duh, -n does not take args

Return the poison value in poison_check() and not the modified value.

ok tedu@

warning(), note(), debug(), parse_warn() always return 0, which no
caller checks or saves. So just void them all.

Enable Wbounded by default.  Passing bound bigger than the buffer
size almost always has security implications.  I think this quote
from Theo summarizes the situation best:

Which is why it is important to have at least one unforgiving
platform in the ecosystem which properly labels shit shit.

That's OpenBSD.  If anyone can't handle that, they can go to platforms
which hide the reality.

new signify options. from and ok espie

dang it!

new day, new options. -m message and -x signature.
this should be less confusing and more consistent in various modes.
also support stdin/stdout where feasible. touch up usage to be helpful.
ok deraadt

Place a SHA256 (not SHA256.sig, sorry not yet) onto the install*.iso
media to give some upcoming changes a chance of working.

Long discussions with todd and rpe

we only write to writable files, so use O_WRONLY.
st_size is only meaningful for regular files, so check S_ISREG

revert back to 1.97

There is a memory leak when using internal GZip, so switch back to the
external gzip for now.

OK espie@

add missing dash in -p option

OK tedu@ jmc@

Remove no-op 'HIDE' macro from sppp code. This probably existed to allow
for easy switching to static functions. But we don't usually have static
functions in the kernel.
ok deraadt mpi mikeb

Directories updates for freetype 2.5.2

improve release directory example

plen is unsigned

sync

crank to 5.5beta

allow prev release keys for now, transition 5.4 -> 5.5 kindof requires
it.

expand the "eval" description a little; from wiz@netbsd

avoid use of OpenSSL BIGNUM type and functions for KEX with
Curve25519 by adding a buffer_put_bignum2_from_string() that stores
a string using the bignum encoding rules. Will make it easier to
build a reduced-feature OpenSSH without OpenSSL in the future;
ok markus@

subtly improve an example

Also move case 'c' into the #ifdef for a smaller binary.  It will fall into
default, giving a nice failure.  I have not removed -c from the usage()
or getopt() because it is too much butchering...

Since the return value of read_client_conf() is not checked, don't
bother returning one.

update list of chips supported, Chris Hettrick

sync

when selecting sets to install, postpone the xbase/comp check so the
comp set does not get readded if the xbase set is being removed later
on the same input line

"nice semantics" deraadt@

test pkg key for during the 5.5-beta sequence

test fw key for during the 5.5-beta sequence

Remove useless use of strnlen(3).
Yuckiness pointed out by deraadt@.

test key for during the 5.5-beta sequence

fchownat is allowed to return EOPNOTSUPP
okay guenther@

typos, from Markus Lude, thx!

Sync description of struct pf_osfp_entry to rev 1.393 of pfvar.h
OK deraadt@

When I created UDP socket splicing, I added the goto nextpkt loop
to splice multiple UDP packets in the m_nextpkt list.  Some profiling
with TCP splicing showed that checking so_rcv.sb_mb is wrong.  It
causes several useless runs through the loop.  Better check for
nextrecord which contains the original m_nextpkt value of the mbuf.
OK mikeb@

add a few things mumble

remove extraneous D, from Markus Lude

simplify code: always extract, then install, so that initial installations
and updates are more similar.

a bit of spring cleanup in advance: scrape old stuff that's not really
used.

optarg/optind are declared in <unistd.h>, so kill the externs here

regen

add some more Realtek Card Reader chipsets.

No need for a bin/cpio link on the media, because the pax|tar binary does
not support cpio anymore.

Butcher a smaller tar/pax here, which has no cpio support
ok guenther

Add -DNOCPIO option for use by distrib/special
ok guenther tedu

Sync the comments for the M_ICMP_CSUM_* flags with their descriptions in
the mbuf(9) man page.

Create cleaner & less noisy makefiles, now that we've been using
this for 20 years.  We don't need to see the splatter as much anymore.

just a little TLC

Let tcpdump detect bad ICMPv6 checksums with the -v flag.

Tested on amd64, i386, loongson, and macppc.

OK florian@

Let tcpdump detect bad ICMP checksums with the -v flag.

Tested on amd64, i386, loongson, and macppc.

OK florian@

Make icmp_print() accept the length variable, which is the length of the
packet without the IP header.  This is needed by the next commit that
will allow tcpdump to detect bad ICMP checksums.

Related functions like {tcp,udp,icmp6}_print() already accept this
length variable, so this change makes icmp_print() consistent with
them as well.

This commit makes no functional change to tcpdump itself.

OK florian@

Check the return value of fstat() in readmsg().

OK deraadt@ tedu@

use -DSHA2_ONLY to be more clear about what we are butchering
idea from tedu

use NOMAN=1 for all directories

unify with other Makefiles around here

Use strtoul() to do octal and hex character conversion instead of
custom code.

improve ntpctl usage so that the manual page does not need to be read
every time
ok jmc

Don't overwrite the regress target, provide a test target instead.  This allows
the test target to fail without terminating overall regression tests. Clean up
a little.

Also adjust orders.txt.sig comment to new reality, making the test pass again.

Looks ok to sthen@

regen

Resurrect the "park APs in realmode" idea that we explored back at t2k13
(and which didn't work at that time due to a bug which has since been
fixed). The APs are now demoted to real mode and placed in a HLT loop
while the hibernated image is being unpacked.

Helps my x230 significantly, no more spurious reboots on resume.

ok deraadt

Add the ULT Haswell host bridge id.

Was intending to add this but also reminded by mark rowland

Add MSI support.

Tested by comete@daknet.org and vigdis+obsd@chown.me.

Fix the unitialized rtableid bug discovered and fixed in the previous
commit by brad@ by calling setsockopt SO_RTABLE only when -V is
present. As a bonus drop privileges very early in main, before option
parsing.
This brings ping6 more in line with what ping does and will make
eventual unification easier.

OK deraadt@
"works for me" brad@

depluralize
ok jmc

match what hppa is doing now (not tested, but should be right)
ok miod jsing

correct argument handling; this has been broken since to beginning
and was writing to wrong memory.
ok jsing miod guenther

do not list sha1 and sha256 in SEE ALSO, since md5 is already there, and
they're one and the same page now;

catch up to the fact that md5/sha* got merged, and document -c consistently;
some style and cleanup tweaks while here

ok deraadt

Add MISSING to the list of possible results of a checklist comparison.

When using a checklist, print MISSING for non-existent files.

Based on an earlier diff by tedu@
Requested by deraadt@
OK deraadt@

sort options

tedu merged the hash manual pages back together.  This goes even further,
repairing the documentation for the -c option.

Remove unnecessary rc_post from rc.d/nsd.

It was there to try and ensure that failure was reported if nsd stopped
shortly after startup (as it used to do if the address was in use, etc),
but this is no longer the case with nsd 4 which returns a failure at
startup in these cases, and having it there breaks properly printing
"(ok)" when stopping.

-c comment, for people who don't like the default. ok deraadt

Use arc4random instead of random in the flock regress tests.

ok deraadt@

likewise. this is useless

by popular demand, remove excessive paranoia

signify silent by default, don't bother working around stdout.

replace the rest of the obsolete radix macros
sprinkle 0 -> NULL where obvious
ok millert mpi

Make this work on hppa.

be a bit more careful

Do not include MD assembly code in a sys regress test. Untested on alpha,
however it has a much better chance of compiling than it did previously.

Using random-id is recommended in combination with no-df to ensure
unique IP identifiers.

ok henning@

revert previous; height is never changed, but top is changed.
ok espie@ who saw intermittent sigbus in ports/math/hc with this.

remove md5 after installing it (with the links to the sha256/512 commands).
this is because the md5/sha256/sha512 are in the same binary, found in the
md5 directory, but the version on the media lacks md5 support.  Understand?

no Pp before or after Sh;

Fix a bug found in ping6 when rebuilding with stack protector strong.
rtableid is unitialized; the stack protector strong binary would fail
to set the routing table id. Copy the rtableid initialization over to
ping to keep what is essentially similar code in sync.

ok deraadt@

the /etc/ssh/ssh_host_ed25519_key is loaded by default too

the -c option is really a mode change, incompatible with other options.
(there are some others too, but -c is particularly misleading.) split it
out in synopsis and usage.
ok deraadt

ddpcb and unixsw symbols are no longer used with kvm_read

ok deraadt@

Copy changes from ls -l to find -ls: print future times with year and use
strftime() instead of parsing ctime()'s output.

ok millert@

quiet time. printing verified was an artifact of development, to be sure
we didn't accidentally fall through main without doing anything, but tools
should be quiet unless there's an error.

use a single positional argument instead of a creeping list of __progname

a little more consistent with names, notably call signature files sigfiles
for short, instead of output.

base64.c workaround keeps sneaking back in

provide a small (very very) practical example for using signify
ok tedu

change the listing of the options, because there is way too much
befuddlement.
sorry jmc
ok tedu

at least for now, we're going to need some -Inspector magic

Check the return values of the strdup() calls.

OK deraadt@

be forceful with removing the SHA256 file

a new key.  Once again, this is still testing time.