remove OPENSSL_realloc_clean usage here - replace with intrinsics to make
it obvious what should happen.
ok tedu@

Fully kill FIPS API. Forcible certification conflicts with the goals of a
free software project. ok beck deraadt

Ports calling FIPS_mode_set(1): mongodb

Initial KNF.

#nnT went away a while ago, remove a leftover from the manpage.

Initial KNF.

Add some UTF-8 utility functions and use them to prevent the width limit
on formats from splitting UTF-8 characters improperly.

Sync show.c with the route version. Make the two files more similar but
still not identical. OK sthen@ mpi@ jca@

Sync show.c to what we have in netstat.c (at least steal some good idioms
from there). OK sthen@ mpi@ jca@

Initial KNF.

Don't default enable the debug functionality with its unprotected getenv().

ok eric@ sthen@ deraadt@

More KNF.

More KNF.

Make sure the original thread is blocked until any other threads are
completely detached from the process before letting it exit, so that
sleeping in systrace_exit() doesn't reorder them and lead to a panic.

Panic reported by Fabian Raetz (fabian.raetz (at) gmail.com)
ok tedu@

remove special case for uucp entries.

ok guenther

Some more long lines.

Initial KNF.

I've replaced everything in this file. ISC liscense it with my copyright

Initial KNF.

Only scroll by one line at a time in choose mode, lists are generally
pretty small.

Remove defines for unwanted OS support...

ok miod@

remove some code that is now unused after guenther's changes in 1.20.

KNF.

Initial KNF.

Oops. INADDR_ANY != INADDR_BROADCAST. Fixes DHCPDISCOVERY and
DHCPDECLINE.

noted by sthen@

simply wrap around intrinsics, and knf cleanup.
ok miod@ deraadt@

Change library to use intrinsic memory allocation functions instead of
OPENSSL_foo wrappers. This changes:
OPENSSL_malloc->malloc
OPENSSL_free->free
OPENSSL_relloc->realloc
OPENSSL_freeFunc->free

Revert unintended whitespace changes.

OPENSSL_gmtime() is not a gmtime() wrapper.  It is a gmtime_r().
Always trying to confuse people...
ok guenther

OPENSSL_DECLARE_EXIT serves no purpose.

In debug output, print loop ids as decimals and port ids as 24bit hex.
Fix some parameters and wording too.

Set PATH explicitly, either from client or session
environment. Previously it came from the session environment. From J
Raynor.

Wrap some long lines.

1. RAND_seed is now DEPRECATED
2. Even passing a digest in as entropy is sloppy.

But apparently the OpenSSL guys could find no objects of lesser value to
pass to the pluggable random subsystem, and had to resort to private keys
and digests.  Classy.

ok djm

Don't limit the DCS buffer to 256 bytes, expand it as needed. Requested
by Suraj Kurapati.

RAND_seed now does nothing, so skip the operation

Do not feed RSA private key information to the random subsystem as
entropy.  It might be fed to a pluggable random subsystem....

What were they thinking?!

ok guenther

Remove some unnecessary includes and fix a typo.

remove duplicated tests in if statements
ok krw@ sthen@ deraadt@

Fix for ", " issue in jsing's knf script

Do not need to map to another silly name for unistd.h here either

unistd.h is always in the same place; no need to #include the result of
a maze of conditional #define's

minimal fix for ', ' issue in jsing's indent script

Eliminate a couple of always-NULL parameters. Eliminate some
pointless repetition of well-known info in log messages. Pass
around smaller bits of info. Make 'inaddr_any' a const struct
initialized with { INADDR_ANY }.

Tweaks and ok guenther@

Correct some time_t printing; factor out a grotty block while here

Based on a diff from Arto Jonsson (ajonsson (at) kapsi.fi)
ok deraadt@

OpenSSL PR#3309: when looking for an extension, set the last found position
to -1 to properly search all extensions.  ok tedu@

From http://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=300b9f0b70

Correct the dance to fix the active pane in join-pane by pulling the
(right) code from break-pane and window_remove_pane into a helper
function.

It's been a quarter century: we can assume volatile is present with that name.

Remove the ossltests target, these are now all in libcrypto regress
except sha256t/sha512t which are likely to be removed for license reasons.

Remove the "info" message mechanism, this was only used for about five
mostly useless and annoying messages. Change those commands to silence
on success like all the others. Still accept the -q command line flag
and "quiet" server option for now.

move enginetest to regress as was done with the other tests

Extend the -q flag to set-option to suppress errors about unknown
options - this will allow options to be removed more easily.

Do not show the -fg, -bg and -attr options. If asked for one explicitly,
show the equivalent -style option instead.

Remove the monitor-content option and associated bits and bobs. It's
never worked very well. If there is a big demand for it to return, will
consider better ways to do it.

call the correct decrypt function in aes_cbc_cipher()

From:

commit e9c80e04c1a3b5a0de8e666155ab4ecb2697a77d
Author: Andy Polyakov <appro@openssl.org>
Date:   Wed Dec 18 21:42:46 2013 +0100

    evp/e_[aes|camellia].c: fix typo in CBC subroutine.

    It worked because it was never called.

Our e_camellia.c does not have this problem.

ok miod@ deraadt@

rework this to implement the active path checks when mpath asks for
it rather than on attach. just need to implement a sense handler
to detect failover and this is done.

thanks to jmatthew@ for plugging this together again for me.

tag some functions with bounded. idea and ok djm

remove the identity files from this manpage - ssh-agent doesn't deal
with them at all and the same information is duplicated in ssh-add.1
(which does deal with them); prodded by deraadt@

skip leading zero bytes in buffer_put_bignum2_from_string();
reported by jan AT mojzis.com; ok markus@

Memory leak in error path and unnecessary assignment, from clang.

Add ufs2 support and get one step closer to making ffs2 bootable. This work was done by Pedro Martelletto for bitrig. One small tweak to make it buildable with -Werror. "Please commit" miod@

sync

Rename the mpages.id column to mpages.pageid.  There is no good reason
to call this kid by a different name here than in all other tables.
Easier to polish this now than after enabling.

TANSTAAFL - delete the buf freelist code. if you need a better malloc, get
a better malloc. ok beck deraadt

Remove a leftover prototype and fix some spacing.

Remove the choose-list command to prepare for some later choose-* work.

add back SRP. i was being too greedy.

Clean up dangerous strncpy use. This included a use where the resulting
string was potentially not nul terminated and a place where malloc return
was unchecked.
while we're at it remove dummytest.c
ok miod@

- Why do we hide from the OpenSSL police, dad?
- Because they're not like us, son. They use macros to wrap stdio routines,
  for an undocumented (OPENSSL_USE_APPLINK) use case, which only serves to
  obfuscate the code.

ok tedu@

> As I walk through the valley of the shadow of death
> I take a look at my life and realize there's nothin' left
> Cause I've been blasting and laughing so long,
> That even my mama thinks that my mind is gone
Remove even more unspeakable evil being perpetuated in the name of VMS.
(and lesser evils done in the name of others.)
ok miod

lots of ifdef cleanup

repair knf

Remove ifdef'd out KerberosIV and stream encryption support.  While
here, sort arguments.

ok tedu miod (who had the same diff with an additional bit of clean-up)

No need to define ANSI_SOURCE and NO_ERR. TERMIOS kept until ui/ui_openssl.c
gets a second trim.

add missing parens so that errorhost gets properly initialized.

ok tedu miod (who had the same diff)

Give the mlinks and keys tables a pageid index,
as suggested by jeremy@ and espie@.

The mlinks index speeds up basic apropos(1) searches by around 30%
because it speeds up the final SELECT FROM mlinks query by about 95%.
For large result sets, the overall speedup gets even larger, in the
extreme case of "apropos Nd~." by more than 90%.
The keys index finally makes the apropos(1) -O option usable: It no longer
incurs relevant extra cost, while in the past it was embarrassingly slow.

This comes at a cost:  Total database build times grow by about 5%,
and each index adds about 10% database size with -Q.  I consider that
acceptable in view of the huge apropos(1) performance gains.
The -Q database for /usr/share/man still remains below 1 MB.

No need to build with -DOPENSSL_NO_CAPIENG and -DOPENSSL_NO_HW_xxx for all
now removed engines.

Make dhclient -q even quieter. Make it immediately effective rather
than possibly emitting a couple of random memory allocation error
messages first.

ok guenther@

quoth the readme:
NOTE: Don't expect any of these programs to work with current
OpenSSL releases, or even with later SSLeay releases.
ok miod

delete a few leftovers

fix a few bugs observed on viva64.com/en/b/0250/
ok krw miod

Thanks to the knobs in tools.ietf.org/html/rfc5746, we have a knob
to say "allow this connection to negotiate insecurely". de-fang the code
that respects this option to ignore it.
ok miod@

disentangle SRP code from TLS

whack the ifdef pinata:
OPENSSL_SYSNAME_VXWORKS
OPENSSL_SYS_VMS
OPENSSL_SYS_MSDOS
OPENSSL_UNISTD
OPENSSL_SYS_WIN16
WIN_CONSOLE_BUG
OPENSSL_SYS_WINCE
SGTTY
OPENSSL_SYS_MACINTOSH_CLASSIC
MAC_OS_GUSI_SOURCE
OPENSSL_SYS_NETWARE
OPENSSL_SYS_SUNOS
__DJGPP__
OPENSSL_SYS_BEOS
OPENSSL_SYS_WIN32

SSLv3_client_method() doesn't support TLSv1.*; use SSLv23_client_method()
the for anything where version negotiation would be useful.
Also, constipate a couple formatting strings to make compilers and
linkers happier.

ok tedu@

Zero-pad usec format to handle values less than 100,000 correctly

ok matthew@ tedu@

Initial KNF.

Initial KNF.

Mandatory Surgeon Guenther's Warning: This code could not possibly be
correct because it doesn't zerofill the front of usecs, but that's the
way I found it.
a more thorough emulation of the old code, but with fewer whacky snprintf
pointer arithmetic antics. ok beck guenther

Initial KNF.

More KNF.

First pass for KNF.

revert. the full horror has only now revealed itself.

replace some bio_snprintf crazy with regular snprintf.
beck had a diff to convert to strftime, but it's easier to verify this
is functionally the same. ok beck.

Kill the bogus "send an SSLv3/TLS hello in SSLv2 format" crap from
the SSLv23_* client code.  The server continues to accept it.  It
also kills the bits for SSL2 SESSIONs; even when the server gets
an SSLv2-style compat handshake, the session that it creates has
the correct version internally.

ok tedu@ beck@

More KNF.

My previous attempt to chdir(2) to the directory containing the cgi
script was not quite right. slowcgi would try to chdir("") with a
SCRIPT_NAME of /foo.cgi; chdir("/") in that case.
I'm not sure how one would configure nginx/slowcgi to get to that
point though.
OK benno@

Whitespace tweaks before further tweaks; no objections from ajacoutot@.

Make this byzantine horror a shell of it's former self by stubbing the
functions. The ability to set the debug mem functions died with mem.c,
but some of the rest of this is still exposed API so we can't delete it..
yet...
ok tedu@

OpenSSL is not the only place with bloated code! Remove unused
function 'option_as_string()'.

Some software expects RAND_status() to return 1 for success, so always
return 1 in the arc4random backend because there is no possible error
condition.  Unbreaks lynx, git and friends.

ok miod@ dcoppa@