sed: use warn()/err() where appropriate

Use warn()/err() instead of sed's homegrown warning()/error() for
things other than parser problems.  The warning()/error() functions
display the file and line number in addition to the error message.
This also removes of the COMPILE/FATAL argument to error() since
now all calls to error() are for compilation/parsing issues.
OK op@ espie@

Add Message-Authenticator attriubte when sending Access-Request.

ok millert

Add RCS id

Clean up the cpi_id_aa64xxx variables at the end of autoconf such that
sysclt(2) and ID register access emulation can share the variables.

ok jca@

Enable regress for SSL_CIPHER_get_handshake_digest()

Turns out this is already linked statically.

sync

Rework cipher find test to also provide coverage for SSL_CIPHER_*()

Be clear that RUSAGE_CHILDREN only works for terminated children that have
been waited for. If you SIG_IGN SIGCHLD or don't call any of the wait
functions then RUSAGE_CHILDREN wont report anything.
OK deraadt@ millert@

Fix some gcc warnings

minor repairs

Error if config parameter is unknown.  This also fixes a gcc warning.
spotted by deraadt

Document "authentication-filter".

Decrypt "Password" attribute always before passing the packet to
modules.  Also, don't assume the authenticator of the packet from the
module that has no secret is valid.

Delete log_info() line for debug.

Sync struct proc P_BITS with reality.

Remove "\027XX" (old systrace flag) and "\035SOFTDEP".
OK jsg@

Fix indent

Display an error message for "sed -i" if the file is unwritable

Previously, sed would fail silently if it was unable to move the
temporary file into place.  Also allow "sed -i" on symbolic link--the
link will be broken but this matches GNU sed behavior.  From espie@
OK op@

Update regress for removal of SSL_HANDSHAKE_MAC_DEFAULT.

Clean up SSL_HANDSHAKE_MAC_DEFAULT.

The handshake MAC needs to be upgraded when TLSv1.0 and TLSv1.1
ciphersuites are used with TLSv1.2. Since we no longer support TLSv1.0
and TLSv1.1, we can simply upgrade the handshake MAC in the ciphersuite
table and remove the various defines/macros/code that existed to handle
the upgrade.

ok tb@

Fix .Ox for SSL_CIPHER_get_handshake_digest()

sync

Only perform the static_assert checks in C>=11 environment; unbreaks build
on platforms using gcc.

Fix the SIGHUP signal race.  ed's "event loop" operates a getchar(); check
the hup flag before and after that call, when the buffer structures are stable
for write_file() to work.  Remove the hup handling from the SPL0() macro,
because this is run in at least one place during structure instability.
The SIGINT handler, which uses siglongjmp(), is also trusting the SPL1/SPL0
dance more than it should.
ok millert

match on Atom C3000
from and tested by Brendan Shanks

Switch the EVP_PKEY_*attr* API to LCRYPTO_UNUSED()

This would have prevented the PKCS12 oopsie.

Fix PKCS12_create()

This tries to copy some microsoft attributes which are not usually present
and chokes on the now disabled EVP_PKEY_*attr* API. Instead of reviving
about four layers of traps and indirection, just inline the two functions
in a way that should be more obvious.

found by anton via the ruby-openssl tests
ok jsing

Make the touchpad on the Samsung Galaxy Book4 Edge work.

ok patrick@

Mop up TLS1_PRF* defines.

These have not been used for a long time, however SSL_CIPHER was not opaque
at the time, hence they had to stick around. Now that SSL_CIPHER is opaque
we can simply mop them up.

ok tb@

Add e2fs_fsmnt, and the newly defined e2fs_kbytes_written to the list of
fields that can differ between the primary and 1st backup superblock.

This fixes fsck issues I've encountered on my system with a shared home
partition.

OK miod@

Add ext4 field definitions. Taken from NetBSD, with some cosmetic
changes to keep it in line with our style.

OK miod@

fix signature of main()

Add support for the RK3588 eMMC controller.  This is mostly the same, with
some HS400 bits that we don't support yet.  While there, fix some constants
that weren't applied to the correct registers.

ok dlg@

Add RK3588 eMMC clocks and resets.

ok dlg@

sync PS_BITS with flags; ok claudio@

bioctl.8:
- tweak bioctl text
- don;t repeat the device examples
- reinstate softraid device being always softraid0

usage():
- add vertical blank between two formats
- rewrap to match 80col (shorter and matches man)

feedback/ok krw kn

enable warnings and apply a dash of knfmt

ocurred -> occurred

This change allows user to define table inside the anchor like that:
anchor foo {
table <bar> { 192.168.1.1 }
pass in from <bar> to <self>
}
Without this diff one must either create table <bar> in main
ruleset (root) or use 'pfctl -a foo -t bar -T add 192.168.1.1'
This glitch is hard to notice. Not many human admins try to attach
tables to non-global anchors. Deamons which configure pf(4) automatically
at run time such as relayd(8) and spamd(8) create tables attached to
thair anchors (for example 'relayd/*') but the deamons use way similar
to pfctl(8) to add and manage those tables.

The reason why I'd like to seal this gap is that my long term goal
is to turn global `pfr_ktable` in pf(4) into member of pf_anchor.
So each ruleset will get its own tree of tables.

feedback and OK bluhm@

Add missing <machine/elf.h> for compound arches.

The spice^Wkernel must flow^Wbuild.

Unlock IPv6 sysctl net.inet6.ip6.forwarding from net lock.

Use atomic operations to read ip6_forwarding while processing packets
in the network stack.
To make clear where actually the router property is needed, use the
i_am_router variable based on ip6_forwarding.  It already existed
in nd6_nbr.  Move i_am_router setting up the call stack until all
users are independent.
The forwarding decisions in pf_test, pf_refragment6, ip6_input do
also not interfere.
Use a new array ipv6ctl_vars_unlocked to make transition of all the
integer sysctls easier.  Adapt IPv4 to the new style.

OK mvs@

enable warnings and fix complaints

fix SEE ALSO and a word tweak;

grammar and macro tweaks;

zap a stray Nd line;

Add radiusd_file(5) and link it from radiusd.conf(5).

Add new radiusd_eap2mschap module.  It provides conversions from EAP
to MSCHAPv2.

Shuffle verbiage to make page more general. e.g. by mentioning
nvme(4).

Feedback jmc@ jmatthew@ deraadt@ kn@

ok jmc@ kn@

Rewrite EVP_PKEY_add1_attr_by_NID()

Instead of jumping through many layers that cause headache, we can achieve
the same in an entirely straightforward way without losing clarity.

ok jsing

Disable most EVP_PKEY_*attr* API

There is a single consumer of this entire family of function, namely
the openssl(1) pkcs12 command uses EVP_PKEY_add1_attr_by_NID, so leave
that one intact for now.

ok jsing

Forgot to annotate the TMP UGLY CAST[S] as requested by jsing

h/t to levitte

Document SSL_CIPHER_get_handshake_digest(3)

Fix source and drain confusion in socket splicing somove().

If a large mbuf in the source socket buffer does not fit into the
drain buffer, split the mbuf.  But if the drain buffer still has
some data in it, stop moving data and try again later.  This skips
a potentially expensive mbuf operation.
When looking which socket buffer has to be locked, I found that the
length of the source send buffer was checked.  Change it to drain.
As this is a performance optimization for a special corner case,
noone noticed the bug.

OK sashan@

Prepare to provide SSL_CIPHER_get_handshake_digest()

Needed by newer freeradius. This is a straightforward implementation that
essentially duplicates tls13_cipher_hash().

ok jsing

Move radius_attr_{,un}hide() to radius_subr.c.

Add "authentication-filter".  Add new 2 imsg types so that
authentication modules can request the next authentication and the
next authentication can receive the result of the previous and modify
the result.

Set length of MPPE send/recv key.

Remove lhash_local.h.

lhash_local.h was previously needed since conf/conf_api.c and
objects/obj_dat.c were fiddling with lhash internals when deleting via a
callback. Since we no longer need to do that, inline the structs in
lhash.c and remove the header.

ok tb@

Zap trailing whitespace

Dummy commit to trigger the git exporter.

Only match if we can find a corresponding cpu device.  This means the
many extra ACPI0007 instances found in current generation servers no
longer fill up dmesg with noise.

ok kettenis@

For specific hids (currently only ACPI0007, acpicpu(4)), use a print
function that always returns QUIET so instances that don't get matched
are not reported.

ok kettenis@

Add radiusd_file(8) module.  It provides authencation by a local file.

Add "radiusd" field to struct radius_query.

Fix printf(3) signal safety for wide character strings.

The %ls (wide char string) support in printf(3) currently uses
malloc(3), which violates the promise in in sigaction(2).  This
makes it use mmap(2) instead.  OK deraadt@

Fail explicitly on unexptected imsg->hdr_type. Otherwise the following
comparison is undefined.

Actually provide *definitions* for hwcap & hwcap2

Double checked by kettenis@

Sorry for the time window with breakage visible on arm64 and riscv64. :-/

Actually set up hwcap AUX_* entries when available

Erroneously dropped from the last elf_aux_info(3) diff I sent on tech@.
Lack of this chunk would affect arm64 and riscv64 as they're the two
architectures providing hwcap*.

Should have been ok kettenis@

Mistakenly the same challenge is used for testing CHAP.

Make the lines of md5chap understandable.

In addition to setting the PCI power state, also run the appropriate _PSx
method that matches the target state.

ok deraadt@

Upon first suspend, turn off all power resources that haven't been
referenced.

ok deraadt@

fix double word; ok dtucker@

Add wcsnlen(3) declaration, missed in previous.

Sync sets after elf_aux_info(3) and wcsnlen(3) additions + libc bump

Bump minor after elf_aux_info(3) and wcsnlen(3) additions

Add wcsnlen(3), wcslen(3) with a max len argument

Missing function hit by fcambus@ some time ago.  ok millert@

Add elf_aux_info(3)

Designed to let userland peek at AT_HWCAP and AT_HWCAP2 using an already
existing interface coming from FreeBSD. Headers bits were snatched from
there.  Input & ok kettenis@

libc bump and sets sync will follow soon

sync

Add /usr/X11R6/include/va. ok tb@

sync slaacd(8) log.c to dhcpleased(8)'s version.

We don't built log.c on the ramdisk so no need for ifndef small.

log_getverbose() is a void function

pointed out by tb

sync slaacd(8) log.h to dhcpleased(8) log.h

- include stdlib.h for exit(3)
- knf fixes
- define log_getverbose as (0) instead of 0

input & OK tb

vmm(4)/vmx: update host cr3, invept on cpu migration.

Since vmm handles nested page faults in the vcpu run loop, trying
to avoid trips back to userland, it's possible for the thread to
move host cpus. vmm(4) already updates some local cpu state when
this happens, but also needs to update the host cr3 in the vmcs to
allow vmx to restore the proper cr3 value on the next vm exit.

Additionally, we should be flushing the ept cache on the new cpu.
If the single context flush is available, use that instead of the
global flush.

ok mlarkin@

Unbreak tree by defining log_getverbose() for SMALL builds

ok anton florian

"please refer" -> "refer"

missed in 2022 "remove please from manual pages" commit
ok tb@

new sentence, new line

spelling

spelling

mmio.c is now empty and can be removed

mmio.c was moved to x86_mmio.c with dv@'s recent refactoring. The resulting
empty file can be removed now.

ssl2.h and ssl23.h join the party in the attic

Now that the SSL2 client hello support is gone, nothing uses this anymore,
except that a few ports still need SSL2_VERSION.

ok beck

Make error constants const in libssl

This could be made cleaner if we expose ERR_load_const_strings(), but for
now this hackier version with casts achieves the same and removes the last
unprotected modifiable globals in this library.

ok jsing

Move the sigaction next to multi

Reduces diff in -portable

Add missing RCS header to vmd(8)'s vmm.h.

Apparently it never had one. It's rarely touched, so went unnoticed.

Reduce if_indextoname(3) usage.

Don't ask the kernel to translate an if_index to a name if we are not
running with verbose logging, it's not free.

Implement some more suspend/resume Linux compat such that inteldrm(4) can
achieve RC6 and save a significant amount of power for S0i.

ok jsg@

Mention nvme(4) and gdt(4) as devices that register with bio(4).

ok deraadt@

Unify X.509v3 extension methods

Use C99 initializers for all structs (some were forgotten).
Make all the structs static, call them x509v3_ext_* matching NID_*.
Add accessors called x509v3_ext_method_* and use these to implement
X509V3_EXT_get_nid().

This adds consistency and avoids a few contortions like grouping
a few extensions in arrays to save a couple externs.

ok beck jsing

Revert the vdoom change, while it prevents the crashes on joel's go
builder and avoids the ufs_inactive problems, bluhm hits panics on
shutdown and filesystem unmount on the regress testers.

We'll have to try the other approach of detecting the corrupted
vnode perhaps.

NULL check must be inside the loop.  found tobhe

ok tobhe

Fix radius.c again^2.  Cancel previous and revert the latest one
(sent to tech@).

Fix radius.c again.  Previous was old one.