Kristaps points out that the current HTTP/1.1 draft standard (RFC
2616) requires the Location: response-header field to be an absolute
URI (14.30), and only the most recent proposed standard (RFC 7231),
which is barely a month old, allows a relative Location: (7.1.2).
While most modern browsers appear to support relative Location:
headers, some may not, and it's maybe a bit early to rely on relative
Location: headers.

I'm not going back to the HTTP_HOST or SERVER_NAME CGI variables,
though.  While some CGI programs certainly require those, in which
case both the CGI programmer and the web server admin have to be
very careful to keep the system secure and reliable, man.cgi(8)
does not really need them.  We always know at compile time which
domain we are running for, and for man.cgi(8), security and reliability
are definitely much more important than flexibility.  So make HTTP_HOST
a compile-time definition for now.

5.7 packages key

lockf is entirely useless and it was a mistake to change to it, go back
to using flock which actually works sensibly. Also always retry the lock
to fix a potential race, and add some extra logging.

Drop explicit support for F13-F20 and change to match the xterm terminfo
entry:

        F13-F24 are S-F1 to S-F12
        F25-F36 are C-F1 to C-F12
        F37-F48 are C-S-F1 to C-S-F12
        F49-F60 are M-F1 to M-F12
and     F61-F63 are M-S-F1 to M-S-F3

This should be no difference for applications inside tmux, but means
that any key binding for F13 will need to be replaced by S-F1 and so on.

fix some wrong comments and a bit of KNF

printf(9) and friends don't support the <number>$ flags, so gcc's
kprintf attribute shouldn't accept them.

ok martynas@

Switch from <sys/endian.h> or <machine/endian.h> to the new,
being-standardized <endian.h>

ok deraadt@ millert@ beck@

sync

5.7 base key

Provide correct guidance on which header to use in the comments

Move more OS-specific functionality to arc4random.h headers.

Move <sys/mman.h> and raise(SIGKILL) calls to OS-specific headers.
On OpenBSD, move thread_private.h as well to arc4random.h.
On Windows, use TerminateProcess on getentropy failure.

ok deraadt@

Fixed typo in error message.

okay deraadt@

ask about lid

if we think this is a laptop (wsdisplay.....) ask a lidsuspend
question.  Let's see who whines.

look up correct dev_t.  This matters for the case where a device is
underlying softraid.
ok mlarkin

Merge cmd.c from zboot into boot, dropping "clear" command while at it.

With input from deraadt@

okay jasper@, uebayashi@

A HTTP connection may have multiple requests with content.  Allow
to specify an array of md5 hashes in the test arguments and check
all of them in the client and server log files.  So test that relayd
does not modify the http body.

RB_MINIROOT is never checked by anything, so stop setting it.

match on vga1 or vgafb0, well, let's just call it vga.* for now

spacing glitches

Support hibernating to softraid crypto volumes.

much help and ok from deraadt@

Fix tcpdump(8) display of logical link control data in IEEE802 frames.
The frame subtype field is in the first byte of frame control but tcpdump(8)
was looking at the second byte to determine if this is a data frame.
Patch by Nathanael Rensen, thanks!

initial win32 ARC4_LOCK/UNLOCK implementation.

It may make sense to later replace this with a Critical Section later.
ok guenther@

Skip reading bits from a region marked as "Preserve" if all bits will be
modified.  Some Sony and Asus laptops don't like this; the read seems to
trigger an unwanted SMI that makes the machine hang.  Diagnosed by mpi@

ok mpi@

Eliminate silly call() routine that fakes up internal calls as if
the user typed in undocumented arguments by splitting two functions
and doing normal (shock!) C calls.

Move extern declarations to externs.h
Eliminate another function cast

Always allocate bwi(4) ring descriptors below the 1GB boundary to give 30bit
devices a chance to work. Use bounce buffers for mbufs on 30bit devices.

This fixes "intr fatal TX/RX" errors that render the internal wifi on many
macppc machines unusable. However, packet loss problems remain. In my testing
the device works fine sometimes, but experiences packet loss rates of up
to 80% at other times. Still, this is a step forward.

Helpful hints from claudio@ and dlg@
Tested on macppc by mpi@ and myself
"go ahead" kettenis@, ok mpi@

In bwi(4), don't declare an interrupt as unhandled in case the PHY TX error
bit is set. This interrupt condition is handled by resetting the device.
ok mpi@ as part of a larger diff

Make bwi_dma_mbuf_create() use the correct loop counter in error case.
Bug inherited from DragonFly BSD.
ok mpi@ as part of a larger diff.

Load bwi(4) firmware once, not every time the interface is brought up.
Fixes a panic if the interrupt handler decides to reset the device.
Firmware cannot be loaded in interrupt context.
ok mpi@ as part of a larger diff

Fix array overflow in command line handling

Mark a slurry of functions as static
Eliminate two more trivial wrappers

use NULL instead of 0 when dealing with pointers
ok guenther@

Kill lint comments; mark ExitString() as __dead

Switch from memmove() to memcpy() where appropriate; simplify address
parsing logic; eliminate an inefficient use of MIN() macro

VSUSP and SIGTSTP are required by POSIX

Delete an insane chunk of code for handling broken poll() emulation.
Pass poll() INFTIM instead of -1

Add prototypes to some function callbacks and fix the type errors that
this reveals.
Make NetTrace static to utilities.c

Stop using the (now) internal rc.subr functions _rc_do() and _rc_wait().
- no need to start spamd in background mode
- return from rc_start() in case spamd failed to start
- execute spamd-setup without explicitly waiting for spamd

prodded by, discussed with and OK ajacoutot@

Fix auto-upgradable files detection.

from Nathanael Rensen, thanks!

More encryption tentacles: intr_happened and intr_waiting vanish
Push more includes into .c files
Make ring.c only need ring.h

Eliminate trivial wrappers TerminalWrite() and TerminalRead()
Replace TerminalFlushOutput() with tcflush().
Replace TerminalAutoFlush() with check of tty's NOFLSH flag as
documented in the manpage.
Push <netdb.h> into .c files

Don't depend on <sys/param.h> for MAXPATHLEN

Correctly cast to unsigned char for ctype functions/macros
Push <ctype.h> and <unistd.h> into the .c files

ring_init() can't fail
KNF ring.h

-8 is the default

Don't need -I${.CURDIR}

Simplify #includes, start pushing them into the .c files, eliminate
extern declarations from .c files that duplicate those in .h files,
start marking functions with __dead

correct unconfig: target; Jean-Philippe Ouellet

tweak -W options

no longer play with /dev/log

From ISO/IEC 9899:1999 and 9899:201x,
6.11.5 - Storage-class specifiers:
    The placement of a storage-class specifier other than at the
    beginning of the declaration specifiers in a declaration is
    an obsolescent feature.

Diff from Jean-Philippe Ouellet (jean-philippe (at) ouellet.biz)

Ooops, verbose_encrypt option is gone too.
Also stop assuming that csh is the only shell with job control

The manpage claims the -a option uses getlogin(2), so do so.  Also,
ignore its value if it returns a user that doesn't exit

The only authentication info now is the login name

Demonstrate how new linux getrandom() will be called, at least until
it shows up in libraries.  Even the system call is probably not finalized.
Bit dissapointed it has turned out to be a descriptor-less read() with
EINVAL and EINTR error conditions, but we can work with it.

remove a variable called wantencryption.
hahahahahahahahahha.  OK, I'm done.

This pulls in <ddb/db_output.h>, so don't redeclare ddb functions

Oddly, chmod chgrp chown were at the wrong path on these media.
from Jean-Philippe Ouellet

place sysctl in sorted order; Jean-Philippe Ouellet

arch was in wrong bin dir; Jean-Philippe Ouellet

Mark the format string argument to BIO_*printf as not being allowed to be NULL

ok bcook@

Make sure the correct errno is reported by warn* or err* and not
the errno of an intervening cleanup operation like close/unlink/etc.
Also, the format string for warn* and err* shouldn't end with a newline.

Diff from Doug Hogan (doug (at) acyclic.org)

Fix ordering breakage, moving the fclose() test last again.
Also correct some format strings.

From Doug Hogan (doug (at) acyclic.org)

Update regress to match change in stpcpy() linker message

Noted by Doug Hogan (doug (at) acyclic.org)

Make sure the correct errno is reported by warn* or err* and not
the errno of an intervening cleanup operation like close/unlink/etc.

Diff from Doug Hogan (doug (at) acyclic.org)

Delete unused variables found by -Wall

Add missing include.  Tickled by Doug Hogan (doug (at) acyclic.org)

Mark fatal() as printf-like.
Don't put a format string that's only used once in a variable.

Flense the telnet code base of unwanted ifdefs: authentication/encryption
tn3270, sgtty, pre-POSIX and other ancient system support, etc.  Brings up
to date the manpage with what we support.

ok matthieu@ beck@ jmc@ millert@ deraadt@ okan@

Print a warning message if the files with the random seed are not
writeable during shutdown.  This prevents ugly error messages when
the machine is rebooted from singe-user without mounting the file
systems read-write.
suggested by deraadt@

Explicitely check the value of REGRESS_SKIP_SLOW rather than its emptyness,
for it defaults to a non-empty value; Doug Hogan

Make sure struct sockaddr_in gets completely initialized by setting it to zero
before setting the few fields we are interested in; Doug Hogan

Bring back pci_dopm, but disable it before powerdown.

This fixes both the Lemote reboot issue and the USB issue on the
Gdium's that miod@ spotted.

Suggested by kettenis@, thanks!

Okay miod@

remove disabled main hook; we use phdr now; ok bcook

arc4random re-seeds with getentropy() now; ok deraadt@ jmc@

tab love

Move _ARC4_ATFORK handlers from thread_private.h in portable.

move _ARC4_LOCK/UNLOCK primitives from thread_private into OS-specific modules

Security fix:
Validate the manpath up front and report a Bad Request if it is not
listed in manpath.conf, such that clients can't probe which directories
exist on the server.  In case of configuration errors, consistently
report Internal Server Error without disclosing any further information.

Partially based on a patch from Sebastien Marie <semarie-openbsd at
latrappe dot fr>, but avoiding a couple of issues with that patch
and approaching the issue in a somewhat more rigorous way.

fixup typos

Backout pci_dopm usage as it also breaks reboot on Lemote's.

Noticed by matthieu@.

Security fix:
Validate the name of the file to show before opening it.
Only allow relative filenames starting with "man" or "cat"
and containing neither "/.." nor "../".

While here, correct the condition discarding an initial "./".

Vulnerability found by Sebastien Marie <semarie-openbsd at latrappe dot fr>.
Many thanks for sending a patch; however, i did not use it but made the
checks even stricter.

Document that abort() is async signal safe now that it doesn't flush
stdio buffers

While here replace "SUSv[67]" with "POSIX Issue [67]" and update
signal(3) to mention that pselect() and ppoll() are async signal safe
like sigaction(2) already does.

ok guenther

actually use the cve match_location correctly.
problem noticed by aja@

miod pointed out i forgot which way round casts go.

Fix strtonum range to unbreak -pass fd:0

ok deraadt@

Change _rs_allocate so it can combine the two regions (rs and rsx)
into one if a system has an awesome getentropy().  In that case it
is valid to totally throw away the rsx state in the child.  If the
getentropy() is not very good and has a lazy reseed operation, this
combining is a bad idea, and the reseed should probably continue to
use the "something old, something new" mix.  _rs_allocate() can
accomodate either method, but not on the fly.
ok matthew

The pf forward tests were running rdr-to and nat-to simultaneously
only.  Change address layout and add individual tests for each
feature rdr-to and nat-to and rdr-to together with nat-to.

Cleanup portable arc4random fork detection code:

1. Use "len" parameter instead of sizeof(*rs).

2. Simplify the atfork handler to be strictly async signal safe by
simply writing to a global volatile sig_atomic_t object, and then
checking for this in _rs_forkdetect().  (Idea from discussions with
Szabolcs Nagy and Rich Felker.)

3. Use memset(rs, 0, sizeof(*rs)) to match OpenBSD's MAP_INHERIT_ZERO
fork semantics to avoid any skew in behavior across platforms.

ok deraadt

sync

Oops, getentropy() is an "extension interface", not a "base interface"

Also, update the async signal safe list in signal(3) too (reminded by
deraadt)

Document that getentropy() is async signal safe.

Pointed out by Jean-Philippe Ouellet

Do not use the HTTP_HOST CGI variable,
just make the HTTP redirect Location: relative.
Less user input is good, it reduces the attack surface.
Besides, this removes one global variable and 4 lines of code.

Patch from Sebastien Marie <semarie-openbsd at latrappe dot fr>.

Since syslog messages are now sent via the sendsyslog(2) system call,
we no longer need the spread of dev/log AF_UNIX sockets all over the
various chroot spaces.
ok beck millert aja

As discussed with beck, tweak the wording for getentropy slightly so
that a certain kind of people don't go bonkers over "what is entropy".
it is what it is, input to PRNG's.

ugly ugly whitespace

missing newline

fix sorted output

When the MAN_DIR/manpath.conf configuration file does not exist or is empty,
log the problem, hand the pg_error_internal() error page to the client,
and exit(3) in a controlled way instead of stumbling on and segfaulting
later.

Patch from Sebastien Marie <semarie-openbsd at latrappe dot fr>,
messages tweaked by me.

Fix privsep.c.  Call missing imsg_free() after imsg_get().  Also add
missing #include <net/if.h> to use IFNAMESIZ and replace some strncmp()
by startswith().