sync

tweak for the generated source

more symbols that are postponed or intentionally undocumented and
some regexp tweaks; the relevant parts of asn1.h are nearing completion

forgotten .Dv macros in -column lists

add roff(7) comments listing some M_ASN1_* aliases
that are intentionally undocumented

delete incorrect comment about sys/cdefs.h

To cache lookups, the policy ipo is linked to its SA tdb.  There
is also a list of SAs that belong to a policy.  To make it MP safe,
protect these pointers with a mutex.
tested by Hrvoje Popovski; OK mvs@

Consolidate ASN.1 universal tag type data.

There are currently three different tables in three different files that
contain information about ASN.1 universal class tag types. Range checking
is also implemented in three different places (with different
implementations).

Consolidate all of this into a single table, provide a lookup function that
deals with the range checks and wrappers to deal with specific types.

ok inoguchi@ tb@

Add regress coverage for ASN1_get_object()

Add regress for ASN1_tag2bit() and ASN1_tag2str()

Add new 'unsopassgc' test. This test tries to beak unix(4) sockets garbage
collector and make it to clean `so_rcv' buffer of alive socket. Successful
breakage should produce kernel panic.

ok bluhm@ mpi@

Move 'unixsock' test from regress/sys/kern/unixsock/ to
regress/sys/kern/unixsockets/.

ok claudio@

Remember to clear __EV_HUP when the other end of the FIFO has re-opened.

document the very quirky behaviour of the SMIME_OLDMIME flag

Cover all state checks and updates with spltty() in filt_ttyread().

new manual page SMIME_text(3)

new manual page SMIME_read_ASN1(3)
using parts of the text from SMIME_read_CMS(3) and SMIME_read_PKCS7(3)

Move raw pubkey bytes to EVP_PKEY conversion to common function.

ok markus@

drm/syncobj: Deal with signalled fences in drm_syncobj_find_fence.

From Bas Nieuwenhuizen
2737d0bc21b6db199b4145e12b9f1745577d7944 in linux 5.10.y/5.10.85
b19926d4f3a660a8b76e5d989ffd1168e619a5c4 in mainline linux

drm/amdkfd: fix boot failure when iommu is disabled in Picasso.

From Yifan Zhang
f3d9114ac99f4358809f44b390b304b8b53fb4a4 in linux 5.10.y/5.10.85
afd18180c07026f94a80ff024acef5f4159084a4 in mainline linux

drm/amdgpu: init iommu after amdkfd device init

From Yifan Zhang
7508a9aa65b959bbc6d9e42c9683520bddb7db0d in linux 5.10.y/5.10.85
714d9e4574d54596973ee3b0624ee4a16264d700 in mainline linux

drm/amdgpu: move iommu_resume before ip init/resume

From James Zhu
ac9db04ee32f007e48cb0763784ccfadd5a21342 in linux 5.10.y/5.10.85
f02abeb0779700c308e661a412451b38962b8a0b in mainline linux

drm/amdgpu: add amdgpu_amdkfd_resume_iommu

From James Zhu
fe9dca7dda61f8f3b3000df2abe88c60d1bfab93 in linux 5.10.y/5.10.85
8066008482e533e91934bee49765bf8b4a7c40db in mainline linux

drm/amdkfd: separate kfd_iommu_resume from kfd_resume

From James Zhu
5d191b0976b72af5f79cf217b9b7c2f20b522a2a in linux 5.10.y/5.10.85
fefc01f042f44ede373ee66773b8238dd8fdcb55 in mainline linux

drm/amd/amdkfd: adjust dummy functions' placement

From Lang Yu
46dcf66d6e7a64febe0575c62679287679dcb2b3 in linux 5.10.y/5.10.85
cd63989e0e6aa2eb66b461f2bae769e2550e47ac in mainline linux

use bus_space_read_region_1() when reading bios from pci rom

Avoids 'BIOS signature incorrect 0 0' warning seen on sparc64
(where pci is mapped little endian) reported by Ted Bullock.

IO::Socket::IP non-blocking connect works a bit differently than
IO::Socket::INET6.  Tweak the non-blocking for connect in the
sosplice scapy test.

Use "rng-seed" and "kaslr-seed" properties from the device tree to mix in
some extra entropy.

ok deraadt@

Don't overwrite the Raspberry Pi config.txt if it already exists.

ok sthen@, jsg@, deraadt@

Implement support for selecting SGMII or SerDes mode depending on the
plugged-in SFP transceiver and for reading out transceiver information
via ifconfig(8).  To read from the SFP, we need to let the card issue
I2C transfers.  Additionally we need I2C to read/write to the PHY when
MDIO is not available.  Depending on the SFP's supported media types
we can decide which mode to use.

This fixes hardware-initialization and link-up problems with some em(4)
Fiber NIC and SFP combinations.

Tested by dlg@ and been in snaps for quite a while
ok dlg@ jmatthew@

A better approach is to defined __CONCAT locally

sys/signal.h before sys/proc.h

MINIMUM() because of no sys/param.h

add missing sys/time.h include

Sigh.  This sys/cdefs.h is hiding use of __CONCAT in a non-C context.
Needs some other repairs first.

add pclk clock used by dwdog(4) on RK3399

ok kettenis@

Fix asprintf() error check. Portable code should check the return
value for -1, not buf == NULL.

ok tobhe

Fix a few leaks due to X509_NAME_oneline(name, NULL, 0) dynamically
allocating a buffer.

ok tobhe

new manual page PEM_write_bio_ASN1_stream(3);
certainly not perfect, but arguably better than the even terser
PEM_write_bio_CMS_stream(3) and PEM_write_bio_PKCS7_stream(3)

sync

tee(1): increase I/O buffer size from 8KB to 64KB

64KB strikes a good balance between space and time on today's
machines.  Buffers smaller than 64KB waste more time in userspace
traveling to and from the kernel.  Buffers larger than 64KB do I/O a
bit faster, but the performance improvements rapidly diminish at a
steep memory cost.

Discussed with millert@ and deraadt@.  Positive feedback from Geoff
Steckel.

Thread: https://marc.info/?l=openbsd-tech&m=163737586414354&w=2

ok millert@ deraadt@

including sys/cdefs.h manually started as a result of netbsd trying to
macro-build a replacement for sccsid, and was done without any concern
for namespace damage.  Unfortunately this practice started infecting
other code as others were unaware they didn't need the file.
ok millert guenther

Avoid a potential double free in group_free()

In the unlikely event that EC_KEY_check_key() in ec_init() fails,
the group would be freed twice: once in ec_init(), and later in
group_free().

ok tobhe

Kill sys/cdefs.h includes, because overly complicated include+macro
for a sccsid replacement scheme which results an namespace damage
is an unfair trade
ok bluhm

Remove the last internal use of d2i_ASN1_BOOLEAN.

From Stephen Henson, OpenSSL 564df0dd

ok jsing

Clean up d2i_ASN1_BOOLEAN() and i2d_ASN1_BOOLEAN().

Convert these to templated ASN.1, given we already have ASN1_BOOLEAN_it.

ok inoguchi@ tb@

this file doesn't use anything from <stdio.h>;
in particular, NULL is also in <stdlib.h> according to the C99 standard;
"free commit" tb@

Convert asn1_d2i_ex_primitive()/asn1_collect() from BUF_MEM to CBB.

With this we get simpler code, overflow checking and more sensible
memory ownership. Also switch the free_cont case to freezero() since this
could contain secrets.

ok inoguchi@ tb@

Cleanup libcrypto memory management.  Remove redundant NULL checks
before calling *_free() functions.  Use 'get0' functions where it
makes sense to avoid some frees.

Feedback and ok tb@

new manual page SMIME_write_ASN1(3);
still vague in various respects, but it's a start

remove a couple hundred sys/param.h includes in userland code, and
also whack some sys/cdefs.h early includes which is such a brutally
bad pattern
ok bluhm mbuhl

acct(4) ac_tty shouldn't need NODEV from sys/param.h (which is kernel API),
-1 is sufficient to indicate the process had no controlling tty, removing
one more sys/param.h include in our userland
ok millert

Only generate a new xid on state change.

When we first request a lease (INIT or REBOOTING state) we run with
very short timeouts. If the dhcp server is slow to respond we already
have a new xid and ignore the server's response. This goes on until we
increase the timeout high enough. If we just stick to an xid this will
not happen and we accept "late" responses.

RFC 2131 has:
Selecting a new 'xid' for each retransmission is an implementation
decision.  A client may choose to reuse the same 'xid' or select a new
'xid' for each retransmitted message.

Problem seen by phessler on german train wifi.
OK phessler

Revise EVFILT_EXCEPT filters

Restrict the circumstances where EVFILT_EXCEPT filters trigger:
* when out-of-band data is present and NOTE_OOB is requested.
* when the channel is fully closed and consumer is poll(2).

This should clarify the logic and suppress events that kqueue-based
poll(2) does not except.

OK mpi@

Prevent kevent(2) use of EVFILT_EXCEPT with FIFOs and pipes

Currently, the only intended direct usage of the EVFILT_EXCEPT filter
is with NOTE_OOB to detect out-of-band data in ptys and sockets.
NOTE_OOB does not apply to FIFOs or pipes. Prevent the user from
registering the filter with these file types. The filter code is for
the kernel's internal use.

OK mpi@

nd6_dad_ns_input() could trigger a NULL deref in nd6_dad_duplicated().
It checks dp in two of three places.  One check got lost in revision
1.83.  Do a dp == NULL once at the beginning.
OK jsg@
Reported-by: syzbot+88c0ce914a0b10b7e1c8@syzkaller.appspotmail.com

Catch integer overflow rather than silently truncating while
parsing MASK: strings in ASN1_STRING_set_default_mask_asc(3).
Issue noticed by tb@, patch by me, two additional #include lines from tb@.
OK tb@.

Handle multi-port controllers in uslcom(4)

A multi-port CP210x device presents each COM port as a separate USB
virtual COM port interface. When attaching uslcom(4), take the USB
interface from the attach arguments instead of using interface 0.
This lets the driver access the different ports of a quad-port CP2108.

Tested with a single-port CP2102 by jsg@

OK jsg@ deraadt@

new manual pages i2d_ASN1_bio_stream(3) and SMIME_crlf_copy(3)

Let dnsproc pass multiple addresses to netproc

The loop was exited prematurely because of a stray break statement.
In case of a failure to connect to the first address returned by
getaddrinfo(3), acme-client can now try to connect using another address
or address family if available.

ok florian@

Treat xid as a uint32_t in network byte order on the wire.

Internally this doesn't matter since we only care about equality.
This makes logging output comparable to tcpdump(8).

Pointed out by joel@
OK claudio

Replace struct member assignment with struct assignment to make the
code more compact. No binary change.
OK claudio

Make pane-border-format a pane option, GitHub issue 2999.

remove unused variable to fix build with llvm 13
ok jca@ naddy@

Annotate the structs that will be moved to hmac_local.h and evp_locl.h
in an upcoming bump.  This omits EVP_AEAD_CTX which will be dealt with
separately. EVP_CIPHER_INFO internals are still publicly visible in
OpenSSL, so it won't be moved.

Move typedefs for HMAC_CTX and EVP_ENCODE_CTX to ossl_typ.h.  These
typedefs will be visible by files including only hmac.h or evp.h since
hmac.h includes evp.h and evp.h includes ossl_typ.h.

ok inoguchi

Include evp_locl.h where it will be needed once most structs from
evp.h will be moved to evp_locl.h in an upcoming bump.

ok inoguchi

Add a mostly empty hmac_local.h. HMAC_CTX and a few other things
from hmac.h will be moved there in an umpcoming bump. Include this
file where it will be needed.

ok inoguchi

Add -I${LIBCRYPTO_SRC}/hmac to CFLAGS. Needed in an upcoming commit.

ok inoguchi

Add header guards to evp_locl.h.

ok inoguchi

Replace deprecated IO::Socket::INET6 with IO::Socket::IP.

Convert req.c to compile with opaque EVP_MD_CTX.

ok inoguchi

Convert passwd.c to opaque EVP_MD_CTX and add a bit of error checking.

tweak/ok inoguchi

Make speed.c compile with opaque EVP_CIPHER, EVP_MD and HMAC_CTX.

ok inoguchi

A few more simplifications using get0_pubkey instead of get_pubkey + free.

Simplify x509.c slightly by using X509_get0_pubkey() instead of
X509_get_pubkey()

ok inoguchi

Make x509.c compile with opaque EVP_PKEY.

ok inoguchi

Use correct spelling of NULL

ok inoguchi

Make ts.c compile with opaque EVP_MD_CTX.

ok inoguchi

document the ub_* constants

typo

New manual page providing a rudimentary description of BIO_new_NDEF(3).
The API surrounding this is so complicated and streaming is so rarely
used in practice that describing this in more detail is not a priority
right now.  The documentation of the wrapper BIO_new_CMS(3) is also
rather vague, and BIO_new_PKCS7() isn't described at all so far.

Rewrite X509_ALGOR_set_md() without reaching into EVP_MD.

ok inoguchi schwarze

Replace deprecated IO::Socket::INET6 with IO::Socket::IP.

Use vnode parameter instead of vfinddev() in mfs_strategy()

Getting the mfs device vnode through vfinddev() is more complex than
necessary. Also, the indirection is not robust.

OK mpi@

Add vnode parameter to VOP_STRATEGY()

Pass the device vnode as a parameter to VOP_STRATEGY() to allow calling
the correct vop_strategy callback. Now the vnode is also available
in the callback.

OK mpi@

Merge two bugfixes in ASN1_STRING_TABLE_add(3) and ASN1_STRING_TABLE_get(3)
from the OpenSSL 1.1.1 branch, which is still under a free license,
mostly this commit:

commit d35c0ff30b31be9fd5dcf3d552a16feb8de464bc
Author: Dr. Stephen Henson <steve@openssl.org>
Date: Fri Oct 19 15:06:31 2012 +0000
fix ASN1_STRING_TABLE_add so it can override existing string table values

This fixes a segfault in ASN1_STRING_TABLE_add(3), which tried to change a
static const entry when called with an nid already in the default table,
and it switches the precedence of the two tables in ASN1_STRING_TABLE_get(3).

In addition, it changes behaviour in the following minor ways:
* Ignore negative minsize and maxsize arguments, not just -1.
* Ignore a zero mask and zero flags.
It's unclear whether these additional changes make the API absolutely
better, but we want compatibility with OpenSSL in these functions.

Tweaks & OK tb@.

Merge the deletion of <ctype.h>, which isn't used here,
and some style improvements from the OpenSSL 1.1.1 branch,
which is still under a free license.
No functional change.
OK and additional tweaks tb@.

Change compatible string to something that makes more sense.

remove unused variable to fix build with llvm 13; ok jca@

Start the default OpenBSD partition either immediately following
any boot partition specified via '-b' or /usr/mdec/mbr; at the
power of 2 block after the first track; or immediately following
the MBR if there is only one track.

Mark any non-EFISYS boot partition created by -b as DOSACTIVE.
Suggested by kettenis@, better than a separate new option.

Brings -b behaviour into line with many uses of -e to create boot
partitions, allowing for the eventual elimination of said -e uses
in the creation of the various boot media and in the install
scripts.

Add support for interrupts represented by ACPI PCI Interrupt Link Devices.
This makes PCI interrupts work on QEMU's SBSA target.

ok patrick@

Thanks to the reverse engineering efforts by Hector Martin, we now know
that we can controll the CS# pin directly from the SPI controller itself.
Add support for this as future device trees will probably use this mode
instead of explicitly specifying a "cs-gpios" property.

ok patrick@

Attach apldart(4) early.

document STABLE_NO_MASK and STABLE_FLAGS_MALLOC,
mention which argument values can be used to not change the respective fields,
and tweak a few additional wordings

two more "the the" fixes;

Protect the write access to the TDB flags field with a mutex per
TDB.  Clearing the timeout flags just before pool put in tdb_free()
does not make sense.  Move this to tdb_delete().  While there make
the parentheses in the flag check consistent.
tested by Hrvoje Popovski; OK tobhe@

doubled word; from Leon Fischer

Clarify usage of __EV_POLL and __EV_SELECT

Make __EV_POLL specific to kqueue-based poll(2), to remove overlap
with __EV_SELECT that only select(2) uses.

OK millert@ mpi@

Stop passing __FILE__ and __LINE__ to various libcrypto functions. The arguments
are unused in the end anyway and occupies needless space, especially in ftp(1)
shipped with the ramdisk.

ok tb@

fix a copy-and-paste error;
from Richard Ulmer <... rulmer at mailbox dot org>