Convert ssl_next_proto_validate to CBS.

ok miod@, tweak + ok jsing@

Really make daemon_class read-only; it's set to "daemon" of a matching
login class.

Convert tls1_check_curve to CBS.

ok miod@ jsing@

KNF whitespace.

ok miod@ jsing@

Use explicit int in bs_cbs.c.

ok miod@ jsing@

Use explicit int in bs_ber.c.

ok miod@ jsing@

Add tests for CBS_offset() and CBS_write_bytes().

"no problem" miod@, tweak + ok jsing@

Add CBS_write_bytes() to copy the remaining CBS bytes to the caller.

This is a common operation when dealing with CBS.

ok miod@ jsing@

Add a new function CBS_offset() to report the current offset in the data.

"why not" miod@, sure jsing@

Cleanup SSL_OP_* compat flags in ssl.h.

These were recently removed and are now set to 0:

SSL_OP_NETSCAPE_CA_DN_BUG
SSL_OP_NETSCAPE_DEMO_CIPHER_CHANGE_BUG
SSL_OP_SSLEAY_080_CLIENT_DH_BUG

The code associated with these was deleted in the past at some point
and these are also now 0:

SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION
SSL_OP_EPHEMERAL_RSA
SSL_OP_MICROSOFT_SESS_ID_BUG
SSL_OP_NETSCAPE_CHALLENGE_BUG
SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG

The SSL_OP_ALL macro has been updated to reflect the removals.

ok miod@ jsing@

Move mbuf_list and mbuf_queue documentation in their own manual.

ok jmc@, deraadt@, dlg@

stray char jumped in

delete completely bogus (floating?  was there an old variable decl
in the past?) comment about FILEC
noted by Peter Brottveit Bock

remove -DFILEC; code does not compile for the -UFILEC case, and anyways,
who wants csh without FILEC??
from Peter Brottveit Bock, but redone using unifdef

Set FUNC symbol sizes of auto-generated and hand-written syscall wrappers.

Original diff from guenther@, adjusted by me.

OK guenther@

Typos in comments; Ville Valkonen

Do not provide extra _fdata and __data_start symbols; nothing in the non-mips32
world uses them.

alloc_contiguous_pages() is supposed to round the allocation size to a page
boundary, not to an u area boundary. Oops.

Clear the PIC `write request' memory at initialization time. There is
apparently a risk of spurious parity errors if we don't.

Sync with recent changes.

Store a unique ID, an interface index, rather than a pointer to the
receiving interface in the packet header of every mbuf.

The interface pointer should now be retrieved when necessary with
if_get().  If a NULL pointer is returned by if_get(), the interface
has probably been destroy/removed and the mbuf should be freed.

Such mechanism will simplify garbage collection of mbufs and limit
problems with dangling ifp pointers.

Tested by jmatthew@ and krw@, discussed with many.

ok mikeb@, bluhm@, dlg@

Be more strict about BER and DER terminology.

bs_ber.c does not convert BER to DER.  It's a hack to convert a DER-like
encoding with one violation (indefinite form) to strict DER.  Rename
the functions to reflect this.

ok miod@ jsing@

Simplify cbs_get_any_asn1_element_internal based on comments from jsing@

Add a uslcom id for the Netgear M7100 console from Andrew Daugherity.
Add some additional uslcom ids found in the Linux driver while here.

regen

Add a uslcom id for the Netgear M7100 console from Andrew Daugherity.
Add some additional uslcom ids found in the Linux driver while here.

Add support for OPTION_DISCARD.

ok jsing@

put -F before -f in the options list;

Rework how fstat and ktrace pattern are specified in the test
arguments.  Add tests to check wether syslogd privsep works.  This
is done for debug and foreground and daemon mode.  Fstat is checked
for chroot and sockets.  Ktrace dump is grepped for setting uid and
gid.

Implement a -F switch, that tells syslogd to stay in foreground.
OK benno@; input millert@; no objections deraadt@

If AuthorizedPrincipalsCommand is specified, however
AuthorizedPrincipalsFile is not (or is set to "none"), authentication will
potentially fail due to key_cert_check_authority() failing to locate a
principal that matches the username, even though an authorized principal
has already been matched in the output of the subprocess. Fix this by using
the same logic to determine if pw->pw_name should be passed, as is used to
determine if a authorized principal must be matched earlier on.

ok djm@

Make the arguments to match_principals_command() similar to
match_principals_file(), by changing the last argument a
struct sshkey_cert * and dereferencing key->cert in the caller.

No functional change.

ok djm@

Don't error out when an existing typedef is redefined with the same definition;
this is allowed in C11 and 3rd-party software is relying upon this to be
accepted by the compiler.
Nevertheless warn about this if -pedantic.
ok ajacoutot@ deraadt@ millert@

Bring back r1.78 and r1.79, now that ajactouto@'s regression has
been found: it was a hardware failure.

When a bus is explored, do not probe the ports which status hasn't
changed.  This saves a lot of I/O when attaching/detaching devices
and might help with some timing related problems.

Fix a double free in the destroy path triggered when a second process,
in my case dhclient(8), races with ifconfig(8) to free the descriptors
of the joined multicast groups.

While here reduce the difference with carp(4).

ok dms@

Set the length of isochronous transfers as the sum of the frames lengths.

This reduces differences between non-isoch and isoch transfers submissions,
makes the generic DMA buffer overrun check work with isoch transfers and
will allow some code simplifications in HC drivers.

Since short-transfers were never checked for isoch transfers, we now need to
pass the USBD_SHORT_XFER_OK flag to not change this behavior.  This might be
revisited later.

ok ratchov@

Update to tzdata2015e from ftp.iana.org

get_val() already frees the buffer passed to it so we don't need to
do it in the caller.

Use proper argument type for crp_callback functions; no functional change.

No need for an extra local variable;  no functional change.

Use proper argument type for crp_callback functions; no functional change.

Add window_activity format, from Thomas Adam based on a diff originally
from propos6 at gmail dot com.

hook up chmod

oops

First stab at regression test for chmod (and chflags, chgrp and chown
which are the same binary). This is supposed to exercise all syscalls
paths through those tools and not a comprehensive regression test.

document pfctl -ss -R <rule>, ok mikeb@

Remove comments referring to Linux iwlwifi source filenames from iwm(4).
Linux is a moving target so these comments provide little value.
Discussed with kettenis and deraadt.

Make the wifi LED work with iwm(4).

The bad news: Many laptops sold with iwm(4) cards don't have a wifi LED :-(
The good news: Laptops with LEDs and no wifi device white-list in BIOS
actually exist! Tested in one such machine.

ok kettenis@ deraadt@

Make CBS_get_any_asn1_element() more compliant with DER encoding.

CBS_get_any_asn1_element violates DER encoding by allowing indefinite
form.  All callers except bs_ber.c expect DER encoding.  The callers
must check to see if it was indefinite or not.

Rather than exposing all callers to this behavior,
cbs_get_any_asn1_element_internal() allows specifying whether you want to
allow the normally forbidden indefinite form.  This is used by
CBS_get_any_asn1_element() for strict DER encoding and by a new static
function in bs_ber.c for the relaxed version.

While I was here, I added comments to differentiate between ASN.1
restrictions and CBS limitations.

ok miod@

turn SSH1 back on to match src/usr.bin/ssh being tested

Remove ancient SSL_OP_NETSCAPE_CA_DN_BUG from SSLeay days.

This commit matches the OpenSSL removal in commit
3c33c6f6b10864355553961e638514a6d1bb00f6.

ok deraadt@

Remove ancient compat hack SSL_OP_NETSCAPE_DEMO_CIPHER_CHANGE_BUG.

This was imported into OpenSSL from SSLeay.  It was recently deleted
in OpenSSL commit 7a4dadc3a6a487db92619622b820eb4f7be512c9

Remove 1997's compat hack SSL_OP_SSLEAY_080_CLIENT_DH_BUG.

This is a hack for an old version of SSLeay which predates OpenSSL.

Update SSL_OP_* to remove ancient hacks that are no longer enabled.

return failure on RSA signature error; reported by Albert S

fix regress fallout due to CFLAGS vs CXXFLAGS

sync

Bring a few routines from libkern in order to avoid linking against libgcc.

Build required bits from libkern rather than importing them from libgcc.

Build __moddi3, __muldi3 and __qdivrem from libkern, and built no-pie, instead
of getting them from libgcc.a, built pie.
This repairs boot blocks operation on sparc, as found the hard way by sebastia@

add some initial vexpress man pages

Fix 1.26; kdoprnt() should not attempt to invoke va_end() at all, it's the
caller's responsibility to do so.

Add a format for client PID (client_pid) and server PID (pid). Diff for
client_pid from Thomas Adam.

Implement IQ calibration support for rtwn(4). Lots of black magic involved.

correct the uart irq numbers
ok bmercer@

add a driver for the ARM PrimeCell PL031 RTC

Parse _CST objects and use the C-states they describe when they're sane.

testing by many, particularly krw@ and jcs@
tweaks by kettenis@
ok deraadt@

Busy-wait a short while after sending a command to rtwn(4) firmware.
Fixes selection of initial TX rate. We're not stuck at 1Mbit/s anymore.

Convert xfree to free. From Fritjof Bornebusch. ok deraadt

add miniroot to MDEXT

in glob() initialize the glob_t before the first failure check.
from j@pureftpd.org
ok millert stsp

Add more encodings of options for the armv7 barrier instructions and
allow non "sy"/0xf options for dmb.  This omits the *ld options
available in armv8 running in a32 mode.  Similiar changes made in
freebsd.

ok miod@

Split up the logic in CBB_flush to separately handle the lengths.

Also, add comments about assuming short-form.

ok miod@, tweak + ok jsing@

Explain the ASN.1 restriction that requires extra logic for encoding.

ok miod@ jsing@

When initial capacity is 0, always use NULL buffer.

malloc(0) is implementation defined and there's no reason to introduce
that ambiguity here.  Added a few cosmetic changes in sizeof and free.

ok miod@ jsing@

Add comments about how the CBS constants are constructed.

Also, introduce a few more #defines to make it obvious.

ok miod@ jsing@

Reject long-form tags in CBS_peek_asn1_tag.

Currently, CBS only handles short-form tags.

ok miod@ jsing@

Fix bad indenting in LibreSSL.

jsg@ noticed that some of the lines in libssl and libcrypto are not
indented properly.  At a quick glance, it looks like it has a different
control flow than it really does.  I checked the history in our tree and
in OpenSSL to make sure these were simple mistakes.

ok miod@ jsing@

When investigating an uninitialised variable in the armv7 resettodr()
miod pointed out that time_second should be compared to 1 not 0 in the
md resettodr() functions as it is initialised to 1.

ok miod@ deraadt@

Remove unneeded sys/sysctl.h on linux.

This only provides the sysctl wrapper in glibc, which we do not use and is not available in other libc implementations for Linux. Thanks to ncopa from github.

Add a missing .An macro.
Found by Enrico <Camarda at amnz dot org>
during the BSDCan Doc Sprint.

Close the lock pipe before dupping /dev/null to stdio.
This works even if the file descriptor is 0 or 1 or 2.
input and OK millert@

Allow rule ID filter to be specified for show states output

Tweak pfctl to respect the rule ID parameter (-R) specified
along with the show states (-s states) option to filter out
states that are not associated with a given rule from the
output.

ok sthen, benno

Only match devices with a valid configuration.

Most of the WiFi/Ethernet USB adapter only have one configuration and always
use its first interface.  In order to improve USB descriptors parsing start
by reducing the number of places where a configuration is set.

Tests & ok stsp@

Remove superfluous splnet() protection.

ok lteo@

To match relayd's style, use an explicit enum with prefixed names for
the states that Claudio introduced.  No functional change.

OK claudio@ benno@

Perform a copy with a memmove for potentially overlapping regions.

Reported and fixed by Sergey Ryazanov <ryazanov ! s ! a at gmail ! com>,
thanks!

Actually trigger iwm_init_task() from iwm_watchdog() as intended to give
recovery after device timeout a chance. Don't mess with the IFF_UP flag
in the watchdog since this isn't done anywhere except intel wifi drivers
which probably copied this pattern amongst each other.
ok kettenis@

Fix rtwn(4) wifi LED support. Tested with rtwn(4) device in Thinkpad X220.

Reuse SYSENTRY_HIDDEN() in SYSENTRY(); no functional changes.

Kill trailing blank; no text change.
Issue found by Tony Sim <y2s1982 at gmail dot com>
during today's BSDCan Doc Sprint.

If fork fails, print an error message before exit.
OK doug@ djm@

Remove hzto(9) manual pages and references;  OK dlg

local user can cause smtpd to fail by sending invalid imsg to control sock

The correct semantic is to check msgbuf_write() for <= 0, not just < 0.
Fix one occurence in imsg_flush() and clarify it the man page.

Discussed with at least blambert@ jsg@ yasuoka@.

OK gilles@

Use "compliant" header guards by avoiding the reserved '_' namespace.

Pointed out by Markus Elfring

OK mikeb@ millert@

sync

Fix CVE-2012-3509, an integer overflow in libiberty, leading to
heap-buffer overflow.
From Sebastian Trahm;  OK deraadt@

In the copyout family of functions, if the address is out of range
ensure the register containing the proc pointer is initialized.
ok miod

Remove hzto(9) manual pages and references;  OK dlg