Since we can feed localtime(3) with garbage input, or with input it cannot
interpret, we always need to check its return value, and in the case it's NULL
then error and exit before proceeding further otherwise in this specific
program we would find a null dereference down the road which would make the
program segfault.

OK cheloha@

drm: Add DP PSR2 sink enable bit

From Jose Roberto de Souza
5a3d1d67b3548e9dc1572c87527fa35b309feb0b in linux 4.4.y/4.4.146
4f212e40468650e220c1770876c7f25b8e0c1ff5 in mainline linux

drm/atomic: Handling the case when setting old crtc for plane

From Satendra Singh Thakur
f1a64c117f1363f17cfc7e5bd410ec6222031501 in linux 4.4.y/4.4.146
fc2a69f3903dfd97cd47f593e642b47918c949df in mainline linux

drm/radeon: fix mode_valid's return type

From Luc Van Oostenryck
1f5e33948005cd1b720fd58717bb971109432875 in linux 4.4.y/4.4.146
7a47f20eb1fb8fa8d7a8fe3a4fd8c721f04c2174 in mainline linux

Disable one test for now that is broken after the addition of \).
It is not broken because of \), which is correctly implemented, but
the addition merely reveals a hidden bug elsewhere, almost certainly
in \\ handling.  Given that \\ is among the most mysterious escape
sequences and using it is very strongly discouraged in manual pages,
fixing that is not urgent - and it may be hard.

Add the \) special character, a variant of \& so arcane that i
intentionally leave it undocumented.  Abused for example in the
groff(7) manual page.

Do alignment of non-numeric strings in numeric cells the same way
as groff, and also honour the explicit alignment indicator "\&".
This required an almost complete rewrite of both the measurement
function and the formatter function for numeric cells.

sync

There was some misunderstanding about which mirror to use.
Back this out for now.

Don't leak sktmp in X509_verify_cert().
CID #118791

ok jsing mestre

whitespace fix

Don't leak db on error in RSA_padding_check_PKCS1_OAEP().
CID #183499.

input & ok jsing, ok mestre on first version

Add a flag to force redrawing of the status line even if the content
hasn't changed, needed for resizing.

Don't leak a strdup()'ed string on error in do_accept().
CID #154702.

input & ok inoguchi, ok mestre on first version

If /etc/installurl doesn't exist, install a default one pointing to
cdn.openbsd.org.  This way, people doing installs without network
access also get working pkg_add and syspatch experience out of the box.

Idea from tj, supported by deraadt and job
ok halex

do not print horizontal lines inside vertical spans

Expand \u and \U escape sequences in command strings, from Christopher
Hunt in GitHub issue 1443.

delete blank line not found in other arch

double the allowed length for the 'tls ciphers' option

for example now it can hold the recommended cipher list from the mozilla
ssl config generator rather than failing with a "ciphers too long" error.

ok benno@ sthen@ tb@

pseudo-device must be file-flagged otherwise ramdisks cannot link.

Mostly complete implementation of the 'c' (character available)
roff conditional, except that the .char request still isn't supported
and that behaviour differs from groff in many edge cases.
But at least valid character names and numbers are now distinguished
from invalid ones.
This also fixes the bug that parsing of the 'c' conditional was
incomplete, which resulted in leaking the tested character to the
input parser at the beginning of the body when the condition was
inverted.

tweak previous;

Add a client redraw-window flag instead of the redraw-all flag and for
all just use the three flags together (window, borders, status).

Rename and collapse tls12_get_sigandhash_cbb().

Now that all callers of tls12_get_sigandhash() have been converted to CBB,
collapse tls12_get_sigandhash() and tls12_get_sigandhash_cbb() into a
single function. Rename it to tls12_gethashandsig() to be representative
of the actual order of the sigalgs parameters, and perform some other
clean up.

ok inoguchi@ tb@

Convert ssl3_send_newsession_ticket() to CBB.

This removes a memorable BUF_MEM_grow() and associated comment.

ok inoguchi@ tb@

Implement "mach dtb <filename.dtb>" in efiboot(8).  This way we can
provide our own FDT if the BIOS doesn't supply one, or even override
the supplied one.

Idea from and ok kettenis@

Call daemon with 0 as first argument so that it changes the cwd to /.
It is not a problem in slowcgi since it calls chroot(2) and then
chdir(2) shortly afterwards but hopefully prevents copying code into
daemons where it does matter.
Problem first observed by dlg in ntpd(8) which keeps sitting in the
directory from where it was started which might for example prevent an
unmount.
Discussed with deraadt@

Call daemon with 0 as first argument so that it changes the cwd to /
otherwise the main process will keep sitting in the directory from
where slaacd was started which might for example prevent an unmount.
Problem first observed by dlg in ntpd(8).
Discussed with deraadt@

regen

sync

Add kcov(4), a kernel code coverage tracing driver. It's used in conjunction
with the syzkaller kernel fuzzer. So far, 8 distinct panics have been found and
fixed. This effort will continue.

kcov is limited to architectures using Clang as their default compiler and is
not enabled by default.

With help from mpi@, thanks!

ok kettenis@ mpi@ visa@

Add support for multiple PCI segments.  Only really implemented for arm64
for now as amd64/i386 firmware still caters for legacy OSes that only
support a single PCI segment.

ok patrick@

Remove a stale/obvious comment.

OK mpi@

Bugfix: When a line ends with '\ \"', don't strip the trailing space
because that turned it into a bogus line continuation.

support the highly surprising escape sequence \# (line continuation
with comment); used for example by gropdf(1)

paragraphs can contain .MT and .UR blocks

If a tbl(7) column contains both text cells and numeric cells,
horizontally align the numbers in the same way as groff does.

SESSION_UNATTACHED flag is no longer necessary now we have an attached
count instead.

.RE causes a line break even if .RS is not open

.SY causes a one-column indentation even without any argument

Don't mention using poll(2) as a timeout.

Not a strictly portable use of the interface and there are more suitable
interfaces for timeouts anyway.

ok schwarze millert

Plug SSL object leaks in doConnection().

Move SSL_new/SSL_free up into benchmark() to restrict the responsibility
for the SSL object to a single scope.  Make doConnection() return an int,
openssl-style.  Some miscellaneous cleanup, too.

Discussed with tb, jsing, and jca.  Basic idea from jsing, lots of patch
input from tb.

ok deraadt on an earlier version

ok tb jsing

Do not allocate a column for decimal points if all numbers are integers.

Some tidying and helper functions.

Add support for flushing the instruction cache of other processes.  This is
needed for inserting and removing breakpoints through ptrace(2).

The approach here only works for CPUs that have a PIPT instruction cache
as we use aliased mappings to invalidate the instruction cache.  That doesn't
work on CPUs that have a virtually indexed instruction cache.

ok deraadt@, visa@

After calling getaddrinfo(3) both on rfc868 and ntp cases we can drop the "dns"
promise and only pledge("stdio inet") since from here until the end of the
program we will only exchange packets through sockets.

After a discussion with deraadt@ about adding privdrop to it we came to the
conclusion that the easiest and sane solution is just to reduce pledge(2)
instead of adding a ton of code to chroot the child that is already forbidden
to access the filesystem anyway.

Unsurprisingly, zero-width non-breaking spaces have...  width 0.

end of sentence detection after .ME and .UE, useful for some GNU manuals

The .nf/.fi (fill mode) requests never have text children
and in particular do not reset font mode.

Two consecutive .SY blocks only get a blank line in between
if the first one is explicitly closed with .YS.

prevent line breaks in the middle of .OP

Make sure we don't match (and attach) more than the maximum number of
supported CPUs.

ok deraadt@, patrick@, visa@

Support arbitrary number of redistributors.
Inspired by an earlier diff from drahn@

ok patrick@, jsg@

Massively reduce the amount of text, cutting it down to what is needed
to understand existing man(7) code and deleting parts that would only
be useful for writing new documents, which we strongly discourage:

* Delete the MANUAL STRUCTURE section which merely duplicates mdoc(7).
* Delete internal cross references only useful for writing new code.
* Delete many instances of "included only for compatibility" as the
  whole language is only provided for compatibility.
* Fix a few minor errors and omissions.

implement the GNU man-ext .SY/.YS (synopsis block) macro in man,
used in most manual pages of the groff package

The official name for the ssdfb(4) reset GPIO attribute uses plural form.

Remove more pointer arithmetic passing via regions outside the array
that is undefined according to the C standard.  Robert Elz <kre at
munnari dot oz dot au> pointed out i wasn't quite done yet.

Convert ssl3_send_client_verify() to CBB.

ok inoguchi@ tb@

spelling;

Support reading and using serveral device tree attributes for ssdfb(4),
since some OLED display controller settings can change depending on the
actual hardware integration.

Make the wording more concise, use the imperative throughout, state
more precisely which options require which other options, add many
missing incompatibilities, mention the default for -e, and some
macro cleanup.
OK jmc@ tb@

No need to send the same nameserver twice.

OK ccardenas@

the stack already counts bytes and packets, so don't do it again here.

makes output stats look plausible.

reported by jason tubnor
ok deraadt@

implement the GNU man-ext .TQ macro in man(7),
used for example by groff_diff(7)

Add regress coverage for CBB_add_u32().

Provide CBB_add_u32(), as needed for an upcoming conversion.

ok tb@

Simplify the add signature code/logic in ssl3_send_server_key_exchange().

ok tb@

Switch nsd control socket from localhost to a unix domain socket.
OK sthen

update to 4.1.24
OK sthen

Convert ssl3_send_server_key_exchange() to CBB.

ok inoguchi@ tb@

When installing the link to rcs2log, set the owner on the link itself
and not the file it points to.  OK deraadt@ tb@

The zoneinfo directories can be mode 755 just like everything else.
OK deraadt@

Convert ssl3_get_server_key_exchange() to CBS.

ok inoguchi@ tb@

Revert previous, which was wrong as noted by schwarze. Also revert a hunk
from r1.45 and thereby avoid a use-after-free spotted by schwarze.

ok schwarze

Make pmap_allocate_asid() mpsafe.  Since between checking the ASID
table and setting the bits atomically another core can select the
same ASID as we did it currently would not be safe to run it without
the kernel lock.  This replaces the atomic_setbits_int(9) call with
atomic_cas_uint(9) where we can check that the table entry has not
been changed since we evaluted it.  Also modify pmap_free_asid() to
use the same concept.

ok kettenis@

Do not calculate a pointer to a memory location before the beginning of
a static array.  Christos Zoulas, Robert Elz, and Andreas Gustafsson
point out that is undefined behaviour by the C standard even if we
never access the pointer.

Add the KEYC_XTERM flag to all function keys that imply a modifier so
that they are correctly translated into xterm(1)-style keys. GitHub
issue 1437.

Document \*(.T.
While here, delete the section about predefined strings.
For manual pages, the concept is not important enough to be discussed
in such a prominent place, and some aspects of the text were also
misleading.  Add a shorter version of the relevant parts to the
description of the \* escape sequence instead.

Implement the \*(.T predefined string (interpolate device name)
by allowing the preprocessor to pass it through to the formatters.
Used for example by the groff_char(7) manual page.

Remove unused variable.

From Nan at chinadtrace dot org. Thanks!

Turns out the integration of the GIC-500 on the Rockchip RK3399 is busted.
It treats all access to the memory mapped registers as "secure" even if
we're running in non-secure mode.  As a result, during bringup of OpenBSD
on the RK3399, I got confused and tweaked the interrupt priorities in a way
that is wrong (but worked on the RK3399.

Fix those priorities to match what they should be according to the
documentation (and works on other hardware that includes a GICv3) and
add code that detects the broken RK3399 GIC and adjusts the priorities
accordingly.  Also remove (broken) code that tries to mess around with
group 0 interrupts and fix setting bits in the GICD_CTLR register on the
broken RK3399 GIC.

Distinguish between softc array members that are indexed by redistributor
and those that are indexed by the assigned CPU (unit) number.  Fix the
shuffling of the affinity fields are shuffled around to match the spec.

Push back the kernel lock in sys_mmap(2) a little bit more now that
fd_getfile(9) is mpsafe.  Note that sys_mmap(2) isn't actually unlocked
currently.  However this diff has been tested with it unlocked, and I
hope to unlock it for real soon-ish.

ok visa@, mpi@

Use atomic instructions to keep track of what ASIDs are in use.  This makes
pmap_free_asid() and therefore pmap_destroy() mpsafe which is important since
we might end up calling that function without holding the kernel lock
as a result of releasing a reference in pmap_page_protect(9).

ok visa@

Add /usr/include/c++ to hier.7.

OK jmc@

Remove dead assignment in login(1).

Since rev 1.36, the instance variable is never read again so we can
simply drop the else clause with the assignment.

While there, also drop the useless increment, as pointed out by tom@.

OK deraadt@ (previous version), millert@, tom@

Update AP selection heuristics for auto-join.

We now prefer stronger crypto over weaker crypto over none, prefer 5 GHz
band with reasonable RSSI, and use RSSI as a tie-breaker with a slight
advantage for 5GHz. Candidate APs are now ranked by a score which is
calculated based on these attributes.

There is likely room for improvements to make these heuristics
work well across many different environments, but it's a start.

ok phessler@

SIOCGIFNETMASK_IN6 failing just means that someone delete the address
we are currently looking at. No need to fatal.
Found the hard way by naddy

fix incomplete variable renaming in previous;
found by Thomas Klausner <wiz at NetBSD> via a compiler warning

Restore ability to use hostnames to configure ip addresses.
Unveil /etc/{resolv.conf,hosts,services} which keeps it in sync with
the kernel bypass for pledge("dns").
OK deraadt
pointed out by & OK stsp

Partially revert previous, EM7455 is already handled by umb(4).

Reported by Bryan Vyhmeister.

Grab the KERNEL_LOCK() in MP-unsafe fo_close routines. This prevents
a scenario where MP-unsafe code gets run without the kernel lock
as a consequence of an unlocked system call.

OK mpi@, kettenis@

Fix struct soplice usage

sys/sys/socketvar.h r1.57 (2014) moved various struct socket fields into
a new struct sosplice field, this adapts usage accordingly.

OK bluhm

Introduce mue_eeprom_present to check if the EEPROM is present.
When the EEPROM is not populated, set the MAC config register
MUE_MAC_CR_AUTO_SPEED.  While there, encode the MAC address for the onboard
USB Ethernet for the Rasperry Pi, like smsc(4) does.

sync machine list with arm64.html

add cpuid and msr bits from
'Deep Dive: CPUID Enumeration and Architectural MSRs'
ok deraadt@

unveil(2) /etc/nologin.txt for reading

ok deraadt

Improve consistency of the substitution command further.

When the opening square bracket ('[') is abused as the delimiter, the regular
expression contains a bracket expression, and the bracket expression contains
another opening square bracket (sick! - i mean, sic!), then do not require
escaping that innermost bracket and treat a preceding backslash as a literal
backslash character, in accordance with POSIX:

   $ printf 'x[x\\x\n' | sed 's[\[[][R[g'
  xRx\x
   $ printf 'x[x\\x\n' | sed 's[\[\[][R[g'
  xRxRx

While here, also make the implementation more readable and insert
some comments.

Joint work with martijn@ (started during g2k18) and OK martijn@.

Add a comment that explains what the check is doing and why len >= 1.

Prompted by a remark by jsing

The UI_add_{input,verify}_string() functions want a length not including
the terminating NUL. EVP_read_pw_string_min() got this wrong, leading to
a one-byte buffer overrun in all callers of EVP_read_pw_string().

Found by mestre running 'openssl passwd' with MALLOC_OPTIONS including C.

Fix this by doing some basic sanity checking in EVP_read_pw_string_min().
Cap the len argument at BUFSIZ and ensure that min < len as well as
0 <= min and 1 <= len.  The last two checks are important as these
numbers may end up in reallocarray().

ok bcook (on previous version), jsing, mestre