merge NSD 4.3.6

merge NSD 4.3.6

Do not return when a hash check failed in rrdp_data_handler() instead
let the code progress to set the state to RRDP_STATE_PARSE_DONE and
call rrdp_finished() since this transfer is over.
Should fix a hang seen by deraadt@
OK tb@

uppercase "HTTP";

use errx() instead of err()

spaces -> tabs

Mention the http client in two places.

ok claudio

minor style tweaks

Print all mount(2) flags in ddb's "show all mounts"

Quite a few flags were never accounted for in MNT_BITS, resulting in bogus
debug output such as "flags 4205800<WXALLOWED,LOCAL,ROOTFS>" (integer value
does not match string interpretation, i.e. "SOFTDEP,SWAPPABLE" is missing).

Spotted while instrumenting "show all mounts" to report a softdep panic.

Feedback OK visa

Cleanup http_connect() and make it look more like the example in
getaddrinfo(3). Most notable change is the error reporting.
Do not warn if cause is not set. In this case the last connect attempt
failed but there is no alternate address to use. Since that error was
already logged there is no need for an extra warning here.
OK job@

Move the http_fail() call out of http_free(). Doing the error reporting
there is not quite right.
OK job@

Kill unused globals and swap the POLLIN and POLLOUT handler for the
pipe to the main process.
OK job@

Don't check return value of unsetenv().  It's part of the environment
setup and not part of the actual test, and some platforms -portable runs
on declare it as returning void, which prevents the test from compiling.

use "braces" consistenly; fastcgi can take multiple options;
original issue and text from laurence tratt, with updates from raf czlonka

Restore EPT protection checks on VMX when using VMM_IOC_MPROTECT_EPT

A prior fix related to lack of TLB flushing accidentally removed the
fault type checks related to the access protection features available
via the VMM_IOC_MPROTECT_EPT ioctl. This restores the same logic for
checking the fault type and the exit to userland if the fault is due
to EPT access protections.

While here, update the comment for vmx_fault_page to accurately
reflect the various potential return values.

Reported by Adam Steen.

OK mlarkin@

regen

Add a new quirk flag to not attach video devices which aren't supported by
uvideo(4) currently, like the Chicony Integrated IR Camera.  This is
especially helpful when you have two video devices of which the unsupported
one is attached first as reported by martijn@.

OK gnezdo@

Improve rdmsr/wrmsr exit handling for both AMD SVM and Intel VMX.

At some point, the logic for handling vmexits related to msr access
changed and the handling for SVM diverged from VMX. While booting the
newest 9front release, abieber@ noticed boot loops on an AMD host.

This commit changes the behavior to be the same between SVM and VMX hosts,
with the exception of a single MSR, and enforces that any rdmsr
instruction must be explicitly handled otherwise a #GP is injected into
the guest. Any wrmsr instructions that are not explicitly handled are
ignored (%rax, %rdx set to 0).

The PAT msr is now shadowed, allowing guests to read a copy of the host
PAT. Their writes are stored in guest vcpu state and not passed through to
the host cpu. (PAT writes are validated, however, and invalid values
inject #GP.)

tested by brynet@, abieber@
ok brynet@, mlarkin@

minor KNF

Support booting from compressed kernel images.

The bsd.rd ramdisk now ships gzip'd on amd64. Use libz in base to
transparently handle decompression of any compressed kernel images.

Patch from Josh Rickmar.

ok kn@

ugold(4): add support for TEMPerGold & more TEMPerHUM devices

originally from mlarkin@ for TEMPerGold_V3.1 (only a temperature sensor),
i just added TEMPerX variants to the mix - all those devices share the
same usb product id (boo), so differentiate them on the firmware string...
even if the device is labelled as TEMPerHUM and has a blue TXT button on
it, its firmware reports itself as TEMPerX_V3.3.

ok jung@ sthen@ mlarkin@

sync

Add 0x413d:0x2107 for various PCSensors TEMPer devices

Until tls_accept_socket() succeeds, the tls context bound to a session
belongs to the listener, and should not be freed with that session if
an error occurs before.  Unlink it from the session early in the accept
callback to avoid this.

tweaks and ok millert@

Set sysclk before using it

simpleaudio_set_params() calls set_params() which reads sysclk off the
"i2s_clk" property before it sets that very clock's rate with
dd_set_sysclk() (in case there's multiplier specified).

Hence reverse the order so set_params() can pick up the newly set rate.

The rate is still off on the Pinebook Pro, but I came across this when
reading the code;  this also matches NetBSD's sys/dev/fdt/ausoc.c r1.6
"Set sysclk rate at set_format time, so the link set_format callback can
read the new sysclk".

OK kettenis patrick

Move client-detached into server_client_lost so it is fired even if a
client is closed unexpectedly.

Fix typo in debug message.  ok kettenis@

Send correct response type on unpause errors.

ok pd@

Revert slow mode change so that we always use it for legacy and high speed
timings, and if the device tree tells us to.  While the change was done to
reduce diff, it introduced a regression on some devices, hence this revert.

Reported and tested by dtucker@
Tested by kettenis@ and myself

Fix a couple of edge cases with the jump-back-xxx commands, and also
update back-to-indentation to use grid_reader, thereby fixing line
wrapping issues. From Anindya Mukherjee, GitHub issue 2633.

Don't leak param->name in x509_verify_param_zero()

For dynamically allocated verify parameters, param->name is only ever set
in X509_VERIFY_set1_name() where the old one is freed and the new one is
assigned via strdup(). Setting it to NULL without freeing it beforehand is
a leak.

looks correct to millert, ok inoguchi

Remove unused variables

From Daniel Kovacic <daniel dot kovacic at unbugd dot com>, thanks!
No object change.

leave -beta

Add missing error check for AES_unwrap_key().

Fix two copy paste errors in error messages

Add tests for DTLSv1_2{,_client,_server}_method()

431 is an overlay over 204 (Manitoba)

Use correct type for tmp in test_write_bytes()

Explicitly NULL pointers to avoid a double free.

Don't leak key and dh in the error path.

Clean up client and server tls{,_config} contexts in tls_test().

Leaks reported by Ilya Shipitsin.

Document support subset of conversion specification

Clarify that printf(9) only knows
%[width][size]conversion
contrary to printf(3)'s
%[argno$][flags][width][.precision][size]conversion

Feedback OK jmc
OK deraadt

remove stray inserts; from matthias schmidt

fix spacing issue in macro;

missing comma; from kawashima james

Add size check for sockaddr mask.

Add a guard page between I/O virtual address space allocations.  The idea
is that IOVA allocations always have a gap in-between which produces a fault
on access.  If a transfer to a given allocation runs further than expected
we should be able to see it.  We pre-allocate IOVA on bus DMA map creation,
and as long as we don't allocate a PTE descriptor, this comes with no cost.
We have plenty of address space anyway, so adding a page-sized gap does not
hurt at all and can only have positive effects.

Idea from kettenis@

Exclude the first page from I/O virtual address space, which is the NULL
pointer address.  Not allowing this one to be allocated might help find
driver bugs, where the device is programmed with a NULL pointer.  We have
plenty of address space anyway, so excluding this single page does not
hurt at all and can only have positive effects.

Idea from kettenis@

Run the CMAC tests through EVP_PKEY_new_CMAC_key().

typos in comments; GHPR#180 from Ville Skyttä

sync CASignatureAlgorithms lists with reality. GHPR#174 from
Matt Hazinski

highly polished whitespace, mostly fixing spaces-for-tab and bad
indentation on continuation lines. Prompted by GHPR#185

whitespace (tab after space)

fix incorrect plural; from Ville Skyttä via GHPR#181

ensure that pkcs11_del_provider() is called before exit - some PKCS#11
providers get upset if C_Initialize is not matched with C_Finalize.

From Adithya Baglody via GHPR#234; ok markus

unused variable

Fix two problems in string->argv conversion: 1) multiple backslashes
were not being dequoted correctly and 2) quoted space in the middle
of a string was being incorrectly split.

A unit test for these cases has already been committed

prompted by and based on GHPR#223 by Eero Häkkinen; ok markus@

Remove superflouus mmcpy()

Reported by Preben Guldberg. ok mlarkin@

In http_connect() if the connect was actually successful break out of the
for loop. Also in http_finish_connect() if the connect was successful
cleanup the addrinfo struct. It is no longer needed.
Found with deraadt@

info gotten via getnameinfo in http_connect() is not used anymore, it is
old debugging gunk
ok claudio

Two cases of BRE involving counts and backrefs that go wrong and
similar that have no isssues. Reported by Michael Paoli.  Failing
cases commented out for now.

Include the default cert.pem file path in tls_load_file error message.
Should help for -portable where sometimes the cert.pem is missing.

Show DTLS1.2 message with openssl(1) s_server and s_client

ok jsing@ tb@

Don't leak the uri of a delta with duplicate serial.

ok claudio deraadt

swap rname and mname in debug output, and handle the USE_CD flag

from Boudewijn Dijkstra

configyyrename.h is no longer needed with the switch to flex -P c_.
This was also removed upstream.
OK sthen

Implement ZONEMD (RFC8976), based on DS (ds_43.c)
OK sthen

if cipher list is not specified for a relay action, use the global
cipher list if defined. otherwise fallback to libtls default.

ok millert@

fix sentence structure;

tweak previous;

fix typo + some whitespace

Fix Dale's email address

ok drahn

sync

don't put ptys onto the ramdisk media
from miod

Indent struct members like everywhere else.

Document ioctl(2)'s for vmm(4). OK kn@.

Update manpage about RRDP

OK claudio@

update currency exchange rates;

sort options list;

spelling

Sort usage: rR -> Rr

RRDP is currently off by default.

Tweak log_debug() verbiage to reduce repetitive info
(ACK/NAK), add details (DISCOVER/REQUEST) and provide
before/after info for SSID/LLADDR/MTU changes.

Initial commit of RRDP (The RPKI Repository Delta Protocol - RFC8182) support
in rpki-client. For now it is off by default.

All XML processing is done in its own process with minimal pledge rights.
It uses the already present https process to fetch the xml files and uses
the master porcess to handle the file IO into the repositories.
RRDP data is stored in the cache under ./rrdp/ and the first directory
is the SHA256 hash of the notify URI.

Fetching snapshots and deltas works to bring the cache up to date.
If something goes wrong rpki-client will fall back to rsync.

RRDP was implemented by Nils Fisher and integrated into rpki-client by myself.
"Time to get it in" deraadt@

For the snprintf range check demo, add a (size_t) cast in the right place
which will satisfy the toughest compiler options

Also immediately accept the *first* OFFER if it matches the requested address,
rather than waiting for select_timeout to expire before accepting the same
OFFER.

Clean up nonexistent/unused properties handling

Never used since import and probably just ported over from NetBSD as-is;
"design-capacity" does not exist in the device tree binding.
"monitor-interval-ms" defaults to 250ms as per binding and could be used
in the sensor_task_register() call, but our framework only supports whole
seconds and there's no advantage over our current fixed poll interval of 5s.

OK patrick

Remove extraneous call of vm_getbyvmid during pause event

The vm is already being assigned by a call in the if-condition.

Abate superfluous lines from remote servers

OK claudio@

Compare the pointer variable explicitly with NULL in if condition

Hardcode meaningful alert level, track apm's battery state better

The current code looks for the nonexistent "cellwise,alert-level" property
and falls back to zero as threshold (like the original NetBSD code).
It also updates the CONFIG register with that very threshold to let the
hardware set a bit and thus alert us when it has been reached.

Since our sensor framework is designed to poll every N seconds and this
driver does not actually look at whether the hardware alerted, neither
using a default threshold of zero nor updating the hardware with it makes
sense.

Remove the alert level code and simply map >50%, >25% and <=25% of
remaining battery life to apm(4)'s "high", "low" and "critical" battery
state respectively;  this matches exactly what acpibat(4) does and provides
more meaningful sensor readings without relying on nonexistent device tree
bindings.

Feedback OK patrick

merge NSD 4.3.6rc1

import NSD 4.3.6rc1, tested by me and florian@

Push kernel lock down to umb_rtrequest().

We are going to unlock PF_ROUTE sockets. This means `if_rtrequest'
handler will be performed without kernel lock.

umb_rtrequest() calls umb_send_inet_proposal() which touches kernel lock
protected `ipv{4,6}dns' array. Also umb_rtrequest() is the only handler
which requires kernel lock to be held. So push the lock down to
umb_rtrequest() instead of grab it around `if_rtrequest' call.

This hunk was commited separately for decreases PF_ROUTE sockets
unlocking diff.

ok gerhard@ deraadt@

Make build_crls() behave like build_chain(). If there is not auth data
just NULL the STACK_OF() pointer since libcrypto calls can handle that.
Update comments to be more accurate.
With and OK tb@

Do a better job at cleaning up. Remove empty directories, scan not only the
known repositories but also clean up no longer known repositories.
With this rpki-client keeps its cache nice and shiny.
With and OK job@

Add encoding.c to the various build targets

Change search-again with vi keys to work like actual vi(1), also some
other fixes. From Aaron Jensen with help from Anindya Mukherjee.

Move base64 and hex encoding functions into their own place.
OK tb@

Missing commas, from Vipul Kumar.