Move more EXTERN-defined globals from sh.h.

ok nicm@

Backport another Broadwell fix from Linux 3.15

Ben Widawsky
drm/i915: Provide PDP updates via MMIO
e178f7057b81c87a7ceaae0ca204487b6f7eedcf

Doesn't make resume work, but at least it prevents the machine from hanging
and/or resetting.

Use "getpw" rather than "flock", per deraadt@'s suggestion.

Avoid integer overflow with very large files.

ok millert

Fix comments.

OK krw@

pledge+=flock, for /var/run/ypbind.lock. ok semarie@

Do not warn for sort -o if we can't chown the output temporary file
to match the owner of the output file.

Add "id" pledge to syslogd privsep process.  Needed for logging to pipe.
OK deraadt@

Make use of pledge(2); initial diff from deraadt@

As Theo says, there's probably room for stricter pledge requests, but
this would involve refactoring.

actually, it uses getaddrinfo

libc DNS functions will now use the new dnssocket() / dnsconnect()
system calls.  These signal to the pledge kernel code that a DNS
transaction is happening.  These special sockets only work well with
port 53 (there are some cute plans...).
Programs calling pledge "inet" will not work! You need pledge "dns",

and of course, you need a fairly fresh kernel.

ok guenther kettenis tedu

Tweak previous: call fatal(), not err(3), for consistency. err.h goes away.

regress pledge: test kill()

since "inet" has PLEDGE_SELF, and now calling kill() to self is permitted with PLEDGE_SELF, try this with "fattr"

regress pledge: remove cmsg

it has no sens to keep it.

regress pledge: cpath test

you need to read the directory before creating something in. add rpath

regress pledge: cmsg is deprecated

regress pledge: tweak a bit the manner to grab hte syscall number

permit debug string be present on the line

Need native-pledge for id.

ld.so no longer needs or uses a bind lock, so stop setting it.  This
eliminates a chunk of complexity from the libpthread init and the fork
wrapper, as it was the bind lock that needed prebinding before use.

Tadpole/Sun Voyager IIi reported to work via dmesg@

move SS_DNS socket check from kern_plegde.c to sys_generic.c

this check has nothing to do with pledge(2). make it lives in sys_ioctl() call.

while here, move the (fp == NULL) check early and remove duplicate check from
pledge_ioctl_check().

ok guenther@ deraadt@

Use offsetof() instead of adding the sizes of the preceeding struct members

ok millert@

Make sure sm_rotate_bak() is only run once.

getting sloppy, lost a }

sorry, sdiff -o interactive mode does another spawn

Add "dns" to the pledges.  Previously these worked because of "inet",
alas "dns" is now a mandatory statement if you want to do dns!

Forcibly delete /var/run/ypbind.lock to prepare for the worst cases.
ok aja

unrelated commit; not ready yet

First casualty of making pledge "dns" mandatory for dns users.
"dns" was missing, and this was relying on "inet" support..

Move your drink further away...  When a program pledged "getpw" fails to
get a response from a YP server, it will open "/dev/tty" and spit out:
    'YP server for domain %s not responding, still trying'
For now allow open of /dev/tty for "getpw".  I hope to re-architect the
libc:YP communication protocol (strategy similar to syslog->sendsyslog,
isatty->fcntl, dnssocket/dnsconnect) and then we can reevaluate this.

after kmem is open and setup, pledge "stdio rpath wpath cpath"
seems to be working.  commiting to get feedback from people who crash.

Collapse some strange programmer style with too much abstraction.

With TIOCSTI supported in pledge "tty proc", csh is good enough to run
with pledge "stdio rpath wpath cpath fattr getpw proc exec tty".  (Note
that ksh "emacs mode" is also a abus^Wconsumer of TIOCSTI, but we had
let that slide for a week since noone uses it...)

A whole buncha unsigned char casts for ctype function arguments.

ok guenther@

Use explicit_bzero() when the memory is freed directly afterward.

ok deraadt@

Use explicit_bzero() when the memory is freed directly afterward.

ok deraadt@

TIOCSTI and TIOCSCTTY; oops got the condition backwards.

better placement for dnssocket/dnsconnect

Describe dnssocket / dnsconnect arguments

Allow read/write access to /dev/tty when using "tty" pledge.

Without this change, you need "rpath" and "wpath" to open /dev/tty.  Some
applications explicitly open /dev/tty, but deraadt@ found the most
common use is indirectly via readpassphrase().

tweak and ok deraadt@
pre-tweak ok millert@, semarie@

create libc stubs for dnssocket() and dnsconnect()

sync

Add two new system calls: dnssocket() and dnsconnect().  This creates a
SS_DNS tagged socket which has limited functionality (for example, you
cannot accept on them...)  The libc resolver will switch to using these,
therefore pledge can identify a DNS transaction better.
ok tedu guenther kettenis beck and others

naddy asks me if __tfork should be allowed by "proc".  yes!
We may need a better semantic later ("thread"?), but this allows
progress, and people can report their experiences.

connect() to an AF_UNIX socket is really read/write, so tell pledge this
is a RPATH|WPATH operation.
Discussed with doug and millert

Allow the nasty ioctl TIOCSTI in "tty", but also require the "proc"
permission.  For now, we'll tighten it down further later.

better wording in a comment

Unify TIOCGPGRP/TIOCGWINSZ/TIOCGWINSZ behaviour regarding ENOTTY return.
(both "tty" and "ioctl" allow these; they should behave the same)

Allow TIOCSCTTY on tty devices, if the pledge says "tty id"
worked out with nicm

whitespace

Rename SYSEXIT() to SYSCALL_END() for consistency with most other archs.
No change in resulting object files

ok millert@

mailaddr_match() allows comparing two struct mailaddr taking into account
catchall and +-tags

ok millert@ and jung@ for util.c

Move the last of the __DBINTERFACE_PRIVATE bits from <db.h> to libc's wrapper
and eliminate the now superfluous -D option

ok kettenis@ millert@

Fix the code that sets up the MCH BAR on systems where the (buggy) BIOS
doesn't do this for us.  The code was poking registers on the wrong PCI
device.  We were just lucky that it worked on most systems.

This should fix machines such as the Asus EeePC 701 and get rid of the

error: [drm:pid0:i915_gem_detect_bit_6_swizzle] *ERROR* Couldn't read from
MC HBAR.  Disabling tiling.

messages on that machine.

Tighten pledge: We only write to stdio and never to any files if
in cat mode (-c, zcat), or in test mode (-t), or if there are no
file arguments and there is no -o outfile.  Due to fts(3) we require
rpath even for compress <in >out.

"seems sound" deraadt@

Spell all "unexpected mode %u" panics in lower case, not just one of them.

remove some unneccessary macros; from michael reed

add missing underscore; from theo buehler

Fix build with IFMEDIA_DEBUG defined; ok sthen@

PROTO_NORMAL for pledge(); ok guenther

login_token needs pledge "flock" now.
OK millert@

makemap shout strip initial and trailing whitespaces using strip()

ok millert@, ok jung@

document handling of comments in makemap

ok millert@, ok sunil@, ok jung@

Drop two useless defines.

ok nicm@

Add pledge "stdio unix sendfd proc exec tty" to tmux client process,
"sendfd" is dropped after first message from the server.

Move a system header include from the global header (sh.h) into the
files that need it. No binary change.

"This looks fine" -nicm@

both of these are deprecated

Convert some fgetln to getline.

tested and ok gilles@

Cleanup and simplify LMTP code.

Ok millert@ gilles@

LMTP delivery requires "inet unix".

Ok millert@ gilles@

make usage() less horrible

Exit if a pledge call fails in non-interactive mode.

ok semarie@

Pledge; OK millert@ tobias@

this file is deprecated

Change allocarray() to areallocarray(), a full reallocarray clone. All
the logic is already in aresize().

"Sure" nicm@

remove unused variables

Copy alloc()'s overflow check to aresize().

Suggested by nicm@.

NUMBOOT is dead! Nuke the variables and abstractions that were used
to build boot blocks.

ok miod@

Implement -w maxwait now that the -w flag is free in ping6. Same
behaviour as ping(8).

Do no accept fds on the control socket; including the restricted socket.

OK gilles@ eric@

move -V option before -v and remove one spurious newline, now in sync
with ping.
No object change.

KNF

our strip() function should use isspace()

ok jung@, ok millert@

Remove left over -N and -w. Adapt wording for the link local example.
Pointed out by, input & OK jmc

Tighten up snmpd's control socket: do not allow users to terminate the
daemon by sending corrupted imsgs to snmpd.  This is especially
important for the optional world-writeable restricted socket that is
used for AgentX.  In particular, don't fatal() in the daemon when imsg
size checks on control messages fail, do stricter validation of
expected messages (even assert zero-length imsgs), don't continue and
close the control socket on suspicious input, print a debug log
message on error.

OK gilles@ "the rationale behind it is quite clear"

Cleanup a bit.

OK krw@ halex@

add "tty" for several subcommands of openssl

it is needed in order to let libssl UI_* function plays with echo on/off when
asking for password on terminal.

passwd subcommand needs additionnal "wpath cpath" in order to let it calls
fopen("/dev/tty", "w") (O_WRONLY with O_CREAT | O_TRUNC).

problem reported by several
with and ok doug@

The file(1) magic-parsing process was using pledge "stdio getpw proc recvfd"
early on, then a set of getpwnam/setresuid/... before quickly dropping to
"stdio recvfd".  It receives fd's and runs the magic code on them in a
chroot'd "stdio" jail.  We can do better than that.

Before the recent change, "proc" contained both the concepts of "forking"
and "setuid".  "id" is now split out as a seperate request, and it is
exactly what this process needs momentarily.  So this loses another window
of opportunity, in case we have a major bug in .... hmm, it'd have to be
in getpwnam....

ok tedu doug semarie gilles

smtpd starts rather robustly with a gigantic pledge request group (keep
in mind that a gigantic group is already < ~50% of POSIX).  It then
grinds these down bit by bit as it sets up privsep for the various
processes.  At startup, smtpd will need the new "id" request as well.
ok gilles tedu

Add pledge "id" support.  This request permits setuid/seteuid/setresuid,
setgid/setegid/setresgid, setgroups, setlogin, and setpriority.

setrlimit and getpriority are also allowed (they are also in "proc")

some of these were previously permitted in "proc" but have been removed.
this seperation is intentional.  "proc" is intended for reasoning about
the relationship of a process "with other processes", whereas "id" deals
the powerful/dangerous concept of unix ids.  "id" will see some action
very soon.

ok gilles tedu semarie doug

route6d pledges to use only "stdio rpath wpath cpath inet route mcast"

ok deraadt@

Allow a few 'get' ioctls for pledge("route").  route6d will soon use this.

ok deraadt@

don't need fcntl for non blocking socket, just ask for it upfront

Very tricky diff to fix macro interpretation and spacing around tabs
in .Bl -column; it took me more than a day to get this right.
Triggered by a loosely related bug report from tim@.

The lesson for you is:  Use .Ta macros in .Bl -column, avoid tabs,
or you are in for surprises:  The last word before a tab is not
interpreted as a macro (unless there is a blank in between), the
first word after a tab isn't either (unless there is a blank in
between), and a blank after a tab causes a leading blank in the
respective output cell.  Yes, "blank", "tab", "blank tab" and "tab
blank" all have different semantics; if you write code relying on
that, good luck maintaining it afterwards...

Change x_do_ins()'s arg type from int to size_t for correctness's sake,
and to silence a compiler warning. Also remove its prototype, which is
directly above its definition.

ok tedu@

Move the overflow check to alloc() so that the link struct overhead can
never bite us.

Suggested by Theo Buehler, inspired by Bitrig's natano@.

ok tedu@

use daemon(), jca had the same diff in his tree

Also allow 6 as a miblen for NET_RT_DUMP, not all users specify a rtable.

ok deraadt@

pledge "stdio rpath wpath cpath getpw fattr flock"

pledge "stdio rpath wpath cpath fattr proc exec"