timestamp empty pages, and only free them if theyve been idle for at least
a second.

this basically brings back the functionality that was trimmed in r1.53,
except this version uses ticks instead of very slow hardware clock reads.

ok tedu@

the last commit changed LIST_INSERT_HEAD to TAILQ_INSERT_TAIL cos the
latter is cheaper, but i forgot to change the thing that pulls pages off
those lists to match the change in direction. the page lists went from LIFO
to FIFO.

this changes pool_update_curpage to use TAILQ_LAST so we go back to LIFO.

pointed out by and ok tedu@

Rearrange mostly vmxnet3_init() to look like other Ethernet drivers.

ok reyk@

sha512 produces enough output, we can simplify extraction by not looping.
ok deraadt djm

replace the page LISTS with page TAILQs. this will let me pull pages from
either end of the lists cheaply.

ok kettenis@ tedu@

remove two useless and unused hash penalty defines

don't count partial authentication success as a failure against
MaxAuthTries; ok deraadt@

Merge in some commits from upstream..

- Fix that failure to add tcp to tcp base does not leak the socket.
- Fixes for wildcard addition and deletion, speedup for some cases.
- Fix that queries for noname CH TXT are REFUSED instead of nodata.
- Fix #616: retry xfer for zones with no content after command.
- Fix that expired zones stay expired after a server restart.
- RFC 7344: CDS and CDNSKEY (read in).

ok sthen@

an hex -> a hex;

obvious non-overlap bcopy -> memcpy

convert one hot looking bcopy to memcpy

delete a whole mess of unnecessary caddr_t casts

Update test - the hashkey log message disappeared.

Don't let .Ta creep into an already-closed list; same as for .It.
Fixes an assertion found by jsg@ with afl.

Update relayd to use siphash instead of sys/hash.  The source-hash,
loadbalance and hash modes use a random key by default that can be
forced to be a static key with a new configuration argument.

With input from Max Fillinger.

ok tedu@

update usage() and the list of non-standard (i.e. non-posix) options;
ok schwarze

document power capacity units. from david higgs
then change everything from mu to u, as more traditional.
ok deraadt

only unroll on i386 and amd64 (where confirmed to be much faster).
naddy found sparc64 gets a little slower when unrolled.
ok deraadt

Only keep leading .Sm inside a list when it immediately precedes
the first .It.  Otherwise, move it out together with whatever
follows.  Fixing an assertion failure found by jsg@ with afl.

use suspend_randomness() and resume_randomness()

Wrap more of these long lines.

two more uses of siphash. better hash for ipv4. maybe not needed for rbtree
hint, but still pretty. ok deraadt

simple to use siphash here. ok deraadt

simple to use siphash here. ok deraadt

When the head of a list item is extended with a partial explicit
macro (for example .Xo) and never closed again, the item ends up
without a body block.  This can even happen for list types that
usually don't have heads in the first place.  So even in this
case, check for the existence of the body before accessing it.
NULL pointer access found by jsg@ with afl.

wrap unreasonably long lines

The VM host might send multiple messages at once but vmt(4) only
processed one of time per second.  Change the code to process all
queued messages without delay immediately.  This fixes two things: a)
the vmt time sensor is available on boot when ntpd -s is loaded and b)
the random seeding on resume (OS_Resume message) is executed almost
immediately and not delayed by about 20 seconds.

ok deraadt@

use siphash for pf_lb. for ipv6, we stretch it out a bit, but good enough.
ok reyk

Don't let the modulo operator divide by zero.
Found by jsg@ with afl.

perform cpu setperf at same position in sequence as acpi.c

suspend & resume RNG subsystem

suspend and resume the RNG (at what looks like the right spots)
ok reyk djm

When a VM resume occurs, request information from the VM and enqueue as
entropy - then do a RNG resume.
If the VM signals a boot/reboot/suspend action, push the RNG into suspend.
ok reyk djm

Create a suspend/resume infrastructure for the RNG.  At suspend time,
process all queued entropy and create a brand new pool to prevent
backtracking upon resume.  At resume time, process the entropy queue
(since other resume code paths which run earlier can enqueue entropy)
and force all higher to reseed.
ok reyk djm

If support is present, use rdrand() at resume time.  Make the rdrand()
function easier to call.
ok reyk djm

Change the link state change routing message generation to a taskq.
One less workq to worry about.

Tweaks from many. ok mpi@ mikeb@

Merge from NetBSD r1.54 from Matthias Drochner:
--
kick out the error-prone handcrafted single-linked list of cardbus
functions; replace by a simple *array[8]
--

In other words, prevent a use after free when removing a cardbus
function.

ok deraadt@, miod@

ansi function prototypes. no functional change.

white space tweaks, no functional change.

replace splhigh and a simplelock with a mutex.

slight tweak and testing by deraadt@
ok miod@

If a host controller has been detached or reported a halt condition it
should be considered as dead.  In such condition the stack no longer
submits I/O or schedules any USB task for its bus.

However we need an explore task to detach the root hub since only the
task thread is supposed to discover buses and attach/detach devices in
order to avoid races.

So reset the bus' dying flag when marking it as disconnecting in order
to let the task be scheduled.  This should be safe because a detached
or halted HC should not trigger any new interrupt.

Fix a panic when detaching USB PCMCIA cards reported by Tilo Stritzky.

Document * and :: to listen on all IPv4 or IPv6 addresses.

Accept * as an alias for the default ipv4 listen address.

OK jsg@

"tcp nodelay" shouldn't be discussing relaying SSH; this was a remnant
from relayd.conf.5.

From Ross L Richardson

Unmap the MP hatch and ACPI resume trampolines when not in active use.

ok deraadt@

The code is already careful to not add items to lists that were
already closed.  In this respect, also consider lists closed
that have broken another block, their closure pending until the
end of the broken block.  This avoids syntax tree corruption
leading to a NULL pointer access found by jsg@ with afl.

the easier way to put a buffer on the stack is to put it on the stack,
not with alloca(). found by dickman; ok kettenis

unroll loops. much faster on amd64. ok deraadt millert

remove lock.h from uvm_extern.h. another holdover from the simpletonlock
era. fix uvm including c files to include lock.h or atomic.h as necessary.
ok deraadt

unroll loops for sha2. quite a bit faster for amd64.
ok deraadt millert

minimal removal of simplelock to eliminate lock.h dependency

fix/reduce header dependencies. clock.c doesn't need any of this uvm.
ok deraadt kettenis

Be a bit more lenient in what to accept for section names given
as the first man(1) command line argument without -s:
Accept digits like "1", "2"; digit+letter like "3p", "1X"; and "n".
Issue reported by Svyatoslav Mishyn <juef at openmailbox dot org> (Crux Linux).

Add size_t to int checks for SSL functions.

libtls accepts size_t for lengths but libssl accepts int.  This verifies
that the input does not exceed INT_MAX.  It also avoids truncating size_t
when comparing with int and adds printf-style attributes for
tls_set_error().

with input from deraadt@ and tedu@
ok tedu@

Use log_warnx() not log_warn() for mail loop warning since errno
is not set.  OK gilles@

Avoid premature masking in the interrupt handler code that checks for removed
hardware.

ok mpi@, deraadt@

remove simplelocks (trivial)

delete simplelocks

remove simplelocks
ok tedu

pretty easy removal of simplelocks
ok miod (a while back)

remove simplelocks
ok kettenis

remove simplelocks use
ok kettenis mpi

Add missing flag in the description field.

add umcs(4)

Remove the "multicast_" prefix from the fields a multicast-only struct.

Prodded by claudio@ and mikeb@

Use an interface index instead of a pointer for multicast options.

Output interface (port) selection for multicast traffic is not done via
route lookups.  Instead the output ifp is registred when setsockopt(2)
is called with the IP{V6,}_MULTICAST_IF option.  But since there is no
mechanism to invalidate such pointer stored in a pcb when an interface
is destroyed/removed, it might lead your kernel to fault.

Prevent a fault upon resume reported by frantisek holop, thanks!

ok mikeb@, claudio@

Prefer MADV_* over POSIX_MADV_* in kernel for consistency: the latter
doesn't have all the values and therefore can't be used everywhere.

ok deraadt@ kettenis@

delete archaic simplelock use.
ok miod

Do as the datasheet recommends and disable the RX filter before adjusting
the RX filter.

From FreeBSD

increase to 2048 to prevent failure. ok deraadt@

install both ld.so with mode 444

Ignore mdoc(7) and man(7) macros inside tbl(7) code because they
would abort the table in an unclean way, causing assertion failures
found by jsg@.

Temporarily expand the pci memory range to suit Dell 13G servers.
They have devices outside the 36 bit range that their firmware needs to talk
to, and they get constant acpi interrupts if it can't.  We should get the
necessary ranges via ACPI, but for now just make the allowed range bigger.

ok kettenis@ deraadt@

sync

don't include lock.h by default. poisons namespace. ok deraadt

sync

Do not grab the kernel lock for clock interrupts, hardclock() will behave
correctly without. Modeled after sparc64 logic.

must include lock.h to play with locks

these headers do not need to (and should not) include lock.h poisoning
the namespace. ok deraadt

include atomic.h to get atomic operations (virtio_membar). ok sf

Define and print HV cpuid flag.

This is set by many hypervisors, including kvm, vmware, hyper-v.

Install a copy of ld.so into /sbin.  Soon to be used in order to make "static"
PIE possible.

ok deraadt@ tedu@

typo; ok deraadt

warn for correct symbol

must include lock.h if you want to play with locks

only need lock.h here, not all of uvm_extern.h

correct -Tutf8 and -Thtml rendering of \(~=
and change the name of \(-~ to \(|= to agree with groff;
difference found by Carsten dot Kunze at arcor dot de

Don't pass options after the to address to sendmail.  The only
legitiate use of this is to set the sender name which should be
handled specifically by a different option.

Add new "expandaddr" flag (disabled by default) to enable recipient
address expansion and document it.  Previously, this behavior was
always enabled.  Also document how address expansion is performed,
which used to only be described in the (no longer installed) Mail
Reference Manual.  CVE-2014-7844

Use glob() to expand filenames instead of passing it to the shell's
echo command for expansion which could result in arbitrary command
execution.  CVE-2004-2771

primary change: move uvm_vnode out of vnode, keeping only a pointer.
objective: vnode.h doesn't include uvm_extern.h anymore.
followup changes: include uvm_extern.h or lock.h where necessary.
ok and help from deraadt

Protect memory allocation and disposal with splvm(); gets rid of splassert
complaints during boot on i386.
ok stsp@

Explicit block closure macros clobber next-line block head scope,
just like explicit block macros themselves.
Fixing an assertion failure jsg@ found with afl.

Now that we have Camellia support in libcrypto, bring in the SHA256 flavour of
the Camellia ciphersuites for TLS 1.2 introduced in RFC 5932. From OpenSSL HEAD.

When a string comparison condition contains no mismatching character
but ends without the final delimiter, the parse point was advanced
one character too far and the invalid pointer returned to the
caller of roff_parseln().  Later use could potentially advance
the pointer even further and maybe even write to it.
Fixing a buffer overrun found by jsg@ with afl (the most severe so far).

Replace setpgrp(0, getpid()) with setpgid(0, 0).  OK deraadt@ tedu@

Remove some useless casts and includes.  OK deraadt@ tedu@

include lock.h, needed for later headers but currently included by magic
ok millert

Don't display formatted time if localtime() fails.
Avoids a crash in strftime() found with the afl fuzzer.
ok guenther@

When a numerical condition errors out after consuming at least one
character of input, treat it as false, do not retry it as a string
comparison condition.  This also fixes a read buffer overrun that
happened when the numerical condition advanced to the end of the
input line before erroring out, found by jsg@ with afl.