All of ROA, MFT, ASPA, and RSC define their respective 'version' field
in ASN.1 as following: "version [0] INTEGER DEFAULT 0,". Each object
profile preamble contains "DEFINITIONS EXPLICIT TAGS ::=".

We didn't bump into any issue yet, because all Signed Objects are at
version 0, which means the field is entirely omitted (including the tag,
be it implicit or explicit). (From X.690 section 11.5: "The encoding of
a set value or a sequence value shall not include an encoding for any
component value which is equal to its default value.")

OK tb@

Nuke D_BADSECT and disktab's 'sf'.

DEC standard 144 bad sector information is no longer a thing. As
evidenced by bad144(8) moving to the attic 16 years ago.

ok miod@, who points out that badsect(8) is now the nail sticking
out.

Extend struct todr_chip_handle with a todr_quality member.  This allows us
to assign a quality to RTC implementation and pick the "best" RTC if a
system has multiple RTCs (or multiple interfaces to an RTC).  This allows
us to prefer a battery-backed I2C RTC over an RTC that is part of the SoC
which is only running of the SoC is powered.  It also allows us to
work around issues with firmware RTC interfaces that may lie to us or
even crash the system.

This change makes sure the todr_quality member of the struct is always
initialized.  In most cases the quality will be set to zero; further
adjustments of the quality for specific subsystems/architectures will follow.

ok cheloha@, patrick@

avoid use after free in error paths
ok miod@ martijn@

use correct type with sizeof
ok miod@ kettenis@

use correct type with sizeof
ok miod@ claudio@ tb@

Remove powerpc left-overs

There since the powerpc -> macppc move/rename.

KERN_AS   usage disappeared in
commit 5b7db11d478192c5908038bb1345e7d51cc35c8e
Author: rahnds <rahnds@openbsd.org>
Date:   Mon May 5 16:47:15 1997 +0000

only build one version of the libraries.

REAL_VIRT usage disappeared in
commit 08e027d6bb9ca863bfc44a1aa6957ff3a242e2f4
Author: rahnds <rahnds@openbsd.org>
Date:   Thu Apr 27 12:36:29 2000 +0000

Fixes to xcoff bootloader to allow it to execute and load kernels for OpenBSD.

Make agrees that these are defined but not used:

$ make -p            | grep -e KERN_AS -e REAL_VIRT
KERN_AS          = library
REAL_VIRT        = -v
$ make -C ofwboot -p | grep -e KERN_AS -e REAL_VIRT
KERN_AS          = library
REAL_VIRT        = -v

No object change.
Feedback OK miod

Fix -Wreturn-type

OK miod

The sigaltstack() MAP_STACK re-map mechanism is incompatible with immutable
regions, so immutable stack isn't viable yet. There are configure programs
which create sigstacks upon their own stacks, and there is no simple fix for
the sigaltstack mechanism...
discovered by sthen and tb

Give checkdisklabel() a new parameter supplying the dev_t of the
device whose disklabel is being checked. Within checkdisklabel()
use this information to discover a device name iff (sic) the
label is an obsolete version. Use the name to generate a
meaningful warning message asking the user to rewrite the
disklabel and thus promote it to the current version.

Suggested by, feedback from and ok deraadt@

Vox populi says "cdio:" prefix is useful so switch back to using
warnx(), but with required "\n" manually output to stderr before
calling warnx().

Requested by tb@ and OP Michael Siegel.

Fix path of mentioned regress test

Handle corner case in which the test case can actually be a square

correct t_lex_type() return type
ok miod@

add missing unlock in swapmount()
ok tb@ kn@ miod@

fix unintended sizeof pointer introduced in 1.10
ok cheloha@ miod@ matthieu@ martijn@

Run noexec tests in a new thread, leveraging the fact that
pthread_create() allocates a new stack which has mutable permissions.
Allows the temporary expected failures to be dropped.

ok deraadt@

remove unused var

Add support for the RK817 PMIC.

ok patrick@, mlarkin@

Recalculate checksum of normalised packet

In 2011, henning@ removed fiddling with the ip checksum of normalised
packets in r1.131 of sys/net/pf_norm.c. Rationale was that the checksum
is always recalculated in all output paths anyway. In 2016, procter@
reintroduced checksum modification to preserve end-to-end checksums in
r1.189 of sys/net/pf_norm.c. Likely soomewhere in that timeslot checksum
recalculation of normalised packets was broken.

With input from bluhm@.

OK sashan@, bluhm@

Use warnx(), not warn(), when 'errno' is not relevant.

Trigger ERR trap on permanent I/O redirection failure

The following three cases behave identical in bash(1), but our ksh
(ksh93 also) fails to run the trap in the last case:

(non-zero exit code is trigger, no redirection)
$ ksh -c 'trap "echo ERR" ERR ; false'
ERR

(failed redirection is trigger, 'echo' was not executed)
$ ksh -c 'trap "echo ERR" ERR ; echo >/'
ksh: cannot create /: Is a directory
ERR

(failed redirection, no execution, trap was NOT triggered)
$ ksh -c 'trap "echo ERR" ERR ; exec >/'
ksh: cannot create /: Is a directory

bash(1) prints "ERR" in all three cases, as expected.
ksh93 behaves like our ksh(1).

In ksh `exec' is a builtin (CSHELL), but also special (SPEC_BI):
$ type alias
alias is a shell builtin
$ type exec
exec is a special shell builtin

Without command and redirection alone, `exec' permanently redirects I/O for
the shell itself, not executing anything;  it is the only (special) builtin
with such a special use-case, implemented as c_sh.c:c_exec().

This corner-case is overlooked in exec.c:execute() which handles iosetup()
failure for all commands, incl. builtins.

Exclude c_exec() from the rest of special builtins to ensure it runs the
ERR trap as expected:

$ ./obj/ksh -c 'trap "echo ERR" ERR ; exec >/'
ksh: cannot create /: Is a directory
ERR

Also add three new regress cases covering this;  rest keep passing.

OK millert

Don't leak 'sec' in error path.

Enable configtest

OK solene

Move enabling the policy refcounting from policy_ref() to config_free_policy().
In config_free_policy() the refcounting is unchanged and each SA linked to the
policy will trigger a call to policy_ref() and increase the references as
before the change.  This allows unconditional calls to policy_ref() and
policy_unref() and the callers no longer have to check if IKED_POLICY_REFCNT
is set.

From and ok markus@

Continue tests is the mountpoint already exists

regress should be resilient against partially cleaned obj/.

Feedback bluhm

Discard stdout/err only where needed in check_unattendedupgrade()

We should be fine silencing only the test condition which produces legit
output and warnings.

All else produces no output and should not error out;  if it does, those
warnings should be printed and fixed.

Feedback OK halex

consistently use IPv4/IPv6

consistently use IPv4/IPv6; from jmc@

ncurses wide character functions should be available with _XOPEN_SOURCE
of 500 or greater and not require _XOPEN_SOURCE_EXTENDED. Bring in
changes from upstream ncurses patches 20100403 and 20111030 to take this
into account. Reported by Grigory Kirillov via jmc@.

ok millert jmc

two tests are now expected to fail since the introduction of mimmutable

add references to 10h 12h revision guides

revert amdgpu dirty fb helper changes from 5.15.71

drm/amdgpu: don't register a dirty callback for non-atomic
drm/amdgpu: use dirty framebuffer helper

kettenis found that these changes made xpdf slow on x395 (picasso).
I can not reproduce this on renoir.

Ipv6 -> IPv6

Drop fattr promise unless file creation is allowed

This is only required for the single fchmod(2) ensuring default permissions
which only happens in the -c code path.

OK millert

RK3566/RK3568 support.

ok mlarkin@, patrick@

RK3566/RK3568 support.

ok patrick@

allow newlines inside the `alternative names' block in acme-client.conf

ok florian

remove by now unwanted extra space in output

Fix typo in debug messages.

ok deraadt@

Add PNP ID to make this attach on Qualcomm SoCs.

ok mglocker@, patrick@

List SIMCom SIM8262E-M2 as supported for umb(4)

ok jmc@

The stack can also be marked immutable, because we expect no sane program
to try to change the permissions of it.  We won't know who's trying that
until we enable it and see what breaks.
A tricky piece relating to setrlimit stack size changing was previously commited.
ok kettenis

The signal trampoline and timekeep regions can be marked immutable at
execve() time
ok kettenis

Since the PF_MUTABLE flag is an OpenBSD-specific flag, rename it to
PF_OPENBSD_MUTABLE.  While there, add the missing PF_MASKOS, which makes
it obvious this bit is indeed in the space reserved for OS-specific bits.

ok deraadt@

regen

Add Wacom One M CTL-672 USB tablet.

Fix some error output, replacing some silly 'warnx("\n...")' with
fprintf(stderr, "\n...").

Reported by Michael Siegel via bugs@. ok tb@ (with some further suggestions)

Nuke GPTDOSACTIVE which specified the wrong bit. It was superseded by
GPTPARTATTR_BOOTABLE which specifies the correct one.

Reminded by drahn@

sort SEE ALSO;

sync

Show the entry immutable bit in the various output formats.

Add mimmutable(2) libc stub, add & adjust manual pages, and crank the minor.
ok kettenis

In the linkers, collect objects in section "openbsd.mutable" and place
them into a page-aligned region in the bss, with the right markers for
kernel/ld.so to identify the region and skip making it immutable.
While here, fix readelf/objdump versions to show all of this.
ok miod kettenis

sync

Add mimmutable(2) system call which locks the permissions (PROT_*) of
memory mappings so they cannot be changed by a later mmap(), mprotect(),
or munmap(), which will error with EPERM instead.
ok kettenis

Kill extra space in ext community ovs output.
Noticed by job@, OK tb@

ssh-agent.1:
- use Nm not Xr for self-ref
- while here, wrap a long line

ssh-agent.c:
- add -O to usage()

new UVM_ET_IMMUTABLE flag marks a uvm entry as immutable.

document "-O no-restrict-websafe"; spotted by Ross L Richardson

Add identifiers for the new "mutable bss" section, ".openbsd.mutable" is
0x65a3dbe5.  Also add PF_MUTABLE as a segment flag for later use.

unstub intel_guc_send_busy_loop() ct_send()

add msleep_interruptible()

unstub guc_ct_buffer_reset() h2g_has_room()

add CIRC_SPACE()

unstub guc_mmio_reg_add()

add bsearch() from libc

unstub i915_gem_object_create_shmem_from_data()

Build CRC calc/static block decode tables when needed to fix netboot

The last libz update broke sparc64's ofwboot.net on at least T4-2 machines
running OpenBoot 4.38.16 as bootblocks grew too big for OBP to load:

# size ofwboot.net.*
60684   596     2472    63752   f908    ofwboot.net.71
71340   596     2472    74408   122a8   ofwboot.net.snap

{0} ok boot net
Boot device: /virtual-devices@100/channel-devices@200/network@0  File and args:
TFTP: Transfer timed out

As suggested by tb, adapt b7dd453d18bbd69c3a22e9c7e44e83163348942a to make
OBP load and execute ofwboot.net over TFTP again on at least T4-2 and T5220
where ofwboot off disk keeps loading and both bootblocks boot plain and
gzipped kernels before.

Overall size is now smaller that 7.1 release:
-current
71340   596     2472    74408   122a8   ofwboot.net/obj/ofwboot.net
119580  532     2512    122624  1df00   ofwboot/obj/ofwboot
71140   532     2472    74144   121a0   ofwbootfd/obj/ofwbootfd
-current with -DDYNAMIC_CRC_TABLE -DBUILDFIXED
59788   608     15040   75436   126ac   ofwboot.net/obj/ofwboot.net
108028  544     15080   123652  1e304   ofwboot/obj/ofwboot
59588   544     15040   75172   125a4   ofwbootfd/obj/ofwbootfd

happy kettenis
OK tb

honour user's umask if it is more restrictive then the ssh default
(022); based on patch from Alex Henrie, ok dtucker@ deraadt@

regen after vdsp(4) crank

crank vdsp(4) to 24

With eight domains and two or more disks per domain it is easy to exceed the
current number of 16 virtual disks.

I pass at least one miniroot and one root/data disk to every guest, one
domain has additional disk for softraid testing, making >16 disks already.

OK kettenis

accept iodevices as NACs as well

Assignable PCIe devices have a root complex path and a more descriptive
I/O slot path;  example output from a T4-2:

# ldomctl list-io | head -n2
PATH             NAME
/@400/@2/@0/@8   /SYS/MB/PCIE0

ldom.conf(5) `iodevice' currently accepts PATH values, which are cryptic and
completely hardware specific, whereas NAME values are obvious (partially
same across machines) and match physical slot labels ("0 PCIe2 x8") besides
information from ILOM:
    /System/PCI_Devices/Add-on/Device_0 location = PCIE0 (PCIe Slot 0).

Make ldom.conf `iodevice' accept either value;  internally nothing changes.

Rename struct iodev's path member to dev to clarify this further.

OK kettenis

Remove a lot of old (dead) code that's either been superseded, or moved to
snmpd_metrics.

OK benno@ sthen@

unwrap two lines for readability

Get rid of useless/confusing subshell

This function's style is a bit off:  it wraps the body in a subshell to
discard all stdout/err at once, but still uses return inside it.

1. A command list (using {}) would be enough here as it groups like a
   subshell but avoids spawning another shell;
2. discarding stdout/err at the end of an if block works the same
   (effecting both condition and body) and saves one level of indent;
3. return inside a subshell inside a function does NOT return from the
   function but merely exits the subshell;  this is easily misread.

Saving a fork and indent and improving readability boils down to this
(cvs diff -wU1):

|@@ -3320,3 +3317,2 @@ check_unattendedupgrade() {
|  _d=${_d%% *}
|- (
|  if [[ -n $_d ]]; then
|@@ -3331,5 +3327,5 @@ check_unattendedupgrade() {
|  rm -f /dev/{r,}$_d?
|- fi
|+ fi >/dev/null 2>&1
|+
|  return $_rc
|- ) > /dev/null 2>&1
| }

OK halex

Skip softraid(4) keydisks

Keydisks appear as chunks internally (with special properties) and
installboot(8) thus treated them like actual data chunks.

Most users probably don't hit this as their keydisk is detached and thus
appears "offline" and gets skipped.

Installing to online keydisks may work but is neither expected nor intended
to work, so properly skip them.

Odd setups like keydisk and CRYPTO chunk on the same physical disk would
end up installing getting bootblocks installed twice.

Pointed out by Mikolaj Kucharski <mikolaj AT kucharski DOT name> who also
provided the actual diff (minor wording tweaks by me)

OK jsing

sort options list;

Remove REQUIRE_TFTPBOOT left-over

-t succeeded this macro in 2004.

Switch default to read-only, add -w for write access (previous default)

Write access seems less often required these days and other ways to ensure
effective read-only access are mere workarounds;  worst case malicious users
can fill up the server's disk by writing to existing files.

diskless(8) only ever needs to read and running with "stdio rpath dns inet"
by default is much safer for a network daemon without any authentication.

Initially proposed as a new -R flag for read-only mode
new default suggestion dlg deraadt
"looks great" millert
OK sthen dlg

Correctly check for DH_compute_key() error

DH_size() only gives an upper bound for the size of the key. The key can be
shorter.

Found after anton reported sporadic regress test failures

ok jsing

Replace temporary file with variable

On supported -release systems, syspatch(8) -c is run from rc.firsttime(8)
and the list of patches it pretty-printed if non-empty.

-c output fits into a shell variable, not needing a temporary file, which
is also what usr.sbin/syspatch/syspatch.sh does internally.

OK millert

On CPUs that support the Data Independent Timing feature, enable this feature
by default in both the kernel and userland.  At this point, this feature has
only been seen on Apple's CPU cores, where turning it on has no measurable
impact on performance.  Turning this feature on should help to mitigate
timing side-channel attacks.

ok deraadt@, beck@

Repair Apple-specific translation support broken by mistake in 1.88; reported
by Leonardo Moreno

Add a few more PSTATE bits.

ok deraadt@

sh(1) is not make(1), use newlines inside double quotes

sh(1) happily accepts newlines inside double quotes just like in scripts:

        $ sh -c "echo foo
echo bar"
foo
bar

So no need to squash things into a single line as usually done inside make
targets where each makefile line is considered its own script unless
continued with trailing backslashes.

OK millert

fix an obvious thinko without serious consequences in the display of e
for rsa and friends.

okay tb@

Better path handling description, also document tzname, timezone daylight.
Explicitly mention that most programs do not need to call tzset() directly.
OK deraadt@ jmc@ benno@

Sort commands in help output, add help to manual

OK millert
Feedback OK jmc

Drop cpath promise unless file creation is allowed

OK millert

Only print prompt in interactive usage

Scripting tftp(1) makes it non-interactive, yet the prompt is still
printed and may mess up the shell's PS1:
$ echo put nonexistent | tftp localhost
tftp> tftp: open: nonexistent: No such file or directory
tftp> $

The fix seems easy and works as expected for multiple commands as well:
$ echo 'verbose\nput nonexistent' | ./obj/tftp localhost
Verbose mode on.
tftp: open: nonexistent: No such file or directory
$

OK millert

Unveil /tftpboot only if needed

Unless -t is used, this directory is not accessed in any way.

OK millert

Don't print device when passed as an argument

r1.11 "Don't print device name on failure" made it print unconditionally,
which contradicts what the manual says.

Report + diff from Brin Conway <bconway AT rcesoftware DOT com>, thanks.

From Brian Conway

sync

dapmic(4): support clean shutdown with the power button

Register an interrupt handler and look for nONKEY events.
Mask off all other events.  Also clear the FAULT_LOG register at
startup, but don't attempt to acknowledge its contents at runtime.  This
lets the user force a shutdown with a long power button press.  Some
events in EVENT_* or FAULT_LOG may benefit from more graceful handling.

This makes it possible to cleanly shutdown my Hifive Unmatched using
the power button.

Thanks to kettenis@ who wrote sfgpio(4) to handle dapmic(4) interrupts
on the Unmatched.  ok kettenis@

Reorganize the EFI code a bit.  Move the efi.h header from dev/acpi to
dev/efi and rename the arm64 efi.c to efi_machdep.c, preparing the way
for MI EFI code and an amd64 implementation of EFI runtime support.

ok deraadt@, mlarkin@

System calls should not fail due to temporary memory shortage in
malloc(9) or pool_get(9).
Pass down a wait flag to pru_attach().  During syscall socket(2)
it is ok to wait, this logic was missing for internet pcb.  Pfkey
and route sockets were already waiting.
sonewconn() must not wait when called during TCP 3-way handshake.
This logic has been preserved.  Unix domain stream socket connect(2)
can wait until the other side has created the socket to accept.
OK mvs@

Allow TZ to contain absolutes paths starting with /usr/share/zoneinfo/
Other absolutes paths are still rejected.

Add a second membar producer into counters_zero().  Now it is
symmetric to counters_read().
OK jmatthew@

drm/amdgpu: don't register a dirty callback for non-atomic

From Alex Deucher
21b0301f2234112fbe5cfc1e13968f0a12f0f2d2 in linux 5.15.y/5.15.71
abbc7a3dafb91b9d4ec56b70ec9a7520f8e13334 in mainline linux