Add missing memory clobbers to "data" barriers.

Hide kernel internals from userland by wrapping more bits in _KERNEL blocks.
Especially the includes of net/rtable.h and sys/queue.h are problematic.
OK florian@

Netstat wants to access kernel internal structures for the kvm walker of
the routing table.  Define _KERNEL around the net/route.h include.
OK florian@

Always use an allocated buffer for {Read,Write}Blocks() to make
efid_io() simpler.  Also fixes the problem on some machines when boot
from CD-ROM.  It happened because the previous version passed
unaligned pointers to the functions even if it is restricted by the
IoAlign property of the media.  idea from kettenis, work with asou

ok kettenis

Add 'grp31' alias for curve25519 as documented in iked.conf(5).

Node without a "status" property should be considered enabled as well.

Same change made to arm64 a week ago.

Make sure that switching the console from serial to framebuffer works
for framebuffer nodes under / and /chosen.

Same change made to arm64 last month.

Nuke unused time_t variable.

Move setifrtlabel() and *keepalive() prototypes out of SMALL

Those commands are not supported under SMALL;  unless I overlooked others,
this should be the last bit to declare all prototypes correctly wrt. SMALL
(the overall unsorted order of both prototypes and commands makes this hard
to spot).

No object change, with and without SMALL.

sync to unbound 1.13.1; heavy lifting by sthen

acpi_intr_disestablish() should free its own cookie.

ok kettenis@

Bump MAXTSIZ to 256MB on i386.

okay deraadt@

On i386 don't attempt to map shared libraries in low memory when
a large executable's .text section crosses the 512MB exec line.

Executables that have MAXTSIZ > 64MB can map above the default
512MB exec line. When this happens, shared libs that attempt to map
into low memory will find their .data section can not be mapped. ld.so
will attempt to remap the share lib at higher addresses until it can be
mapped. For very large executables like chrome this process is very
time consuming. This change detects how much of the executable's
.text section exceeds 512MB and uses that as the initial hint for
shared libs to map into which avoids attempting to map into blocked
memory.

okay deraadt@

Don't (try to) deconfigure an interface that was never configured.

We can't learn anything interesting from RTM_NEWADDR, stop handling
it.

handle theoretical case of sigfillsz not being pow2-sized on some
architecture.
from miod

Describe what happens when RFC 4638 is not supported.
With help from sthen@.  OK sthen@ jmc@

Fix some correctness issues in the lowelevel kernel bringup code.

- Make sure we install a dummy page table in TTBR0_EL1 before we change
  the size of the VA space in TCR_EL1.

- Flush the TLB after updating TCR_EL1.

- Flush TLB after installing the real kernel page table in TTBR1_EL1.

- Add some barriers around TLB flushes to make it consistent with
  other places where we do TLB flushes.

ok drahn@, patrick@

Add client-detached notification in control mode, from Mohsin Kaleem.

Do not delete control socket upon exit

The control socket is not unveiled, therefore accounting would report
unveil violations whenever apmd(8) stopped (normally).

As discussed and done with other daemons such as relayd which also employ
no pledge (due to inherent limitations) but unveil effecting all of /,
simply stop removing the socket upon exit and leave it to the next apmd
which completely sets up its control socket anew at startup.

Violations reported by anton
Feedback OK semarie mestre

A socket buffer is not the best size to read from a disk.
Use st_blksize to set high water mark; florian@

don't let logging clobber errno before use

Add code to acpiiort(4) to look up named components in the IORT and
map them.  This makes ACPI's call to acpi_iommu_device_map() do work
through acpiiort(4).

ok kettenis@

Change API of acpiiort(4).  It was written as a hook before, taking the
PCI attach args and replacing the DMA tag inside.  Our other IOMMU API
though takes a DMA tag and returns the old one or a new one.  To have
acpiiort(4) integrate better with non-PCI ACPI devices, change the API
so that it is more similar to the other API.  This also makes the code
easier to understand.

ok kettenis@

Add acpi_iommu_device_map(), which replaces the DMA tag with one that
is blessed with IOMMU magic, if available.  This is mainly for arm64,
since on amd64 and i386 the IOMMU only captures PCIe devices, as far
as I know, which uses the pci_probe_device_hook().  This though is for
non-PCI devices attached through ACPI.

ok kettenis@

Add the IORT structure for named components.  These give us the stream ids
used towards an smmu(4) for non-PCI devices.  The references are provided
as ASCII printable paths.

ok kettenis@

We makes sure that a dh group is required if the local proposal
contains an explicit group transform. Override requiredh if one
of the local options is 'none' so that a proposal with no DH
group and on with explicit group 'none' result in a match.

ok patrick@

Ignore msg_ke in CREATE_CHILD_SA if DH negotiation results in group
'none' (disabling PFS).  Fixes a bug when the initiator sends a KE
payload but the negotiation results in DH group "none".
For other DH group mismatches we send an INVALID_KE notify, for 'none'
we can just ignore the KE payload.

ok patrick@

Clear AUTOCONF6TEMP flag when we detach inet6.

Don't put an extern variable (ppc_kvm_stolen) into vmparam.h, other instances
of this file are only doing cpp #define

Do not crash if there is no item to show command error, from Anindya
Mukherjee.

tweaks to system version handling:
- create an element that accumulates version values  for when we have
several
- actually use compare on version values instead of hardcoding the
difference

no functional change

spelling

add a check for system-version, since I tend to reverse comparisons

Allocate the repo structs individually linked by a SLIST instead of using
an array that is reallocated during runtime. With this the entityq can
move back into struct repo.
OK tb@

Log errors with log level info and SPI.

Since we are doing getifaddrs() anyway we can get the rdomain out of
AF_LINK and skip one ioctl.
OK benno

msi-map-mask is a pasto and should be iommu-map-mask.

From Jared McNeill at NetBSD
ok kettenis@

add HISTORY; from maxim vuets

regen

Add ID for Intel SSD DC

ok jsg@

Use EXFLAG_INVALID to handle out of memory and parse errors in
x509v3_cache_extensions().

ok tb@

Remove "deletetunnel" (deprecated with 6.4)

OK deraadt

Move all rdomain bits under SMALL

"[-]rdomain" commands are ignored under SMALL but their prototypes,
the global and therefore dead print logic are still in.

OK deraadt

Move MPLS related function prototypes under SMALL

OK deraadt

because the kernel has been replaced after last boot, run kvm_mkdb
before the first consumer of kvm_bsd.db

sync usb_device_info with usb.h, spotted by Enrik Berkhan, and millert@
noticed another change

Advertise 30-bit color support.

ok matthieu@, jsg@

only try to set timestamps on files; avoids error with ftp -o /dev/null
ok jca robert

We can use memory marked as EfiBootServicesCode or EfiBootServicesData
as well.

ok drahn@, kn@

Add TEST_SSH_MODULI_FILE variable to allow overriding of the moduli file
used during the test run.

Add WSDISPLAYIO_DEPTH_30 in order to support 30-bit color support.

ok jsg@

sync

merge unbound-1.13.1

update to unbound-1.13.1, tested by gnezdo@

INET6_NOPRIVACY is called AUTOCONF6TEMP now, missed during rename.

In ipw(4), ensure that net80211 is in ASSOC state while we are expecting
an assoc response from the AP during the association sequence. Otherwise
net80211 would ignore the auth response, resulting in a state mismatch
between firmware and net80211. A symptom of this was that WPA didn't work.

Problem reported and fix tested by Ricardo Mottola

Add deprecation warning for autoconfprivacy.
While here check address family for 'temporary' option, only inet6 is
allowed.
OK kn

Use RA instead of MiRA in iwn(4).

Tested by:
iwn 6200: stsp
iwn 6205: cwen, Jeremy O'Brien
iwn 6300: okan

Use RA instead of MiRA in iwm(4).

Tested by:
iwm 7260: florian
iwm 7265: TronDD, Aaron Miller, stsp
iwm 8260: bket
iwm 8265: matthieu, tracey, naddy, Dave Voutila, jcs, Mathieu Kerjouan,
          Matthias Schmidt, stsp
iwm 9260: matthieu, phessler, Darren VanBuren
iwm 9560: Uwe Werler

Add RA, a new 11n Tx rate adaptation module for net80211.

Written by Christian Ehrhardt and myself, based on ieee80211_mira.c
but with significant changes.

The main difference is that RA does not attempt to precisely measure
actual throughput but simply deducts a loss percentage from the
theoretical throughput which can be achieved by a given MCS.

Unlike MiRa, RA does not use timeouts to trigger probing.
Probing is triggered only by changes in measured throughput.

Unlike MiRA, RA doesn't care whether a frame was part of an A-MPDU.
RA simply collects statistics for individual subframes. This makes reporting
very easy for drivers and seems to work well enough in practice.

Another difference is that drivers can report multi-rate retries properly
via ieee80211_ra_add_stats_ht(mcs, total, fail) which can be called
several times before ieee80211_ra_choose() selects a new Tx rate.

There is no reason any issues could not be fixed in ieee8011_mira.c but
I felt it was a good moment to burn the house down and start over.
And since this code diverges from how MiRA is described in the research
paper applying the "MiRA" label becomes inappropriate.

Zap a useless variable.

suggested by jsing

Missing void in function definition

ok jsing

Fix checks of memory caps of constraints names

x509_internal.h defines caps on the number of name constraints and
other names (such as subjectAltNames) that we want to allocate per
cert chain. These limits are checked too late.  In a particularly
silly cert that jan found on ugos.ugm.ac.id 443, we ended up
allocating six times 2048 x509_constraint_name structures before
deciding that these are more than 512.

Fix this by adding a names_max member to x509_constraints_names which
is set on allocation against which each addition of a name is checked.

cluebat/ok jsing
ok inoguchi on earlier version

Update Spleen kernel fonts to version 1.9.0, bringing the following
improvements:

- Enlarge vertical line for consistency with other small sizes (5x8 version)
- Add full support for the Latin-1 Supplement Unicode block (6x12 version)

spelling

ok mpi@

Emulate "[inet] autoconf" hostname.if(5) lines with "dhcp"

With dhcpleased(8) in base, netstart(8) and ifconfig(8) understand both
"autoconf" and "inet autoconf" lines in hostname.if(5) files to signal the
new daemon.

The installer however currently has only dhclient(8), hence manual upgrades
with "[inet] autoconf" instead of "dhcp" in hostname.if files would fail to
establish IPv4 connectivity.

Make install.sub's netstart clone treat autoconf lines like old fashioned
dhcp lines such users^Wearly testers of the new approach don't get stuck in
nyetwork land.

Note that this is only relevant for manual upgrades;  installation always
creates working hostname.if files and automated upgrades with sysupgrade(8)
do not care about network/hostname.if files.

Idea from deraadt
OK deraadt krw ajacoutot

spelling

Kill SINGLE_PTRACE and use SINGLE_SUSPEND which has almost the same semantic

single_thread_set() is modified to explicitly indicated when waiting until
sibling threads are parked is required.  This is obviously not required if
a traced thread is switching away from a CPU after handling a STOP signal.

ok claudio@

Fix so tmux correctly sends the cvvis (cursor very visible) capability
rather than sending it and then immediately undoing it with cnorm. Also
turn it off when the cursor shape is changed like xterm.

fix previous

spelling: refenece -> reference

spelling

Add ModuliFile keyword to sshd_config to specify the location of the
"moduli" file containing the groups for DH-GEX.  This will allow us to
run tests against arbitrary moduli files without having to install them.
ok djm@

pwcopy() struct passwd that we're going to reuse across a bunch of
library calls; bz3273 ok dtucker@

Provide definition of CTRL in vi.c like we do for emacs.c.
Fixes a portability issue.  From Benjamin Baier

quiz: handle line continuation in data files correctly, switch to getline(3)

Specifically, the following quiz.db line

foo:\
bar

was parsed into "foo:bar\n", which made it impossible to answer correctly.

Bug reported and inital fix from Alex Karle, partially reworked by
yours truly, further input from millert@

fix a double space and a macro error;

When RFC 8981 obsoleted RFC 4941 the terminology changed from
"privacy extensions" to "temporary address extensions"

Change ifconfig(8) to output temporary after temporary addresses and
add "temporary" option which is an alias for autoconfprivacy for now.

Also make AUTOCONF6TEMP a positiv flag that is set by default.
Previously the negative flag "INET6_NOPRIVACY" was set when privacy
addresses were disabled. This makes the flags output less ugly and
will allow us to disable autoconf addresses while having temporary
addresses enabled in the future.

More work is needed in slaacd.

input benno, jmc, deraadt
previous verison OK benno
OK jmc, kn

Use unveil(2)

Pledge is not possible due to the ioctls, but as apmd hoists both the
control socket and apm device early at startup and only ever possibly
executes scripts under /etc/apm/, hiding the rest of the filesystem
becomes easy.

Technically, only "x" is required to traverse the directory and run
scripts, but apmd carefully access(2) each script, which requires
the read bit regardless of the permission bits being tested.

OK mestre

Remove ssl_downgrade_max_version().

Now that we store our maximum TLS version at the start of the handshake,
we can check against that directly.

ok inoguchi@ tb@

There is no need to try to attach IPv6 to an interface when the
AUTOCONF6 flag is already set.
This is likely a leftover from when we sent router solicitations from
the kernel. This was a way to trigger sending a solicitation from
userland.
OK kn

If the AUTOCONF4 or AUTOCONF6 flags get enabled, force the interface up.
ok florian claudio

Use timespec timers to determine when select-timeout and timeout intervals
are exceeded.

Feedback from otto@, cheloha@

spelling

Revert rev 1.116
The repo structs are reallocated during runtime and so the back pointers to
the head element of the TAILQ get corrupted.
Noticed by tb@

Check for the existence of p5-IO-Socket-SSL by checking for its SSL.pm
instead of running pkg_add which may block due to its locking mechanism.

Precise file to check for suggested by sthen
ok kn deraadt on previous version

spelling

Add SMP support.

ok patrick@

Remove unhelpful sentence from TPMR

with dlg

Document veb(4)

All text is copied from other already existing sections, i.e. link flag
handling from TPMR and the rest from BIDGE.

Contrary to BRIDGE, add a synopsis for VEB such that there's a simple
overwiew, especially since veb(4) currently does not explain *how* to use
the described features.

NB: While TPMR and VEB use the same wording for link flags, their semantics
are different, i.e. both different flags and swapped polarity for those
flags.

Feedback jmc dlg
OK dlg

Link to sh(1) and use the same wording and markup for EXTRACT_CASES code

"good idea" sthen

There is no need to revisit a file in the repo, so if the RB_INSERT fails
just drop the entity queue element.
OK benno@ tb@

There is no need for a global enity queue, instead use per repo queues.
Simplifies the code a fair bit.
OK tb@

Make sure to skip attaching disabled I2C devices.  This can happen on
hardware which include a common parent block in their device trees and
only enable the components that were actually implemented, as seen on
e.g. the NanoPi R4S.

Make sure to skip attaching disabled I2C devices.  This can happen on
hardware which include a common parent block in their device trees and
only enable the components that were actually implemented, as seen on
e.g. the NanoPi R4S.

ok kettenis@

grow media a little

that 0 should be NULL

Tidy old jobs every hour instead of every 30 seconds.

groff complains about the word "An" in an Rs/Re block, believing it a macro,
so escape it;