don't accept junk after "yes" or "no" responses to hostkey prompts.
bz#2803 reported by Maksim Derbasov; ok dtucker@

Replace atoi and strtol conversions for integer arguments to config
keywords with a checking wrapper around strtonum.  This will prevent
and flag invalid and negative arguments to these keywords.  ok djm@

Add missing break for rdomain.  Prevents spurious "Deprecated option"
warnings.  ok djm@

regen

Add SPARC-M7 PCIe; rename existing SPARC PCIe entries.

Remove DEF_STRONG(__cxa_thread_atexit_impl).  This produces an unwanted
_libc___cxa_thread_atexit_impl reference on gcc architectures that breaks
the build.

Handle 64-bit-address Memory Space.

Use clock_gettime(CLOCK_MONOTONIC) to schedule timers

From Scott Cheloha, ok tb@

add missing blank before punctuation;

sync

document PORTS_PRIVSEP now that it's nearing completion

Fix a case where we could go off the end of the buffer.
Crash found by Sergey Bronnikov using afl-fuzz.
Based on a diff from and OK by espie@

Show board ID and revision in dmesg to ease the identification
of system model. The early boot code already prints them, but
that output is not buffered and tends to be left out from
dmesg submissions.

Drop cn30xxpow_intr_establish(), cn30xxpow_intr() and some other
unused code. POW interrupts are now handled in if_cnmac.c.

Seperate real and user timer interfaces

Use more descriptive names, and make it clearer that real and user
timers work on different static storage.  The end goal is to be able to
reuse those timer functions, instead of inlining other timer
implementations subject to clock jumps.

Discussed with Scott Cheloha

When removing duplicate dynamic leases from the cache, compare the
SSID against ifi->ssid, not the SSID of the new lease. They
should be the same, but this makes the intent clearer and removes
an assumption about the contents of ifi->active.

strip_comments is also called for dot lines, so sometimes the comment
is all the line.

problem reported by Sergey Bronnikov

use a global BN_CTX; from kshe with a twist from myself

Implement __cxa_thread_atexit to support C++11 thread_local scope.  The
interface is also made available as __cxa_thread_atexit_impl to satisfy the
needs of GNU libstdc++.

ok guenther@, millert@

When sending out a proposal we create an SA/SPI for the Child SAs if we
are an initiator and store the information on the proposal, because we
only had one proposal so far.  This changes the code to only create one
SA on the first proposal and then apply the SPI to all other proposals
as well.

ok markus@

adjust for warning: warning repairs

include the addr:port in bind/listen failure messages

Sadly the firmware on SPARC T7 machines omits the executable bit on mappings
that contain code, just like some sun4u machines.  So add it for sun4v as
well when entering the mappings into the kernel pmap.

Use _kernel_lock_held() instead of __mp_lock_held(&kernel_lock).

Missed in previous, found by deraadt@, ok visa@

Remove duplicate check that never could execute because the exact same
condition is handled a line before.

Consistently log "malformed payload" instead of "payload malformed", and
replace "minimal" with "minimum".

Remove check that is now a duplicate due to recent refactoring.

The payloads are layered like onions, so you can validate one layer and
then call the next one, which can then validate itself.  Thing is, most
layers try to run validations on the upper layer, which is not useful
and rather confusing.  This cleans it up.

First change is that the generic payload parser does not anymore pass
the length of the whole datagram, including all remaining payloads, but
passes only the length of the specific payload to the specific payload
parser.  Second change is that the payload validators don't check the
length of the upper layer, but only verify their own lengths.

Diff discussed with hshoexer@ and sthen@
Tested by sthen@

RFC 4861 requires that all neighbor discovery packets have 255 in
their IPv6 header hop limit field.  Let pf drop neighbor solicitation,
neighbor advertisement, router solicitation, router advertisement,
and redirect ICMP6 packets that do not comply.  This enforces that
bogus packets cannot be routed when pf is enabled.
OK mpi@ sashan@ benno@

change "if (lp &&" to "if lp != NULL &&".

pointed out by krw

add the alps touchpad that can be found in the ideapad 710s

ok mpi@

Avoid a NULL-deref in get_recorded_lease() leading to a segfault seen
by aja and others.

ok krw

Initialize variable, otherwise the pointer might contain stack garbage.

Make divert lookup similar for all socket types.  If PF_TAG_DIVERTED
is set, pf_find_divert() cannot fail so put an assert there.
Explicitly check all possible divert types, panic in the default
case.  For raw sockets call pf_find_divert() before of the socket
loop.  Divert reply should not match on TCP or UDP listen sockets.
OK sashan@ visa@

Change __mp_lock_held() to work with an arbitrary CPU info structure and
extend ddb(4) "ps /o" output to print which CPU is currently holding the
KERNEL_LOCK().

Tested by dhill@, ok visa@

Use _kernel_lock_held() instead of __mp_lock_held(&kernel_lock).

ok visa@

If we wanted to send out more proposals than just one, we need to set a
flag in the SA header that there is another proposal coming.  The "more"
attribute borrows its values, as specified in the RFC, from IKEv1.

ok sthen@

The RFC specifies that to accept a proposal, we must select a transform
for each transform type.  We do some sanity checks, for instance we do
require an encryption transform for ESP, but that's not enough.  We need
to check that for every proposed transform type we have found a matching
transform in our own proposal.

ok sthen@

Move timer fields 'expiry" and "rebind" out of struct client_lease
and into struct interface_info. Nuke set_lease_times().

Disallow the _pbuild user from making TCP/UDP connections in the default
PF ruleset. This is not a complete block on _pbuild being able to communicate
(e.g. non-TCP/UDP protocols don't have a PCB with userid, so PF can't restrict
in those cases) but avoids some cases, and in particular makes it more obvious
when a port does things like download extra distfiles or dependencies
as part of the build process. Slight tweak from a diff by espie@.

Enable bgw(4).

Enumerate all i2c devices on the bus.  Mark their nodes as attached even
if we didn't attach a device driver to avoid enumerating them again in
the acpi device tree walk.

ok deraadt@

pledge(2) elfrdsetroot:

- pledge(2) "stdio" after managing arguments (opening files)
- add $OpenBSD$ markers on elfrd_size.c and elfrdsetroot.h
- add a check for NULL on malloc(3) call in elfrd_size.c

from semarie, ok deraadt

Abandon nagging about "_" violating RFC 952. This removes the need
for a custom res_hnok(), so  just use the libc version of res_hnok().

Requested by deraadt@

Rename ci_number to ci_cpuid to match other archs.

ok visa@, kettenis@, deraadt@

Include dtbs for Wandboard rev D1 including the i.MX 6QuadPlus variant.
Requires U-Boot >= 2017.11 and dtb >= 4.15-rc1.

sync

sync

Adapt to change in 0Z

make 0Z do what the original dc and gnu bcc do; ok tom@

post-patch -> pre-configure

Add a caveat wrt use of non-decimal fractional notation; from kshe; ok jmc@

switching to _pbuild is tricky, you can't take it back.
in particular, disable future PORTS_PRIVSEP mechanisms under
pkg_create, because we should already be running as _pbuild
by this point.

Redo the calculation of the alignment and placement of static TLS data to
correctly take into account the segment p_align.  Previously, anything
with a size belong the natural alignment or with alignment larger than
the natural one would either not be intialized correctly, be misaligned,
or result in the TIB being misaligned.

Problems reported by Charles Collicutt (charles (at) collicutt.co.uk)
ok kettenis@

The RFC specifies that in an SA payload the proposals must be numbered
starting with number 1.  Subsequent proposals must be one more than the
previous proposal.

ok sthen@

Turns out that, as specified in the RFC, the initial Child SA does not
do PFS and is assumed to be secured using the DH exchange in the first
handshake.  Thus there is no KE/N payload in the IKE_AUTH exchange and
we must not include a DH group other than None, which essentially means
we must not supply any DH transforms in the IKE_AUTH messages.  So now
we skip adding the DH transforms for initiating and responding to
IKE_AUTH messages.

ok sthen@

fix buglet in split_number() and optimize count_digits();
from kshe with a twist from myself; ok tb@

arm64 is now also a _syspatch_arch

In the macppc installer, switch the default answer for the partition
table question from "HFS" to "MBR". Most people will want to run
OpenBSD exclusively on such machines these days.
ok kettenis@

Add quotes around the name of (unconfigured) devices like we do for other
iic(4) controllers.

ok jcs@

Avoid using an uninitialized variable.
Found by gcc.

OK jca@

Fix white spaces and shorten long line.

Consistently .Xr the corresponding wide char functions from char- and
string-handling <stdio.h> functions, like we already do it for <string.h>.
Includes a smaller patch from <kshe59 at zoho dot eu>, OK jmc@.

add missing argument name; from <kshe59 at zoho dot eu>; OK jmc@;
while here, consistently use .Fo to cure execessive line lengths

Simplify the reverse PCB lookup logic.  The PF_TAG_TRANSLATE_LOCALHOST
security check prevents that the user accidentally configures
redirect where a divert-to would be appropriate.  Instead of spreading
the logic into tcp and udp input, check the flag during PCB listen
lookup.  This also reduces parameters of in_pcblookup_listen().
OK visa@

update currency exchange rates;

remove deprectaed linkX notation;
from lucas gabriel vuotto

and enable new test

extra tests for Z (upcoming implementation change)

Fix the IPL and flags of the MP-safe crypto taskq. Now a sane IPL
is passed to the mutex implementation, and the queue actually runs
without the kernel lock.

Tested by dhill@
OK mikeb@, dhill@, kettenis@

add bgw;

Replace `coremask' with `numcores'.

Prefer `numcores' to `coremask'. The former is probably easier
to use than the latter.

Fix typos in comments.
OK florian@

Add bgw(4) man page.

Fix variable expansion.

From Rafael Neves

Add bgw(4), a driver for a family of Bosch acceleration sensors.

ok deraadt@, mlarkin@

Add support for rejecting IKE SA messages.  This means that we can reply
to IKE SA INIT messages with no proposal chosen, as we already do for
Child SAs.  For that the error "adding" is done in a new function shared
by both send error handlers.  We need two "send error" functions because
the init error is unencrypted, while all later ones are not.  Now we can
add more cases, like Child SA not found or that the DH group is not what
we expect.

Save the IKE SA INIT responses, even if it's an error message, so we can
retransmit it if the response is lost on the way back to the initiator
and he tries again.  This also helps mitigate DoS attacks as specified
in the RFC.  Only if it is indeed a new attempt, like after an INVALID
KE PAYLOAD response, we can drop the old SA so that iked(8) can attempt
to create a new SA.

ok sthen@

vn_open(9) does not pass the open(2) flags to VOP_CREATE(9) so we can't
support FBT_CREATE. Fall back to FBT_MKNOD + FBT_OPEN so that a valid
sequence of FUSE messages is sent to the file system when creating files.

input from mpi@, otto@

Default unknowns to application/octet-stream instead of x-not-regular-file.

This makes more sense and matches what the latest "other" file(1) now does.

ok nicm@

use the same macro consistently for the various carp balancing modes;

no more arp mode for carp; from martin rettberg

When performing vmctl reload and a previously configured vm is running,
exit with an EALREADY vs EPERM.

ok mlarkin@

__MAP_NOFAULT doesn't make sense with anon mappings, so return EINVAL if
that is attempted.
Minor cleanups:
 - Eliminate some always false and always true tests against MAP_ANON
 - We treat anon mappings with neither MAP_{SHARED,PRIVATE} as MAP_PRIVATE
   so explicitly indicate that

ok kettenis@ beck@

Per https://patchwork./patch/5838821/, the documented check of ACPI
mwait info against CPUID is wrong; loosen the test per Intel's suggestion.
While here, fix the wrapping of dmesg lines when reporting bogus C-state
info.

ok mlarkin@ kettenis@ (who pointed out the email from Intel)

Add regress to ensure that execve bypasses pledgepath checks (for now)

Mixing -url with any of -host, -port, or -path should be a usage error
instead of trying to work and then triggering a double-free().

problem noted by trondd (trondd (at) kagu-tsuchi.com)
ok beck@

Add support for GPIO-signaled events.

ok mlarkin@

vmd(8): fix broken IRR bit setting for the slave PIC. Noticed by claudio
when he tried to make a vm with 4 network interfaces.

ok claudio

fix double dot;

add -i to SYNOPSIS/usage() and sundry tweaks;
ok beck

Recognize .Bl -column at parse time, and not only at validation time,
even if other arguments precede -column.  This is required because
the .It parser needs to know whether or not we are a -column list.
Fixes tree corruption leading to an assertion failure.
Bug reported by bentley@.

Insert MPLS VPN routes with the RTF_GATEWAY flag cleared. mpe(4) is now
expecting this and will use the route gateway and the mpls label to forward
packets. This plus the other diffs to if_mpe.c and route.c should fix
L3 MPLS VPNs. Problem reported by henning@

Make mpe(4) work again by:
- Change the way mpe figures out the IP of the MPLS nexthop. Instead of using
RTF_GATEWAY and so a valid (and cachable) gateway route just use the
gateway IP address of the route (rt->rt_gateway).
- Make sure the interface is up when adding a mplslabel. The inserted route
is in rtable 0 and so invisible for the link state tracker. Forcing the if_up
ensures that the added route is RTF_UP.
OK mpi@

Revert 1.353, this breaks mpe(4). Also it seems not complete since rt_ifa_del
still had this hack in. This needs to be revisted and better understood.
It may be needed to add a mplsrdomain to mpe(4) but MPLS only in the rtable 0
is hardcoded in more places and we should fix them all.
OK mpi@

fold bsqrt_stop into bsqrt; from kshe; ok tom@

simplify print_ascii; from kshe; ok tom@

Don't do OCSP stapling only if the staple file is 0 length.

This allows something external (like ocspcheck) to disable the stapling
deliberatly if it can not retreive a valid staple by truncating the
staple file to indicate "do not provide a staple", while the file not
existin will still be treated as a configuration error
ok claudio@ florian@, and prompted by @jsing

fcntl(F_GETOWN) doesn't have an argument, so don't display it.  While
here, make it easier to extend the set of such fcntl() commands

ok deraadt@

add options to specify the control socket in relayd and relayctl.
From Kapetanakis Giannis, thanks.
ok claudio@