fix previous

ok gilles@

style

bgpctl can no long reuse the aspath_match function from bgpd so move the
roughly the same function here called match_aspath().
OK denis@

Refactor aspath code a bit. Move cached source_as (for origin validation)
into struct aspath and pass that struct to aspath_match().
OK denis@

generate an event when a helo name identifies a link

remove unnecessary calls to getsockname()

ok gilles@

Extend vmctl start -B argument to work for disk, cdrom and net.
Currently SeaBIOS will respect disk and cdrom and our kernel will
understand net.
OK ccardenas@, reyk@, mlarkin@

Improve the cert_*() interface. Use the return value to tell whether
the request is pending (waiting for an async event) or not.  Success
or failure is always reported through the callback function.

ok gilles@

teach libtool to build shared libraries with a soname

ok naddy@

provide ifq_is_priq, mostly so things can tell if hfsc is in effect or not.

use ifq_hdatalen for handling the FIONREAD ioctl

ok stsp@

document ifq_hdatalen()

ok stsp@

add ifq_hdatalen for getting the size of the packet at the head of an ifq

this gets the locks right, and returns 0 if there's no packet available.

ok stsp@

split ether_output into resolution, encapsulation, and output functions

if if_output can be overridden on ethernet interfaces, it will allow
things like vlan to do it's packet encapsulation during output
before putting the packet directly on the underlying interface for
output.

this has two benefits. first, it can avoid having ether_output on
pseudo interfaces recurse, which makes profiling of the network
stack a lot clearer. secondly, and more importantly, it allows
pseudo ethernet interface packet encapsulation to by run concurrently
by the stack, rather than having packets unnecessarily serialied
by an ifq.

this diff just splits ether_output up, it doesnt have any interface
take advantage of it yet.

tweaks and ok claudio@

When forwarding IPv6 packets, generated ICMP6 packets used the
interface address of the route as source address.  To avoid using
link-local addresses in ICMP6 packets sent into networks where they
are out of scope, use the regular IPv6 source selection algorithm
also in this icmp6_reflect() case.
reported by sthen@; fix from Arnaud BRAND; OK claudio@

Implement the fw_cfg interface basics and use it to set the bootorder
if a bootdevice was forced. This implements both the pure IO port interface
and also the new DMA interface, a few direct commands are implemented which
are needed but in general the "file" interface should be used. There is no
write support for the guest. Tested against the latest vmm-firmware port.
This requires also a -current kernel to pass the IO ports to vmd(8).
OK mlarkin@ ccardenas@

No need to \n in log_debug. Part of a larger diff.
OK mlarkin@ ccardenas@

Start passing the IO ports 0x510, 0x511, 0x514, and 0x518 to vmd(8).
These IO ports are used by qemu's fw_cfg interface and vmd(8) will start
using it to pass options to SeaBIOS.
OK mlarkin@

advance the progress meter while skipping remaning files
this gets rid of the "hung" impression on updating texlive, since most
files match, and the packages are so gigantisch the meter appears to stay
at 0% forever.

correct inaccurate and misplaced information in CAVEATS
and move it in part to the DESCRIPTION, in part to STANDARDS;
triggered by a loosely related bug report from Lars dot Nooden at gmail dot com;
OK jmc@, and no opposition when shown on bugs@

Ensure that we close the file descriptor after loading microcode.

Otherwise we end up keeping file descriptor and inode related buffers
around, that are unnecessarily consuming memory.

ok deraadt@ patrick@

Remove useless macros

These are just unhelpful case conversion.

OK sashan henning

Do not call free on a non-allocated pointer.

ok deraadt@

remove qname-minimisation from sample config, this was turned on by
default upstream in 1.7.2 (picked up by us with the update to 1.7.3).

ok florian@

Update to 4.1.26
OK sthen

Add a velocity sensor type (displayed as m/s)

Change distance sensor type to be displayed as meters with 3 decimals
instead of millimeters.

ok mpi@ kettenis@

Improve speed for the multi-threaded case by reducing lock contention.
tested by many; ok florian@

Clean up the mec(4) MII read/write routines a bit.

The PHY register offsets are adjusted because the registers are accessed
using 64-bit loads and stores.

From miod@

Fix phy discovery on O2 systems.

After a cold boot, the mii bus appears to take some time to initialize;
the phy does not answer to address 8 but to a larger address (10 or 11),
then, after being reset, to its correct address of 8.

So the kernel would discover the phy at a wrong address, attach it, and
after it gets reset, reading from the phy at the wrong address would
return either all bits clear or all bits set, confusing the link speed
logic without any way to recover.

Work around the issue by resetting all phys found when the interface is
reset for the first time. Thus, by the time mii_attach() runs and walks
the bus again, the phy will answer at the right address.

From miod@

no need to pass rdns and fcrdns info to helo/ehlo proc filter lines

Zap duplicate signatures

Redundant under _KERNEL since introduction in r1.260 from 2006.

OK jca

Keep usage in sync with logic if OPENSSL_NO_DES is set.

ok jmc@, jsing@

allow check-rdns and check-fcrdns in connect, helo/ehlo, mail-from, rcpt-to
hooks

ok eric@

add check-fcrdns builtin filter

ok eric@

no longer pass rdns in all filtering requests, they can be retrieved from
the filter session.

reverse bultin filters matching logic, to make it easier for human brains
to understand

discussed with eric@

unbreak builtin filters after last simplification in smtp_session

add client and listener address, as well as client rDNS and FCrDNS lookup
result to the filter_session structure upon filter session allocation. it
will allow me to simplify all filter hooks.

when doing the rDNS lookup, require getnameinfo to return a hostname not an
address by passing the NI_NAMREQD flag

ok eric@

add basic MPLS filtering support

OK claudio@ jca@

Make sure that the prefixlen returned by mask2prefixlen is never bigger
than 128. Initially proposed by claudio@ for bgpd.

ok claudio@

When -B is used to specify a specific boot device also change the reboot
behaviour of vmd to stop / exit at guest reboot.
OK ccardenas@

style; OK otto

revert previous, it breaks regress and the llvm, gtk+2, and gtk+3 ports
because it changes the behaviour for empty input files;
revert requested by naddy@ and sthen@

ssize_t and unsigned int may be different sizes. Use ssize_t instead
of unsigned int for value being compared to the results of writev()
and sendmsg() calls.

Noticed by naddy@ on i386 compile.

Fix kill [-SIGNAME | -s SIGNAME] and simplify

While the code intended to support both -s NAME and -s SIGNAME, the
tests performed were wrong.  Replace convoluted code with less cryptic
conditionals.  ok anton@

Basic regress test for kill -s SIG[NAME] (now failing)

Prodded by anton@

Use correct RFC 3464 specified values for Action field in a DSN.
error -> failed
success -> delivered

This fixes DSN parsing for Mailman. Issue reported by Cristiano
Costa on misc@opensmtpd.org.

While here, rename enums to reflect the intent and properly handle
envelope ascii load/dump to understand change in the values.

Suggestions and ok gilles@

format a pair of dashes as "\(em" rather than "--",
and a normal hyphen as "-" rather than "\-"

zap trailing whitespace

For shared interrupts we need to make sure that we register
with the lowest IPL.  Once we actually run the IRQ handler
we raise to the highest IPL.  Fixes a crash seen when having
a network card in the PCIe slot of the MacchiatoBin.

ok ccardenas@

"every" is in seconds; from ross l richardson

Reordering

- Uppercase options come before lowercase ones
- Sort alphabetically some parameters

From Matthew Martin
"if it's just reordering, you don't need my okay, go ahead" -- espie@

Make sure the TAP extension is only added to the vector when needed.

Fix a problem reported by Mark Patruck and dhill@

ok markus@, dhill@

free(9) sizes for netcred.

ok visa@

Stop passing `sc' when it isn't needed and use `ifp' where it's good
enough.

ok sthen@, visa@

Remove useless spl protection.

ok visa@

Test that "b" and "t" (branch) commands can be followed by a semicolon
and another command.  Related to compile.c rev. 1.50.

millert@ OK'ed this diff without seeing it before it even occurred to me
that i might write it - but i guess below regress/, that's fair enough.

As an extension to POSIX, for consistency with our behaviour for
the "b" and "t" commands with a label, and for compatibility with
GNU sed, also accept ";" followed by another command after "b"
and "t" commands without a label: branch to the end of the script
instead of erroring out.  Parsing is unchanged.

Missing feature reported by Lars dot Nooden at gmail dot com on bugs@.
OK martijn@ millert@

properly handle EAI_NODATA and EAI_NONAME in fc-rdns lookups

ok eric@

I noticed the "pf table handler" process not going away on dhcpd restart,
looked at the error handling here, and.... oh my.
If opening /dev/pf on startup fails, don't just warn and move on, but bail.
If chroot (or the chdir after) fail, don't just warn and move on, bail.
If dropping privileges fails, the last thing we want to do is to just move
on with root privs, having warned or not.
If the pipe to the parent process is closed, that almost certainly means
that the parent process went away, and it absolutely certainly means that
the table handler process has no meaningful reason to exist any more, thus
bail.
ok florian ccardenas krw

Remove public resolver IP addresses, just provide a neutral "documentation
prefix" address instead - there are so many available with varying
policies that this isn't a good place to list them (and might imply
some kind of recommendation which is not intended).

Particularly prompted by several on the previous list (he.net and opendns)
strip RRSIG from results which cause DNSSEC failures now that validation
is enabled in the example config as noticed by solene@.

While there, shrink qname-minimisation comment to match other nearby
comments, and drop dns64 example which is quite a specialist use case
and not really needed in this basic example.

We are not going to send a neighbor advertisement from a non-master
carp interface. Move the check to the beginning of the function to
make it clear that there are no other side effects happening.
OK claudio

Enable DNSSEC validation.
Requested by & OK claudio
Input & OK sthen
OK job, solene
Various commenting that they run with validation since a long time
without issues.

Make sure that the prefixlen returned by mask2prefixlen6 is never bigger
than 128 also fail hard when the mask is non contiguous.
OK remi@

Be more strict in converting a netmask into a prefixlen. Make sure
the prefixlen is never bigger than 128 for inet6.
OK remi@

All the references to the M_ALIGN and MH_ALIGN macros are gone.
Time to bring them behind the shed and free them. Use m_align() instead.
OK mpi@ henning@ florian@ kn@

Refactor certificate initialization and verification.
Factorize code duplicated in smtp_session.c and mta_session.c
Implement a simple callback interface, with proper request management
and simplified imsg protocol.

Only add the necessary parts for now.
Exisiting code path will be adapted later.

input from gilles@ sunil@
ok gilles@

Remove an ugly hack in the client certificate verification code that works
around broken GOST implementations.  It looks like client certificates with
GOST have been completely broken since reimport of the GOST code, so no-one
is using LibreSSL this way.  The client side was fixed only last week for
TLSv1.0 and TLSv1.1.  This workaround is now in the way of much needed
simplifcation and cleanup, so it is time for it to go.

suggested by and ok jsing

Fix calculation of initial bandwidth limits.
Account for written bytes before the initial timer check so that the first
buffer written is accounted.  Set the threshold after which the timer is
checked such that the limit starts being computed as soon as possible, ie
after the second buffer is written.  This prevents an initial burst of
traffic and provides a more accurate bandwidth limit.  bz#2927, ok djm.

only consider the ext-info-c extension during the initial KEX. It shouldn't
be sent in subsequent ones, but if it is present we should ignore it.

This prevents sshd from sending a SSH_MSG_EXT_INFO for REKEX for buggy
these clients. Reported by Jakub Jelen via bz2929; ok dtucker@

fix option letter pasto in previous

mention that the ssh-keygen -F (find host in authorized_keys) and -R
(remove host from authorized_keys) options may accept either a bare
hostname or a [hostname]:port combo. bz#2935

no need to allocate channels_pre/channels_post in channel_init_channels()
as we do it anyway in channel_handler_init() that we call at the end of
the function. Fix from Markus Schmidt via bz#2938

Handle 2 Tx chains in the computation of transmit power for the RTL8192EU.
While here sort vendors.

Tested by jmatthew@

ok stsp@, jmatthew@

Add support for "-" as an input file for stdin as per POSIX.
Simplify the code by allowing usage of stdin with the -i flag by pushing
the result to stdout, so filters and in place editing can be combined.

OK millert@

Core files with >65535 sections have to use PN_XNUM and a section header
to pass the real count, with a minimal .shstrtab segment for consistency.
Also, add support for PN_XNUM to readelf.

problem reported and testing by claudio@
ok kettenis@

add -not as a sh friendly alias for !.
ok millert

log more info about errors

add very experimental support for dns over https. (RFC 8484)
performance may be less than great.
ok anton

link-connect event report had an empty fcrdns field, but now that eric@ has
plugged fcrdns in the smtp_session we can fill the field with a value

introduce tx-mail and tx-rcpt report events

allow passing data lines to proc filters

ok eric@

Be more strict when converting a netmask to prefixlen in mask2prefixlen6.
Make sure we never return a value bigger than 128.
OK remi@

Implement a simple ruleset optimizer. All it does is merge filter rules that
only differ in the filter sets. Since this is still rather common it is able
to reduce the number of rules by 5% on an autogenerated config.
OK job@

in mda variables expansions, do not consider empty strings as errors since
an empty %{sender} is really a mailer-daemon and not an error

reported and initial diff by Lauri Tirkkonen <lotheac@iki.fi>
commit is a revised version of the diff based on a discussion with eric@

bring the first bits of DATA filtering plumbing but bypass it for now

ok eric@

Add a new argument -B device to vmctl start. It allows to set the boot device.
At the moment only 'net' is supported and all other values are silently ignored.
This allows to kick of an OpenBSD autoinstall by using:
vmctl start "installer" -Lc -B net -b bsd.rd -d disk.img
OK ccardenas@

Make it possible to define the bootdevice in vmd. This information is used
currently only when booting a OpenBSD kernel. If VMBOOTDEV_NET is used the
internal dhcp server will pass "auto_install" as boot file to the client and
the boot loader passes the MAC of the first interface to the kernel to indicate
PXE booting. Adding boot order support to SeaBIOS is not yet implemented.
Ok ccardenas@

When building ND packets use m_align() to pack the mbuf as optimal as
possible. Because of an optional payload maxlen bytes are used on the
m_align so that there is always enough space.
OK florian@

Avoid unnecessary dynamic memory allocation in athn_usb_newauth().
Patch by Benjamin Baier
ok ratchov@ mpi@

Use a time-based method for tracking motion states of touches.

ok mpi@

Correctly disable pvclock(4) on old hardware that lack a stable clock

I falsely assumed that the KVM_FEATURE_CLOCKSOURCE_STABLE_BIT
indicates that the actual clock values are stable, but it turned out
that this isn't always the case.  To detect if the clock value is
stable, we now read it once in pvclock_attach() and check for the
PVCLOCK_FLAG_TSC_STABLE flag.  This needs further investigation.

Reported and fix tested by johnw.mail at gmail.com

OK chris@ phessler@

usb_block_allocmem() won't sleep.

ok mpi@

remove a stray line accidentally left behind in rev. 1.120;
patch from Hiltjo Posthuma <hiltjo at codemadness dot org>

Do not call usbd_delay_ms() from interrupt context.

From Nils Frohberg.

free(9) sizes for softcs.

ok tedu@

free(9) size for temporary buffer.

ok ratchov@

fix incorrect usage of the .Bx macro;
one case reported by Fabio Scotoni <fabio at esse dot ch>,
the rest found with regress/usr.bin/mandoc/db/dbm_dump

Include srp.h where struct cpu_info uses srp to avoid erroring out when
including cpu.h machine/intr.h etc without first including param.h when
MULTIPROCESSOR is defined.

ok visa@