When using a pf rule with both nat-to and rdr-to, it could happen
that the nated source port was reused as destination port.  Do not
initialize nport at the beginning of the function, but where it is
needed.
OK sashan@

import rebound, a lightweight dns proxy, for further polishing

Introduce an unsigned char variable for the ctype function calls.

ok millert@

Don't Xr flock, since that is not the locking method used.
ok millert

Remove disklabel -B (NUMBOOT) support. All the platforms which used to need
it are now using MI installboot for that purpose.

ok krw@ deraadt@

Avoid a race between fopen(3) and fchmod(2).  Use umask(2) and
unlink(2) and fopen(3) to prevent an attacker to open an old file
with wrong permissions before the secret is written into it.  This
also guarantees that a new file with correct permissions is created.
Without fchmod(2) "fattr" can be removed from pledge.
with and OK deraadt@

No need to create links for xxboot now that MI installboot is the preferred
way to install boot blocks.

Use MI installboot instead of disklabel -B to install boot blocks.
ok krw@ deraadt@

Add an extra argument to bootstrap() to allow for a limited overlap between an
existing partition and the boot blocks span, and update all callers to require
an overlap limit of zero sectors (thus not changing their behaviour).

Then, add proper support for vax: copy the 2nd-stage boot block to /boot and
install the 1st-stage boot block at the beginning of the disk, retaining the
disklabel; allow for an overlap of up to 16 sectors, which is perfectly fine
as long as your `a' partition is FFS.

Note that regular installs will not even have such an overlap, because the
default OpenBSD span on a disk on vax starts at sector 16, but installation
media use sperific layout which require this.

ok krw@

add missing comma and missing range restriction, found by smilint

relaydMIBObjects, not relaydMIBOjbects. From Rob Pierce.

Remove some unnecessary NULL-checks before free(). Change two bzero()
calls on pf data to explicit_bzero().

ok mikeb@

Add TIOCFLUSH to "tty" in support of tcflush()

Exposing FIOASYNC in pledge "ioctl" is a mistake; remove it, cannot find safe uses of it

Plegde x99token with "stdio rpath wpath cpath fattr getpw tty".
with and OK deraadt@

Handle F_ISATTY in the fcntl() stub as well
ok guenther

remove '!' (subshell) and 'v' (edit) commands from ramdisk more(1) command.
first off, ^Z job control was added to BSD unix sometime around 1980 and is
a much better mechanism since the parent shell can contain what is going on.
!command support becomes a visible defect when programs are pledge'd
secondly this saves space.
ok miod tobias

corrects pledge code for fsck_ffs and fsck_ext2fs

on filesystem error, fsck will try to display username of inode, resulting need
of "getpw" for not SMALL version.

add a missed (?) -DSMALL in distrib/special/ for fsck_ffs and fsck_ext2fs

found by hard way by ajacoutot@

OK millert@

Let the rx path of cnmac run without the kernel lock. To avoid the need
of a mutex, the path no longer cleans up the queue of tx requests.

ok mpi@

Fix previous.  The port number is not included in sc_src and it is
checked already at beginning of the loop.

ok reyk

in6_pcbconnect() returns EADDRNOTAVAIL when
all the ports in the range portfirst .. portlast
are in use.

ok millert@, mpi@

iobuf_queue() should return the number of bytes it queued on success, not 0

ok eric@

Let "all" as an argument for "resume envelope", "pause envelope"
and "remove" subcommands.

seems potentially useful millert@, Ok gilles@

A classic case for bzero() -> explicit_bzero()

ok deraadt@

Cast arguments of ctype functions to Char, a lexism defined as unsigned
char.

Part of a larger attempt to audit ctype function argument types with
Coccinelle.

ok deraadt@

FIOCLEX & FIONCLEX should be in base ioctl set

give up; include stdlib.h from the .h file, sigh

fsck_ffs has a ^T signal handler which opens /dev/tty late.  Hoist that
opening to before the pledge, and cache the fd.
looked over by millert

lock needs pledge(proc exec) to use bsd auth system. from trondd

Fix a crash that occurs when printing the filename in a malformed NFS
request packet.

From Kevin Reay who obtained the fix from the tcpdump.org repo (part of
commit 6191f36146f5d286304e9b6e893477fe509d83ab).

ok canacar@ sthen@

Add missing includes to make the pf(4) man page example program compile
again.

Spotted by and based on a diff from Jack J. Woehr.

avoid using a var uninitialised
ok jung@

FALTHROUGH->FALLTHROUGH in comment, ok deraadt a few days ago

Document flock request

Add a dummy "flock" request that will allow file locking.  It is
not currently enforced but we want the kernel to be able to parse
it for an upcoming diff in the next few days.

smtpd in tree is no longer neither 5.4.4, nor 5.4.5, bump SMTPD_VERSION

whitespaces

better fix for overrun reported by Qualys Security.
buf is at all times kept nul terminated, so there is no need to enforce
this again upon exit. (no need to move buf around after we exahust space.)
ok beck miod

SMTPD_MAXPATHLEN -> PATH_MAX, this was unnoticed as file is not linked

imsg_read() may return EAGAIN, handle it in mproc_dispatch()

Bail out early if we have no buf_len
ok miod@

whitespace + only log TRACE_MPROC if not IMSG_STAT_{IN,DE}CREMENT

fix a memory leak reported by Qualys Security.
move the bndec variable in tighter since it's not used elsewhere in the
loop, then always free it after use.
ok bcook miod

remove a handful of log_warn that we should handle at a different place to
make them really useful

whitespace

fix define and enhanced status code reason for 5.5.0

Ensure we don't write a 0 byte past end of the buffer in the error case.
ok bcook@ deraadt@

Use a strict $PATH of "/usr/bin:/usr/local/bin" to run the (de)compressors
(gzip, compress, bzip2) rather than following the user's path.  This
seems easier than hardcoding the paths elsewhere and using basename().

pax/tar is pledged itself, but it can spawn one of these programs if
asked.  The three found at the strict path use pledge "stdio" very early
during startup, providing a warm fuzzy pledge->exec->no-pledge->pledge
interlock.  For bzip2, this assumes use of the ports/packages version
installed to /usr/local/bin, which has been pledged by sthen@.

Doing a 'tar tvfz hostile.tgz' becomes a bit safer, since an attacker
finding a buffer overflow or use after free has significantly fewer
system calls available (only pledge "stdio" in the decompressor).

ok millert sthen

we dump esc_code if we have an esc_class, code may be (and actually was)
confused as a pasto, so add a comment to make it clear that this is not
an error

Allow group wheel to read the mail log.  OK gilles@ sthen@

whitespace

whitespace

pledge() privileged process

ok deraadt@

pledge() pony and lookup

ok deraadt@

sync

worse, need even more includes...

Check mmap and read return values. While at it, remove unused duplicated file.

ok millert@

To specify a source address ping uses -I while ping6 uses -S. Switch
ping6 -I to the ping-alike semantics.
sthen@ thinks this is OK

pledge "stdio rpath" is good enough for these mainline BSD auth login
programs.
(I am very surprised pledge ended up working for programs like this)
ok semarie millert

Since the fsck_* programs now only handle one filesystem, this creates
a point where open() and disklabel reading have completed.  After that
point, pledge "stdio".

As a result, an fsck of a hostile partition (noone ever does that, or
do they? :) is done by a program with SUBSTANTIALLY less system call
exposure.
ok semarie

Copy permissions AND ownership when -o will override an input file.

with input by and ok deraadt@, millert@, tim@

sync

unfortunately rewritelabel() just before termination does a non-permitted
ioctl to rewrite the label, in support of the old-school "frag info in
the disklabel" concept.  disklabel folk, please come talk to me...

sync with httpd - no functional change, just C99 types

Only accept one filesystem/device as argument for checking.  Few people
will be calling these directly, and not for the multiple filesystem case.
fsck(8) is generally the parent and will handle things.
ok semarie; this change will also help a goal jsing has

When pledged with "fattr", allow chown to supplimentary groups.  This
came out of a discussion regarding "sort foo -o foo".
ok semarie

add includes for crc32() and uuid_dec_be() missed in rev 1.11
ok krw@

Init a variable in the recently added carp_vhe_match() function clang
and mpi believe could be used uninitialised.

ok mpi@

gc lst_ForEachNodeWhile, which isn't actually in use anywhere

make sure we use stdbool.h
Mostly diff by Daniel Dickman, who told me to commit in his stead,
as he's tied up at work.

include err.h for the err() calls added in rev 1.46

Don't use the NONE enum value where NULL was intended.  Found with clang.
ok renato@

bugfix: add ${.CURDIR} to deal with obj symlinks

unbreak regress/sbin/newfs

/dev/prandom is no more since Nov 30, 2008

OK otto@

bugfix : use ${.CURDIR} to cope with obj symlinks

add regress tests for automatic port allocation.
- enable ipv4
- leave ipv6 disabled

add regress tests for automatic port allocation

Reset the RTF_CONNECTED flag when cloning an entry.

While here check for RTF_CLONED insted of RTM_RESOLVE when adding an
entry.

Found while debugging naddy@'s NFS vs em(4) vs rtisvalid(9) issue.

Rewrite the logic around the dymanic array of routing tables to help
turning rtable_get(9) MP-safe.

Use only one per-AF array, as suggested by claudio@, pointing to an
array of pointers to the routing table heads.

Routing tables are now allocated/initialized per-AF.  This will let
us allocate routing table on-demand instead of always having an
AF_INET, AF_MPLS and AF_INET table as soon as a new rtableID is used.

This also get rid of the "void ***" madness.

ok dlg@, jmatthew@

Convert fgetln to getline.

Ok millert@ eric@ gilles@

tweak previous (two details i apparently missed)

Pledge "stdio" for simple games.

ok semarie@

Two more char -> unsigned char in ctype functions.

More (unsigned char) casts for ctype functions.

Pointed out by Michael McConville

Add EVP_AEAD_CTX_init(3) manpage to document the new(ish) AEAD API.
The "authenticated encryption with additional data" API is used for
ciphers like AES-GCM or ChaCha20-Poly1305.  The manpage is a beginning
and certainly needs more work, especially improvements in the EXAMPLES
section.

Based on agl's source code comments.
Converted from pod to mandoc by schwarze@

OK schwarze@ jsing@

enable pledge(2) in rain(6)

it is libcurses program: at init it needs "stdio rpath getpw tty", and after
drop to just "stdio tty". "tty" is needed at end for restoring the tty.

initial patch from doug@
ok doug@ deraadt@

Remove conditional compilation and #defines around signal handling
Don't catch signals that were ignored on entry
Suppress SIGCHLD if our kid is stopped: we don't care and it's not an error

ok millert@

pledge "tty" can allow ioctl TIOCEXCL on a tty

I messed up reading the call graph.  -d delete does use search, so a
late pledge is not possible in this way.

sendmsg() is allowed to pass cmsg's which are not CMSG_RIGHTS - last
refactoring inverted the checks; spotted by sthen in ping6.

Backout last. Breaks sparc64, amoung other dubiousness.

requested by deraadt@

Reject the escape sequences \[uD800] to \[uDFFF] in the parser.
These surrogates are not valid Unicode codepoints,
so treat them just like any other undefined character escapes:
Warn about them and do not produce output.
Issue noticed while talking to stsp@, semarie@, and bentley@.

Major character table cleanup:
* Use ohash(3) rather than a hand-rolled hash table.
* Make the character table static in the chars.c module:
There is no need to pass a pointer around, we most certainly
never want to use two different character tables concurrently.
* No need to keep the characters in a separate file chars.in;
that merely encourages downstream porters to mess with them.
* Sort the characters to agree with the mandoc_chars(7) manual page.
* Specify Unicode codepoints in hex, not decimal (that's the detail
that originally triggered this patch).
No functional change, minus 100 LOC, and i don't see a performance change.

Call the sort program through $SORTPROG, as intended; OK millert@

Prevent a NULL-pointer dereference when closing a ugen(4) node
in case the kernel failed to change the interface of a device.

Found the hardway by okan

In rev 1.15 the sizeof argument was fixed in a strlcat() call but
the truncation check immediately following it was not updated to
match.  Not an issue in practice since the buffers are the same
size.  OK deraadt@

Check if a file name can be extracted from a line before marking for
deletion.

3 more headers required for one stinking inet6 ioctl..

- pf_insert_src_node(): global argument (arg6) is useless, function
  always gets pointer to rule.

- pf_remove_src_node(): function should always remove matching src node,
  regardless the sn->rule.ptr being NULL or valid rule

- sn->rule.ptr is never NULL, spotted by mpi and Richard Procter _von_ gmail.com

OK mpi@, OK mikeb@

sm_error() already does the exit for us.