Implement RSASSA-PKCS1-v1_5 as specified in RFC 8017.
Based on an OpenSSL commit by David Benjamin.

Alex Gaynor and Paul Kehrer from the pyca/cryptography Python library
reported that more than 200 "expected to fail" signatures among Project
Wycheproof's test vectors validated on LibreSSL. This patch makes them
all fail.

ok jsing

commit 608a026494c1e7a14f6d6cfcc5e4994fe2728836
Author: David Benjamin <davidben@google.com>
Date:   Sat Aug 20 13:35:17 2016 -0400

    Implement RSASSA-PKCS1-v1_5 as specified.

    RFC 3447, section 8.2.2, steps 3 and 4 states that verifiers must encode
    the DigestInfo struct and then compare the result against the public key
    operation result. This implies that one and only one encoding is legal.

    OpenSSL instead parses with crypto/asn1, then checks that the encoding
    round-trips, and allows some variations for the parameter. Sufficient
    laxness in this area can allow signature forgeries, as described in
    https://www.imperialviolet.org/2014/09/26/pkcs1.html

    Although there aren't known attacks against OpenSSL's current scheme,
    this change makes OpenSSL implement the algorithm as specified. This
    avoids the uncertainty and, more importantly, helps grow a healthy
    ecosystem. Laxness beyond the spec, particularly in implementations
    which enjoy wide use, risks harm to the ecosystem for all. A signature
    producer which only tests against OpenSSL may not notice bugs and
    accidentally become widely deployed. Thus implementations have a
    responsibility to honor the specification as tightly as is practical.

    In some cases, the damage is permanent and the spec deviation and
    security risk becomes a tax all implementors must forever pay, but not
    here. Both BoringSSL and Go successfully implemented and deployed
    RSASSA-PKCS1-v1_5 as specified since their respective beginnings, so
    this change should be compatible enough to pin down in future OpenSSL
    releases.

    See also https://tools.ietf.org/html/draft-thomson-postel-was-wrong-00

    As a bonus, by not having to deal with sign/verify differences, this
    version is also somewhat clearer. It also more consistently enforces
    digest lengths in the verify_recover codepath. The NID_md5_sha1 codepath
    wasn't quite doing this right.

Reviewed-by: Kurt Roeckx <kurt@roeckx.be>
Reviewed-by: Rich Salz <rsalz@openssl.org>
    GH: #1474

When moving between networks slaacd configures new addresses but
leaves old ones behind. The IPv6 RFCs don't seem to offer guidance on
what to do in this case. (RFC 5220 discusses related issues, but not
exactly this.)

It seems a bit harsh to just delete old addresses - a naive
implementation can easily lead to flip-flopping between two prefixes.

Instead set the preferred lifetime to 0 for all addresses on an
interface when the link goes down, thus marking addresses as
deprecated but still usable. When the link comes back send a router
solicitation. If we are still on the old network and receive a router
advertisement the preferred lifetime will increase and the addresses
will no longer be deprecated.

If we moved to a new network we will get new router advertisements and
form new addresses. The old ones will stay deprecated and the address
selection algorithm will prefer new addresses.

Problem reported by many.

testing & OK phessler

avoid using argv[0] for printing to stderr

add _rad user
OK tb, claudio

Remove rtadvd(8) rc script.

Remove rtadvd(8), it's time to switch to rad(8).

sync

Remove rtadvd(8) leftovers in etc.
OK deraadt, phessler

It's time to switch to rad(8); tested by many.
Unhook rtadvd from build.
OK deraadt, phessler

It's time to switch to rad(8); tested by many.
Remove rtadvd(8) from rc(8).
OK deraadt, phessler

replace references to rtadvd(8) with rad(8)
OK deraadt, phessler, jmc

Handle duplicate address detection failures.

We get notified when duplication is detected on the route socket. For
privacy addresses simply generate a new random address. If we have
soii enabled increase the dad counter on the prefix and generate a new
address. For eui64 addresses nothing can be done.

No need to re-implement realloc(). Just use it
the way the man page says.

ok tb@

cross reference sndio(7) and sndiod(8); from weerd@;
OK ratchov@ jmc@ (who are both busy)

document method=https, and use it in the example config;
from lauri tirkkonen;

ok sthen beck

First iteration of implementing full mrt dumping/printing support in bgpctl.
This is good enough as a start but I guess output could be nicer.
OK benno@

Move nexthop into struct filterstate (including nexthop flags) and use
them whereever possible. In some places (path_update, softreconfig_out
handler) the nexthop state is temporarily folded back into the rde_aspath.
Tested and OK benno@

Add more information to if_change() debug log using the new interface helper
functions in util.c. The idea is to make even debug messages as informative
as possible.
Before:
if_change: ifindex 1, ifi_rdomain 0
After:
if_change: em0: rdomain 0 UP, Ethernet, active, 1000 Mbps
OK benno@

Move functions to print link status etc. to util.c so that bgpd can use them
as well. OK benno@

In uvm_map_protect(), make sure we select a first map entry that ends after
the start of the range of pages that we're changing.  Prevents a panic from
a somewhat convoluted test case that anton@ came up with.

ok guenther@, anton@

Switch authorized_keys example from ssh-dss to ssh-rsa since the former
is no longer enabled by default.  Pointed out by Daniel A. Maierhofer,
ok jmc

Fix arguments of pf_purge_expired_{src_nodes,rules}()

Due to the missing "void", this

   extern void pf_purge_expired_src_nodes();

is no prototype but a declaration. It is enough to suppress the
'implicit declaration' warning but it does not allow the compiler to
check the arguments passed to the calls of the function.

Fix the prototypes and don't pass the waslocked argument anymore. It has
been removed a year ago.

ok sashan henning

Tweak comment about truncating NULs to reflect new
reality.

When finished pulling an option out of a buffer, skip directly to the
next option. Don't rely on truncated NULs being ignored because
NUL == DHO_PAD.

ok tb@

hook up fchown

Add regress covering the recently fixed NULL pointer deref in fchown().

Avoid a NULL pointer deref when calling fchown() on a file descriptor belonging
to a cloned device.

ok kettenis@

Adjust a log message and make sure that the data pointer is never increased
beyond the end. There was no access to it but still bad style.
OK tb@

Reading past the end of a buffer is bad, Even if the
extra byte is always there. Even if the byte contains
innocuous data that isn't used. Eeven if a particular
level of optimization of a particular compiler avoids
it by processing things backwards. Bad.

So simplify and correct logic. Perhaps even proof the
code against future generations of clever compilers.

Pointed out by Brandon Falk. Thanks!

ok millert@ tb@

comment out a dead Xr;

sort;

Include the vnode type in the panic message in ffs_write(), just like ffs_read()
does.

ok deraadt@ kettenis@

There is no need to initialise global and static local variables to zero,
they are like that by default.
OK florian@

Remove the "got meltdown?" conditional from INTRENTRY by doing it
 unconditionally and codepatching it out on CPUs that don't need/do
 the mitigation.
Align the from-{kernel,userspace} targets in INTRENTRY with _ALIGN_TRAPS
Align x2apic_eoi using KUENTRY() instead of the artisinal
 segment+label+.globl bits it uses currently
s/testq/testb/ for SEL_RPL checks

ok kettenis@ mlarkin@

The newly added realpath(3) in vmd's parse.y checks whether the
directories exist.  Create the path and file for test
vmd-fail-disk-path-too-long.

Listen on 127.0.0.1 and ::1 in the regress config since the test use localhost
which can be resolved to either of the two values.
OK bluhm@

Remove a few leftovers from the days of emulation, which could result in
a bad/corrupt binary not returning ENOEXEC but some other error.
ok guenther kettenis bluhm

Fail if a PT_LOAD segment has a memory size of 0.  This prevents a panic
later on, and it makes no sense for a binary to have such a segment.

ok bluhm@, guenther@

add pledge(2), it only needs rpath if reading from a file

hint from tb@ and OK ratchov@

zap whitespaces

No need to copy rdns_lifetime around with an IMSG, it gets send to the
engine end frontend as part of ra_iface_conf.

Spotted after explaining to bket@ that a similar pattern is not needed
for the mtu option.

Fix mem leaks on config reload:
- always free struct ra_iface_conf with free_ra_iface_conf()
- free_ra_iface_conf() needs to free the recently added
nameserver and search list

fix mem leak: missing freeifaddrs

Introduce MTU option.

The MTU option is used in Router Advertisement messages to ensure that
all nodes on a link use the same MTU value in those cases where the link
MTU is not well known.

Feedback (thank you!) and OK from florian@

We need to track the auto prefix in ra_prefix_conf otherwise we can't
configure its options. Trying so lead to a crash.
Found the hard way by & OK sthen

Now that aliases in smtpd.conf default to plain text files and not
db files we don't want to tell people to run makemap instead of
newaliases.  OK deraadt@ jmc@

Move the nlri_get_prefix functions to util.c so that bgpctl can use them too.

Rename rde_update_get_prefix and friends to nlri_get_prefix. Will be moved
to util.c shortly so that bgpctl can use those functions too.

Rename rde_update_extract_prefix to extract_prefix and make it static.
This is just an internal of the the rde_update_get_prefix functions.

Rename "resolver" to "nameserver" in the configuration file.

resolv.conf(5) and dhclient(8) are using the term nameserver for many
years, there is no good reason to be different here.

Pointed out by deraadt

Print the timestamp embedded in mrt files for update and status messages.
Also implemented the extended precision format so microseconds are printed
as well when available. The output is relative to the previous message and
follows what kdump does.
OK benno@

There is no need to have bgpd running when running bgpctl show mrt.
The first thing the code actually does is closing the socket. Instead
move the code up to where currently the IRR filter code is.
Additionally change the late pledges to just stdio since nothing after
that needs rpath or wpath.
OK benno@

Add missing RCS Id.

Stop checking table commands for `create'

Tiny left over from 2003 when it was removed. Twist the logic by checking
for `show' and `test' to make it even simpler.

OK sashan henning

add regress test for "bypassunveil" where a path should be unveil'd by
specific pledge(2) calls

ok beck@

inform that diagnostics in functions won't work, but don't error out
flatly.

this will help sparc64 compile code without needing to patch away recent
pragma diagnostic use.

problem found by landry@

okay kettenis@, guenther@

Correctly copy across unveil's from parent to child process on fork().

match on marvell,armada-38x-uart linux >= 4.18-rc1 changed the compat
string from snps,dw-apb-uart in b7639b0b15ddd1a4686b0142e70dfb122eefc88f

ok patrick@

slightly-clearer description for AuthenticationMethods - the lists
have comma-separated elements; bz#2663 from Hans Meier

remove unused zlib.h

Missed a 'ksi' -> '*ksip' change in previous commit

Fix typo in comment.  From Alexandru Iacob via github.

i found a nicer way to describe -join;

Enable kernel profiling on arm64
sigcode() runs in user land context, so should not call mcount.
Without the symbol type on the exception entry functions, gprof
doesn't correctly identify the caller for exception entry symbols.
ok kettenis@

attach RTL8188EU under AboCom's vendor id. From FreeBSD via Mikhail <mp39590 at gmail>

sync

Add RTL8188EU under AboCom's vendor id. From FreeBSD via Mikhail <mp39590 at gmail>

Reuse implicit padding to export the port number of a USB device in
USB_DEVICEINFO.

devel/libusb1 requires this piece of information.

ok jcs@, mikeb@, jasper@, sthen@

Deprecate UsePrivilegedPort now that support for running ssh(1)
setuid has been removed, remove supporting code and clean up
references to it in the man pages

We have not shipped ssh(1) the setuid bit since 2002.  If ayone
really needs to make connections from a low port number this can
be implemented via a small setuid ProxyCommand.

ok markus@ jmc@ djm@

revert previous, something isn't quite right as clients see ntpd
as unsynced. reported by naddy, also seen by me (I noticed because
monitoring-plugins check_ntp complained). ok claudio henning

ieee80211_ess_is_better() returns 0 or 1, comparing > 1 is always
false so we always selected the first wifi available, not the best
one.

While here shuffle some deck chairs to make it clearer that anything is
better than nothing.

tweak & OK phessler

Add regress test for inheritance of unveil's across fork to children

Remove the unused leftovers of the 4.4BSD libm, which was only used
on non-IEEE platforms.  Since the VAX port was discontinued, all
our remaining architectures use IEEE floating point, as will any
future ones.
ok millert@ tb@

Convert from fgetln(3) to getline(3).  Based on a diff from Lauri Tirkkonen.
With a tweak and OK from schwarze@

Revert the change that delivers process signals to any threads.  As
side effect pending signals specifically sent to the main thread
were handled by other threads.  This made gcj in textproc/pdftk
port build stall.
Noticed and tested by espie@.

Bob's license was missing, add it.

ok beck

replace manual zero initialization of various fields with memset;
makes the code shorter and easier to read.
suggested by & OK claudio

Stop our own router advertisements from looping back to us.
Pointed out by semarie@

tidy up the flags section a little: supply a little more indent, and reduce
the amount of modal verbs going on;

When running flood ping with count packets (-c) set an alarm after
sending all packets otherwise ping will wait forever to see all
answers - which might not arrive on lossy links.

Problem pointed out by, input & OK claudio

make the logic for deleting first slightly more obvious
in particular, there's nothing to try if we don't have older packages

Remove support for running ssh(1) setuid and fatal if attempted.
Do not link uidwap.c into ssh any more.  Neuters UsePrivilegedPort,
which will be marked as deprecated shortly. ok markus@ djm@

Replace VATTR_NULL() with memset(3) in fusefs_getattr(). VATTR_NULL()
sets all members of struct vattr to VNOVAL (-1) instead of 0, which is
what is appropriate here. The VATTR_NULL() macro is intended for
initialising struct vattr when setting attributes.

ok mpi@

Don't log_warn on normal conditions, it should be log_debug.
Pointed out by semarie@

stop assuming prefix lengths, remove inet6_makenetandmask()

This removes any logic that implies IPv6 destination host addresses to be
/64 subnets so they are taken as is.
RFC 3587 deprecated this in 2003 and our manual page actually states:

  The route is assumed to be to a network if any of the following apply to
  destination:

  *   [...]
  *   it is an IPv6 address with a “/XX” suffix (where XX is the number of
      bits in the network portion of the address and is less than 128)
  *   [...]

  If destination is a valid IP address or host name, it is presumed to be a
  route to a host.

Stripping relevant code from `inet6_makenetandmask()' left the function as
dummy wrapper around `prefixlen()', so zap it completely.

Discussed with and positive feedback from many, OK benno henning

TX packets, which can be either Ethernet or control packets, must be
sent in order.  Otherwise it is possible that the key is set before
we send out the EAPOL packet, or that packets are sent out before
the key is set.  Thus modify the SDIO backend to put both types into
the same internal TX queue, which will be sent asynchronously.

Discussed with bluhm@

When a key isn't in the first table, we need to try the same key again
not the any key. Also rename some labels. Fixes GitHub issue 1406
reeported by Mark Kelly.

some more style fixes

Add missing $OpenBSD$ markers.

remove unused, empty file

Replace getprogname() to argv[0] in bnaddsub

ok tb@

allow shell globs to match program and hostname selector tags via
fnmatch(3); ok sthen@ bluhm@

vmd(8): fix vmctl -b option for i386 kernels.

ok pd@

Don't send FBT_DESTROY if the FUSE connection is still PENDING. Also
don't attempt to determine the size of the root inode. This is because
we don't need to know the size of directories and FBT_GETATTR will also
cause a deadlock if fuse_unmount(3) is called before the file system
has a chance to process fbufs.

Add corresponding regression test.

ok mpi@

libfuse now supports -f command line option; uncomment test.

unvname_new() is passed something that is always 64-bits so the
parameter should be declared uint64_t and not int.

From & for semarie@ who isn't committing at the moment and ok beck@
who is on the road.

Switch to MSG_PROTOCOL_BGP4MP_ET formats for update and state mrt messages.
The _ET format adds an additional microsecond time field which makes those
message dumps more informative. The various table dumps are not modified
since there the time especially between entries plays a secondary role.
OK benno@

we have splraise() now

previously the code would do a series of comparisons to IPL_FOO and
IPL_BAR, and use splfoo() and splbar() as needed, but for like a
dozen different IPl levels (i may be exaggerating). splraise() rolls
all of that up.

ok deraadt@ mpi@

Slot 0 in the hostbased key array was previously RSA1, but that is
now gone and the slot is unused so remove it.  Remove two now-unused
macros, and add an array bounds check to the two remaining ones
(array is statically sized, so mostly a safety check on future changes).
ok markus@

Document behavior change of EC_POINTs_mul() again.