Simplify initialization of asn1_cb; use correct spelling of NULL.

typo in comment

Replace any() with strchr(3).

OK millert@ and miko@

update the installed path for sendmail: from matt schwartz
trim the comment - it is just repeating info

ok benno

clean up the amount of printf in usage(): from sascha paunovic
move the descriptive text in usage() to the man page: from robert klein

Use the strict pragma for better warnings.

When choosing a prime from the moduli file, avoid re-using the
linenum variable for something that is not a line number to avoid
the confusion that resulted in the bug in rev. 1.64.  This also
lets us pass the actual linenum to parse_prime() so the error
messages include the correct line number.  OK markus@ some time ago.

Move tally mark printing out of the main benchmark loop; ok tb@

Simplify VFS initialization.

Because loadable kernel modules are no longer, there is no need to
register or unregister filesystem implementations at runtime. Remove
vfs_register() and vfs_unregister(), and make vfsinit() call vfs_init
routines directly. Replace the linked list of vfsconf structs with
the vfsconflist[] array.

OK mpi@ bluhm@

unveil(2) "path" (/dev/audioctl0 by default, or changed via args) with rw
access and disable further calls to unveil(2) with unveil(NULL, NULL).

OK ratchov@

Do not acknowledge a received ack-only tcp packet that we would drop due to
PAWS. Otherwise we could trigger a retransmit of the opposite party with another
wrong timestamp and produce loop. I have seen this with a buggy server which
messed up tcp timestamps.
Suggested by Prof. Jacobson for FreeBSD.

ok krw, bluhm, henning, mpi

Rename struct as_set to struct irr_as_set to not conflict with bgpd.
OK $CC

avoid calling make_full for determining special file status, since we
can rely on is_info_name + cwd == '.'

simplify code path for backup relay and remove useless flag

ok gilles@

remove binary doc files that aren't really useful to have in-tree

merge conflicts

import unbound 1.7.3, testing from benno@ and Brad.

fix memory leaks in ieee80211_add_ess()
ok stsp@ phessler@

Fix length checks in the receive path of iwm(4).
Prompted by a panic reported by Xavier Guerin on bugs@
ok tb@

The kernel does not set the address family for the socket addresses
that are used for netmask, broadcast, and destination address.  In
pfctl(8) take the family of the interface address and write it to
the other addresses.  This fixes some bugs when copy_satopfaddr()
copied only part of IPv6 addresses.  Print a warning if the address
family is unknown.
OK kn@

add missing default case to switch

If a prefix without length was specifed in the config file, then
128 was used.  This does not make much sense for rad(8).  Change
the default prefixlen to 64.
OK florian@

EVP_aead_chacha20_poly1305() can't actually fail.

Unbreak tree with 'char *' -> 'const char *' for
userid().

Add support for setting NVRAM variables.

Add missing includes for setpassent() and setgroupent().

Adjust sparc64 bits after libunwind 6.0.0 update.

ok visa@

Various improvements to generate logical domain configurations that are
accepted by more modern firmwares.  In particular on SPARC T3 machines.

Tested on a t1k and t5120.

Rename *AesCcmOrGcm* into the slightly less ugly *AesAead*.

Move vfsconf lookup code into dedicated functions.

OK bluhm@

With prefixlen 128, mask_prefix() in rad(8) caused a stack overflow
in the config parser.  Add an out of bounds check for the in6_addr.
OK florian@

Use uid_from_user(3) and gid_from_group(3) in utilities that
do repeated lookups.  OK tb@

Use user_from_uid(3) and group_from_gid(3) in a few more places
that do repeated lookups.  OK tb@

Use user_from_uid(3) and group_from_gid(3) to avoid extra passwd
and group file lookups.  This required a bit of reordering of the
file mode handling bits to deal with the const char *.  OK tb@

Use user_from_uid(3), group_from_gid(3), uid_from_user(3) and
gid_from_group(3) to avoid repeatedly looking up the same user/group.
Also keep the passwd and group files open to avoid opening and
closing them all the time. OK tb@

Replace the local getname() and getuserid() functions with calls
to user_from_uid(3) and uid_from_user(3).  This requires sprinkling
const in a few places to match the return value of user_from_uid(3).
OK tb@

another typo. time to sleep

typos

add a brief comment on the acceptable AES CCM and AES GCM cases

Also exercise EVP_aead_aes_128_gcm() and EVP_aead_aes_256_gcm().

rename checkChaCha20Poly1305{Open,Seal}() into checkAead{Open,Seal}().

Merge AES CCM, AES GCM and ChaCha20 data structures into
single AEAD types. Will be used in upcoming commits.

Add missing conversion specifier

Modify regress appstest.sh for interoperability testing with OpenSSL 1.1.x

- add sleep before s_client instead of removing -pause option
- change check words for s_client output messages
- replace CAfile to CApath for s_time
- remove -prexit from s_client
- confirm openssl command path is executable

Add support for version 2.0 of the mdstore protocol.

strsave() is hard-fail strdup() so simplify and rename to xstrdup().
with help from martijn@.

ok millert@ martijn@

Fix fortune underlines and use the right number of underscores in Notes.

ok sthen@

Initialize the TDB to NULL in ipsec_common_input() and
ipsec_{input,output}_cb() so that in the case of sending or receiving a bogus
mbuf (NULL) we don't end up trying to dereference the TDB, while being an
uninitialized pointer, to increase the drops.

Coverity IDs 1473312, 1473313 and 1473317.

OK mpi@ visa@

Do not leak a file descriptor when opening nohup.out.  Make sure
that stdout and stderr are not closed.
from Nan Xiao

Unify and bump some of the NMBCLUSTERS defines. Some archs had it set to
4MB which is far too low especially when the platform is able to run MP.
New limits are, amd64 = 256M; arm64, mips64, sparc64 = 64M; alpha, arm,
hppa, i386, powerpc = 32M; m88k, sh = 8M
Still rather conservative numbers but much better than before. At least
some hangs of arm64 build boxes was caused by this.
OK kettenis@, visa@

Add interoperability test mode for regress appstest.sh

- test s_server and s_client between different version by option -i
- indicate other version by defining OTHER_OPENSSL environment variable
- fix "SSL/TLS" to "TLS/SSL", since TLS is correct as technical term
- s/SKIPPNG/SKIPPING/

add gapdummy.c to the "clean" target like other generated files
ok visa@ jsg@ phessler@

Pass -L/usr/lib to the linker in preparation for switching to lld, which
does not have a default search path.  ok kettenis@ jsg@

Pass CC/CFLAGS/LDFLAGS to the configure script.  ok millert@

In general it is a bad idea to use one random secret for two things.
The inet PCB uses one hash with local and foreign addresses, and
one with local port numbers.  Give both hashes separate keys.  Also
document the struct fields.
OK visa@

No longer needed since the ping/ping6 unification.
Pointed out by Clemens Goessnitzer (clemens AT goessnitzer.info), thanks!

Adjust and extend unit test for as_set after last bgpd commit
OK benno@

Adjust the dummy as_set_match function to new prototype after last bgpd commit
OK benno@

Extend as_set to allow for different sized objects to be added. The only
requirement is that the first value of the struct is a 32bit ID which is
used in the bsearch. This allows to add more than just as numbers to a
set. as_set_match now returns a pointer to this data or NULL if not found.
OK benno@

ansify auich_trigger_input() and remove #ifdef around DPRINTF(); ok ratchov@

mark some suspend/resume functions always returning zero as void; ok ratchov@

unbreak userland uses of in_pcb.h by including sys/refcnt.h
ok visa@

second try, deals properly with missing and private-only keys:

Use consistent format in debug log for keys readied, offered and
received during public key authentication.

This makes it a little easier to see what is going on, as each message
now contains (where available) the key filename, its type and fingerprint,
and whether the key is hosted in an agent or a token.

revert following; deals badly with agent keys

revision 1.285
date: 2018/09/14 04:17:12;  author: djm;  state: Exp;  lines: +47 -26;  commitid: lflGFcNb2X2HebaK;
Use consistent format in debug log for keys readied, offered and
received during public key authentication.

This makes it a little easier to see what is going on, as each message
now contains the key filename, its type and fingerprint, and whether
the key is hosted in an agent or a token.

garbage-collect moribund ssh_new_private() API.

Use consistent format in debug log for keys readied, offered and
received during public key authentication.

This makes it a little easier to see what is going on, as each message
now contains the key filename, its type and fingerprint, and whether
the key is hosted in an agent or a token.

Add reference counting for inet pcb, this will be needed when we
start locking the socket.  An inp can be referenced by the PCB queue
and hashes, by a pf mbuf header, or by a pf state key.
OK visa@

missing comma in previous;

Unbreak ramdisks by catching up with the change to use the new libc
uid_from_user() and gid_from_group() instead of the pax-specific
functions in cache.c.

oops, missed the libc.so.XX.a relink file

Fix warnings caused by user_from_uid() and group_from_gid() now
returning const char *.

sync

Use the new libc uid_from_user() and gid_from_group() instead of
the pax-specific functions in cache.c.  OK guenther@

Add uid_from_user() and gid_from_group(), derived from pax's cache.c.
It replaces the existing pwcache.c functions user_from_uid(3) and
group_from_gid(3) with the pax equivalents.  Adapted from NetBSD
(mycroft) changes from our own pax's cache.c.  OK guenther@

Include the size of IPCOMP header when checking for compression.

Problem found and anaylyzed by Romain Gabet, ok markus@

Noticed that the equal case is a bit wrong while adjusting the regress tests.
This is better. There is no need to check for the prefix length p->len.

Adjust after introduction of maxlen

Similar to as-set factor out the code to create a prefix-set into a function.
Makes all a bit nicer and as an added bonus fixes a memory leak.
OK phessler@

ROA entires are allowing to define a prefix with a maxlen.
In the end this is just another way to specify a prefixlen range
and kind of an or-longer case with an upper limit.
So these two prefix statements are equivalent:
       prefix 10.0.0.0/8 prefixlen 8 - 24
       prefix 10.0.0.0/8 maxlen 24
While there also make 'prefixlen = 17' a OP_RANGE and because of that also
usable in prefix-set tables. Finally adjust printconf.c for those to
changes to print them nicely.
OK phessler@

In drm_wait_one_vblank() add a delay when we're "cold".  Interrupts aren't
enabled at that point, so we cannot wait for one to happen.  But having no
delay at all breaks detection of some output connectors.

Thanks to Philippe Meunier for tracking down the issue.

ok millert@, jsg@

- There's no need to set R92C_HSSI_PARAM2_READ_EDGE for R92C_HSSI_PARAM2(0)
  for rtl8188eu
- Fix typo in structure r92c_rom in comment: s/0x8192/0x8129/
- Add id member to struct r88e_rom which identifies eeprom
- Replace magic numbers with something more readable
- Cosmetic tweaking

ok stsp@

missed a bit of openssl-1.0.x API in this unittest

When unveil(2) was introduced one break from SYS_access case was removed
here, this adds it back. Noticed by Coverity 1471854.

feedback from semarie@ OK deraadt@

Avoid unneeded variable in gen_dynnode()

OK bluhm

use only openssl-1.1.x API here too

vmd: set irq and vm_id in virtio dev structs on restore

This unbreaks vmctl receive.

ok ccardenas@

clarify that config_activate_children() is called unconditionally in *activate().

ok ratchov@

drm/drivers: add support for using the arch wc mapping API.

From Dave Airlie
c59fdc4cfbda52ce081c59540762185d765c3369 in linux 4.4.y/4.4.155
7cf321d118a825c1541b43ca45294126fd474efa in mainline linux

Add initial set of unveil's to vmctl.

Was in snaps for a while.

Ok mlarkin@ and reyk@

drm/i915/userptr: reject zero user_size

From Matthew Auld
182e963432d867384f2e55487ec60ca7a9f99cd1 in linux 4.4.y/4.4.155
c11c7bfd213495784b22ef82a69b6489f8d0092f in mainline linux

avoid sequence-point warning with gcc 4.9
ok kettenis@

hold our collective noses and use the openssl-1.1.x API in OpenSSH;
feedback and ok tb@ jsing@ markus@

sync with mozilla-release (one removal, TURKTRUST, more details at
https://bugzilla.mozilla.org/show_bug.cgi?id=1439127)

ok danj guenther millert

tweak previous;

Make this work on arm64.

Make pmap_protect(9) actually remove exec permission if the new permissions
include PROT_READ but not PROT_EXEC.

ok patrick@

Stop exporting TDB counters to userland, this change introduced a
regression with iked(8).

Reported by Mark Patruck.

Fix obvious cut&pasto in comment (ifa_msghdr -> if_announcemsghdr).

ok claudio@

Whitespace fixes

sync for libcrypto/libssl/libtls minor bumps; from tb@