add missing imsg names

when using smtps, tls initialisation must occur after FILTER_CONNECTED
has been evaluated.

ok gilles@

+wscons

Add wscons regress tests, currently limited to SIGIO handling.

Add support for Allwinner A64's eMMC controller.  It is essentially
the same as the MMC controller but has the same DMA max length as
the A10 SoC.  This makes the eMMC work on the Pinebook.

ok jsg@

Don't fatal if IPV6_LEAVE_GROUP fails.

The underlying interface might have been destroyed or detached and
rad(8) will just cope with that.

OK florian@

regen

add more intel 100 series devices

punctuation and macro can go on the same line;

sort previous;

free(9) sizes for interrupt & isochronous arrays.

ok visa@

free(9) sizes for array of interfaces.

ok visa@

free(9) sizes for array of endpoints.

ok ratchov@

document DUMMY_PACKAGE

kill INDEX thoroughly, point users at portslist, sqlports, pkglocatedb

move describe to obsolete targets

document reprepare

vlan uses txprio too

switch from link0 and llprio to txprio for forcing dot1p prios

use txprio, not link0 and llprio, to set the dot1p field in the header.

if you're using llprio and link0, you'll need to update your config.

ok claudio@

Include "id" in pledge (for setres[ug]id, setgroups) if the shell is
privileged and remove it when dropping privileges (set +p), setting a
flag to make sure we don't do it again.

ok deraadt millert

redirect stderr of ProxyCommands to /dev/null when ssh is started with
ControlPersist; based on patch from Steffen Prohaska

make grandparent-parent-child sshbuf chains robust to use-after-free
faults if the ancestors are freed before the descendents. Nothing in
OpenSSH uses this deallocation pattern. Reported by Jann Horn

Borrow an idea from DragonFly BSD: factor out the "does this symbol match what
we're looking up?" logic from _dl_find_symbol_obj() into matched_symbol(), so
that the former is just the "iterate across the hash" logic.

matched_symbol() returns zero on "not found", one on "found strong
symbol", and negative one on "found weak symbol".  The last of those lets
the caller give up on this object after finding a weak symbol, as there's
no point in continuing to search for a strong symbol in the same object.

ok mpi@

use path_absolute() for pathname checks; from Manoj Ampalam

disallow empty incoming filename or ones that refer to the current
directory; based on report/patch from Harry Sintonen

fix bug in client that was keeping a redundant ssh-agent socket around
for the life of the connection; bz#2912; reported by Simon Tatham;
ok dtucker@

fix bug in HostbasedAcceptedKeyTypes and PubkeyAcceptedKeyTypes options.
If only RSA-SHA2 siganture types were specified, then authentication would
always fail for RSA keys as the monitor checks only the base key (not the
signature algorithm) type against *AcceptedKeyTypes.
bz#2746; reported by Jakub Jelen; ok dtucker

Unbreak legacy ciphers for prior to 1.1 by setting having a legacy
sigalg for MD5_SHA1 and using it as the non sigalgs default
ok jsing@

support a prefix of '@' to suppress echo of sftp batch commands;
bz#2926; ok dtucker@

Handle signals that get sent to any thread
from Rian Hunter

document txprio ioctl support

document txprio

gre has a few siblings now

admin that eoip(4) comes from the gre pseudo device driver

spell an ioctl command better.

from markus@

add support for txprio configuration

one more typo noticed while pasting miod a reply;

Put all the symbol lookup parameters (except the object being searched) and
the return pointers into a structure and pass that to _dl_find_symbol_obj().
Set sl->sl_obj_out in _dl_find_symbol_obj() so that the callers don't
need to each record the object.

ok mpi@

fix typos in comments; from miod

in the "pf: key search" debug message, add the direction. interface *and*
dir make debugging much easier than the if alone.

Add [template] to display-panes and choose-{buffer,client,tree} usage

OK nicm

Port OpenSSL commit 99540ec79491f59ed8b46b4edf130e17dc907f52 -- mitigation
for a timing vullnerability in ECDSA signature generation (CVE-2018-0735).

Note that the blinding that we introduced back in June for ECDSA and DSA
should mitigate this and related issues. This simply adds an additional
layer of protection.

discussed with jsing

scrub opts dont set tos, so remove it from the scrub_opts struct

ok deraadt@

Theodore Wynnychenko discovered the gettytab "lo=path" feature didn't work
anymore with unveil wired to /usr/bin/login.  So let's parse gettytab a bit
earlier to learn which login path to unveil. Later in the loop gettytab is
re-parsed, if the login changes re-exec getty to reach the unveil from the top.
ok millert, also discussed with mestre

the variable holding the ip tos should be called tos, not ttl.

no functional change.

provide ip_tos_patch() for setting ip_tos and patching the ipv4 cksum.

previously the gif code would patch the tos field and not recalc
the cksum, which would cause ip input code to drop the packet due
to a cksum failure. the ipip code patched ip_tos and unconditionally
recalculated the cksum, making it correct, but also wiping out any
errors that may have been present before the recalculation. updating
the cksum rather than replacing it lets cksum failures still fire.

ip_tos_patch() is provided in the ecn code since it's because of ecn
propagation that we need to update the tos field. internally it
works like pf_patch_8 and pf_cksum_fixup, but since pf is optional
it rolls its own code. procter may fix that in the future...

ok claudio@

Warn on deprecated 'vlan' and 'vlandev' option usage

These were superseeded by 'vnetid' and 'parent' in june 2017 and will be
removed in the future.

"Looks right" deraadt, OK benno

Record an inter-library dependency on libcurses in libedit and libreadline,
avoiding runtime failures on architectures using ld.lld. Also add a note to
libcurses shlib_version reminding about bumps (as done with libcrypto/libssl).

Thanks guenther@ for suggestions of tests involving library bumps and jca@
for doing these tests and hint about DPADD.

Looks good kettenis@, ok jca@

Revert previous, it breaks regress.

Userland malloc(3) & free(3) take only one argument.

Fix wrong sizeof argument by using 'uint16_t *', with minor nit from tb@,
instead of 'uint16_t'

Found with llvm's static analyzer, noticed that it was also already reported in
Coverity CID 155890 and to ensure this was correct also inspected OpenSSL's
equivalent code.

OK tb@ and jsing@

Plug memory leak in host()'s error code path

OK claudio@

free(9) sizes for configuration descriptors, missed in previous.

Batch copyout(9)s in preparation for finer locking.

Tested by Hrvoje Popovski, inputs and ok visa@

free(9) sizes for configuration descriptors.

ok tedu@, visa@

mv imitates, but no longer uses, cp and rm to cross filesystems.

Remove slurpit definition. Leftover from earlier cleanup by otto@.

Remove an unneeded union wrapping the skipsteps pointer.
OK phessler@

Adjust comment.

Make sed's -i flag more compatible with what gsed does.
- Reset the hold-space in between files
- quit the editor as soon as a 'q' command is found
- Make sure the temp-file is written back to the original file if we quit
  the editor

temp-file not written back issue found by Time Chase.
Lots of feedback from millert@ and schwarze@
OK millert@

Add back part of the changes to takeover the firmware framebuffer on
sparc64 lost in the update to linux 4.4.  Compile tested only.

didn't found -> didn't find.

From Edgar Pettijohn III

Setup radeondrm burner task.  Missed when updating to linux 4.4.
Fixes wsconsctl display.screen_off panic reported by Dmitry Murti.

remove the encapsulation headers before looking at the inner headers

it works less well when you look before the adj

revert 1.121. i got confused between ecn on ingress and egress

In TLS1.2 we use evp_sha1 if we fall back this far, not evp_md5_sha1 as in 1.1
Makes connections to outlook.office365.com work

get ecn ingress args the right way round. again.

use the txprio setting to populate the tos in keepalive packets.

the mbuf prio will still be set according to the llprio value, but the
tos on the packet may be forced to a specific number by txprio

according to ip_ipip.c, rfc1853 says not to copy the ttl on decapsulation

rfc1853 is about IP in IP Tunneling. rfc2003 about IP Encapsulation
within IP agrees.

check various community combinations

Add some coverage for the ioctl() interface.

Temporary workaround for breakage seen in videolan.org with curve mismatch

commit again the cleanup part that didn't break anything
and was ok'd millert@

it's expected for pkg_add to exit 1 now, since it's missing one dependent
package it wants to update.
what matters is the list of installed files.

knock out a useless sentence, and reword another to make it read more nicely;
ok otto

Fix previous, which broke ping -T.

ok dlg@

Add regress tests for pipe fcntl(fd, F_GETOWN).

Fix fcntl(fd, F_GETOWN) with pipes. As a regression
of kern_descrip.c r1.177 and sys_pipe.c r1.82, the call always
returned an error.

OK jca@ anton@ mpi@

Fix a slip in previous. FFSSZ should reflect the "pa" disktab field,
not "pc", as is documented in the file. However, the value of FFSSZ
is not used anywhere so remove the variable.

Pointed out by miod@

Initialize context property in alignment test handler function.

Remove #if'ed 0 code around a broken pledge. Due to some ioctls and sysctls
pledge cannot be used, nevertheless since we now have unveil available we can
use it to guarantee that in this particular case the snmpe process cannot
access the filesystem at all, therefore close a big attack vector and achieve
a great level of protection even without being able to use pledge.

prodded by deraadt@

fix markup error (missing blank before delimiter);
from Mike Frysinger <vapier at gentoo dot org>

Grow sgi iso to make room for clang.

Cluebat and OK deraadt@

Add GNU_HASH #defines; improve readelf output for SHT_GNU_HASH

ok naddy@ jca@

Just err if we can't create secrets

NULL out mdctx to prevent possible double free introduced in version 1.4
Spotted by maestre@, ok tb@

Fix pkey_ok to be less strange, and add cuve checks required for the EC ones
ok tb@

get the inner and outer tos values right for passing to ip_ecn_ingress

add txprio support to gre, mgre, egre, nvgre, and eoip

for l3 interfaces (gre and mgre), allow txprio from the payload,
the mbuf, or a hardcoded value. for l2 interfaces (egre, ngre, and
eoip), get txprio from the mbuf or a hardcoded value.

ok claudio@

add txprio setting support

gif encaps l3, so it can get a prio from the payload, as well as
from the mbuf itself, or a hardcoded value.

ok claudio@

add txprio support

etherip puts the prio in the encapsulating ip header, and supports
using hardcoded prio values or the prio from the mbuf. it encapsulates
ethernet, which doesnt have a prio field unelss you parse the ether
payload, which is not worth it.

ok claudio@

only let root configure the txprio setting on an interface

ok claudio@

add support for txprio settings on interfaces

display of the currently configured txprio setting is added to the
encap line, since it's configuring something that affects the
population of an encapsulation header.

it also adds a txprio argument to ifconfig so the setting can be
changed to "payload", "packet", or a number between 0 and 7.

ok claudio@

add ifreq bits for the tx header prio field ioctls

a tx header prio can set to a fixed value from 0 to 7, or magic
values to represent populating the prio field from the encapsulated
packet, or from the mbuf prio value.

ok claudio@

add ioctl commands for the setting of prio fields in tx headers

this will be used by encap interfaces where their headers have
fields to store a priority, eg, the dot1p bit of vlan/svlan headers,
or the ip tos or tclass field int the outer ip header in gre, gif,
etherip, and vxlan.

ok claudio@

tweak previous;

Missing initialization for pub_key. CID 184303.

ok bcook

Add initial regress tests for sigio.

Restart when SSID change is noted in RTM_80211INFO. Thus ensuring
correct lease is discovered/renewed and lease file is properly
updated.

Improves co-existance with new 'join' feature. Issues first noted and
many tests by anton@.

Many suggestions and tweaks from claudio@, stsp@, anton@.

ok claudio@ stsp@ anton@ phessler@