update docs on madvise/msync/minherit behaviour in relation to immutable memory; ok kettenis

workaround for the static non-PIE instbin "instbin" program on the install
media is no longer needed, due to fix in libc/dlfcn/init.c
thanks kettenis and gkoehler

Static non-PIE binaries always have a base address of 0 (even if the ELF
headers start at a higher address).  Using the wrong base address meant
that we were protecting the wrong address range for the malloc internals
which made the code error out now that mimmutable(2) no longer allows an
RW->R transition.  Issue found by gkoehler@ who got most of the way
towards a proper fix.

ok deraadt@

Add Xr mimmutable to manual pages which discuss immutable memory.
prodding from kettenis

For minherit(MAP_INHERIT_ZERO) upon readonly memory return EPERM.
ok kettenis

madvise(2) and msync(2) have some memory/mapping destructive ops which should
not be allowed upon immutable memory, instead return EPERM.
Some of these ops are not destructive in OpenBSD, but they are destructive
on other systems, so we take the "all ops" are illegal approach.

Related to this, it should not be allowed to minherit(MAP_INHERIT_ZERO)
immutable regions, or vice versa, calling mimmutable() upon MAP_INHERIT_ZERO
regions, because such a range will be zero'd post-fork in the child.
These now also return EPERM.

Adjusting the madvise / msync behaviour upon immutable memory brings us
closer to the behaviour of the mimmutable clone "mseal" being proposed by
google for inclusion in Linux.
ok kettenis

Add support for multiple matches in the component code.

ok jsg@

sync with userland

Sync with upstream as of Jan 20

No change of compiled code: the bug fix in check_match() affects ZLIB_DEBUG
builds only and the Z_ARG macro is unused.

sync with userland

libz: sync with upstream's develop branch as of Jan 18

Define HAVE_HIDDEN for libz

This adds the hidden visibility attribute to functions that are needed in
multiple source files of the library but not part of the public API. This
is technically a major bump, but that decided to be overkill.

discussed with deraadt and millert

Print raw battery information if KB3310_DEBUG, not DEBUG. NFC

Assert that inpcb table has correct address family.

Since inpcb tables for UDP and Raw IP have been split into IPv4 and
IPv6, assert that INP_IPV6 flag is correct instead of checking it.
While there, give the table variable a nicer name.

OK sashan@ mvs@

oops, brain scrambled trying to squeeze the ifdef into bad place

some bizzare glitch related to ramdisk instbin static binaries, their
mutable mapping is not working right, so temporarily bring back the
RW -> R *only* for ramdisk kernels

vmm(4)/vmd(8)/vmctl(8): increase max VM mem size.

MAXDSIZ was cranked to 128GB back in April 2023, but vmd(8) was limiting
VM RAM size to the old value (32GB).

Better formatting for pax extended header times

As specified, don't include the subsecond part if zero and drop trailing
zeros in the subsecond part.  ok millert@

Early during mimmutable(2) development, we had a big problem with the
chrome v8_flags variable's placement in bss, and as a workaround made
it possible to demote a mimmutable mapping's permissions from RW to R.
Further mimmutable-related work in libc's malloc created the same
problem, which led to a better design: objects could be placed into
.openbsd.mutable region, and then at runtime their permission and
immutability could be manipulated better.  So the RW to R demotion
logic is no longer being used, and now this semantic is being deleted.
ok kettenis

AEXECVE can be removed, because pinsyscall SYS_execve detection has
been deleted.

link the infcover test statically in preparation of zlib changes

There are several DART variants; print some more details such that we can
distinguish between them.  Pay attention to the apple,dma-range property
that tells us the desired DVA window.  Add support for a new BUS_DMA_FIXED
that allows use of bus_dmamap_load_raw(9) to map things at a pre-determined
DVA.  This last change is needed for the upcoming Apple KMS driver.
Hopefully that is the only driver that will need this, so don't attempt to
turn this into an MI feature.

ok patrick@

Merge docs of crc32_combine_{gen,op} from zlib.h

Also add two 'len2 must be non-negative.'

from upstream
looks good to jmc

Use imsg_get_fd() to access the fd passed via imsgs.

Most of the conversion is simple there is just log_imsg() that can
no longer display the fd since imsg_get_fd() can only be called once.
OK op@

Fetch touchpad dimensions from firmware here as well.

ok mlarkin@, tobhe@

Implement extent_alloc_region_with_descr(9) which is the equivalent of
extent_alloc_region(9) that uses a pre-allocated region descriptor.

ok patrick@

remove the guts of pinsyscall(2), it just returns 0 now.
It has been made redundant by the introduction of pinsyscalls(2) which
handles all system calls, rather than just 1.

More files to be blessed by the clean target.

Make our mktemp(3) callback-driven and split into multiple files.
Previously, calling any of the mktemp(3) family would pull in
lstat(2), open(2) and mkdir(2).  Now, only the necessary system
calls will be reachable from the binary.  OK deraadt@ guenther@

ugly whitespace

Implement Multiple Message MSI support on amd64.  This is experimental code
to assist qwx(4) development.  We may remove this code again at some point
in the future.

Multiple Message MSI has some serious design flaws, especially when
combined with the APIC interrupt controller architecture.  It was
superseded by MSI-X.  Unfortunately qwx(4) does not implement MSI-X.

ok stsp@, deraadt@

Rename WSDISPLAY_TYPE_RKDRM to WSDISPLAY_TYPE_KMS such that we can use it
for other generic KMS drivers.

ok jsg@, matthieu@

_execvesize.c is no longer generated to support pinsyscall(SYS_execve

Move mktemp.c to stdlib where it belongs.
OK deraadt@

sync

M_PINSYSCALL is for pinsyscalls(2), not pinsyscall(2)

pinsyscall(SYS_execve) will soon go away, so the sys/acct.h bit AEXECVE
can also be remove.  Delete the code using it from the one program that
inspects it.

Stop initializing pinsyscall(SYS_execve in dynamic binaries that contain
a reference reaching the execve(2) stub.  The new pinsyscalls(2) that
applies to all system calls has made this redundant.

Stop initializing pinsyscall(SYS_execve in static binaries that contain
an execve(2) stub.  The new pinsyscalls(2) that applies to all system
calls has made this redundant.

Enable shutdown regress test.

Add regress test coverage for SSL_shutdown().

This tests and codifies the behaviour of SSL_shutdown() with respect to
SSL_quiet_shutdown() and SSL_set_shutdown(). For now, only the legacy stack
(TLSv1.2) is tested, as there are currently some subtle differences with
the TLSv1.3 stack.

add iwn(4) to arm64 GENERIC

ok kettenis

Define the IPv6 related attributes from RFC 2865.

consolidate pci and cardbus detach code, and have it detach kstats.

this solves one probably with an re(4) going away.

Add TSO support.  Previous commit fixed up a bug that could only be
triggered with TCP socket splicing and TSO, and with that fixed, it
works reliably.

tested by hrvoje, jan@, mbuhl@, bluhm@, feedback from jan@ and bluhm@,
ok jan@ mbuhl@ bluhm@

Unify inpcb API for inet and inet6.

Many functions for IPv4 call their IPv6 counterpart if INP_IPV6 is
set at the socket's pcb.  By using the generic API consistently,
the logic is not in the caller it gets more readable.

OK mvs@

Backout priterator() for walking allprocess list.

This approach does not work as LIST_NEXT() of a removed element
does not return NULL.  I causes a crash in syzcaller and triggers
kernel diagnostic assertion "vp->v_uvcount == 0" in sys/kern/kern_unveil.c
line 845 during reboot.  Unfortunately the backout brings back the
race in fill_file() and fstat(1) may crash the kernel.

Reported-by: syzbot+54fba1c004d7383d5e85@syzkaller.appspotmail.com

the warning about syscall going away is a bit dated now.
ok miod tb

ec_point_conversion: zap an empty line

Switch from EVP_CIPHER_type() to EVP_CIPHER_nid()

EVP_CIPHER_type() will never return NID_gost89_cnt since it has no
associated ASN1_OBJECT. Switching to EVP_CIPHER_nid() has a slight
chance of working. Do that before beck applies the flensing knife.

ok beck

fix macro to look more like a function, remove extraneous ;
(clang's -Weverything would correctly warn about the resulting empty
statement)

No generated code change

Convert IMSG_UPDATE and session_update() to new imsg API and ibufs.
OK tb@

Use imsg_get_fd() in vmd.

vmd uses a lot of fd passing and does it sometimes via extra abstraction
so this just tries to convert the code without any optimisations.

ok dv@

Convert the simple imsgs to use imsg_get_data().
OK tb@

The CRL's purported signing time actually is called thisUpdate, not lastUpdate

OK tb@ claudio@

Move the rtable_exists() check into in_pcbset_rtableid().
OK bluhm@ mvs@

Convert privsep imsg code to use imsg_get_fd().

ok yasuoka

Fix IMSG_RECONF_ASPA handling. The rde did not expect what the rtr process
was sending and hit the error path because of that. Since the encoding
as two uint32_t in rtr.c is awkward use the same way that the parent is
sending the aspa sets. This uses a local copy so that the included expire
filed is forced to 0 (the RDE does not use that field).
OK tb@

reduce diff to linux

Use solock() instead of netlock within fill_file(). This makes all
socket types protected. The netlock is still used while fill_file()
called through *table.inpt_queue walkthroughs, but this is the inet
sockets case.

ok bluhm

Use `nowake' as tsleep_nsec(9) ident. It has no corresponding wakeup(9).

ok bluhm

remove duplicate defines, merge error from local patches

remove duplicate steam deck block, merge error from local patches

Instead of skipping the call to hdcp_destroy(), use NULL for the kobject
argument.  Unused in the function itself as we define away
sysfs_remove_bin_file().

Fix core file writing when a file map into memory has later been truncated
to be smaller than the mapping. Record which memory segments are backed by
vnodes while walking the uvm map and later suppress EFAULT errors caused
by the underlying file being truncated. okay miod@

Since pinsyscalls(2) applies to all system calls and does a more precise
check earlier, the pinsyscall(SYS_execve mechanism has become redundant.
It needs to be removed delicately since ld.so and static binaries use it.
As a first step, neuter the checking code in sys_execve().  Further steps
will follow slowly.
ok kettenis

very ugly whitespaces

Use imsg_get_fd()

As usual proc_forward_imsg() is never forwarding a file descriptor so
just use -1 there. This should be replaced by imsg_forward().
All other changes are simple conversions.

OK tb@

Use imsg_get_fd() and a local variable.
OK florian@

Zap trailing space.

from Kirill Miazine, thanks.

Convert to use imsg_get_fd()

proc_forward_imsg() does not need to forward file descriptors so just use
-1 there. In other places shuffle debug messages around or use a helper
variable since imsg_get_fd() can only be called once.

OK tb@ tobhe@

Convert to use imsg_get_fd() since proc_forward_imsg() never forwards a
file descriptor just use -1 there.
OK tb@

Get all variable-length values for the parent server before linking the
server onto various list. Fixes a use-after-free if former fails.
OK tb@

unstub i915_driver_hw_remove()

update drm to linux 6.6.12

Thanks to the OpenBSD Foundation for sponsoring this work.

Update standards reference

print flag 'l' for base program or ld.so being under pinsyscalls enforcement,
and 'L' for libc.so.  This flag printing may be deleted once we are entirely
confident this is working correctly.
ok kettenis

Read PT_OPENBSD_SYSCALLS in libc.so, and convert it to a table for
pinsyscalls(2).
ok kettenis

The kernel will now read pinsyscall tables out of PT_OPENBSD_SYSCALLS in
the main program or ld.so, and accept a submission of that information
for libc.so from ld.so via pinsyscalls(2).  At system call invocation,
the syscall number is matched to the specific address it must come from.
ok kettenis, gnezdo, testing of variations by many people

Handle variable names (things strating with $ or @) in yylex() this way
the error handling of strange variable names can be better controlled.
With and OK dv@

Convert to imsg_get_fd() and remove unused proc_forward_imsg().
OK martijn@

Switch session_notification() over to use a struct ibuf to carry the
extra data. With this IMSG_UPDATE_ERR can use the new imsg API.

Introduce session_notification_data() for the few cases where there
is no ibuf readily available.

OK tb@

Use imsg_get_fd() instead of direct access to imsg.fd

The change in proc.c can be further simplified once imsg_free() takes
care of unclaimed file descriptors.

OK nicm@

Use imsg_get_fd() and adjust cleanup code accordingly.
OK nicm@

Fix clang warning about possible unaligned access on arm64.

ok stsp@

Cope with recent changes to pfctl output.

Add debug message for no policy found.

In this case iked would just silently drop incomming connections.
Thus, the user has a chance to figure out whats going on.

ok tobhe@

Make sure to return a proper string in ai_canonname.

When we made sure that getaddrinfo(3) always resolves "localhost" to
the loopback address we forgot to set ai_canonname if AI_CANONNAME or
AI_FQDN is set. On a successful call ai_canonname has to be a NUL-terminated
string if either of those flags are set.

Problem observed by a@alexis-fouilhe.fr in smtpd(8) with a hostname of
"localhost".

OK millert

Add support for bringing up RTKit while !cold.

ok tobhe@

Introduce priterator(), the `ps_list' iterator. Some of `allprocess'
list walkthroughs have context switch within, so make exit1() wait
until the last reference released.

Reported-by: syzbot+0e9dda76c42c82c626d7@syzkaller.appspotmail.com
ok bluhm claudio

Convert the simple bits of imsg handling over to the new imsg API.

OK tb@

Include cert_partial_chain in iked_static instead of sending a separate
message.

from markus@

Run the pkey cleanup test also for {Ed,X}25519

Switch to EVP_CIPHER_do_all() now that snaps are available on most arches

Fetch touchpad dimensions from firmware instead of hardcoding the values
for the original 13" M1 MacBook.

ok mlarkin@

We can't call kstat_create(9) when bringing up the secondary CPUs as it
uses an rwlock and curproc isn't initialized yet for these CPUs at this
point.  As a result we hit a "locking against myself" panic if there is
any lock contention.

Fix this by adding a new ci_midr member to struct cpu_info which gets
initialized when we identify the CPUs and use that to attach the kstat
stuff.

ok tobhe@, dlg@

A cache can send a 'NO_DATA_AVAILABLE' error during version negotiation
so handle this case as well. This error triggers an RTR_EVNT_NO_DATA
event that moves the session to RTR_STATE_ESTABLISHED (and out of negotiation).

When there is no data available the session_id remains unset until data
becomes available. So handle this case not only in rtr_parse_cache_response()
but also in rtr_parse_notify().

RTR_EVNT_NO_DATA arms the RTR_EVNT_TIMER_RETRY timer. On expiry send a
reset or serial query depending on the cache session state.

OK tb@

The maximum number of ring slots a tx packet can use is 32, which is
indicated by writing 0 to the 5 bit 'BD count' field in the first slot.
Accordingly, mask the value we're writing there.

Each packet uses one slot for offload information and then one per DMA
segment, which means the maximum number of DMA segments must be 31 rather
than 32.  Trying to send a packet using 33 slots makes the nic firmware
very upset.

ok dlg@

Currently 'pfctl -a "*" -sr' recursively walks anchor tree and shows
rules found in every anchor. This commit introduces the same behavior
for tables. Command 'pfctl -a "*" -sT' prints all tables attached to
every anchor loaded to pf(4).

Inconsistency has been noticed by Klemens (kn@).

OK @bluhm, OK @kn

From "Lorenz (xha)" (me(at)xha.li): teach binutils how to assemble
endbr{64,32}

"sure" dv@ deraadt@