Move the reference counting of a newly created route entry inside
rtable_insert().

inputs and ok bluhm@

Do not call bpf_catchpacket() if another CPU detached a file from the
corresponding interface.

bfp_tap() and _bpf_mtap() are mostly run without the KERNEL_LOCK.  The
use of SRPs in these functions gives us the guarantees that manipulated
BPF descriptors are alive but not the associated interface desctiptor!
And indeed they can be cleared by another CPU running bpf_detachd().

Prevent a race reported by Hrvoje Popovski when closing tcpdump(8) with
an IPL_MPSAFE ix(4).

ok mikeb@, dlg@, deraadt@

tame "stdio rpath".  could go crazy and handle the non-filename case,
but i am feeling some fatigue.

tame "stdio rpath" initially.  if no files, go to tame "stdio".

tame "stdio rpath getpw" before getpwuid and opening, then tame "stdio"

tame "stdio rpath wpath cpath tmppath tty".  "tty" is the important part
here, permitting use of readpassphrase()

tame "stdio rpath wpath cpath" covers mkstemp (O_RDONLY|O_CREAT),
mkdtemp(), and unlink()

tame "stdio".  It would take some doing for this to contain a bug, but
just in case -- now it can barely do anything when it goes wrong.

tame "stdio".  I doubt there is a bug in the environment parsing code.
But if there is, and this program is taken control of, it is quite limited
in the system calls it can do.

tame "stdio rpath wpath cpath" handles all the cases of opening files

patch(1) can move to "stdio rpath wpath cpath tmppath fattr proc exec"
(adding proc exec), now that "exec" has arrived in the kernel.  This
permits the dangerous game of feeding ed-style diffs with popen() via
/bin/ed.  Shocked yet?  Your mission, should you choose to accept it,
is to replace this code with an builtin ed-style patcher, maybe cribbing
code from ed itself.

I'm sorry, but we can't fix the entire world all at once.  Noone loves
deprecating standarized features as much as we do, but there are some
lines.  Maybe if people become aware of how crappy the implimentations
of some standard features are, they could help decide the path.

tame "stdio rpath"

tame "stdio rpath"

tame "stdio rpath wpath cpath" or a more mundane "stdio rpath", depending
on which arguments the programs are run under.
ok doug

tame "stdio rpath wpath".  rpath is for localtime() and mktime(),
while wpath is for logwtmp(), a bit pessimistically since it is not clear
what could happen.
This is done AFTER the time is potentially set, since settimeofday() is
not available to us.  Improvements and tests would be welcome.

tame "stdio rpath wpath cpath proc exec tty".  proc and exec because ed
it is a shell (it has a !command).  tty because it uses TIOCGWINSZ in
a SIGWINCH handler.

tame "stdio inet rpath cpath wpath proc" seems to be sufficient for
all the wading in here.  "proc" is for the speed command, which fork()'s.
ok doug

move from tame "ioctl" to tame "tty", which provides a better fit for
this program which uses tcgetattr().  the tcsetattr() calls are outside
the tame regions.

tame "stdio getpw rpath wpath tty".  "tty" allows this to use
readpassphrase().

We continue our tour through obscure BSD <word escapes me>.   This stdio-based
program may open files arbitrarily, so tame "stdio rpath" it from the start.

tame "stdio rpath" at the start, then potentially some files are opened.
After that, tame "stdio" because that's all this program does.

tame "stdio rpath wpath cpath" to cover all the file opening cases.
ok doug

tame "stdio rpath" for when paths are specified; otherwise tame "stdio"
for the stdin case.
ok doug

Add the tame "exec" request.  This allows processes which request
"exec" to call execve(2), potentially fork(2) beforehands if they
asked for "proc".  Calling execve is what "shells" (ksh, tmux, etc)
have as their primary purpose.  But meantime, if such a shell has a
nasty bug, we want to mitigate the process from opening a socket or
calling 100+ other system calls.  Unfortunately silver bullets are in
short supply, so if our goal is to stay in a POSIX-y environment, we
have to let shells call execve().  POSIX ate the world, so choices do
we all have?
Warning for many: silver bullets are even more rare in other OS
ecosystems, so please accept this as a narrow lowering of the bar in a
very raised environment.
Commited from a machine running tame "proc exec" ksh, make, etc.

Add initial support for installing UEFI boot files to a GTP EFI System
Partition. Further work to be done in-tree.

ok deraadt@

don't try to change tun device flags if they are already what
we need; makes it possible to use tun/tap networking as non-
root user if device permissions and interface flags are
pre-established; based on patch by Ossi Herrala

Note permissions for the crc32() code adapted from Hacker's Delight.

Prompted by deraadt@.

obvious tame "stdio".  For those not keeping score, this is another
program which has had string mismanagement bugs before, probably
of the exploitable fashion.. if used in the wrong kind of script..

tame "stdio rpath" if we have new files to open, otherwise tame "stdio".

obvious tame "stdio"

Remove an old and broken test snippet, from Michael McConville. ok millert

Drop the silly and distracting ACCEPT and REJECT macros, from Michael
McConville. No binary change. ok millert tedu

Move tree.c protos into tree.h, from Michael McConville, ok millert

oops, mistaken commit, spotted by naddy

0xffffffff is 32 bits, not 24 bits

ok deraadt

With growing functionality, the synopsis became long and confusing.
The syntax of some subcommands has almost nothing in common with the
syntax of others.  So split the synopsis to make it more readable.
"if you feel it helps, go for it"  jmc@ ajacoutot@

use ellipsis for arguments that can be repeated;
ok ajacoutot@ jmc@

A process should be able to do sigpending for itself

modernize style: "return" is not a function; ok cmp(1)

For TAME_PROC, allow setrlimit()

fix flowsrc spec, ok florian, thx ingo!

When "proc" is requested, allow setpgid() and sigsuspend().
Also the combination of "proc tty" needs to permit TIOCSPGRP.

This is the start at minimum semantics required by processes which
work on process groups, sessions, ttys.

we're running rm. call it rm too.

update "cmsg" tests: it lost TAME_SELF flag.

Move from tame "cmsg" to tame "sendfd" or "recvfd", depending on which
way the process moves fd's.

add some tests for rpath, wpath, cpath

Add new "tty" request, which allows TIOCGETA, TIOCGPGRP, TIOCGWINSZ,
TIOCSBRK, TIOCCDTR, TIOCSETA, TIOCSETAW, and TIOCSETAF on tty
vnodes. This helps programs which call tcsetattr(), tcgetattr(), or
readpassphrase().  Especially the latter - tame's goal is to satisfy
the libc requirements of security-sensitive programs.

Remove TIOCSETAF from the basic "ioctl" request, because it is a "set"
option. "ioctl" is slowly turning into a "request information, cannot
set options" package.

Split the "cmsg" request into "sendfd" and "recvfd".  Non-SCM_RIGHTS
messages are currently flowing through freely and we'll need to think
about that.  This split lets us more strictly describe what our many
fd-passing programs will do.

Make sure that tx_buffer->next_eop is properly set before we bump the number
of available descriptors, such that the interrupt handler doesn't attempt
to complete partially initialized descriptors.  Seems to fix the watchdog
timeouts reported by various people.

Tested by Mattieu Baptiste and Gregor Best.
ok mikeb@

Remove the -C option that converts an S/Key database to the new format. It has
been 13 years since the new format was introduced.

OK millert@

Don't burden keycrunch_{md5,sha1,rmd160}() with identical code to prepare a
buffer based on whether they are called by keycrunch() or f(). Instead let
keycrunch() and f() take care of this themselves.

OK millert@

Update path in comment; OK millert@

clear out some more legacy code and whatnot

Rework the tame cmsg handler to make it work both ways. While on recv one
mbuf blob with all the cmsgs inside while on send cmsgs in an mbuf chain,
one mbuf per message. Adjust the calls accordingly.
Putting it in so deraadt@ can move forward.

rmdir() is just a CPATH operation; remove RPATH marker that snuck in.

Make sure that all padding bytes in cmsgs are actually zero by memset
CMSG_SIZE(len) bytes of the mbuf.

oops, namei was never allowing through valid CPATH operations

Add getrusage() to the TAME_SELF catagory.

Fix buf leak in error path. ok gilles@ eric@

only modifies data, stdin to stdout, so tame "stdout"

use tame "stdio rpath wpath cpath fattr".  There is some timezone
database stuff here which goes further than most programs, but the
neccessary files are readable using "rpath".

simple tame "stdio rpath"

tame "stdio rpath" before opening the file, tame "stdio" after that

prefer limits.h over sys/limits.h

ok deraadt@

Simple update for pdf, from file 5.x.

Make iwm(4) set the MAC address the same way other wireless drivers do.
ok mpi@

we don't need this temporary buffer since we're going to strdup() it right
away anyways

ok eric@

Another simple update for xwindows, from 5.x.

Log the matched offset (and the new offset) instead of just of the new
offset (as if it was where the match was found).

ssh and ssl key file magic, from file 5.x.

Another simple update from file 5.x.

fix snprintf() error checking in token expansion code, these can't possibly
fail but it's no excuse for getting the checks wrong.

spotted by qualys

fix chdir() call for the sake of correctness

reported by qualys

fix values passed to umask(), they should be octal.
the permissions are even more restrictive than they should.

misc bug reported by qualys

do not need ioctl.h

Obvious tame "stdio rpath wpath cpath" to a program I will never use.

fix reallocarray() constructs to always use temporary variable

Enable ioctl() in the "rw" request, to support FIONREAD/FIONBIO easier
for the stdio/libevent usage case.  Further ioctl commands are narrowly
checked as before.
ok djm guenther semarie

these do not use ioctl.h

struct knote's kn_sdata needs to be the same type as struct kevent's data

ok deraadt@

tame "stdio getpw"
discussed with guenther

data processing stdin to stdout; tame "stdout"

unfortunately tame "stdio" can only happen well after the sequence of:
utmp parsing, tty opening, setresgid to drop privs.  it only protects
a basic io loop.
discussed with doug

adapt to recent sshkey_parse_private_fileblob() API change

The performance hit for -fstack-protector-all is worth it here.
ok gilles

Appears that tame "stdio getpw rpath" will satisfy all code paths.

During getopt(), an optional file may be opened.  After that, tame "stdio"
works.

Time for some commentary!  tame became possible because syslog(3) in
openbsd uses a system call -- sendsyslog(2) -- which does not require
an elaborate dance opening an AF_UNIX socket and using connect() or
send() to deliver to a "/dev/log" unix socket in the filesystem.
sendsyslog(2) was invented to ensure the stack-protector's
__stack_smash_handler() can gaurantee delivery of failure messages to
syslogd(8) in harsh conditions -- such as file descriptor exhaustion
or inside chroot(2).  Now it also works in tame(2)'d proceses, since
sendsyslog(2) is always allowed.  Our syslog(3) needs no elaborate
socket code, therefore piles of software does not have an inate need
for socket(2), connect(2), send(2), nor access to the filesystem.
syslog(3) remains fully compatible otherwise.

How does the stack protector report an error in fully capsicum'd
program?  Or in some other Linux protection mechanism, if someone
protectes a program too far and takes sockets away, how do they see
the stack protector working?

You can have nice things when the underlying rules change.

tame "stdio rpath wpath cpath", because this program reads and creates
files, using stdio.   It does nothing else.

Remove EXTERN from lex.h and put the definitions in lex.c, from Michael
McConville.

Remove EXTERN from table.h and put the definitions in table.c, from
Michael McConville.

Another trivial update, some extra bits for timezone, from file 5.x.

Set the line file descriptor nonblocking and make it blocking again for
xmodem and child processes, makes xmodem work with -d. Reported by Kim
Zeitler via guenther@, tested by Jiri B. ok (and a small change) guenther

Fix efiboot not to use the usual kernel load address.  Load the kernel in
an allocated region and also move the stack to the end of the heap region.
Then move the kernel to the usual place just before run the kernel, after
calling ExitBootService().

report/test Toby Slight, Brian Conway

Very trivial changes from file 5.x: spelling mistakes, %ld->%d and some
style nits.

Get BE and LE UTF-32 correct, from file 5.x.

Update compress magic from the upstream file 5.x magic files.

actually use lbuf in getmailname()
ok millert@ gilles@

change a few examples to be more stylistic. pointed out by rob pierce

Remove the non-standard -l flag that pipes the output through pr(1).
Based on a diff from and OK deraadt@

Add support for !:strength modifier to adjust strength of a test.

Offset into the file can be size_t and add some casts to remove warnings.