Add a helper to extrct the CRL Number from a crl

ok claudio

consider an MX of "localhost" as it were a "Null MX"

diff from Philipp (philipp+openbsd [at] bureaucracy [dot] de), thanks!

ok sthen@

Add expected output files, missed in previous commit. I hope our grep is
producing the wanted output at this point.

avoid reading data when enumerating kstats.

this means we can reliably read the provider/instance/name/unit
tuple, which should avoid "duplicate kstat entry" when multiple
kstat read handlers have issues.

found on a box with multiple rge interfaces, which have hardware
backed kstats that can only be read when the interface is up.

handle printing cpu freq and volt kstat_kv types

cpu frequency and volt types for kstat_kvs

use a random number as the cookie in bio ioctls.

ok kn@ krw@

when connecting via socket (the default case), filter addresses by
AddressFamily if one was specified. Fixes the case where, if
CanonicalizeHostname is enabled, ssh may ignore AddressFamily.
bz5326; ok dtucker

when deciding whether to enable keystroke timing obfuscation,
only consider enabling it when a channel with a tty is open.

Avoids turning on the obfucation when X11 forwarding only is in use,
which slows it right down. Reported by Roger Marsh

Constify disk_map()'s path argument

The disklabel UID passed in is not modified, reflect that and allow callers
using 'const char *'.

OK miod

fnematch: fix a bug that could result in extra chars being pushed back.

From Arnold Robbins.  https://github.com/onetrueawk/awk/pull/213

fnematch: fix out-of-bounds access on EOF

fnematch() expects to store a NUL byte when EOF is encountered.
However, the rewrite broke this assumption because r.len from getrune()
is zero on EOF.  This results in j becoming negative on EOF, causing an
out-of-bounds access.  It is simplest to just force r.len to 1 on EOF
to copy a single NUL byte--the rune is initialized to zero even for EOF.

This also fixes the call to adjbuf().  We cannot use 'k' to determine
when we need to expand the buffer now that we are potentially reading
more than a single byte at a time.

https://github.com/onetrueawk/awk/pull/211

Correct denominators when converting NTP fixed point values to double
and vice-versa; ok tb@

Make sure we allocate the correct size for an appl_agentcap.

OK claudio@ miod@

Don't let signify mess up our status line

While not verbose the status line is built as we go, so save errors from
signify until after we've finished the status line.  This should exit and print
the error immediately, since this happens when fetching the SHA256.sig and
fw_update exits early in that case.

Improve output after waiting for package db lock

OpenBSD::PackageInfo::lock_db will send messages to STDERR if we ended up
waiting for a lock, if that happens, it stomped over the "fw_update:" prefix on
the status line so tidy up and print it out again.

Better handle ftp errors in fw_update

Trap STDERR to post-process it looking for 404 errors to handle them differently.

The fetch method now also returns different error codes for errors that can
continue on.  Currently only 404 is special and everything else should cause
fw_update to exit early without trying all the files.

Exit early if the SHA256.sig gets a 404 because that is required to figure out
what valid firmware are.

Improve fw_update output on errors

Mostly some setup for the future, by separating out the filehandles we use for
the status and errors more specifically, we can trap the things we know about
without hiding surprises.

Drop some unnecessary parentheses

Shuffle getters and adders down a bit

These use static helper functions which don't need prototypes this way.

Add regress test for "grep -m" behavior.  From Crystal Kolipe.

procline: only reduce mcount once per line, not once per match.
This makes "grep -m" behave like GNU grep (where the -m option
originated).  From Crystal Kolipe.

Bump powerpc64 default datasize to 1536M

This is for llvm 16; powerpc64 (like some other platforms) needs a
higher datasize limit to build base-clang 16.

ok jca@

Don't strdup NULL filename.

Add missing .PATH

Reported and suggested by jsing@

Handle NULL client (in config file) when showing a status message; also
copy the file when processing if-shell since it may be freed. GitHub
issue 3746.

Use SM 2026 for Sync which is more widely supported now.

increase datasize to 1536M for the default login class
needed to build llvm-16 gnu/usr.bin/clang/include/llvm/AMDGPU
ok jca@

This code depends on internals from net/art.h so include it explicitly.
OK bluhm@

Fix typo in comment.

Add break to error out on weird characters in gethostbyname().

Missed in previous some time ago; while here remove confusing else.

Input & OK eric

regen

add another Navi 32 device id

7470 rev 00 is Radeon Pro W7700
found in AMD Software: PRO Edition for AMD Radeon PRO W7700

reduce the man(7) global indentation from 7n to 5n, see man_term.c rev. 1.197

raise i386's datasize for 'daemon' class so that relinking libc at boot
doesn't fail - new clang is even greedier than the old one.

I picked the value 1500M out of the air, it works for me but could perhaps
be finessed downwards a bit.

(I'm also using 1500M for make build / mkr+mkrx on i386; make -j8 build
is no longer a good idea on i386 ;)

fix i386 sets

include function name in warning printf in vmx_handle_np_fault() and svm_handle_np_fault() more clearer output

ok mlarkin@

Reduce the man(7) default global indentation from 7n, which was an oddity
in groff-1.01 to groff-1.22.4, to 5n for compatibility with Version 7 AT&T
UNIX, 4.3BSD-Reno, groff-1.23.0, and all versions of mdoc(7).
OK jmc@ millert@

Fix rt_setgate() error handling.

In revision 1.424 the logic in rt_setgate() has changed.  The old
code entered a value into rt_gateway also if rt_setgwroute() returned
an error.  Now if rt_setgwroute() fails, rt_gateway is NULL and
ROUNDUP(rt->rt_gateway->sa_len) crashes.

Put back the old logic in rt_setgate().  Setting rt_gateway and
rt_gwroute are actually independent.

If malloc(9) in rt_setgate() fails, rt_gateway can still be NULL.
The subsequent crash in free(rt->rt_gateway, M_RTABLE,
ROUNDUP(rt->rt_gateway->sa_len)) was just never observed.  Add a
NULL check around these free(9).

Reported-by: syzbot+2e79dd9db712d3c5ade9@syzkaller.appspotmail.com
OK mvs@

Make X509_certificate_type() less bad

This converts to proper single exit and undoes a number of unnecessarily
silly muppet antics.

ok beck

Garbage collect an incoherent export crypto check

Contrast "#define EVP_PKT_EXP  0x1000 /* <= 512 bit key */" with the diff:

-       /* /8 because it's 1024 bits we look for, not bytes */
-       if (EVP_PKEY_size(pk) <= 1024 / 8)
-               ret |= EVP_PKT_EXP;

EVP_PKT_EXP will be nuked at the next opportunity.

discussed with jsing

Use a sensible variable name (i.e. nid) instead of i for a NID

Use X509_get_signature_nid() instead of inlining it

ok beck jsing

X509_certificate_type() needs to know about RSA-PSS

This doesn't do much right now, but is part of the tangle that is adding
RSA-PSS support.

ok beck jsing

Apparently base-gcc doesn't like having OID() inside MIBDECL(). Handroll
the OID() logic into MIBDECL().

Found, tested, and OK jca@
OK tb@

Bye bye libcsi

This is sad, but unfortunately, we never had time to grow it to its
intended use. It's been in maintenance mode for too long, and there
currently aren't concrete projects to pursue this direction further.

It can be revived when the time is ripe. Until then, let it not get
in the way of more urgent work.

discussed with jsing

Retire the libcsi regress

sync Symbols.list with reality; ok tb@

enable UDF on arm64 install media
ok deraadt@ kn@

Prepare to expose OPENSSL_gmtime and OPENSSL_timegm as public

This matches when BoringSSL has done, and allows for getting
rid of the dependency on system timegm() and gmtime() in libtls.
which will make life easier for portable, and remove our
dependency on the potentially very slow system versions.

ok tb@ - tb will handle the minor bump bits and expose
on the next minor bump
CVS :----------------------------------------------------------------------

Kill last user of ASN1_time_parse() in the tree

ASN1_time_parse() was useful while OpenSSL didn't have something sort of
equivalent, but now they do. Let's retire ASN1_time_parse() to internal.
This will require some patching in ports, but shrug.

ok beck

Check notBefore/notAfter validity with ASN1_TIME_to_tm(3)

ok beck

Replace ASN1_time_parse() with ASN1_TIME_to_tm()

Like in libtls, we use ASN1_GENERALIZEDTIME_check() to ensure we actually
have a GeneralizedTime.

ok beck

Bump datasize for staff to match amd64

Suggested by jsing@, ok tb@

sync

Remove last caller of ASN1_time_parse(3) in libtls

This one is slightly annoying since ASN1_TIME_to_tm(3) doesn't provide a
direct check for a GeneralizedTime, so call ASN1_GENERALIZEDTIME_check()
as well. This means LibreSSL parses the time twice. Shrug.

ok beck

Remove ASN1_time_parse() dependency in tls_conninfo.c

During r2k22 ported some of the missing OpenSSL ASN.1 time API. This is
a step towards removing the dependency of libtls on ASN1_time_parse().
The latter grew a dependency on CBS/CBB, and thus the choice is to pull
in all this code or to use a no longer maintained version of the API.
Both options are unappealing.

ok beck

Eliminate the timegm(3) dependency in libcrypto

timegm(3) is not available on some operating systems we support in
portable. We currently use musl's implementation, for which gcc-13
decided to emit warnings (which seem incorrect in general and are
irrelevant in this case anyway). Instead of patching this up and
diverge from upstream, we can avoid reports about compiler warnings
by simply not depending on this function.

Rework the caching of notBefore and notAfter by replacing timegm(3)
with asn1_time_tm_to_time_t(3). Also make this API properly error
checkable since at the time x509v3_cache_extensions(3) is called,
nothing is known about the cert, in particular not whether it isn't
malformed one way or the other.

suggested by and ok beck

Add 2 tests to make sure getbulkrequests return the correct error index.

struct appl_varbind_internal's avi_index is used to give the index to
the original varbindlist's index. In the case of a GetBulkRequest this
must never be larger than the length of the original varbindlist.

OK tb@

adjust `regress' description since REGRESS_FAIL_EARLY is yes now

ok plus various improvements to the text by tb@

sync
ok robert@

Make sure sftp_get_limits() only returns 0 if 'limits' was initialized.
This fixes a potential uninitialized use of 'limits' in sftp_init() if
sftp_get_limits() returned early because of an unexpected message type.

ok djm@

Bump datasize for the default login class, needed to build clang-16

Declare global variable zeroin46_addr as const.

OK mvs@ jca@

Also bump the default limit on riscv64

Reported by jsing@

append ExtensionDependencies.inc to CLEANFILES only if .OBJDIR != .CURDIR

Move struct oid from snmpd.h into smi.c and trim a lot of the now unused
fat. This includes all the o_flags member related defines.

if it compiles ship it/OK tb@

Remove a bunch of unused smi_ functions and move a couple of definitions
out of snmpd.h, which aren't used outside of smi.c

OK tb@

Now that smi_oid_cmp() is only used by the oidtree RB-tree, and nothing
fancy is using it, we can simply rely on ober_oid_cmp().

OK tb@

Now that MIBDECL() fills in bo_n, no need to call smi_oidlen() anymore.

OK tb@

Let MIBDECL() make use of OID(). This gives use bo_n for free and we
won't have to rely on error-prone smi_oidlen.

OK tb@

Now that smi.c is basically an oid/name translator, let smi_insert()
create the struct oid and let parse.y supply the arguments.

OK tb@

No need to use struct oid to compare two struct ber_oids. Just call
ober_oid_cmp() directly.

OK tb@

Printing all known objects inside smi when build with -DDEBUG has no
benefit. Remove it and the last consumer of smi_foreach().

OK tb@

No reason to call (error-prone) smi_scalar_oidlen when we include the
scalar .0 ourselves.

OK tb@

revert https://reviews.llvm.org/D135402 for now to shut lld up until we fix
all the symbol lists

Bump NTP era if the offset we receive is small, in a similar manner
as ntpd.  ok deraadt@

Use constant sockaddr in route lookup.

In rtalloc() and rtalloc_mpath() declare the parameter dst as const
sockaddr.  This makes MP safe route lookup easier as the destination
address is definitely not modified during the operation.  Array
rti_info, the central data structure with addresses for route
matching, contains constant sockaddr now.

OK mvs@ dlg@

sync path to libclang_rt*.a

Fix install path, reminded by otto@

Mechanical lib/clang/13.0.0/include -> lib/clang/16/include

The actual headers list still needs to be fixed on !(amd64)

+/usr/include/llvm/Config/TargetMCAs.def

sync

sync (libLLVM bump)

Bump MAXDSIZ to 2G on armv7.  Needed for llvm-16.

ok deraadt@

Fix parsing of branch target protection options on arm64 to enable
BTI and PAC again by default on OpenBSD.

ok robert@

Do not modify route info sockaddr in rtm_xaddrs().

The rti_info array is used to describe routes that should be found
by lookup.  Modifying the addreses in it is not a good idea.  There
were places where rtm_xaddrs() tried to fix the address family
instead of validating it.  Replace the modification with a check
and error out with EAFNOSUPPORT on failure.  Route labels always
have AF_UNSPEC and the other types are not used anyway.

OK kn@

Now that the last consumer of mps.c is gone, remove it and its
application_legacy.c companion.

OK tb@

Move snmpd.conf's oid keyword into application_internal.c. These objects
get registered under their own backend name, so that they can't overlap
with the internal regions. This removes the last consumer of mps.c

OK tb@

rt_gateway and rt_gwroute use X protections now.

pointed out by bluhm@

rt_setgate performs a series of tweaks to an rtable and the routes in
the rtable which should be serialised to ensure they're consistent.
unfortunately, rt_setgate is called from the network stack while it's
only holding shared NET_LOCK.

this uses the [X] protections as described in route.h to serialise the
changes, and reworks the code to try and keep enough stuff linked up
properly during the changes that it will still work if another cpu is
still using the rtentry structs while they still have shared net lock.

tested by and ok bluhm@

fix the signal numbers passed to siginterrupt.

from dhill@

bump datasize to 1536M for the default login class to allow the build
user to generate the AMDGPU includes in llvm-16

discussed with deraadt@

TargetMCAs.def is required to be installed in the llvm include dir
so instead of shipping the file internally, let's generate it and
install it with the rest of the headers; unbreaks xenocara build

Add support for the Rockchip RK8602 and RK8603 voltage regulators.

ok dlg@

flip the ignoreFunctionAddressEquality flag; lost in merging changes from llvm-13

split the Symbols.list up so that arch specific symbols do not end up everywhere

ok tb@

the ws in wscons is short for workstation

Fix variable name in comment

Mostly a dummy commit so that the last llvm commit ends up in the git export.
(No idea whether it's actually/still needed but it can't hurt.)