exterminate the -1 flag from scp

ok markus@

purge the last traces of SSHv1 from the TTY modes handling code

ok markus

remove the (in)famous SSHv1 CRC compensation attack detector.

Despite your cameo in The Matrix movies, you will not be missed.

ok markus

undo some local debugging stuff that I committed by accident

remove SSHv1 support from packet and buffer APIs

ok markus@

remove SSHv1-related buffers from client code

remove KEY_RSA1

ok markus@

remove SSHv1 configuration options and man pages bits

ok markus@

remove SSH1 make flag and associated files
ok markus@

remove SSHv1 ciphers; ok markus@

remove compat20/compat13/compat15 variables

ok markus@

remove options.protocol and client Protocol configuration knob

ok markus@

unifdef WITH_SSH1
ok markus@

Make early attrbute work here as well.  Remove unreachable panic while there.

ok visa@, patrick@, drahn@

Fix priority handling.  The interrupt priority registers expose the full range
of priorities available in secure mode (minimally 32).  For non-secure
interrupts we need to make sure the top bit is set and shift our interrupt
priority level into the remaining bits.  The priority mask register on the
other hand only exposes the priority levels available to the mode from which
it is accessed.  So when accessed from non-secure mode, we need to shift our
interrupt priority level by a different amount.

Also set the binary point register to zero to make sure the maximum number of
available bits are used for the priority group and priority masking actually
works as expected.

This makes the FireFly-RK3399 boot multi-user with the root filesystem on USB.

ok drahn@

Switch AES testcase to the new implementation

OK djm@

Constant time AES implementation

This introduces a 32-bit constant time AES implementation from
Thomas Pornin originally for BearSSL and then adjusted by Thomas
and myself to fit OpenBSD kernel. One of the additional features
is an API for encryption and decryption subkey expansion in the
format specified by NIST in FIPS 197.

Tested by myself and naddy@, ok djm@

sync

Move FlexLexer.h from /usr/include/g++ to /usr/include.  It is not
a g++-specific header and this matches most other systems.  Needed
to use flex++ with clang.  OK espie@ kettenis@

Remove KGDB references.

Remove some KGDB leftovers.

From Amit Kulkarni.

Do not try to delete a default route before adding it.

Now that route are automatically G/C with the address they are attached
to there's no reason to duplicate the kernel's job.

Fix a regression introduced with multipath default routes.

ok deraadt@

No original OpenSSL code remains in this file. Relicense

whitespace

Add rkclock(4), a driver for the Rockchip RK3399 clocks.

Rename Debugger() into db_enter().

Using a name with the 'db_' prefix makes it invisible from the dynamic
profiler.

ok deraadt@, kettenis@, visa@

sync

Mention that escaping "^" as "\(ha" in source code samples improves
portability, in particular when rendering to formats such as PDF
with real typesetters such as groff.

While here, make it even more explicit that the rendering of raw
ASCII accents ( ` ' ~ ^ ) found in the input is kind of a mess and
varies among implementations, software versions, macro sets, and
output devices.

Issue noticed when reading the groff_char(7) manual, and confirmed
by testing with current groff.

OK bentley@, "certainly no objection" jmc@

N.B.: Nobody will get scolded for ignoring this subtlety.

Add xhci@fdt, and move ehci(4) from the sunxi block to the generic block.

Add rkgrf(4), a driver that makes the "generic register file" of the Rockchip
RK3399 available to other drivers through the regmap interface.

Make early attrbute work here as well.  Remove unreachable panic while there.

ok visa@

Tweak error message when running on an unsupported release.

Unifdef KGDB.

It doesn't compile und hasn't been working during the last decade.

ok kettenis@, deraadt@

Check that unsupported operation returns ENOSYS.

Return ENOSYS for unsupported operation.

Regression tests for futex(2).

Add futex(2) shim, bump minor.

Inputs from guenther@, ok kettenis@, visa@

Make BIO_get_host_ip just yet another getaddrinfo wrapper

Rework BIO_accept to be more like modern code.
ok jsing@

Only enable -Werror on libcrypto/libssl/libtls if we are building with
gcc4. This should avoid failed builds while transitioning compilers.
While here also make the CFLAGS blocks consistent across makefiles.

Discussed with deraadt@, ok beck@

Remove unused POW status functions. Makes clang happier.

Switch back to freezero() and explicitly initialise data_len to zero. The
previous code was safe since data would always be NULL if data_len was
uninitialised, however compilers cannot know this.

Microsoft Windows hates BIO_get_accept_socket in portable. Fix it to
not be awful or have any claims on supporting ipv6 when it does so
very badly
ok jsing@

Add missing tls_init() and tls_free() calls.

Add a tls_keypair_clear_key() function that uses freezero() to make key
material inaccessible, then call it from the appropriate places.

ok beck@

Fix a bug caused by the return value being set early to signal successful
DTLS cookie validation. This can mask a later failure and result in a
positive return value being returned from ssl3_get_client_hello(), when
it should return a negative value to propagate the error.

Ironically this was introduced in OpenSSL 2e9802b7a7b with the commit
message "Fix DTLS cookie management bugs".

Fix based on OpenSSL.

Issue reported by Nicolas Bouliane <nbouliane at jive dot com>.

ok beck@

Revert previous - we still want to do this, but I forgot about the installer
and want to avoid the wrath of theo when he arrives home in a couple
of hours :)

We now require you to have a working libpthread

Make it safe to call SSL_library_init more than once.

We are basically admitting that pthread is everywhere, and
we will be using it for other things too.
ok jsing@

Stop calling OPENSSL_init() internally, since it is a no-op. Also place
it under #ifndef LIBRESSL_INTERNAL.

ok beck@

Fix UTF-8 combining characters in column 0, based on a diff from Keith
Winstein.

Replace sxiehci.c with more generic glue in ehci_fdt.c that is similiar in
spirit to the xhci_fdt.c glue.  The new code sets up any attached USB PHYs
based on their "compatible" property.  All the hardware supported by sxiehci.c
should be supported by this new code.  In addition to that this adds support
for the EHCI controllers found on various Rockchip hardware such as the
RK3288 and RK3399 SoCs.

ok patrick@

fix argument check, this should never trigger because it is a libexec called by
smtpd, but for the sake of correctness

from Edgar Pettijohn

ok gilles@

Switch Linux getrandom() usage to non-blocking mode, continuing to
use fallback mechanims if unsuccessful.

The design of Linux getrandom is broken.  It has an
uninitialized phase coupled with blocking behaviour, which
is unacceptable from within a library at boot time without
possible recovery.
ok deraadt@ jsing@

Decrement ci_idepth on all returns from agintc_irq_handler().

Add agintc(4), a driver for interrupt controllers conforming to ARM's
generic interrupt controller architecture specification v3/4.

The hard work was done by drahn@, I just cleaned it up a bit and fixed
a couple of bugs.

ok patrick@, drahn@

Move the userret() call out of data_abort() and simply call it just before we
return from do_el0_sync().  Prevents future mistakes.

Call refreshcreds() in ast() since we may get there without going through
do_el0_sync() or mi_syscall().

put clang headers into clang sets
ok deraadt@

Parser unification: use nice ohashes for all three request and macro tables;
no functional change, minus two source files, minus 200 lines of code.

store cpu model information in the buffer used by the hw.model sysctl
ok kettenis@

Mark futex(2) as PLEDGE_STDIO like all other thread-related syscalls.

From semarie@, ok deraadt@

tweak previous;

allow ssh-keygen to include arbitrary string or flag certificate
extensions and critical options. ok markus@ dtucker@

Test that suslogd's UDP sockets bound to *.514 do not receive packets
if the -u insecure mode is not selected.

sync

Restore calculation of volume size. Accidentally removed in
r1.25. Fixes creation of concat volumes.

Noticed by and diff from Thordur I. Bjornsson via tech@

ok jsing@

Revert previous change that forced consistency between return value and
error code, since this breaks the documented API. Under certain circumstances
this will result in incorrect successful certiticate verification (where
a user supplied callback always returns 1, and later code checks the error
code to potentially abort post verification)

revert previous accidental commit

*** empty log message ***

Quiet a clang warning from -Wstring-plus-int.  OK naddy@

Log what is happening with window and session reference counts much more
obviously.

Remove a reference from the right window when removing from a winlink's
list.

Do not put the window on the alerts queue and add a reference unless the
alert is enabled and we are actually going to add the alerts event.

Konsole incorrectly ignores SU (CSI S) if the parameter is bigger than
the scroll region, so clamp it. Reported by Moritz Bunkus.

Reference the "Futexes Are Tricky" paper.

With schwarze@

Delete .Pp right before the first .Sh and right before any .Ss,
and warn about it; mdoclint(1) does so, and it makes sense.

Check that non existing log files in syslog.conf are reported to
/dev/console during startup and restart.  Startup warnings contain
the pid now.  Console logging creates additional errors if the file
descriptor limit is exhausted.

When syslogd(8) failed to open a logfile, the error message could
get lost.  Remove log_setdebug() as it adds too much abstraction,
use the global variable Started instead.  Set the Started value
before the init() function.  Then errors during config file processing
will be logged to the console as Initialize is still 0.  This is
better than stderr as the latter may be redirected to /dev/null.
Print the timestamp and hostname also for direct messages to console,
so that they look like all others.
bug report jung@; OK benno@

errant space;

Remove double assignments

Start deleting redundant features that are already covered
by mandoc(1) -Tlint, as suggested by the upstream author
and maintainer Thomas Klausner <wiz @ NetBSD>.
The ultimate goal is to get rid of mdoclint and integrate
all its functionality into mandoc, but that will still take
some time, so simplify mdoclint for the time being.
jmc@ "go ahead", OK wiz@, also committed upstream

This first patch removes the AUTHORS check that mandoc does, too.

Document futex(2) with a lot of inputs from schwarze@

Display futex(2) operations and arguments.

regen

Add futex(2) syscall based on a sane subset of its Linux equivalent.

The syscall is marked NOLOCK and only FUTEX_WAIT grabs the KERNEL_LOCK()
because of PCATCH and the signal nightmare.

Serialization of threads is currently done with a global & exclusive
rwlock.

Note that the current implementation still use copyin(9) which is not
guaranteed to be atomic.  Committing now such that remaining issues can
be addressed in-tree.

With inputs from guenther@, kettenis@ and visa@.

ok deraadt@, visa@

add City of Derry Airport
ok "i have been there"@

Default for xterm-keys was wrong, stop documenting it.

Install a few more x86 intrinsics header files.

spotted by espie@

add some comments. no functional change

rename i8253 "counter" to "channel", a better name for what we are
emulating

vmm: don't use invvpid if we didn't detect vpid capability during
vcpu setup

sort;

Merge missing bits from Colin Watson's patch in bz#2658 which make integrity
tests more robust against timeouts.  ok djm@

Pull back some shell portability fixes from -portable to make future syncs
easier.  Note that this also changes the number of bytes skipped on "Bad
Packet" errors from 2 to 3 because the worst case is changing the high byte
of the length field in which case skipping 3 bytes is needed.  ok djm@

include key fingerprint in "Offering public key" debug message

Avoid relying on implementation-specific behavior when detecting
whether the timestamp or file size overflowed.  If time_t and
off_t are not either 32-bit or 64-bit scp will exit with an error.
OK djm@

Add SyslogFacility option to ssh(1) matching the equivalent option in
sshd(8).  bz#2705, patch from erahn at arista.com, ok djm@

ntohl() returns uint32_t so it cannot be < 0.  Since we're storing
the result in an int check for > INT_MAX instead.  OK bluhm@

Remove "len < 0" check; len is socklen_t (uint32_t) so can't be
negative.  Quiets a warning from clang.  OK bluhm@