServerST::setPixelBuffer()

We need to examine the incoming PixelBuffer, not the previous one
(which might not even be valid).

Merge pull request #866 from gschwind/fix-wrong-test-order

fix test order in convertLF and convertCRLF

Fix length checks in string conversion functions

We need to check the buffer length before accessing the incoming
string. Probably not a problem in practice as there should be a
final null in most incoming strings.

Issue found by Pavel Cheremushkin from Kaspersky Lab.

Add unit tests for convertLF() and convertCRLF()

Split test programs to benchmarking and unit tests

They have very different purpose, so make things easier to work
with by having multiple directories.

Use display polling by default in WinVNC

Window hooks aren't working well on modern systems so switch the
default to polling until we can fix things.

fix test order in convertLF and convertCRLF

The new order of test avoid ready invalid memory address in ca.buf

fix to early remove of iterator in VNCServerST::removeSocket

Merge pull request #849 from grulja/master

Do not return returncode indicating error when listing sessions

Do not return returncode indicating error when listing sessions

Merge branch 'exclipboard' of https://github.com/CendioOssman/tigervnc

Support extended clipboard transfers

Implements support in both client and server for the extended
clipboard format first seen in UltraVNC. Currently only implements
text handling, but that is still an improvement as it extends the
clipboard from ISO 8859-1 to full Unicode.

Use UTF-8 in clipboard API

In prepartion for better clipboard extensions that can send Unicode
data between the client and server.

Improved clipboard API

Change the internal clipboard API to use a request based model in
order to be prepared for more advanced clipboard transfers.

Add UTF-8 to/from ISO 8859-1 conversion routines

We convert between UTF-8 and ISO 8859-1 (latin 1) in several places
so create some common routines for this.

Clean up internal clipboard handling

We now filter incoming data, which means we can start assuming the
clipboard data is always null terminated. This allows us to clean
up a lot of the internal handling.

Make sure clipboard uses \n line endings

This is required by the protocol so we should make sure it is
enforced. We are tolerant of clients that violate this though and
convert incoming clipboard data.

Remove max area parameter from Region::get_rects()

It was unused and added complexity and bugs to the code. So let's
remove it rather than trying to clean up a function no one needed.

Properly mark overloaded methods with virtual

Makes it easier to see what is overloaded and what isn't.

Request keyboard grab ability under Xwayland

We're usually white listed, but let's be a good citizen and formally
request the keyboard grab ability from the compositor.

Update French translation

Merge branch 'master' of https://github.com/lprylli/tigervnc

Remove unneeded logging from ZRLE decoder

We will log the exception, so avoid direct writes to stderr by
simply removing these log lines.

Do proper logging rather than fprintf(stderr, ...)

Remove commented out logging

Fix wrap-aware isAfter function in Congestion.cxx

Result of overflow on signed integer arithmetic is undefined in C/C++ standard.
So in previous version clang was compiling the statement as (int)a > (int)b (i.e. assuming no overflow), which leads to incorrect result.

Correct deterministic behavior means doing overflow arithmetic as unsigned, i.e.
 a != b && a - b <= UINT_MAX / 2

Always get raw keyboard layout on macOS

Some input sources are still using input methods even though they
claim to be "ASCII" input. This causes our input handling to fail
since we need to query the layout to handle dead keys.

Fortunately there is another API to get the raw, underlying input
source that the input method uses. So let's use that and be sure
that we're always getting something we can use.

replace free with delete[]

Increase version string buffer size for gcc

There is some bug in gcc's new -Werror=format-overflow that makes it
think majorVersion could end up being very large. Increase the target
buffer for now to keep gcc happy.

Remove unused force protocol 3.3 code

Only save parameters that are visible from the UI

The parameter files are used to make sure changes in the UI are
persistent. Storing anything else results in behaviours that the
user has no easy way of changing.

Hide setPrimary parameter on non-X11 platforms

It is already hidden in the UI, so make sure it also is gone as a
command line parameter. This follows the behaviour of the similar
sendPrimary parameter.

Add delay on authentication failures

This provides some basic rate limiting that will make it difficult
for an attacker to brute force passwords. Only relevant when the
blacklist is disabled as otherwise the attacker only gets a very
limited number of attempts.

Handle server name overflow properly

We need to make sure it is null terminated on truncation. We also
need to avoid giving a too large size argument or modern gcc will
complain.

Add missing throws for exception

It is not enough to create an exception object, you need to throw
it as well.

Better document the argument for -geometry

It's not common knowledge these days how X geometry is specified, and
even the man page X(7) is missing on many systems now.