Send response for refused SetDesktopSize

Sends response for SetDesktopSize as per the community wiki
specification

Reject too large screen resize requests

We'll just crash later if we try to use such a large screen, so reject
the request from the client instead and keep the server running.

Catch errors resizing framebuffer

Add final line break to FatalError() calls

It expects the callers to include this, so make sure we're consistently
providing one.

Update Indonesian translation

Update French translation

[SELinux] Allow vnc_session_t type execute itself

vncsession-start is running in SELinux vnc_session_t domain because of
"SELinuxContext=system_u:system_r:vnc_session_t:s0" option in systemd
vncserver@.service unit file. vncsession-start executing binary
vncsession with SELinux label/type vnc_session_t. This access was not
allowed in vncsession policy.

Handle empty changes for every operation

It seems like many of the X11 operations can end up with no pixels
actually changing. So instead of discovering and adding workarounds for
each individually we'll just check very region added if it's empty.

Update Serbian translation

Update Ubuntu patches for current code

Update apt cache before running builds

Otherwise it might fail if the repositories have changed since the image
was generated.

Remove legacy Xorg code

We now require at least 1.16, so remove all code that handled older
versions than that.

Remove 8-bit support from documentation

We removed support in the code ages ago, but overlooked this part of the
documentation. Also remove some dead code in Xvnc on the same theme.

Merge branch 'systemd' of https://github.com/CendioOssman/tigervnc

Do maximize more properly on macOS

Don't resize viewer window when maximized

Most window managers won't like this, and it tends to provoke bugs in
FLTK, so let's avoid it. It's probably not what the user wants anyway.

Include error code in getaddrinfo() exceptions

Avoid using insecure variable length arrays

Merge branch 'unicode_translation' of https://github.com/CendioAlex/tigervnc

Throw GAIException() for getaddrinfo errors

Created a new subclass of Exception called GAIException() that will
handle error messages from getaddrinfo() instead of letting Exception()
handle it. GAIException() will make use of gai_strerror() to map the
error code to text. On Windows, gai_strerrorW() must be used if the text
is encoded with UTF-8.

Fix typo in SocketException message

Make system error messeges in Windows 10 use UTF-8

The previous error messages did not support Unicode characters. This
commit will use UTF-8 encoding to be able to display error messages in
every language.

Remove support for old Xorg versions

No current distribution ship anything this ancient anyway.

Use standard install dir variable names

This makes our builds directly compatible with most distributions
without packagers/users having to specify extra flags.

Add SELinux policy file for vncsession

Running as a service on a SELinux system requires rules so we can
transition to our own context. We also need the proper permissions
to start new user sessions.

Start sessions via PAM

This sets up a more correct session as there are key tasks that
need to be performed by PAM. E.g. systemd will allocate cgroups
and start base services.

In order to easily handle this as a system service the mapping of
displays is now done via a configuration file.

Fix C linking when doing static builds

Make PAM mandatory

It is present on all UNIX systems anyway, so let's simplify things.
We will need it for more proper session startup anyway.

Stop searching for Xvnc

Assume we are part of a complete and proper installation and encode the
full expected path in to the vncserver script.

Start the sessions using xinit

It keeps much better track of the X server and startup files than
we can do.

Make vncserver always run in the foreground

We need to be started as a system service for things to work correctly
anyway, so delegate the work of starting and stopping things to the
system service manager (e.g. systemd).

Start sessions using session desktop file

This is how display managers (e.g. gdm or lightdm) start sessions
and is necessary to get the proper set of environment variables.

Don't create a default user config

We don't want to create files in the users home directory unless we
have to. Users can read about how this file works in our man pages.

Don't accept arbitrary arguments to vncserver

We now have config files for more fine grained control of these
things, so avoid duplicating the functionality.

Stop unsetting environment variables

These might contain values we want if we are start from a proper
environment.

Always install systemd services

It is the most common init system these days so it should not be
hidden in the contrib/ directory.

This also removes all old SysV files from the contrib packages.

Add default configuration files

Install some example files to make things more easily discoverable.

Remove old distribution packaging

These are EOL (or soon to be) and we want to start relying on things
present in current distributions.

Merge branch 'xorg-server-1.20.7' of https://github.com/lheckemann/tigervnc

Fix error check for zlib calls

There are multiple "okay" return values, not just Z_OK. Make sure we
don't bail out needlessly.

Fix framebuffer setup in encperf

We adapted to the wrong new callback in a previous commit.

Provide dummy output for dummy client connections

The CConnection base class wants to be able to write things these days,
so we need to provide it a place to do so.

Merge pull request #958 from sequencer/env_userpass

Read username and passwrod from env.

bug fix for user is NULL

add man

implement username/password from env.

xserver: add no-op input thread init function

This allows Xvnc to build with xorg-server 1.20.7, which requires OS
layers to implement a ddxInputThreadInit function when configured with
--enable-input-thread (the default).

relevant xorg-server commit: e3f26605d85d987da434640f52646d728f1fe919

Include Carbon when statically linking gettext on macOS

As gettext needs some stuff from Carbon and we don't want to rely on it
being pulled in as a side effect.

Update copyright year to 2020

Merge branch 'emulateMB' of https://github.com/CendioAlex/tigervnc

Use sys/time.h on Windows as well

Modern MinGW seems to provide this, so simplify things a bit. This also
side steps some of the issue of the windows.h/winsock2.h include
ordering.

Add emulated middle mouse button

Not every mouse has three buttons e.g. laptops. Some OS might not
have support for middle mouse button emulation.

This commit adds emulation for middle mouse button when pressing both
left and right mouse button simultaneously.

Remove "Dismiss menu" from context menu

This was not necessary since you could use ESC key or simply just
clicking outside of the context menu to close the menu.

Allow XK_Scroll_Lock when LED state isn't supported

Otherwise such clients cannot use Scroll Lock at all, and that is
probably worse than any effects we might get from getting out of sync.

Clean up initialization of DIBSectionBuffer

We had an unintentional conflict with PixelBuffer::setSize() here.
But we can simplify this further as this initialization is only used
by the subclass DeviceFrameBuffer, and only once.

Provide correct dimensions for XShm setup

Since 53f913a we initialize the underlying PixelBuffer with 0x0
dimensions, which means we need to keep more explicit track of what
we are trying to allocate in the setup methods.

Remove unneeded memory checks

new throws an exception on allocation errors rather than return NULL.

Fix saving of bad server certificates

This check is completely backwards and it is currently unknown how
this ever worked.

el6 build improvements. dependency updates, link order fixes

Update Esperanto translation

Set initial blank cursor

If the server doesn't support local cursors and want to render them
itself then we need to make sure the local cursor is invisible.

This also makes sure we always have some cursor allocated, so we can
remove the checks in some places.

Update source URLs in el6 spec file

Remove hard coded source URLs from travis-ci build script

Allow non-interactive installs for bionic (travis-ci)

Add ubuntu-bionic to travis-ci builds

Make sure travis-ci builds java viewer with latest openjdk 8

Mostly stylistic changes to java viewer to match recent changes to native viewer

Fix travis-ci build scripts broken by c59f195

Fix maximum compress lvl in parameter list

Commit 4e61f8dbc51f83b1d71319b763fbd4d916d13e98 fixed the GUI but forgot
to change the other places in the code.

Use the correct minimum value for compression lvl

There was even some confusion in the RFB protocol regarding this, but
the zlib implementation confirms that accepted values for compression
level is 0-9.

Use the correct maximum value for compression lvl

The GUI incorrectly noted the max level to be 6 while it in fact is 9.

Remove confusing note about compression level

Even if this note is true it just adds confusion.

Simplify color level descriptions

The number of colors used isn't something the end-users should have to
concern themselves with. I intentionally left the information in the
man-pages.

Merge branch 'secfix' of https://github.com/CendioOssman/tigervnc

Remove support for ubuntu trusty since it's been EoL for 6 months

Check the correct stream if there is more data pending

The input stream might no longer be the raw socket, so we need to
query what's currently active. That wrapping stream might have its
own buffering and may have more data even if the socket is drained.

Handle pending data in TLS buffers

There might be more bytes left in the current TLS record, even if
there is nothing on the underlying stream. Make sure we properly
return this when we aren't being requested to block.

Correctly calculate rects with no CopyRect support

The copied rects have already been merged in to the changed rects
at this point if the client doesn't support the CopyRect encoding.

Don't background the main session command

When used with -fg we expect the startup script to remain running until
the session is over. This will not happen if the session command is put
in the background using &.

Fix link order of nettle and hogweed

Hogweed needs nettle, not the other way around. So make sure they
are specified in the correct order for the static link to succeed.

Update Hungarian translation

Add Korean translation

Use openjdk-8 to build java viewer for bionic

Update build deps for Ubuntu Bionic packages

Add support for VMwareCursor pseudo encoding to Java client

Remove old Java applet support

RFB refactoring to sync with native client

Invalidate duplicate screens

Handle pixel formats with odd shift values

Our fast paths assume that each channel fits in to a separate byte.
That means the shift needs to be a multiple of 8. Start actually
checking this so that a client cannot trip us up and possibly cause
incorrect code exection.

Issue found by Pavel Cheremushkin from Kaspersky Lab.

Add unit tests for PixelFormat.is888() detection

Be defensive about overflows in stream objects

We use a lot of lengths given to us over the network, so be more
paranoid about them causing an overflow as otherwise an attacker
might trick us in to overwriting other memory.

This primarily affects the client which often gets lengths from the
server, but there are also some scenarios where the server might
theoretically be vulnerable.

Issue found by Pavel Cheremushkin from Kaspersky Lab.

Use size_t for lengths in stream objects

Provides safety against them accidentally becoming negative because
of bugs in the calculations.

Also does the same to CharArray and friends as they were strongly
connection to the stream objects.

Remove unused FixedMemOutStream

Add sanity checks for PixelFormat shift values

Otherwise we might be tricked in to reading and writing things at
incorrect offsets for pixels which ultimately could result in an
attacker writing things to the stack or heap and executing things
they shouldn't.

This only affects the server as the client never uses the pixel
format suggested by th server.

Issue found by Pavel Cheremushkin from Kaspersky Lab.

Fix depth sanity test in PixelFormat

Add unit test for PixelFormat sanity checks

Handle empty Tight gradient rects

We always assumed there would be one pixel per row so a rect with
a zero width would result in us writing to unknown memory.

This could theoretically be used by a malicious server to inject
code in to the viewer process.

Issue found by Pavel Cheremushkin from Kaspersky Lab.

Add write protection to OffsetPixelBuffer

No one should every try to write to this buffer. Enforce that by
throwing an exception if any one tries to get a writeable pointer
to the data.

Restrict PixelBuffer dimensions to safe values

We do a lot of calculations based on pixel coordinates and we need
to make sure they do not overflow. Restrict the maximum dimensions
we support rather than try to switch over all calculations to use
64 bit integers.

This prevents attackers from from injecting code by specifying a
huge framebuffer size and relying on the values overflowing to
access invalid areas of the heap.

This primarily affects the client which gets both the screen
dimensions and the pixel contents from the remote side. But the
server might also be affected as a client can adjust the screen
dimensions, as can applications inside the session.

Issue found by Pavel Cheremushkin from Kaspersky Lab.

Encapsulate PixelBuffer internal details

Don't allow subclasses to just override dimensions or buffer details
directly and instead force them to go via methods. This allows us
to do sanity checks on the new values and catch bugs and attacks.