0xffffffff is 32 bits, not 24 bits

ok deraadt

With growing functionality, the synopsis became long and confusing.
The syntax of some subcommands has almost nothing in common with the
syntax of others.  So split the synopsis to make it more readable.
"if you feel it helps, go for it"  jmc@ ajacoutot@

use ellipsis for arguments that can be repeated;
ok ajacoutot@ jmc@

A process should be able to do sigpending for itself

modernize style: "return" is not a function; ok cmp(1)

For TAME_PROC, allow setrlimit()

fix flowsrc spec, ok florian, thx ingo!

When "proc" is requested, allow setpgid() and sigsuspend().
Also the combination of "proc tty" needs to permit TIOCSPGRP.

This is the start at minimum semantics required by processes which
work on process groups, sessions, ttys.

we're running rm. call it rm too.

update "cmsg" tests: it lost TAME_SELF flag.

Move from tame "cmsg" to tame "sendfd" or "recvfd", depending on which
way the process moves fd's.

add some tests for rpath, wpath, cpath

Add new "tty" request, which allows TIOCGETA, TIOCGPGRP, TIOCGWINSZ,
TIOCSBRK, TIOCCDTR, TIOCSETA, TIOCSETAW, and TIOCSETAF on tty
vnodes. This helps programs which call tcsetattr(), tcgetattr(), or
readpassphrase().  Especially the latter - tame's goal is to satisfy
the libc requirements of security-sensitive programs.

Remove TIOCSETAF from the basic "ioctl" request, because it is a "set"
option. "ioctl" is slowly turning into a "request information, cannot
set options" package.

Split the "cmsg" request into "sendfd" and "recvfd".  Non-SCM_RIGHTS
messages are currently flowing through freely and we'll need to think
about that.  This split lets us more strictly describe what our many
fd-passing programs will do.

Make sure that tx_buffer->next_eop is properly set before we bump the number
of available descriptors, such that the interrupt handler doesn't attempt
to complete partially initialized descriptors.  Seems to fix the watchdog
timeouts reported by various people.

Tested by Mattieu Baptiste and Gregor Best.
ok mikeb@

Remove the -C option that converts an S/Key database to the new format. It has
been 13 years since the new format was introduced.

OK millert@

Don't burden keycrunch_{md5,sha1,rmd160}() with identical code to prepare a
buffer based on whether they are called by keycrunch() or f(). Instead let
keycrunch() and f() take care of this themselves.

OK millert@

Update path in comment; OK millert@

clear out some more legacy code and whatnot

Rework the tame cmsg handler to make it work both ways. While on recv one
mbuf blob with all the cmsgs inside while on send cmsgs in an mbuf chain,
one mbuf per message. Adjust the calls accordingly.
Putting it in so deraadt@ can move forward.

rmdir() is just a CPATH operation; remove RPATH marker that snuck in.

Make sure that all padding bytes in cmsgs are actually zero by memset
CMSG_SIZE(len) bytes of the mbuf.

oops, namei was never allowing through valid CPATH operations

Add getrusage() to the TAME_SELF catagory.

Fix buf leak in error path. ok gilles@ eric@

only modifies data, stdin to stdout, so tame "stdout"

use tame "stdio rpath wpath cpath fattr".  There is some timezone
database stuff here which goes further than most programs, but the
neccessary files are readable using "rpath".

simple tame "stdio rpath"

tame "stdio rpath" before opening the file, tame "stdio" after that

prefer limits.h over sys/limits.h

ok deraadt@

Simple update for pdf, from file 5.x.

Make iwm(4) set the MAC address the same way other wireless drivers do.
ok mpi@

we don't need this temporary buffer since we're going to strdup() it right
away anyways

ok eric@

Another simple update for xwindows, from 5.x.

Log the matched offset (and the new offset) instead of just of the new
offset (as if it was where the match was found).

ssh and ssl key file magic, from file 5.x.

Another simple update from file 5.x.

fix snprintf() error checking in token expansion code, these can't possibly
fail but it's no excuse for getting the checks wrong.

spotted by qualys

fix chdir() call for the sake of correctness

reported by qualys

fix values passed to umask(), they should be octal.
the permissions are even more restrictive than they should.

misc bug reported by qualys

do not need ioctl.h

Obvious tame "stdio rpath wpath cpath" to a program I will never use.

fix reallocarray() constructs to always use temporary variable

Enable ioctl() in the "rw" request, to support FIONREAD/FIONBIO easier
for the stdio/libevent usage case.  Further ioctl commands are narrowly
checked as before.
ok djm guenther semarie

these do not use ioctl.h

struct knote's kn_sdata needs to be the same type as struct kevent's data

ok deraadt@

tame "stdio getpw"
discussed with guenther

data processing stdin to stdout; tame "stdout"

unfortunately tame "stdio" can only happen well after the sequence of:
utmp parsing, tty opening, setresgid to drop privs.  it only protects
a basic io loop.
discussed with doug

adapt to recent sshkey_parse_private_fileblob() API change

The performance hit for -fstack-protector-all is worth it here.
ok gilles

Appears that tame "stdio getpw rpath" will satisfy all code paths.

During getopt(), an optional file may be opened.  After that, tame "stdio"
works.

Time for some commentary!  tame became possible because syslog(3) in
openbsd uses a system call -- sendsyslog(2) -- which does not require
an elaborate dance opening an AF_UNIX socket and using connect() or
send() to deliver to a "/dev/log" unix socket in the filesystem.
sendsyslog(2) was invented to ensure the stack-protector's
__stack_smash_handler() can gaurantee delivery of failure messages to
syslogd(8) in harsh conditions -- such as file descriptor exhaustion
or inside chroot(2).  Now it also works in tame(2)'d proceses, since
sendsyslog(2) is always allowed.  Our syslog(3) needs no elaborate
socket code, therefore piles of software does not have an inate need
for socket(2), connect(2), send(2), nor access to the filesystem.
syslog(3) remains fully compatible otherwise.

How does the stack protector report an error in fully capsicum'd
program?  Or in some other Linux protection mechanism, if someone
protectes a program too far and takes sockets away, how do they see
the stack protector working?

You can have nice things when the underlying rules change.

tame "stdio rpath wpath cpath", because this program reads and creates
files, using stdio.   It does nothing else.

Remove EXTERN from lex.h and put the definitions in lex.c, from Michael
McConville.

Remove EXTERN from table.h and put the definitions in table.c, from
Michael McConville.

Another trivial update, some extra bits for timezone, from file 5.x.

Set the line file descriptor nonblocking and make it blocking again for
xmodem and child processes, makes xmodem work with -d. Reported by Kim
Zeitler via guenther@, tested by Jiri B. ok (and a small change) guenther

Fix efiboot not to use the usual kernel load address.  Load the kernel in
an allocated region and also move the stack to the end of the heap region.
Then move the kernel to the usual place just before run the kernel, after
calling ExitBootService().

report/test Toby Slight, Brian Conway

Very trivial changes from file 5.x: spelling mistakes, %ld->%d and some
style nits.

Get BE and LE UTF-32 correct, from file 5.x.

Update compress magic from the upstream file 5.x magic files.

actually use lbuf in getmailname()
ok millert@ gilles@

change a few examples to be more stylistic. pointed out by rob pierce

Remove the non-standard -l flag that pipes the output through pr(1).
Based on a diff from and OK deraadt@

Add support for !:strength modifier to adjust strength of a test.

Offset into the file can be size_t and add some casts to remove warnings.

Revert if_oqdrops accounting changes done in kernel, per request from mpi@.

(Especially adding IF_DROP() after IFQ_ENQUEUE() was completely wrong because
IFQ_ENQUEUE() already does it.  Oops.)

After this revert, the situation becomes:

- if_snd.ifq_drops is incremented in either IFQ_ENQUEUE() or IF_DROP(), but
  it is not shown to userland, and

- if_data.ifi_oqdrops is shown to userland, but it is not incremented by
  anyone.

Style nits on a couple of casts.

Use explicit_bzero() instead of memset() for zeroing out secrets.
OK deraadt@

this process deserves -fstack-protector-all

some more bzero->explicit_bzero, from Michael McConville

correct picasso's birth date;
from comet (freebsd 116952), via richard

alpha ramdisk ran out of space, very slightly.  Probably due to the
development of tame?  option CD9660 and mount_cd9660 are already
absent, so remove the cd(4) driver
ok miod

tame "stdio inet cmsg" should work well in the session engine.
ok benno

KNF a switch statement, moving a local variable up a frame as well -
carefully.

Out, damned whitespace!

Count IFQ_ENQUEUE() failure as output drop.

mpi@ prefers checking IFQ_ENQUEUE() error, and this matches that.

OK dlg@

Don't count IF_DROP()'ed packets as if_oerrors too.

mpi@ plans to clean-up IF_DROP()'s, but fix consistent use of it for now.

OK dlg@

Remove unused errstr variable.

use different tame requests if TMPDIR is in env:
- tmppath for when mktemp() operates in /tmp proper
- cpath+wpath for use of $TMPDIR

based on log-message from previous commit

ok deraadt@

Handle ifi_oqdrops in netstat(8).

OK mpi@ dlg@

Accumulate ifq_drops into if_oqdrops if if_start().

mpi@ questioned usefulness of if_snd.ifq_drops, but this is what exists now.
This area is going to be readily polished.

OK dlg@

Teach snmpd(8) about if_oqdrops.

OK mpi@ dlg@

If expression omits -exec/execdir/-ok primaries, then find will never
enter the fork+execve codepath.  That allows use of "stdio getpw rpath"!
Use of -exec methods have been discouraged for years anyways, with
-print0/xargs -0 now considered safer practice.
ok guenther millert

Add ifi_oqdrops and its alias to struct if_data.

Necessary bumps in Ports will be handled by sthen@.

OK mpi@ dlg@

If the -l flag is set, diff will fork/execve pr on a pipe.  But other
uses can tame "stdio wpath rpath cpath tmppath".  tmppath for when
mktemp() operates in /tmp proper, but cpath+wpath for use of $TMPDIR.
ok sthen millert

correct a rtget() error check
this function could only return 0 or 1, and 1 on error.

avoid to deref an uninitialised variable if rtget() return an error.

ok millert@ benno@ deraadt@

these 3 files do not need sys/socket.h

tame "stdio rpath" or tame "stdio" suffices for all of these programs.
fairly easy to audit by running nm and noticing nothing beyond base
stdio except for fopen/freopen.  Then review all callpaths to those
functions, and place the tame() calls.
ok sthen

This can use tame "stdio rpath" from the top.  If we are only working on
stdin, an additional tame "stdio" is easy.
same diff from sthen

tame "stdio rpath" works.  (Someone could refactor the processing loop
to handle the stdin case without rpath, but it looks a bit invasive.
ok sthen

Simplify iwm(4) newstate task by only queuing one state transition
at a time. The newstate task now always transitions to the most
recently requested state, rather than hopping along with every request.

This allows us get rid of the silly newstate generation counter, and
we can now task_del() a pending transition when the interface goes down.
While several issues with this driver remain, I believe this change
does not introduce new problems.

Tested by myself, jasper@, and zhuk@

Factor LACP frame processing out to a separate task

This is slightly refactored version of the diff by jmatthew@
that makes use of a single per-trunk task but retains per-port
mbuf queues.

Running LACP frame processing in a task context allows a simple
way to synchronize changes to the trunk ports and trunk itself
performed from the ioctl, timeout and task contexts with a kernel
lock.

OK mpi

Remove 'landisk' from the comment about NUMBOOT archs. Only one
NUMBOOT arch is left: Vax.

fix some spelling messes.

typo.

Fix missing checks for truncation of long file names. Rather than
checking for truncation every time we touch the string, simply allocate
a memory chunk large enough to store the full path.

tame "stdio rpath" works fine, as long as we sidestep the demangling
process which involves fork+execve....
ok doug

Since the dawn of time, this has contained freopen() for the tty path
with mode "w", as root, since "w" implies O_CREAT.  That will create
the raw file in /dev if it does not yet exist (due to a lie in utmp).
It should use "r+", to open it for for O_RDWR only.
Oh man this reminds me of 1988, how old is this bug?
ok doug

tame "stdio rpath" initially; if we find out the only file operated on
is stdin, then we can drop directly to tame "stdio"
ok doug