new manual page EVP_PKEY_add1_attr(3) documenting nine functions
for associating X.501 Attributes with private keys

Make error handling in IPsec consistent.  Pass errors to the callers.
OK tobhe@

Revert "Preserve select(2) semantics when the other end of the pipe is gone".

The logic to emulate the current poll/select behavior is better implemented
at the syscall layer and not in the kqueue backend.

Discussed with deraadt@, ok anton@

oops, missed unused variable in previous

Make EVFILT_EXCEPT handling separate from the read filter.

This is a change of behavior and events wont be generated if there
is something to read on the fd.  Only EV_EOF or NOTE_OOB will now
be reported.

While here a new filter for FIFOs supporting EV_EOF and __EV_HUP.

ok visa@

config_new_empty() should give us a completely empty config, let
parse_config() handle the case of defaults. This prevents the resolver
process from spinning up resolver strategies before the config has
been parsed and tearing them down immediately after if they are not
listed in the config files preferences section.

OK kn

Update to tzdata2021e from iana.org.  Major changes:
 o Palestine will fall back 10-29 (not 10-30) at 01:00.
 o Fiji suspends DST for the 2021/2022 season.
 o Move some backward-compatibility links to 'backward'.
 o Rename Pacific/Enderbury to Pacific/Kanton.

Mask LPI interrupts.  This fixes an interrupt storm on dwge(4) variants
that support Energy Efficient Ethernet when connected to a switch that
also supports Energy Effient Ethernet.  For example on the odroid-hc4.

ok patrick@

Honour enabled resolvers to keep unused forwarders actually disabled

An unwind.conf like the following would still query forwarders,
both "." periodically and any explicit "example.com." queries:

preference { recursor autoconf stub }
forwarder { 2001:db8::1 }
force accept bogus forwarder { example.com. }

That's because the forwarder and resolver children processes start with
the default configuration and main later sends them the effective user
configuration;  merging them, however, would ignore the list of enabled
resolvers, i.e. those listed in the `preference {}' block and thusly
cause children to always have all forwarders enabled (as is by default).

Copy the resolvers list during merge to fix this and restore expected
behaviour.

(Noticed during tests with "forwarder" temporarily removed from
`preference {}' while leaving the rest as is:  my VPN interface serving
that forwarder showed DNS traffic while it was supposed to be silent.)

OK florian

new manual page X509at_add1_attr(3)
describing five functions to change arrays of X.501 Attribute objects

fix a gratuitiously different argument name

After deleting hifn(4) the only provider for the LZS compression
algorithm is gone.  Reomve all LZS references from the tree.  The
v42bis in isakmpd also looks unsupported.
OK mvs@ patrick@ sthen@

new manual page X509at_get_attr(3)
documenting five X.501 Attribute read accessors

First step of cleanup in the io land. Introduce io_buf_new() and
io_buf_close(). These function will inject a size of the the buffer
at the beginning of the buffer and will allow the read size to be
switched to proper async IO.
OK benno@

Implement --compare-dest in open compare-dest allows you to add
additional directories to check for files to be available.
OK benno@

Prevent mem leaks in the (unlikely) event that getaddrinfo returns
no addresses.  ALso, remove an unneeded NULL check in addr_ntop.
From khaleesicodes via github PR#281, ok deraadt@

Put back sys/types.h and sys/socket.h. The latter was unintentionally
removed and the former is still needed, as pointed out by kettenis

When reading the symlink value during the fts travers use ent->fts_accpath
since the fts traverse does chdirs for performance reasons.
OK deraadt@

Fix some ghastly whitespace. From Martin Vahlensieck

Use unsigned char instead of u_char in base64.c. This is a mild
portability annoyance since not all systems have u_char. Remove
the now unused includes sys/types.h and stdio.h.

u_char diff from Jonas Termansen

ok deraadt

Garbage collect an unused variable.

Stop setting enc.modified manually. It's no longer needed.

Remove unnecessary semicolons in case statements. From khaleesicodes
via github PR#280.

Fix typos in comments.  From khaleesicodes via github PR#280.

return unsupported version for version less than HTTP/0.9 and higher
than HTTP/1.9. Downgrade version >= HTTP/1.2++ to 1.1.

Found by "J. K." (openbsd DOT list AT krottmayer DOT com)
ok claudio@

regen

add Intel ADL-S and ADL-P graphics ids Mesa matches

fix a GMA600 id while here

Remove last dangling usage of CRYPTO_F_NOQUEUE.

ok tb@

sync

knf nits

add pipe select hangup test case; ok mpi@

Preserve pipe select(2) semantics when the other end of the pipe is gone.
In preparation for implementing select(2) on top of kqueue.

ok mpi@

One could end up with the wrong encoding in xenocara while having a ucc
keyboard attached and /etc/kbdtype being present. The advertised
encoding of a wsmux is a bit fragile as the last attached device will
dictate it. If this happens to be a ucc keyboard, KB_US will always be
the advertised encoding as its encoding is immutable and /etc/kbdtype is
ignored.

Instead, do not advertise the encoding for ucc devices when the parent
mux queries its attached devices. However, asking the device directly
(i.e. bypassing the mux) still returns the encoding as wsconsctl(8)
would otherwise report an error.

Thanks to landry@ for the report and testing.

Remove more dead code related to crypto task queues.

Remove code to run crypto operations in a task queue. The code was
not reachable because all callers had set the CRYPTO_F_NOQUEUE flag.

ok patrick@ mvs@ bluhm@

Simplify the description of RETURN VALUES.
After tb@'s commit x509/x509_lu.c rev. 1.33, it is no longer necessary
to talk about X509_LU_* constants as return values from these functions.
Feedback and OK from tb@.

Initialize interrupts to G1NS by configuring IGROUPR and IGRPMODR.  This
makes interrupts work with Parallels on the Apple M1.

Tested by patrick@ on Ampere eMAG and MacchiatoBin
Tested by fkr@ on Pinebook Pro
ok kettenis@

Release solock() before call unp_internalize() and take it within when
access garbage collector data.

This is the next step to make UNIX domain sockets locking fine grained.
This also moves M_WAIT/M_WAITOK allocations out from `unp_lock' rwlock(9).
The lock order between fdplock() and `unp_lock' changed and now fdplock()
should be taken first. This was not required, but helps to mpi@'s knote(9)
related work.

ok bluhm@

regen

add Gemini Lake MEI; from fkr

Remove hifn(4), safe(4), and ubsec(4) crypto drivers.  They require
the asynchronous crypto API which makes progress in MP difficult.
The hardware is rarely available.  They support only obsolete crypto
algorithms.  Scheduling crypto tasks via PCI is probably slower
than the CPU, especailly as modern CPUs have their own accelerators.

Have ampintcmsi(4) go through the list of interrupt controllers to find the
correct parent.  So far we were directly calling some ampintc(4) code, which
is fine for regular hardware.  With Parallels on the Apple M1, ampintcmsi(4)
is combined with agintc(4), which is quite a surprise.  Luckily both types of
interrupt controllers use the same API for passing interrupt information, so
we can craft one structure and both ampintc(4) and agintc(4) will happily work
with it.

ok kettenis@

Simplify a return value check for X509_STORE_get_by_subject() now
that we know that it only returns 0 or 1.  Eliminate the last uses
of X509_LU_{FAIL,RETRY}.

ok jsing

Set enc.modified if the X509_REQ is going to be modified.

ok jsing

new manual page X509_ATTRIBUTE_set1_object(3)
documenting five X.501 Attribute write accessors

Sync parts of X509_STORE_get_by_subject() with OpenSSL

Initialize stmp.type and stmp.data.ptr so that a user-defined lookup
method need not take responsibility of initializing those. Get rid of
current_method, which was never really used. Stop potentially returning
a negative value since most callers assume Boolean return values already.

In addition, garbage collect the pointless j variable.

ok jsing

Document commands used to send VM IP to Xen host

OK kn@

Prepare to make X509 opaque.

ok jsing

Clean up the naming of SNMP_C_GETNEXTREQ and SNMP_C_RESPONSE inside
smi_debug_elements

OK sthen@

libtls: Don't reach into X509_STORE_CTX.

ok jsing

s/SNMP_C_GETRESP/SNMP_C_RESPONSE

OK sthen@

Switch from X509_VERIFY_PARAM_set_flags() to X509_STORE_set_flags().
This reduces the number of reacharounds into libcrypto internals.

ok jsing

isakmpd: prepare for opaque X509_STORE_CTX struct.

ok benno

isakmpd: prepare for opaque X509_EXTENSION struct. This needs to use
an accessor instead of reaching directly into the struct.

ok benno

Add XKU_ANYEKU #define and use it to cache the anyExtendedKeyUsage
extension. This is part of OpenSSL commit df4c395c which didn't make
it into our tree for some reason.

ok jsing

Remove 'disk' editing command. Determining the disk geometry on startup (from
-l, -c/-h/-s or DIOCGPDINFO) should be enough for anyone.

Prepare to provide X509_get_X509_PUBKEY() as a function.

ok jsing

when a client sends header lines without a colon, respond with 400 Bad
Request instead of 500 Internal Server Error.
ok claudio@

Avoid sys/param.h, or annotate reasons for including where required.
This includes using HOST_NAME_MAX and PATH_MAX
in snaps for around 3 weeks, noone noticed a change in behaviour.

Move vfs_stall_barrier() from the fd layer into vn_lock() and the vfs layer.
vfs stalling is used by suspend/resume and by vmt(4) to stall any
filesystem operation from altering the state on disk. All these
operations will call vn_lock and be stalled. Adjust vfs_stall_barrier()
to allow the lock owner to still progress so that suspend can sync
the filesystems after stalling vfs operation.
OK mpi@

Bump to LibreSSL 3.5.0

Remove duplicate variable ibytes, use plen instead.

ok bluhm@

Eliminate a dead assignment and a weird cast. Adjust a comment to
reality while there.

ok jsing

Correctly adjust the end pointer for a two character terminator before
decoding OSC 52 response, from Daniel Ekloef in GitHub issue 2942.

Print uid with %u instead of %i.

Prompted by a diff by Jonas Termansen, discussed with deraadt, millert

ok jsing

Use *printf %d instead of %i

ok jsing

Avoid potential NULL dereferences in dtls1_free()

ok jsing

Show error if user option doesn't exist, GitHub issue 2938.

Retrieve the actual engineid instead of a pointer value.

OK tb@

Sync ober_oid_cmp with ax_oid_cmp from libagentx.
This flips the returned signedness and adds the weight of 2 for
parent-child relationship in both direction.

This makes ober_oid_cmp consistent with the rest of the *_cmp based
functions.

OK tb@

sync

drm/edid: In connector_bad_edid() cap num_of_ext by num_blocks read

From Douglas Anderson
a7b45024f66f9ec769e8dbb1a51ae83cd05929c7 in linux 5.10.y/5.10.75
97794170b696856483f74b47bfb6049780d2d3a0 in mainline linux

Add missing semicolon at the end of the listen_udptcp rule

ok otto@

document ASN1_STRING_set_by_NID(3)
and the three functions related to the global mask

new manual page ASN1_mbstring_copy(3)
also documenting ASN1_mbstring_ncopy(3)

Remove a TODO comment.

Add -T to set a popup title, from Alexis Hildebrandt in GitHub issue 2941.

Do not ignore carp(4) interfaces.
Problem reported by Guy Godfroy on bugs, thanks!

revert vnode: remove VLOCKSWORK and check locking when vop_islocked != nullop
(both kernel and userland bits)

GENERIC + VFSLCKDEBUG is broken with it.

sync

new manual page X509_ATTRIBUTE_get0_object(3)
documenting the four X.501 Attribute read accessors

document X509_ATTRIBUTE_create(3) and X509_ATTRIBUTE_dup(3)

Move get_default_mbr() invocation before DISK_open() invocation and remove
"rpath wpath" from the pledge() invocation. Makes default_dmbr information
available to DISK_open().

No intentional functional change.

document X509_get_pubkey_parameters(3) in a new manual page

more precision, fewer words

vnode: remove VLOCKSWORK usage in pstat and mention in man pages

unbreak the tree. found hard way by tb@

ok tb@ which have the same diff

Same as -N, don't send if 0 arguments and -R.

document i2d_PrivateKey_bio(3) and i2d_PrivateKey_fp(3)

install X509_PKEY_new(3)

document X509_PKEY_new(3) and X509_PKEY_free(3)

vnode: remove VLOCKSWORK and check locking when vop_islocked != nullop

This flag is currently used to mark or unmark a vnode to actively
check vnode locking semantic (when compiled with VFSLCKDEBUG).

Currently, VLOCKSWORK flag isn't properly set for several FS
implementation which have full locking support. This commit enable
proper checking for them too (cd9660, udf, fuse, msdosfs, tmpfs).

Instead of using a particular flag, it directly check if
v_op->vop_islocked is nullop or not to activate or not the vnode
locking checks.

ok mpi@

vnode: do not manipulate vnode lock directly

use VOP_LOCK / VOP_UNLOCK wrappers.

VOP_LOCK() is prefered over vn_lock() here in order to keep equivalent code.

ok mpi@ visa@ (as part of larger diff)

vnode: deadfs: do not call v_op->vop_lock directly, use VOP_LOCK() wrapper

ok mpi@ visa@ (as part of larger diff)

Don't bother decoding a partition's c/h/s start or end from the MBR read from
disk.

The decoded values were overwritten by an invocation of PRT_fix_CHS() before
they were used.

document X509_VERIFY_PARAM_inherit(3) and X509_VERIFY_PARAM_set1(3)

r1.66 (May 2014) introduced a two #if 0/#else/#endif chunks to avoid "over
optimistic alignment expectations" when extracting a uint32_t field from a
packed struct.

r1.70 (March 2015) removed one of the two #if 0 chunks, realizing there was no
real gain to be had even if various compilers were ever able to intuit the
expected alignment.

Belatedly nuke the other #if 0 chunk and always memcpy() the uint32_t values out
of the struct.

split seven functions out of the page X509_VERIFY_PARAM_set_flags(3), which
is becoming excessively long, into a new page X509_VERIFY_PARAM_new(3);
no content change

Fix menu width containing disabled items, from Alexis Hildebrandt in
GitHub issue 2935.

Spacing fixes from Alexis Hildebrandt.

Remove duplicate options, spotted by Ricky Cintron.