Convert to if_input().

Tested by jmatthew@

Avoid NULL deref in fd_getfile_mode(); OK deraadt@

Convert to if_input().

ok miod@

reapply the rules of english to the option keywords: i was persuaded to undo it
because the option names are case sensitive, but it just looks awful. so
expect just a little more from the reader...

Merge two identical if() statements in ipsp_acquire_sa().  The
change in ip_spd.c 1.59 makes it appear that there is a cut & pasto.
OK mikeb@

update currency exchange rates;

sync

Add smtpd(8) spool directories so that they are registered as part of base.

ok henning@ gilles@ deraadt@

SIZE_MAX is no longer in limits.h

Unset SEPARATE_GOTPLT.  We don't want a seperate .got.plt section on OpenBSD,
at least for now, as it would result in a partially writable GOT.  Our
ld.so(1) has the smarts to properly write-protect the single .got, so we
don't need this.

ok guenther@

Clean up some spacing. No functional change

use strdup() to init string
ok doug millert

Do not free & reallocate a new chunk of memory for the interface
descriptor during SIOCSIFFLAGS.

This prevent a use after free, triggered by the pool/malloc damage
finder being currently cooked by dlg@ and deraadt@.

ok deraadt@

Add a comment about waitpid, suggested by espie@.

Set the correct media type for 1000baseLX SFPs.
Tested by/ok sthen@, ok mikeb@

Tweak comment so it doesn't imply line buffering is needed (any will do
so long as it is explicit), and set stderr to NBF not LBF. Pointed out
by espie@.

Add warning when user specifies -R but no files, like GNU grep.
OK schwarze@ ian@

Remove SIZE_MAX from limits.h.  It was added years ago before we
had a proper stdint.h.  No ports fallout.  OK guenther@ miod@

Allow use of 1Gb 1000baseLX SFPs in 82599 ix(4) SFP+ port. Adapted from
Linux commit 345be204dcbb. ok jsg@ mikeb@

FRELE returns an int not void.  It is actually the return value
of fdrop() (or 0 if the ref count is non-zero).  From Kanonenvogel

Now we use p_filesz - 1 to test for NUL check that p_filesz is
at least two and while here allow the upper bound to be
MAXPATHLEN by changing a >= to > as suggested by krw@ in a thread
on tech where Maxime Villard proposed additional PT_INTERP checks.

tested by and ok guenther@

Link report descriptors to known sensors.

Since HID buffers always start by a reportID we can access the corresponding
report descriptor in O(1).  Having a list of sensors attached to each report
descriptor makes it easier to update all of them with only on I/O request.

Note that sensors are attached in depency order on every report list.

From David Higgs.

Instead of using a single flat array for all sensors, put all the
children of a sensor in a separate structure.

Children sensors should only be probbed if their parent is active.
This make the dependency tree explicit and will reduce the number
of I/O.

From David Higgs.

Convert to if_input(), tweak and ok dlg@

Indroduce fd_getfile_mode() and use it were fd_getfile() is directly
followed by a mode check.  This will simplify the ref/unref dance as
soon as fd_getfile() will increment fp's reference counter.

Idea from and ok guenther@, ok millert@

use adolf, not adolph, for hitler, to keep it consistent;
remove his suicide entry since it's already listed, more completely,
in calendar.history;

from craig skinner

No need to set `rcvif', if_input() does it for you!

Convert moar drivers to if_input().

ok dlg@

Error out if the PT_INTERP segment isn't NUL terminated

ok deraadt@ millert@ miod@

If a block body gets broken, that's no good reason to extend the
scope of the end macro.  Instead, only keep the tail scope open if
the end macro macro calls an explicit macro and actually breaks
that.  This corrects syntax tree structure and fixes an assertion
found by jsg@ with afl (test case 098/Apr27).

Replace the kludge for the \z escape sequence by an actual
implementation.  As a side effect, minus ten lines of code.

As another side effect, this also fixes the assertion failure that
used to be triggered by "\z\o'ab'c" at the beginning of an output
line, found by jsg@ with afl (test case 022/Apr27).

In most cases, IP fragments do not have an Ethernet padding.  So
add a condition to save a useless call to m_adj() and have a paranoid
length check in the other cases.
OK henning@

some fine-tuning in SYNOPSIS, usage, and order of options, with jmc

g/c unneeded second char * var, ok benno

Do not complain when directions fail.

Add tmux and tmux-256color entries; this can be used inside tmux for
correct italics support.

ok naddy (on a slightly older version)

Use if_get() after every tsleep(), in case the bottom half of the driver
has destroyed or damaged the interface clone.
with mpi

If default-terminal is set to "screen" or "screen-*", emulate screen's
historical (incorrect) behaviour for SGR 3 and send smso
(standout). Previously, we would send sitm (italics) if the terminal
outside had it and smso otherwise. This was acceptably until recently
because xterm's terminfo entry lacked sitm, so most users got smso.

People who want italics should set default-terminal to the forthcoming
"tmux" entry (and be prepared to deal with it being missing on older
hosts).

As a side-effect this changes default-terminal to be a server rather
than a session option.

suggested by and ok naddy

Do not mark a block with the MDOC_BROKEN flag if it merely contains
a mismatching explicit end macro without actually being broken.
Avoids a subsequent upward search for the non-existent breaker
ending up in a NULL pointer access; afl test case 005/Apr27 from jsg@.

When the last line of a table layout turns out to be empty, it is deleted.
Do not just free the struct tbl_row but also make sure that no pointer
to it remains.  Fixing a use after free found by jsg@ with afl.

Check arguments before eval so we don't end up with a cryptic error message.
reported by jasper@

While here: _rc_is_supported() -> _rc_not_supported()
- saves a fork
- reduces triple negation to double negation in _rc_not_supported()
- simplifie condition for rc_restart=NO
from schwarze@

ok jasper@ schwarze@

Improve the error message in case somebody has configured an invalid PAGER.
Suggested by Lorenzo Beretta <lory dot fulgi at infinito dot it>.

support passing a template file for the auto-allocation to disklabel.
template gives mountpoints, min-max size ranges and percentage of disk
foremost intended for autoinstalls, installer bits to follow soon.
with input from many, ok theo

Make some regular expressions more strict.  This allows the tests
to pass also if relayd is compiled with DEBUG.

When the HTTP client did close the connection while relayd was still
parsig the HTTP header, the session was never destroyed.  This
resulted in a file descriptor leak.
Add a check wether the protocol knows how much data to expect.  If
relayd is reading unlimited data or is expecting nothing to read,
ignore the end-of-file.  Otherwise it is a protocol violation, so
close the session immediately.
While there, make relayd compile with DEBUG defined.
Based on a diff from claudio@; tested by claudio@; OK claudio@ benno@

the non braced do while made my teeth hurt

Also generate db_structinfo.txt with struct member offset and size info

prodded by deraadt@ and miod@

Delete the duplicated sched_{policy,param} members from the internal struct
pthread and instead use the values from the embedded struct pthread_attr.
For bonus points, pay attention to the sched_inherit attribute and possibly
set the values from the parent thread.

Problem noted by natano of bitrig.

Add tests for ListenAddress/Port/AddressFamily in alternate orders.

Remove a check for NULL that would have been after a NULL dereference
if callers of save_vec() weren't expected to pass a non NULL pointer
as an argument.

ok kettenis@

Move a variable's initialisation so a panic will work as intended.

ok guenther@ deraadt@

Change internal xrealloc() to a idiom-following xreallocarray().
This loses a "new size is 0" failure case.  Probably not relevant;
and since we develop this in OpenBSD, we'll catch that before someone
else imports this...
ok millert

Allow ListenAddress, Port and AddressFamily in any order.  bz#68,
ok djm@, jmc@ (for the man page bit).

Add whitespace and replace OPENSSL_free with free in documentation.

ok jsing@

Call CBB_add_space() rather than reimplementing it.

ok jsing@

Rename cbb_buffer_add_u to cbb_add_u and remove redundant code.

All of cbb_buffer_add_u's callers first call CBB_flush and send cbb->base.
cbb_add_u() now has that common code in one place.

ok jsing@

Added len_len error checking for internal cbb_buffer_add_u().

ok jsing@

Call CBS_mem_equal() rather than reimplementing it.

ok jsing@

Avoid NULL deref in CBS_get_any_asn1_element().

This function is documented as allowing NULL for out_header_len.

ok jsing@

Added error checking for len argument in cbs_get_u().

tweak + ok jsing@

free() can handle NULL.

ok jsing@

Add missing #include <stdint.h> for SIZE_MAX

Reject dNSName of " " for subjectAltName extension.

RFC 5280 says " " must not be used as a dNSName.

ok jsing@ jca@

Add missing #include <stdint.h> for SIZE_MAX

Add missing BN_CTX_end() calls.

After calling BN_CTX_start(), there must be a BN_CTX_end() before
returning.  There were missing BN_CTX_end() calls in error paths.  One diff
chunk was simply removing redundant code related to this.

ok deraadt@

VERBOSESTATUS or no VERBOSESTATUS, failed or missing dumps are still
worth noting

"go ahead" schwarze@

Explicitly include .codepatch and .codepatchend in .rodata such that
the binutils 2.17 linker doesn't make them disappear.

ok deraadt@, guenther@

ajacoutot spotted a problem with the new sshd logic (to disable root logins
by default completely in most cases, except where a public ssh key was provided
to autoinstall) - in the case where a (non-root) account was created, sshd
was being disabled; this diff fixes it. Looks good ajacoutot, OK djm@,
extensive testing+OK rpe@,

Protect the per-process itimerval structs with a mutex.  We update these
from hardclock() which runs without grabbing the kernel lock.  This means
that two threads could concurrently update the struct which could lead to
corruption of the value which in turn could stop the timer.  It could also
result in getitimer(2) returning a non-normalized value.

With help from guenther@.

ok deraadt@, guenther@

Don't grab the kernel lock for clock interrupts.  The way we use mutexes
these days is incompatible with that practice and leads to deadlocks.

ok jsing@

Make sure to overwrite sdl_type after calling ether_ifattach().

Fix a problem found by Johan Huldtgren, ok phessler@

Fix a memory leak in an error path found by Maxime Villard's
Brainy Code Scanner.

tidy up the prebind text; prompted by zhuk

enviroment -> environment: apologies to darren for not spotting that first
time round...

If looking for an index, don't fill in window when given a session.

Do not do a search for the tty path if there isn't one.

If can't find pane as a pane, try as a window; likewise if can't find
window as a session.

Add select-layout -o to undo the last layout change (apply the previously
set layout).

Fix typo in previous

Document that the TERM environment variable is not subject to SendEnv
and AcceptEnv.  bz#2386, based loosely on a patch from jjelen at redhat,
help and ok jmc@

In rtsx(4), condense the list of support chips in a comment, remove the unused
F_5227 flag, sort PCI IDs, and fix a typo in a comment. No functional change.
from brad

Someone went to the trouble of vertically aligning a set of parameters but
missed one. This diff is only a spacing change.

Add a missing free in the error path.

ok nicm@

Rework sshd enable root login questions in light of sshd PermitRootLogin
default change. The new default is not to ask to enable root logins
when a non-root user has been addedi. There is some additional sublety
for auto-installs that provide root ssh keys.

patch by myself and rpe@ with feedback from sthen@;
ok rpe@ deraadt@ sthen@

Do not include unattached clients when trying to find one for target.

Reset cfg_ncauses to 0 as well or we could allocate the wrong size if
called again.

Assign to the right variable when comparing clients.

Make sshd default to PermitRootLogin=no;
ok deraadt@ rpe@

Let the HTTP client close the connection within an incomplete header
line.  Check that the session in relayd gets closes and it does not
result in a file descriptor leak.
Bug in relayd found by claudio@.

Simplify remote(5) example file and remove stuff not supported by cu(1).

some tweaks from sobrado@, ok deraadt@

Rewrite of the target resolution internals to be simpler and more
consistent but with much less duplication, but keeping the same internal
API. Also adds more readable aliases for some of the special tokens used
in targets (eg "{start}" instead of "^"). Some behaviours may have
changed, for example prefix matches now happen before fnmatch.

Do not call nd6_purge() before purging the IPv6 addresses of a detached
interface.

Fix a use after free introduced in r1.98 of netinet6/in6.c and recently
exposed by a crazy pool/malloc damage finder being currently refined by
dlg@ and deraadt@.

ok mikeb@, henning@

Use a systrace(4) sandbox with a short whitelist of allowed syscalls for
the file(1) child process. Based on similar code in ssh sandbox-systrace.c.
Idea and help from deraadt@.

Add a _file user and use for privsep, ok deraadt

Add simple privilege separation to file(1). Two processes, file
descriptors and a few other bits are opened in parent and passed to
child using imsg. Child currently drops to "nobody" but this will change.

Adjust ld semantics to make static PIE the default.  Forgotten by pascal@.

Original commit message:

Change gcc and ld semantics to make static PIE the default when invoking
'cc -static'.  To explicitly request the legacy behaviour, use -nopie.

For the few port affected by this, bumps will follow shortly.

looks good to kettenis@, ok kurt@

remove some extraneous text; ok nicm

sync with rev 1.99 of sbin/route/show.c
requested by claudio@ and mpi@

route show does not need to filter unwanted af itself, the sysctl does
that for us.
approach seems sound deraadt@
ok claudio@ mpi@ henning@ phessler@

Since upd(4) currently supports a known but limited number of sensors,
parse the HID descriptor multiple times to find them.

This logic is necessary to later create a tree of sensors in order to
avoid lookups in the hot path for sensors that depend on the value of
others.

From David Higgs.