Enable test-tls13-keyupdate.py

move test-record-size-limit.py to unsupported

_PASSWORD_LEN is no longer the limit for an unencrypted password.
It is now used as the max length of the encrypted password hash.
From Benjamin Baier.

enable test-record-layer-fragmentation.py

factor argument to catch an alert mismatch into a helper function

Rename privacy to temporary in slaacd regress, then it passes.
OK florian@

spacing

construct an octeon installXX.img file

Automated regress cannot connect to servers in internet.  Check
whether jigsaw.w3.org is reachable and skip rpki client http test
if not.
OK claudio@

enable test-tlsfuzzer-invalid-compression-methods.py

Include modifiers when looking up an individual key.

enable test-large-hello.py as a slow test

with new defaults, test-fuzzed-plaintext.py is no longer slow

move a few tests to the unsupported group and fix two comments

Require that the argument to the window option be non-zero.
A zero-row window would not be usable (no room to edit) and the
code is full of assumptions that "sp->t_rows - 1" >= 0.
From Erik Ruotsalainen, fixes a bug reported by Paul de Weerd.

annotate test-ecdhe-rsa-key-exchange-with-bad-messages.py with expected
alerts and where to add them.

Ignore expandtab setting when in command mode.
Fixes things like searching for a literal tab character when
expandtab is enabled.  From nvi2 (leres).  OK martijn@

Fix merging of files that lack a final \n at EOF after a block of common lines.

Problem reported by Josh Rickmar.
ok millert@

Adjust http_done() the be more like http_fail() -- only do the message
delivery part but don't alter the http_connection anymore.
Also move common code in the connect case into a new function and call it
from connect and finish connect.
OK benno@

Before adding a file to the temporary rrdp repo remove it from the
deleted filepath set. A file can only be in one set (deleted or added)
but not on both.
OK benno@

Change how extended ctrl keys are processed to fix C-S-Tab and C-;.

Unbreak rtable regress test. Define _KERNEL in some crucial spots so that
the include guard in rtsock.h is bypassed and critical defines like rtentry
show up. Also remove the old RADIX bits, rtable code is art only for a while.

Fix rde_decide_test regress test

Add a basic regress test to test the 'rde evaluate all' feature.

Use tee(1) so that the bgpctl output is visible during the run.

Move mode set/reset after sync so cursor doesn't flicker, from Avi
Halachmi.

Handle C-Tab correctly with extended keys, GitHub issue 2642.

handle iso dir

Cast XML_GetCurrentLineNumber() to unsigned long long in warnx since
expat my either use unsigned long or unsigened long long as return value
depending on compile options. This upcast is an easy way around this issue.
OK deraadt@

Spaces, no functional change

Add a flag to disable keys to close a message, GitHub issue 2625.

Permit shortcut keys in buffer, client, tree modes to be configured with
a format; the default remains the line number. GitHub issue 2636.

Document bpe(4)

Diff from Marcus MERIGHI <mcmer-openbsd at tor dot at>, thanks.

Feedback OK jmc
OK dlg

Document 'request' option to request additional configuration payloads.

ok patrick@

KNF, capitalization, whitespace

Remove dead code for unused IMSG_CTL_NOTIFY messages.

Some vestigial code left over from when priv-sep was implemented.

ok mlarkin@

Create a sparc64 install*.img file also
tested by kettenis

vnconfig is run without a label-type (install360), because in-Makefile
scripting calculates msdos+ffs layout, so FSTYPE= is not neccessary.

On systems that hide the PCI bridge device corresponding to a PCIe RC port
we may end up passing a NULL pointer to pcie_get_speed_cap().  Handle this
by returning PCI_SPEED_UNKNOWN instead of dereferencing a null-pointer.

ok jsg@

Correct a comment: reference the correct file

bwfm(4) needs firmload

Otherwise compiling a kernel witout any other wifi drivers fails.

OK patrick deraadt

do not build unused code and remove uneeded dependency on libm.

ok tb@

Update a stale comment and fix a typo.

sync

Fix two typos in comments

sure deraadt@

build arm64 install*.img
requested by kettenis, first testing by kn

Make sure the ip header lands on a 4 byte alignment by adding 2 bytes
padding because the ethernet header in front is only 14 bytes.
Found the hard way by me while testing on sparc64.
Solution suggested by & OK deraadt

Add cabal-module(5) man page

OK kn

remove dead code and unused dependencies

ok tb@

Do not compare TLS config params for non-TLS servers. This allows to
mix 'listen * port 80' and 'listen * tls port 443' in one server block.
Also the last argument of server_tls_cmp - match_keypair - is always 0
so remove this code.
OK florian@ tb@ some long time ago

bump smtpd version

regen

add pcidevs entries for Aquantia ethernet devices

It is macobio0;  hit with the cluestick from jsg

allow to specify tls ciphers and protocols on listeners

ok tb@

When a DHCP server sends an invalid T1 or T2 default back to the default
values as specified in RFC2131 section 4.4.5. Allows my Comtrend VI-3223u
to work.

OK florian@

synopsis: macobio0* -> macobio*

Add a minimal regress test for the http client code.
This currently uses some external website to do redirect test and
to check both regular and chunked downloads.
Only for libressl because you can't mix openssl 1.1 and libtls on OpenBSD.

Only modify routes if SA has a valid address lease.  On IKE SA rekey
sa_cp_addr and sa_cp_addr6 are moved to the new SA before the old
SA is deleted.
Fixes a bug where host routes were deleted on IKE SA rekey.

ok patrick@

Change a type to fix a warning with some compilers.

Tidy up the http state machine a bit. Make sure that http_nextstate() runs
until an error or an IO opperation is needed. In other words it should not
return 0. Because of this adjust the http_tls_connect() call a bit. Also
call http_connect() in http_redirect() instead of needing an extra step
in the state machine. Last but not least make sure that http_handle() does
only one IO operation and check for possible POLLHUP event.
OK tb@

An extra internal consistency check and a missing stats adjustment. ok tb@

Cache implementation has changed, we do not hold on to an exact number
of pages anymore, but also cache larger regions; ok tb@

Fix release time

ok deraadt

Expose two extra metrics via JSON

This removes some of the needs of rpki-client affiniadios who
screen-scrape rpki-client's STDOUT.

OK deraadt@

sync

Increase buffer size for http_info a bit. 64 chars is a bit short for
RRDP URLs.

Refactor the regular and chunked data write so that one function can
handle both cases. Simplifies the code a fair bit.
OK tb@

Do not request unused "classless-static-routes" dhcp-options(5)

Doing so implies support for it, but dhcpleased(8) currently ingores it
entirely and does not configure any route from it.

As per RFC 3442 servers SHOULD NOT respond with a "routers" option when
"classless-static-routes" is set.

dhcpd(8)/dhcpd.conf(5) follows that, hence requesting but not using static
routes results in not installing any routes at all.

Stop signaling support for this option and only request "routers" such that
dhcpleased continues to install a default route and properly ignores the
unsupported option if used by the server.

Report from Uwe Werler <uwe @ werler dot is> about a default route not
being set when requesting the "classless-static-routes" dhcp-options(5)
from dhcpd(8), thanks!

OK florian

Enable test-cve-2016-6309.py

Switch logic from != to ==. Makes the code easier to read.

Change the order of the poll loop to first process active http connections
and then accept new ones. This way there is no risk of processing a new
connection before poll() was called.
OK tb@ as part of a larger diff

Shuffle deck chairs so that the order is more logical (at least for me).
No functional change.

Prevent a use-after-free access in case of a http redirect by also clearing
the conn->res pointer after calling freeaddrinfo().
OK tb@ (as part of a bigger diff)

More cleanup of the main function. Use a loop to collect all childs with
waitpid() and print if they exited non-zero or by a signal. Also adjust
the poll hangup case to exit the poll loop instead of erroring out. This
way a crashed child should be reported before exit.
OK job@ tb@

Missing setproctitle("rrdp") noticed by deraadt@

Log the key written to the terminal as well as tmux's idea of what it
is.

reword manpage on -n

OK claudio@

The path with the *highest* local weight is selected

ok kn

fix SEE ALSO, and tidy up the text a little;

tidy up AUTHORS with -nosplit;

Avoid clobbering the error code when sending an alert

In order to fail gracefully on encountering a self-signed cert, curl looks
at the top-most error on the stack and needs specific SSL_R_ error codes.
This mechanism was broken when the tls13_alert_sent_cb() was added after
people complained about unhelpful unknown errors. Fix this by only setting
the error code from a fatal alert if no error has been set previously.

Issue reported by Christopher Reid

ok jsing

Use ERR_print_error_fp() to avoid leaking a BIO in fatal()

graphaudio(4)

Add graphaudio(4), a driver to support linking together audio components
based on the audio graph description that uses ports and endpoints in
the device tree.

ok patrick@

In some cases the http process terminates and Theo's and my theory is that
this is caused by a SIGPIPE. So add a handler that will abort the process
and dump core.
OK deraadt@

Add support for the fractional dividers for the i2s clocks.
Fixes audio on the pinebook pro.

ok kn@, patrick@

Free the parser then close the file. Seems like the better order.

"oldlladddr" -> "oldlladdr" in fatal() verbiage.

minor KNF found while hunting for a bug

Restore previous behaviour so that C-X remains the same as C-x. Instead,
translate incoming extended keys so that they are consistent.

Handle bind() failure like connect() or socket() failure and try next
address if available. No other tools consider bind() errors as non-fatal
warnings so rpki-client should not behave different.
OK tb@

When merging a repo even files to delete can be part of the temporary
work dir. So unlink can return an ENOENT error for the main repo. In
which case the temp dir should be tried.
Refactor this code a bit since there is no way rrdp_filename() should
fail in this part of the code.
OK tb@

Add a current_file format for the config file being parsed. Originally
suggested by kn@, also GitHub issue 2638.

When display-message used in config file, show the message after the
config file finishes. GitHub issue 2637.

Check function return value in openssl(1) x509.c

input from bcook@, ok and comments from tb@

Avoid leak in error path

ok and input from tb@

Fixes for extended keys: 1) allow C-x and C-X to be bound separately
since some terminals report them differently 2) use the "backspace"
option to translate backspace 3) map ctrl which are have the ctrl
implied (such as C-x) properly when the terminal reports both the key
and the modifier.

Note that any key bindings for C-X where C-x is meant must now be
changed.

back out r1.22, ie, don't blindly trim the FCS on rxed packets.

there's been multiple reports of severely reduced throughput using
ure(4) since 1.22 was committed, but all the gear we have to play
with is fine with it. i'm backing the diff out until we can get a
better handle on the problem

discussed with and ok kevlo@ jmatthew@

disable POOL_DEBUG for release
ok deraadt@