treat NOTIMP as NO_DATA in response to MX query: fallback to hostname lookup
instead of bouncing the mail.

ok gilles@

Adjust alignment in hostsprint()

hostsprint() reserves only 16 columns for IPs and prints one whitespace too
many afterwards. Crank it up to 39 as per hostsaddrinfo() to align nicely.

OK millert

Rename AS_NONE to AS_UNDEF here as well. OK compiler & grep

Rename AS_NONE to AS_UNDEF, AS_NONE will be reused for a different purpose
soon. OK compiler and grep

Split the disklabel regress into multiple tests.  Move all code
into Makefile.  Verbose testing and failing early helps debugging.
Remove the disk image during cleanup to save space.
OK krw@

Switching bgpd to a default deny policy had one bad side-effect. Some
withdraw were suddenly filtered out because the filter ran into the
default deny. So for this case (state == NULL) change action to default
allow. This bug was haunting bgpd for a while now causing prefixes to be
stuck for no obvious reason.
OK benno@, sthen@

Fix controller name.

Fix segfault in usermod -l by swapping one of the getpwnam(3) with
uid_from_user(3). This started happening a few days ago after the change to
the pwcache in libc.

OK millert@

Fix use-after-free by moving the free(3) of the configured interfaces to after
the eigrp instances on shutdown.

tried to contact renato@ but he didn't answer in almost 2 months
OK benno@ claudio@

Move the allocating and freeing of mount points into
dedicated functions.

OK deraadt@ mpi@

Use the same logic in trie_roa_check_v4 as in trie_roa_check_v6 when
checking that a source_as / maxlen combo actually fits.
Fixes regress test.

Instead of checking that a segement is not of type AS_SET do the check
that it is actually AS_SEQUENCE. No functional change those are the only
two types bgpd supports here.

Indent issue. No functional change

Move bridge input/output paths outside of the KERNEL_LOCK().

Tested by Hrvoje Popovski who measured a 30% improvement of forwarded
packets in the best case.

ok visa@

Add variables for setup and cleanup of regression tests.
OK anton@ jca@ tb@ benno@

explicitly mention local processes; from geoff hill
ok nicm

Fix out file to be actually correct for the input file.

call _sndio_parsenum() instead of duplicating the code in parsedev(); ok ratchov@

remove big ugly TODO comment from start of file. Some of the mentioned
tasks are obsolete and, of the remainder, most are already captured in
PROTOCOL.mux where they better belong

Document mux proxy mode; added by Markus in openssh-7.4

Also add a little bit of information about the overall packet format

typo; ok jmc@

Increase the timeout from previous commit further.  Rather than warning
we have spun out (to which there are consequences), we should spin longer.
The BSP really wants the APs to finish.

related to the fsck changes, quotacheck must also determine & setup
unveil early on for the root filesystem.

align RETURN VALUES section with pledge manual; ok deraadt@

s/process_mux_master/mux_master_process/ in mux master function names,

Gives better symmetry with the existing mux_client_*() names and makes
it more obvious when a message comes from the master vs client (they
are interleved in ControlMaster=auto mode).

no functional change beyond prefixing a could of log messages with
__func__ where they were previously lacking.

-T applies to ip6 too, apparently;
from nan xiao

document HUP;
based on a diff from katherine rohl, shortened by request of deraadt

Use getnameinfo(2)

This simplifies the code, makes it less address family specific and plays
nicely with previously used getaddrinfo(2).

While here, make function parameter `const', sort stack variables by size
and nitpick PF_UNSPEC.

OK millert

usage() is void

OK tb

fix typo in comment

ok beck@

sync

Allow panes to be 1 line or column by redrawing instead of using the
scroll region, from Soeren Tempel in GitHub issue 1487.

sync

Insert a workaround for per-ifp ioctl being called w/o NET_LOCK().

An example of such code path is vlan_destroy() where we don't want to
grab the lock because this driver is already NET_LOCK()-free.

The real solution to this problem is to stop holding the NET_LOCK() around
driver *_ioctl() routines.

Problem reported & fix tested by Élie Bouttier, ok visa@, bluhm@

disklabel(8) uses hw.physmem to calculate swap and /var sizes.  This
prevents reproduceable regression tests.  Recompile the disklabel
with a fixed memory size for this test.  Also adjust expected output
for recent /usr/obj and /usr/local size changes.
discussed with krw@

Fix loading of roa-sets in the RDE. From a much bigger diff but this
goes in now since it fixes a real issue.

When sending set_tables in the imsg use the right size. Currently the
number of elements is used as size which is always wrong.

Since each database that has the rpath promise only needs to access one
specific file (in read mode) we can add a 4th attribute to the struct getentdb
to define each of those files, except for group/hosts/passwd dbs which will be
assigned NULL to that attribute because all the necessary files they need to
open are already whitelisted through pledge(2) via either dns or getpw
promises.

With that set we can then check if the 4th attribute (called unveil) is not
NULL and in that case unveil(2) that specific file per each database.

After a discussion with millert@ regarding YP then deraadt@ chimed in referring
that when he wrote this code even though we can have YP mappings with several
of these dbs "it doesn't mean that things use it, or should, or will" so adding
unveil(2) here should not impact any YP environments.

OK millert@ deraadt@

Remove initial pledge(2) that doesn't give us much protection since it's so
short lived, we either go directly exiting the program or just a few lines
below we call pledge(2) again, where it actually should be, and with really
reduced promises. Next commit will restrict further access to the filesystem
through unveil(2).

OK deraadt@ kn@

unveil maildir, utmp, /tmp, and /dev.  For the vast number of people
using biff.

unveil(2) is easy since this only uses one directory tree
(containing no exterior pointing symlinks), and a file.
In snaps for about 2 months.

unveil(2) in getty.  This has been in snaps for more than 2 months,
since I worry that a mistake in here will cause significant grief.

After opening required descriptors, savecore only plays in one directory
so use unveil(2).

Use unveil(2).  These programs fit together in various strange ways,
so if a problem is encountered with this the whole set needs backout
and study.

Prevent ieee80211_get_txkey() from returning the integrity group temporal
key (IGTK) if a node doesn't have management frame protection (MFP) enabled.
The IGTK is not initialized if MFP is disabled, so using it triggers this
panic in ieee80211_encrypt(): panic("invalid key cipher 0x%x", k->k_cipher)

(As far as I can tell, at present, MFP is never enabled.)

Problem reported and fix tested by tj@ on athn(4) hostap

sync host*() changes from bgpd

OK kn@

Allow to use the "tls" keyword on any relay action to force TLS, with
strict certificate validation.  The "no-verify" becomes optional.

ok gilles@ millert@ semarie@

Only include pane status in minimum size if it is turned on, GitHub
issue 1480.

Turn carp_ourether() mp-safe, this is a requirement for taking bridge(4)
out of the KERNEL_LOCK().

ok visa@, bluhm@

enable futex(2) based mutexes on armv7 and use futex based semaphores in
librthread on armv7 as well
from brad ok visa@ kettenis@ mpi@

sync

Add "Spleen 5x8" to wsfont, a font targetted at small OLED displays
to be used with devices handled by ssdfb(4). It contains all printable
ASCII characters (96 glyphes).

The font is 2-Clause BSD licensed and is my original creation.

OK patrick@

bump for LibreSSL 2.8.1

Document bufferevent_setwatermark(). Initial diff from Geoff Hill on tech@ with
some tweaks.

With feedback and ok jmc@

add 6.5 syspatch public key

Remap the UEFI buffer early such that we can use a write combining mapping
which speeds things up considerably compared to an uncached mapping.

ok deraadt@

Only clear the character backing store when the RI_CLEAR flag is set.

ok deraadt@

Remove unused Table_size define and digits() function.

Use user_from_uid() and uid_from_user() directly.  The wrappers
in username.c are now so simple there is no longer a good reason
to use them.  OK deraadt@

Add a comment on the acceptable RSASSA cases.

gather statistics in checkAead{Open,Seal}() as well.

Back out the following if_iwm.c revisions:

r1.232 Fix length checks in the receive path of iwm(4)
r1.230 Add monitor mode support to iwm(4)
r1.229 Implement Rx of multiple frames per interrupt in the iwm(4) driver

There is an apparent block-ack problem (base.tgz takes 8 hours to download)
which goes away when these changes are reverted. To be revisited after release.

ok deraadt@

remove some unneeded checks

gather and print some statistics on the acceptable cases we need to
look into

Enable USB bwfm(4) on macppc RAMDISK as well, matching GENERIC.
Passes 'make release' build.

Harmonize spacing after ellipses in displayed messages.

We were using spacing after ellipses in an inconsistent way in the
installer. Standardize on using "... " everywhere and take into account
the cursor position while we are waiting for the task to complete: the
cursor is now always positioned after the last dot, and the space is
added when displaying completion confirmation.

While there, also take cursor position into account in vfs_shutdown(),
and remove the extra leading space before ticks in dhclient.

OK deraadt@

more flags printing

Correct the uid_from_user() and gid_from_group() comments.

Revert previous. It broke /etc/rc.

Prompted by kn@

fix uid -> username lookup
ok deraadt@

improve logic involving acceptableAudit

Swap order of "action" and "wt.Flags" in a few fmt.Printfs.

Introduce a couple of convenience targets to help with auditing the
acceptable cases.

Print the flags field in INFO: and FAIL: messages. It's helpful in
identifying the important failures while auditing.

sync host*() changes from pfctl

This simplifies host() and merges host_v{4,6}() into host_ip() as recently
done for pfctl and ntpd.

Tested and OK denis, OK deraadt, "go ahead" benno

Use password/group cache functions and avoid stashing a pointer to
the return value of getgrgid(3) or getgrnam(3) which relies on
undefined behavior.  The rdist server will now use getgroups(2) to
determine group membership of the invoking user.  In addition, there
is now one implementation of tilde expansion instead of two.
OK tb@ tim@

Use password/group cache functions and avoid stashing a pointer to
the return value of getgrgid(3) or getgrnam(3) which relies on
undefined behavior.  The rdist server will now use getgroups(2) to
determine group membership of the invoking user.  In addition, there
is now one implementation of tilde expansion instead of two.
OK tb@ tim@

Stop displaying vfsconf reference counts so that the vfc_refcount field
can be removed from struct mount.

As a result of this diff, arrays vfsname[] and vfsvars[] are indexed
by filesystem typenum. This makes the vfs_typenums[] array redundant.

OK bluhm@ mpi@

Increase /usr/local max size to 20 GB in default template
ok krw@ deraadt@ jca@

Add explanations about vmctl send command

ok jmc@ jca@ mlarkin@
mdoc tip from bentley@

Allow ssh_config ForwardX11Timeout=0 to disable the timeout and allow
X11 connections in untrusted mode indefinitely. ok dtucker@

Enable bwfm(4) in GENERIC on macppc.
Tested by Christian Hammerschmidt.

when compiled with GSSAPI support, cache supported method OIDs by
calling ssh_gssapi_prepare_supported_oids() regardless of whether
GSSAPI authentication is enabled in the main config.

This avoids sandbox violations for configurations that enable GSSAPI
auth later, e.g.

Match user djm
GSSAPIAuthentication yes

bz#2107; ok dtucker@

In sshkey_in_file(), ignore keys that are considered for being too
short (i.e. SSH_ERR_KEY_LENGTH). These keys will not be considered to
be "in the file". This allows key revocation lists to contain short
keys without the entire revocation list being considered invalid.

bz#2897; ok dtucker

Both AS 23456 and AS 0 are reserved and can nor be used. Extend check for
AS 0 and adjust yyerror message to print the right number.
With input and OK denis@

6.5 firmware key

better yyerror messages. "syntax error" is generally not very helpful.
OK denis@

update rtwn;

Basic testing of roa-sets.

Move setting of the PREFIXSET_FLAG_OPS higher up since prefixset_item rule
is now also used by roa-set. Also set the prefix operation for roa-set
items to OP_NONE since that what it actually needs to be.

Add some more prefix-set test cases. Mainly to test edge cases in the RB
tree implementation now used.

Implement code to parse, print and reload roa-set tables.
This is sharing a lot of code with prefixset which makes all a bit easier.
A roa-set is defined like this:
roa-set "test2" {
  1.2.3.0/24 source-as 1,
  1.2.8.0/22 maxlen 24 source-as 3
}
No support for acting on this data yet.
Put it in deraadt@, OK benno@, input and OK denis@

Treat connections with ProxyJump specified the same as ones with a
ProxyCommand set with regards to hostname canonicalisation (i.e.
don't try to canonicalise the hostname unless CanonicalizeHostname
is set to 'always').

Patch from Sven Wegener via bz#2896

U-Boot 2018.05 and later will attempt to load a dtb for PocketBeagle if
the hardware is detected.  Add this to the miniroot/ramdisk.
requires dtb 4.18

U-Boot 2018.09 and later will load a dtb for 'SanCloud BeagleBone
Enhanced' if required which will be in dtb 4.19 after linux 4.19 is
released and can be added then.

mention RTL8188EE support

Add support for RTL8188EE.

This needs a new firmware image, which should be added to the rtwn
firmware package shortly.

testing and lots of help from kevlo@
ok kevlo@ stsp@

add missing braces implied by indentation
ok millert@ claudio@

actually make CASignatureAlgorithms available as a config option

merge unbound 1.8.0

import unbound 1.8.0, tested by myself and benno@