Hide global _it symbols in pkcs7.h

ok tb@

Remove the KASSERT() in sched_unpeg_curproc().

This fix rebooting a GENERIC.MP kernel on SP machines because unpeg is out
of the loop in smr_thread().

x509_pubkey_get_ski() should support non-rsa keys

for now add an XXX reminder.

Pointed out by job a while back

aucat: check for failled allocation

From Nihal Jere <nihal@nihaljere.xyz>, thanks!

Don't check op_q_alloc for non-NULL before invoking op_q_free.
Check op_q_free for non-NULL instead.

Neither are currently set to non-NULL anywhere.

ok jmatthew@

Ensure that the rpkiManifest is a file in the caRepository

discussed with jca and job
ok claudio

Normalize the rsync caRepository to contain a trailing slash

discussed with jca
ok claudio

remove a further spkac reference; ok tb

Hide global _it variables in ocsp.h

ok tb@

Hide global _it variables in asn1.h

ok tb@

Hide global _it variables in x509.h

ok tb@

Hide global _it variables in x509v3.h

ok tb@

Use install -F instead of cat(1); no clue what I was thinking.

ok robert@

Introduce sched_unpeg_curproc() to abstract the current implementation.

ok kettenis@, mlarkin@, miod@, claudio@

mg: fix auto-indent-mode with custom tab widths

dointent() didn't know about set-tab-width so it was mis-indenting
the lines.  Diff from Mark Willson (mark dot willson at hydrus.org.uk),
with a tiny change by me.

Prevent rewriting /etc/rc.conf.local unconditionnally. Compare the new and old
ones and do nothing is they match.
This mean that "rcctl enable foobar" will not touch anything is foobar is
already enabled.

spotted by robert@ using Saltstack (that runs "rcctl enable ..." on a regular
basis).
ok robert@

cleanup unused variable

add TSF

IN_MULTICAST uses host byte order

I somehow missed this when ripping out 3 layers of indirections.

from niklas

Adjust code since FILL_KPROC() got another argument since struct tusage
accounting was modified.
OK dlg@ jca@

Rework per proc and per process time usage accounting

For procs (threads) the accounting happens now lockless by curproc using
a generation counter. Callers need to use tu_enter() and tu_leave() for this.
To read the proc p_tu struct tuagg_get_proc() should be used. It ensures
that the values read is consistent.

For processes only the time of exited threads is accumulated in ps_tu and
to get the proper process time usage tuagg_get_process() needs to be called.
tuagg_get_process() will sum up all procs p_tu plus the ps_tu.

This removes another SCHED_LOCK() dependency. Adjust the code in
exit1() and exit2() to correctly account for the full run time.
For this adjust sched_exit() to do the runtime accounting like it is done
in mi_switch().

OK jca@ dlg@

Fix comment for exit2() this code is called by sched_idle() not cpu_exit().
The note can be removed but add a comment that since this is called from
the idle process exit2() is not allowed to sleep.
OK jca@

octeon/cnmac: assume 1Gbps in the default case

avoids a division by 0 when up'ing the non-working cnmac2 on er-poe

feedback from visa@:
"The cnmac2 link is connected to a discrete Ethernet switch chip on the
PoE, and this link does not carry RGMII in-band PHY status.  If the code
were to support such hardware designs in the future, something like this
patch would be needed."

this diff from miod@, same diff from visa@ in 2017
(cf https://marc.info/?l=openbsd-bugs&m=151017517115440&w=2)
ok visa@

Pretend to clarify the way ipv6_asc() works

Give example IPv6 addresses to clarify what is meant with 1, 2 or 3 zero
length elements.

tb made me look.

perverted, twisted, crippled

Adjust regress for SPKAC removal

ok jsing

Adjust manpage for SPKAC removal

ok jsing

Remove spkac subcommand

Google killed efforts to have SPKAC in html5 by zapping it from chrome
a decade ago. This effort doesn't look like it's going anywhere:

https://datatracker.ietf.org/doc/draft-leggett-spkac/

Unfortunately, PHP and Ruby still support NETSCAPE_SPKI, so we can't
kill that code, but I see no real reason we need to support this in our
openssl command. If the need should arise we can write a somewhat less
poor version of this.

ok jsing

Remove spkac handling from openssl(1) ca

This is very poorly written code and now the only consumer of some
public API that should not have survived the turn of the millenium.

ok jsing

don't need return at end of void function

drm/amdgpu/atomfirmware: fix parsing of vram_info

From Alex Deucher
01f58871af9c2cffcb57b77336994e6bfe37c1f0 in linux-6.6.y/6.6.37
f6f49dda49db72e7a0b4ca32c77391d5ff5ce232 in mainline linux

drm/amd/display: Send DP_TOTAL_LTTPR_CNT during detection if LTTPR is present

From Michael Strauss
89d8a851543e1aab6ea5c8a06d02dbe982948508 in linux-6.6.y/6.6.37
2ec6c7f802332d1eff16f03e7c757f1543ee1183 in mainline linux

drm/i915/gt: Fix potential UAF by revoke of fence registers

From Janusz Krzysztofik
06dec31a0a5112a91f49085e8a8fa1a82296d5c7 in linux-6.6.y/6.6.37
996c3412a06578e9d779a16b9e79ace18125ab50 in mainline linux

drm/fbdev-dma: Only set smem_start is enable per module option

From Thomas Zimmermann
f29fcfbf6067c0d8c83f84a045da9276c08deac5 in linux-6.6.y/6.6.37
d92a7580392ad4681b1d4f9275d00b95375ebe01 in mainline linux

drm/drm_file: Fix pid refcounting race

From Jann Horn
16682588ead4a593cf1aebb33b36df4d1e9e4ffa in linux-6.6.y/6.6.37
4f2a129b33a2054e62273edd5a051c34c08d96e9 in mainline linux

drm/amdgpu: Fix pci state save during mode-1 reset

From Lijo Lazar
f16c10e05f1406576ddcb8dc598a661522959f75 in linux-6.6.y/6.6.37
74fa02c4a5ea1ade5156a6ce494d3ea83881c2d8 in mainline linux

drm/radeon/radeon_display: Decrease the size of allocated memory

From Erick Archer
41e58607a57c4c9963e2c736e1a8c90141207b69 in linux-6.6.y/6.6.37
ae6a233092747e9652eb793d92f79d0820e01c6a in mainline linux

Add device tree mapping for Lenovo Yoga Slim 7x.

ok kettenis@

remove unused i386_spurious()

remove unused ufs_ihashlookup()
ok mlarkin@

rework the "random" text:
- add "~" to the valid field table, as pointed out by sthen
- note that the value is generated whenever the tab is loaded,
as requested by K R
- clarify the text, as pointed out by deraadt

ok stehn millert

remove ampintc_intr_string(), unused on arm64
ok mlarkin@ kettenis@

remove unused nfs_null()
ok miod@ mlarkin@

octeon/cnmac: Skip the switch port (cnmac2) on the 5-ports EdgeRouter POE

it doesn't work as is and would need a separate driver ?
based on a 2017 diff from visa@
ok visa@

Fix last commit; the flag has a slightly different prefix

When trying to enable multiple MSI vectors, check the flag first whether
or not it's supported.  This allows qwx(4) to properly handle missing
support for that and switch back to a single MSI vector.

ok kettenis@

On Qualcomm machines, make use of the in-built MSI functionality in case
we don't have an msi-map pointing us to the GIC-MSI.  This enables MSIs
on the Snapdragon X Elite or the Lenovo x13s in case it's running an
unpatched DTB.

ok kettenis@

Only call qwx_dp_service_srng() if ext irq is enabled.  It would be nicer
if we could simply call the ext irq handler which already does that, but
that is requiring the irq groups to be set up to point to our softc, so
let's just check it again.  This allows single-msi vectors to behave.

ok stsp@

remove unused vn_isdisk(), added for softdep
ok kn@

fix grammar: "a pattern lists" -> "one or more pattern lists"

Implement support for version 7 controllers.  These have two separate
SPMI busses but we only support the first one for now.  Adding support for
the second bus will need some more surgery.

ok patrick@

Only override the time offset in rtcinfo[0] when setting the time; don't
touch rtcinfo[1] and rtcinfo[2].  This doesn't actually fix anything
but rtcinfo[1] on a new machine already contains the value we write into
it and we don't really know what the other bits are used for.

ok patrick@

Support the ACPI GPIO pins necessary to support the keyboard, touchpad
and touchscreen on the Qualcomm Snapdragon X Elite (X1E80100) laptops
Asus Vivobook S15 and Lenovo Yoga Slim 7x.

ok kettenis@

the port to listen on is an optional argument; the default port number
is 1812 for authentication and 1813 for accounting.

ok jmc@, yasuoka@

only "decorate-by" is currently supported by the grammar specification.

ok jmc@, yasuoka@

Implement IPv6 forwarding IPsec only.

IPsec gateways set the forwarding sysctl to 2.  While this worked
for IPv4 since a long time, adapt this feature for IPv6 now.  Set
sysctl net.inet6.ip6.forwarding=2 to forward only packets that have
been processed by IPsec.

Set IPV6_FORWARDING_IPSEC in ip6_input() and pass the flag down to
the call stack.  This provides consistent view on global variable
ip6_forwarding.  In ip6_output() or ip6_forward() drop packets that
do not match the policy.

OK denis@

make the CONFIGURATIONS list -compact to fox the item spacing;

fix SEE ALSO;

- tidy "authenticate" and "account" commands using Xo/Xc
- decoratd -> decorated (fix proposed by sobrado too)
- fix grammar in "account" description

ok yasuoka

Revert "Make daily(8) reporting services that are running"

Stop daily(8) mails with false information on rogue services.

OK florian@, solene@

remove uvm_addr_align() and uvm_addr_align_back()

not to be confused with uvm_addr_align_forward() and
uvm_addr_align_backward() which remain in uvm_addr.c

ok mlarkin@

Right now MSIs don't work on the Qualcomm Snapdragon X Elite (X1E80100).
This is the first and only platform so far where we have seen larger devbits
than we can initially support.  For now, stop registering the MSI controller
if we encounter this.  With this, PCIe devices use SPIs and work correctly.
At some point we can hopefully rip this thing out again.

ok kettenis@

Add device tree mapping for Asus Vivobook S15.

ok deraadt@

Map BUS_SPACE_MAP_PREFETCHABLE to Normal-NC.  There are other memory
attributes that could map to what we call write-combining on x86, but
this is what Linux uses.  This speeds up framebuffer access significantly.

ok patrick@

Switch to a table for mapping smbios vendor/product to device tree file
name.  Check for a partial match of the vendor like we already do for the
product.  This will help adding more machines to the list.

ok patrick@, deraadt@

Fix typo

Reported by Marco D'Itri

Add missing "module standard".  It is needed before use it.

remove __mp_release_all_but_one(), unused since sched_bsd.c rev 1.92
ok claudio@

regen

Add Qualcomm X1E80100

Fix unintended comparison between signed and unsigned integer.
C type conversion rules are hard, let's go shopping.

ok patrick@

Support the Qualcomm Snapdragon X Elite (X1E80100) PCIe controller.  We do
not do anything fancy for the SC8280XP either, so treat it equally.

ok kettenis@

From what we currently use, the Qualcomm Snapdragon X Elite (X1E80100)
GPIO controller is to be treated equally as the SC8280XP, apart from
the new one having a few more pins.

ok kettenis@

Give the Qualcomm Snapdragon X Elite (X1E80100) the same treatment as its
predecessors and don't touch the SMMUv2.

ok kettenis@

Read IPsec forwarding information once.

Fix MP race between reading ip_forwarding in ip_input() and checking
ip_forwarding == 2 in ip_output().  In theory ip_forwarding could
be 2 during ip_input() and later 0 in ip_output().  Then a packet
would be forwarded that was never allowed.  Currently exclusive
netlock in sysctl(2) prevents all races.

Introduce IP_FORWARDING_IPSEC and pass it with the flags parameter
that was introduced for IP_FORWARDING.

Instead of calling m_tag_find(), traversing the list, and comparing
with NULL, just check the PACKET_TAG_IPSEC_IN_DONE bit.  Reading
ipsec_in_use in ip_output() is a performance hack that is not
necessary.  New code only checks tree bits.

OK mvs@

Use correct idiom to get mac addresses from ethernet-like interfaces.

This unbreaks rad(8) on top of carp(4).

OK deraadt, bluhm

sync

minor cleanups, especially DPADD

The traditional LL/SC atomics perform poorly on modern arm64 systems with
many CPU cores.  With the recent conversion of the sched lock to a mutex
some systems appear to hang if the sched lock is contended.  ARMv8.1
introduced an LSE feature that provides atomic instructions such as CAS
that perform much better.  Unfortunately these can't be used on older
ARMv8.0 systems.  Use -moutline-atomics to make the compiler generate
function calls for atomic operations and provide an implementation for
the functions we use in the kernel that use LSE when available and fall
back on LL/SC.

Fixes regressions seen on Ampere Altra and Apple M2 Pro/Max/Ultra since
the conversion of the sched lock to a mutex.

tested by claudio@, phessler@, mpi@
ok patrick@

Do not attach acpitz(4) if the _STA method indicates that a thermal zone
isn't present.  While it isn't clear whether _STA applies to thermal zones
according to the ACPI standard, this prevents issues on the Asus Vivobook S15.

ok miod@, patrick@, deraadt@

spelling, grammar, macro fixes for previous;

Support numpad on newer macppc Apple PowerBooks

This is for newer PowerBooks with ukbd(4), and doesn't affect older
models with akbd(4).  The Fn key now makes a numpad,

     7  8  9  0  -          7  8  9  /  =
      U  I  O  P      =>     4  5  6  *
       J  K  L  ;             1  2  3  -
           M  .  /                0  .  +

Also, Fn+F6 is Num Lock.  This acts like Num Lock on other USB
keyboards, and unlike Num Lock on akbd(4).

From jon (at) elytron (dot) openbsd (dot) amsterdam

remove oga's copyright notice, none of those changes remain

remove unused agp_flush_cache_range()

remove unused agp_map functions
last use (in inteldrm) was removed in March

Fix previous.  The place of "accounting" was wrong.

Add support for RADIUS accounting.

Change the syntax for "module" and "authenticate".  "module" can have
a {} block now.  On the other hand, "authentication" can be without a
{} block.  The previous syntax is still accepted.  Also make
specifying the path of "module" be optional.

Stop scheduling an I/O event by the timer when the imsg_buf has the data
larger than the imsg header. It prevented the receiver from receiving the
following parts of the message.

signal handler must use the save_errno dance, and massage a variable
of type 'volatile sig_atomic_t'
ok tb

missing save_errno dance inside non-terminal signal handler

tidy up the text in previous; ok yasuoka

Enclose IPv6 address in a square bracket if the address is used with
the port number.

ok florian tobhe

Don't crash if we can't read the temperature for a zone while polling it.

ok dv@

Explicit TLS handshake with syslog client.

Add a new TLS handshake callback for incoming connections.  This
will allow to inspect the client certificate later.  For now only
print a debug message and check it in regress.

with and OK henning@

Modify IPCP to use {D,NB}NS servers from RADIUS.  Also move the
radius related functions from ppp.c to npppd_radius.c.

Exit with an error code when error or module die.
CVS ----------------------------------------------------------------------

Set SO_REUSEADDR for the listening socket.  This makes radiusd(8)
can bind both on an interface address and a wildcard address.

openssh-9.8

when sending ObscureKeystrokeTiming chaff packets, we can't
rely on channel_did_enqueue to tell that there is data to send.
This flag indicates that the channels code enqueued a packet
on _this_ ppoll() iteration, not that data was enqueued in _any_
ppoll() iteration in the timeslice. ok markus@

Call daemon(3) before parse_config() since parse_config() of radiusd(8)
starts some sub processes and parent-child relationship with them must
be kept.  But we want to show config error on stderr, so keep stdio
files open and close them after parse_config().