check that the rc script including rc.subr is using ksh; rc.subr uses ksh
features and scripts will not work correctly with sh. tweak jca/ok kn/
ok with direction aja

Limit the number of publication points under a given TAL.
Introduce an additional timeout for each publication point.

The limits are large enough to accomodate normal operating levels.

With and OK benno@ job@ tb@ beck@ deraadt@

Issue a parse error for XML files that include a DOCTYPE section.
DTD handling is known for various security problems and so it is best to
not even enter that mine field.
Also the RFC defines the RRDP XML schema using RELAX NG instead of DTD.

With and OK benno@ job@ tb@ beck@ deraadt@

Implementation of HTTP Keep-Alive sessions introduced a regression for
the HTTP redirect limit. The loop counter is reset during the redirect
because a new http request is allocated in http_redirect(). Pass the
current redirect_loop count to http_req_new() thereby the count
increases for every redirect.

With and OK benno@ job@ tb@ beck@ deraadt@

Add IPv4, TCP4/6 and UDP4/6 checksum offloading.

ok jmatthew@

The uhidevsubmatch() routine was imported from NetBSD back in 2002 along with
the reportid locator. The same locator was removed in 2004 making the routine
redundant.

ok gnezdo@ mpi@

no, that breaks architectures

Pull OpenSSL test into the Makefile using it to avoid it on "make obj"

This way a top-down "make obj" does nothing but symlink creation and "make"
or "make regress" still does the eopenssl11 check at the very end.

This is how the rest of the regress suite does it, e.g. sys/netinet/pmtu.

OK tb

Use a couple of local 'struct prt' variables to make MBR_init()
easier to read.

No functional change.

Use plen consistently.

ok patrick@

improve error message when trying to expand a ~user path for a
user that doesn't exist; better matches what the shell does

ok deraadt@

Replace <sys/limits.h> with <limits.h>

ok tb@

sync

install.site.5 not .8

Rename/move site(8) into install.site(5)

These sets/scripts are not commands and there is nothing actually called
"site".  This is configuration, so use section five.  Also rename to what
actually exists.

Discussed with deraadt schwarze jmc
OK deraadt

Fix markup

remove reference to ieee80211_mira.c which has been sent to the Attic

Send MiRA source files to the Attic.
These files were unhooked from the build in April 2021.

Document X509_gmtime_adj(3).
While here, improve some argument names, improve ordering of the
material, and mention the meaning of negative and of large arguments,

add extra support to pass REVISION, EPOCH, FLAVOR_LIST from the ports
infrastructure, so that pkg_create can catch some naming errors.

rc_reload_signal & rc_stop_signal are not rc.conf(8) variables; they're
only for rc.d scripts.

Plug uhidev memory leak during detach.

Thanks to Damien Couderc <openbsd at petrocore dot eu> for testing and ok
gnezdo@

missing full stop;

whitespace tweak, no functional change

whitespace tweaks, no functional change.

veb rules are an smr list, so traversal should be in an smr crit section

reported by stsp@
an earlier diff was tested by and ok stsp@
ok jmatthew@

sync

bump version, ok claudio@

Allow -current libsndio to connect to old sndiod servers

Recent sndio device naming change is missing the proper compatibility
bits for this case. Found and fixed by bluhm@ and tweaks from me.

ok bluhm

net.inet6.icmp6.nd6_debug doesn't need to warn about RDNSS/DNSSL options
ok phessler@

Fall back to label if function is missing

The "label" property is obsolete and "function" should be used,
but devices like the Raspberry Pi 4b still use it.

Detect LEDs on such machines:

-gpioleds0 at mainbus0: no LEDs
+gpioleds0 at mainbus0: "led0", "led1"

OK patrick

Simplify print logic

OK patrick

Enable igc(4).

ok deraadt@

Constify struct cfattach, not struct cfdriver.

Fixes panic seen on the Pinebook Pro.

In X509_STORE_CTX, rename the X509_STORE store rather than ctx.

ok gnezdo jsing

In X509_STORE_CTX rename the misnamed last_untrusted to num_untrusted

ok jsing

increase ramdisk space for another driver

new manual pages
ASN1_item_digest(3), ASN1_item_sign(3), and ASN1_item_verify(3)

Fix handling of interrupts shared between multiple dwiic(4) devices.

Interrupt sharing did not work correctly when two dwiic(4) devices
share an interrupt line. We ended up with an interrupt storm.
One of the two interrupt handlers would see interrupt status bits set
to zero but claim the interrupt regardless. The second handler would
never get to run, and the interrupt condition on the second device was
not cleared as a result. Fix this by returning zero from dwiic_intr()
if the device's interrupt status bits read back as zero.

The storm occurred as soon as X11 was started. xenodm(1) never managed to
display its login prompt. Observed on the Thinkpad Helix2 which had been
unable to start X since dwiic(4) started to attach on this machine in 2018.
(I already saw the problem back then but never dug into it, and temporarily
lost access to helix2 hardware for a long time.)

With help from jcs@ who provided debugging hints already back in 2018.
ok kettenis@

Nuke unused file.

Fix tpyo of ecma. Reported by Matthew (chohag at jtan dot com)

Speed up _rc_wait: only sleep 1/2 second between rc_check tries and make sure
we have at least 1s for SIGTERM to do its job.

Use built-in SECONDS instead of hand roller timer.

with a tweak from kn@
ok sthen@

nm: add some .text.* support for symbols

.text.* are generated when using -ffunction-sections.

makes nm(1) to correctly identify the function symbols as N_TEXT.

found while debugging librsvg build error, where some symbols where not found by libtool(1) (which is using nm(1)).

ok gkoehler@

Make `unp_msgcount' and `unp_file' atomic. Introduce `unp_rights_mtx'
mutex(9) to protect `unp_rights'.

This removes global rwlock(9) from unp_internalize() and unp_externalize()
normal paths and leaves it in the unp_externalize() error path only. Also
we don't need to simultaneously hold fdplock() and `unp_lock' within
unp_internalize().

The `unp_rights' can't be atomic. Otherwise the thread which exceeding the
limit will break all other not-exceeding threads until it decrements
`unp_rights'. That why the mutex(9) used for protection.

It's safe to call fptounp() without `unp_lock' held. We always got this
file descriptor by fd_getfile(9) so we always have the extra reference
and this descriptor can't be closed by concurrent thread. Some sockets
could be destroyed through 'PRU_ABORT' path but they don't have
associated file descriptor and they are not accessible in the
unp_internalize() path.

The `unp_file' access without `unp_lock' held is also safe. Each socket
could have the only associated file descriptor and each file descriptor
could have the only associated socket. We only assign `unp_file' in the
unp_internalize() path where we got the socket by fd_getfile(9). This
descriptor has the extra reference and couldn't be closed concurrently.
We could override `unp_file' but with the same address because the
associated file descriptor can't be changed so the address will be also
the same. While unp_gc() concurrently runs the dereference of
non-NULL `unp_file' is always safe.

Discussed with kettenis@ and mpi@.

ok mpi@

Improve formatting.  The line breaks in the lists of methods were very ugly.
While here, put descriptions right after the prototypes they describe.
No content change.

Stop URL encoding the tilde character

RFC 1738 Uniform Resource Locators (URL) lists tilde as unsafe character.
RFC 2396 Uniform Resource Identifiers (URI): Generic Syntax updates it to

The tilde "~" character was added to those in the "unreserved" set,
since it is extensively used on the Internet in spite of the
difficulty to transcribe it with some keyboards.

In theory, this shouldn't make a difference, but some servers do not decode
"%7e" and thus erroneously serve a 404.

RFC 2396 2.4.2. When to Escape and Unescape says:

In some cases, data that could be represented by an unreserved
character may appear escaped; for example, some of the unreserved
"mark" characters are automatically escaped by some systems.  If the
given URI scheme defines a canonicalization algorithm, then
unreserved characters may be unescaped according to that algorithm.
For example, "%7e" is sometimes used instead of "~" in an http URL
path, but the two are equivalent for an http URL.

Update ftp(1) to RFC 2396 by no longer treating "~" as unsafe character.
This is effectively a one-character diff;  update comments accordingly as
well as the order of characters to ease code-to-standard comparison.

This matches curl(1) and wget(1) behaviour wrt. encoding of "~".

OK sthen

Always run _rc_rm_runfile when process is sent a SIGKILL or rc_post fails (at
this point the process has been terminated).

Start cleaning up X509_STORE_get1_issuer()

Get rid of the last X509_OBJECT_free_contents() call by moving the object
from the stack to the heap. I deliberately kept the obj variable to keep
obj and pobj separate.  Rename the out parameter from issuer to out_issuer
to ensure that we only assign it when we have acquired a reference that we
can return. Add a new X509 *issuer. In the first part of the function,
acquire an extra reference before check_issuer/check_time.

In the second part of the function, acquire a reference inside the lock to
avoid a race.  Deal with ret only in one place.

ok jsing

In X509_STORE_get1_issuer() do not call the verify callback from
x509_check_cert_time(). Matches a change made in OpenSSL 70dd3c65.

ok jsing

Drop uneeded sleep.

Allow passing a different signal than SIGTERM in the default rc_stop()
function. This will allow to simplify some rc.d script that cook there own
function to gracefully stop a process (e.g. web servers). There are other use
cases as well.
And do the same for rc_reload because it's cheap and can also simplify a
handful of rc.d scripts.

Behave like shutdown and if the process is still not down after daemon_timeout
(configurable; default to 30s), then send a SIGKILL.

While here, factorise pkill invocations into a _rc_sendsig() function that can
potentially be used by rc.d scripts instead of cooking pkill lines; this will
benefit from the configured routing table etc.

tested & ok robert@

Plug a couple of minor mem leaks. From beldmit at gmail.com via github
PR#283, ok markus@

Fix indent.

Refactor X509_STORE_get1_certs()

Split the retrieval of the certs in the store's cache that match the
desired subject into a separate function. This greatly simplifies
locking, error handling and the flow of the function.

with/ok jsing

Make kqread event filter MP-safe

Use the monitored kqueue's kq_lock to serialize kqueue and knote access.

Typically, the "object lock" would cover also the klist, but that is not
possible with kqueues. knote_activate() needs kq_lock of the monitoring
kqueue, which would create lock order troubles if kq_lock was held when
calling KNOTE(&kq->kq_sel.si_note). Avoid this by using a separate klist
lock for kqueues.

The new klist lock is system-wide. Each kqueue instance could have
a dedicated klist lock. However, the efficacy of dedicated versus
system-wide lock is somewhat limited because the current implementation
activates kqueue knotes through a single thread.

OK mpi@

Allocate socket and initialize so_lock in one place

This makes witness(4) use a single lock type for tracking so_lock.
Previously, so_lock was covered by two distinct lock types because there
were separate rw_init() initializers in socreate() and sonewconn().

OK kettenis@

Add missing newline to fix markup

Add "install.site" and "upgrade.site" as additional manual names

This makes "man upgrade.site" work, which is quite convenient for what is
sort of a configuration/script file -- similar to boot.conf(8) which lives
in boot.8 as additional Nm.

Add site(8), OpenBSD installation and upgrade customization

This is practically https://www.openbsd.org/faq/faq4.html#site
"Customizing the Install Process"++ with practical examples and references
to/from relevant manuals.

Prodding/first diff from Aaron Poffenberger <akp AT hypernote DOT com>
"I didn't know about it and now I'm using it on all my systems." florian
Feedback semarie afresh1
OK afresh1

Clarify iface option.

typo: a static objects -> a static object

First pass of streamlining X509_STORE_get1_{certs,crls}()

These functions are quite messy. On top of the tricky logic querying the
cache, then refreshing the cache (unconditionally or not), then querying
again, then extracting a list of certs/crls and bumping their refcounts,
things are intermixed with locking and needlessly early allocations that
then need to be cleaned up again.

Use X509_STORE_CTX_get_obj_by_subject() to avoid using an object on the
stack and defer allocation of the returned stack of certs to later.
Flatten the logic a bit and prepare for further refactoring.

ok jsing

Trade an abort() neutered by a comment for a blank line elsewhere.

Correct auto table entry for /var: it's 4G plus 2x physmem

Perform stricter checking on the version string (which RFC 7230 says
must be "HTTP" "/" DIGIT "." DIGIT), and answer 505 version not
supported when the number is outside of what we support, and 400 bad
request when the version format is wrong.
from Ross L Richardson, thanks!
ok claudio@

Make sure that the configuration file is always read, even when
running with the -M option or with a MANPATH environment variable
that has neither a leading or trailing ":" nor any "::".  If -M or
MANPATH override the configuration file rather than adding to it,
just ignore any "manpath" directives while processing the configuration
file.

This fixes a bug reported by Jan Stary <hans at stare dot cz>
on misc@.

Clean up X509_STORE_add_{cert,crl}().

Add a X509_STORE_add_object() function that adds an X509 object to the
store and takes care of locking and cleaning up. This way we can set up
an X509_OBJECT for both the cert and CRL case and hand over to the new
function.

There is one intentional change of behavior: if there is an attempt to
add an object which is already present in the store, succeed instead of
throwing an error. This makes sense and is also the OpenSSL behavior.

As pointed out by jsing, this is a partial fix for the long standing
GH issue #100 on libtls where connections would fail if the store
contains duplicate certificates.

Also: remove the internal X509_OBJECT_dec_ref_count(), which is no
longer used.

ok jsing

Unify variable names in X509_STORE_{free,up_ref,add_lookup}().
simplify the flow of X509_add_lookup().

ok jsing

Rename the ret variable in X509_OBJECT_new() to obj..

ok jsing

Garbage collect the unused skip member of X509_LOOKUP and
the unused cache member of X509_STORE.

ok jsing

Use calloc() to remove the need of silly zeroing of most members.
Check for allocation failures and if one happens push an error on
the stack and clean up using X509_STORE_free().

ok jsing

Streamline and shorten x509_object_cmp() a bit.

ok jsing

Drop a bunch of unnecesary parentheses and unify the order in which
callbacks are called.

ok jsing

Cleanup X509_LOOKUP_new()

Switch from malloc() to calloc() and drop a bunch of initializations
to 0.  Call the returned object lu instead of the generic ret.

ok jsing

Newer i.MX device trees store the skew information in the PHY's node, which
we can access through the phy-handle.  If there's no reference, keep doing
what we have been doing so far.

ok kettenis@

Show the attribute name like in the other non conforming attribute errors
for snapshost and delta files.
OK deraadt@

Zap unused variables

OK martijn

Constify struct cfattach.

Constify struct cfattach.

Simplify how IP addresses and AS numbers are passed between processes.
Since they are stored in an array just blast the full array in and out
of the io buffers at once instead of iterating element by element.
It also allows to remove a lot of extra code.
OK benno@ job@

Fix bootorder string for disk

ok mlarkin@

Newer i.MX device trees retriee the USB phy using the more generic property
name "phys". To handle those, make sure that we look it up and in case it's
not there fall back to "fsl,usbphy".

ok kettenis@

Add getmonotime() to test-http.c so that the test compiles again.
Noticed as ususal by anton@

Garbage collect xobj->data.{ptr,pkey}

Both these are essentially unused. Remove the last use of data.ptr
by initializing and copying the X509_OBJECT using memset() and
struct assignment in X509_STORE_CTX_get_subject_by_name() and add
a missing error check for X509_OBJECT_up_ref_count() while there.

ok beck

move cert_filter_principals() to earlier in the file for reuse;
no code change

Cache sha512 hash and parsed not_before and not_after with X509 cert.

Replace sha1 hash use with sha512 for certificate comparisons internal
to the library. use the cached sha512 for the validator's verification
cache.

Reduces our recomputation of hashes, and heavy use of time1 time
conversion functions noticed bu claudio@ in rpki client.

ok jsing@ tb@

Cleanup some old XXX needed comments. cert_parse() returns a referenced
x509 object from the call and that reference needs to be freed. There is
a second inside of struct cert but that reference is still held.
So the  X509_free() calls are indeed needed and by moving them up a bit
the code gets a bit simpler too.
With and OK tb@

On errors related to the pipes to the childs don't error out right away.
Instead exit the main event loop and use waitpid to know why a child
went away. This should make it hopefully more clear when shit hits the fan.
OK tb@ deraadt@

Fix broken "boot device cdrom" feature after a fix in seabios.

seabios fixes wrong LUN handling upstream.  Thus, we have to adapt the LUN
of our cdrom bootorder string, too.

ok brynet@, dv@

Instead of creating a struct repo for each unique caRepository URI
use the rsync URI (a base version of caRepository) and the notify URI
to identify repositories. If both rsync URI and notify URI are the same
then the repo is the same. The notify URI is optional and can be NULL
so the lookup needs to be a bit careful.
This reduces the number of struct repos from 26k to around 50.
OK tb@

The authenticator is removed elsewhere.

ok patrick@

Move and promote getmonotime() to an internal API function.

Use the same spacing for all defines.

Fix mandoc HTML rendering for command aliases

Replace hand-rolled parentheses with the proper mdoc(7) macro,
otherwise the closing ")" ends up inside the command description.

Reported by Josh Rickmar, thanks!

revert rev 1.30 of ttm_bo_util.c

Laurence Tratt reported firefox would hard lock a machine
with polaris12 with the ttm change from linux 5.10.77.
robert@ also hit the same problem.

Instead of passing tal descriptions around just pass a tal id and
use a small lookup table to print the description in the output path.
OK tb@

Tweaks (improve previous commit)

from jmc

Clarify "aes" will accept keys which length is in 128:256 bits.  Also
correct "cast" in ipsec.conf.5 to "cast128", add missing
"chacha20-poly1305", and sync iked.conf.5 and ipsec.conf.5 some
places.

ok jmc sthen

Many downstreams expect ssh to compile as non-C99...