Convert many atoi() calls to strtonum(), adding range checks and failure
handling along the way.
Reviews by Brendan MacDonell, Jeremy Devenport, florian, doug, millert

Delete the wrapper functions mdoc_meta(), man_meta(), mdoc_node(),
man_node() from the mandoc(3) semi-public interface and the internal
wrapper functions print_mdoc() and print_man() from the HTML formatters.
Minus 60 lines of code, no functional change.

Unify {mdoc,man}_{alloc,reset,free}() into roff_man_{alloc,reset,free}().
Minus 80 lines of code, no functional change.
Written on the train from Koeln to Wolfsburg returning from p2k15.

Move mdoc_hash_init() and man_hash_init() to libmandoc.h
and call them from mparse_alloc() and choose_parser(),
preparing unified allocation of struct roff_man.

Profit from the unified struct roff_man and reduce the number of
arguments of mparse_result() by one.  No functional change.
Written on the ICE Bruxelles-Koeln on the way back from p2k15.

Replace the structs mdoc and man by a unified struct roff_man.
Almost completely mechanical, no functional change.
Written on the train from Exeter to London returning from p2k15.

another round of reducing the diff to linux

Simplify vio_encap() a bit.

From brad@

from brad:
don;t try to list all generations in ciss's Nd;
do not use all caps for "array"

define and use trace macros
discussed with kettenis

Remove some unused debug functions.  If we're interested in
these in future we should add i915_debugfs.c

replace the hand rolled lists of mbufs in hfsc_classq with an
mbuf_list.

hfsc lists are very clever because they manage a fifo with a single
pointer by abusing the m_next pointer of the tail mbuf to point to
the head. clever but hard to read.

mbuf_lists are slightly bigger because they explicitely track the
head mbuf, but i got us that space back by inlining hfsc_classq
into hfsc_class and removing the unnecessary classq field.

ok henning@

add and use module param macros

Avoid calling freeifaddrs() with an uninitialised pointer in an
error path.

Regis Leroy reported that httpd does not strictly accept CRLF for
newlines which could lead to http response splitting/smuggling
if a badly behaved proxy is in front of httpd.

Switch from evbuffer_readline() to evbuffer_readln() with
EVBUFFER_EOL_CRLF_STRICT to avoid this.

ok florian@

i386 and amd64 have only one syscall entry point now, so simply the
EIP/RIP adjustment for ERESTART

ok mlarkin@

Use futimens() to preserve timestamps with subsec precision.
Don't cast file sizes to size_t when comparing file contents for the -C option

ok deraadt@

Use getint() instead of intval() for parsing the columns variable,
allowing the addition of more accurate bounds and garbage checks.
ok millert

FALLTHROUGH in getopt is incorrect.  While here use strtonum
to parse tz_minuteswest.
ok millert

On Ethernet packets have a minimal length, so very short packets
get padding appended to them.  This padding is not stripped off in
ip6_input() (due to support for IPv6 Jumbograms, RFC2675).  That
means PF needs to be careful when reassembling fragmented packets
to not include the padding in the reassembled packet.
from FreeBSD; via Kristof Provost; OK henning@

s/recommended/required/ that private keys be og-r
this wording change was made a while ago but got accidentally reverted

don't try to cleanup NULL KEX proposals in kex_prop_free();
found by Jukka Taimisto and Markus Hietava

use error/logit/fatal instead of fprintf(stderr, ...) and exit(0),
fix a few errors that were being printed to stdout instead of stderr
and a few non-errors that were going to stderr instead of stdout
bz#2325; ok dtucker

debug log missing DISPLAY environment when X11 forwarding
requested; bz#1682 ok dtucker@

while trying to reproduce lockups on mp alpha i hit an
MUTEX_ASSERT_UNLOCKED, but it turns out alpha mutexes arent very
friendly to diagnostics on smp systems.

alpha mutexes contained an mtx_lock member. when 0 the mutex was
unlocked, and when 1 it was locked. the MUTEX_ASSERT_UNLOCKED checked
if mtx_lock was 1 to see if the current cpu owned the mutex, but
in an mp system another cpu may have set mtx_lock to 1, which causes
the assert to fire.

this changes alpha mutexes so they record which cpu owns the lock
rather than just if the lock is held or not. the diagnostics compare
the owner to the current cpus curcpu() address so they can actually
tell if the current cpu holds the lock instead of whether any cpu
holds the lock.

instead of using custom asm to implement a cas this uses atomic_cas_ptr,
which on alpha uses gcc cas code. miod says he has far more confidence
in the gcc cas than the code that was there before.

while im here i also shuffled the code. on MULTIPROCESSOR systems
instead of duplicating code between mtx_enter and mtx_enter_try,
mtx_enter simply loops on mtx_enter_try until it succeeds.

this also provides an alternative implementation of mutexes on
!MULTIPROCESSOR systems that avoids interlocking opcodes. mutexes
wont contend on UP boxes, theyre basically wrappers around spls.
we can just do the splraise, stash the owner as a guard value for
DIAGNOSTIC and return. similarly, mtx_enter_try on UP will never
fail, so we can just call mtx_enter and return 1.

ok miod@

IPSEC_IN_CRYPTO_DONE and OUT_CRYPTO_NEEDED are gone

Stubs and support code for NIC-enabled IPsec bite the dust.
No objection from reyk@, OK markus, hshoexer

Remove unused ipsp_parse_headers that was supposed to parse packets
returned by IPsec-enabled NICs;  OK markus, hshoexer

Remove unsupported SADB_X_IDENTTYPE_CONNECTION;  OK markus, hshoexer

Remove superflous "::1" route, test currently failing but a fix is
in its way.

Local routes should be present in the routing table output.

parse_prefix in parse.c got changed but the declaration in bgpctl.c
wasn't updated, so we would crash when doing `bgpctl net bulk` commands.

Fix by moving parse_prefix into a header, since we use it in more than
one file.

crash found by henning@
underlying problem found by blambert@

OK sthen@ deraadt@ claudio@ henning@

Match -current output.  Every configured address should have a local route
and remove redundant loopback cloning route.

Note that tests using IPv6 still contain two routes to "::1" this should
cause no harm but is being investigated.

Crank the timeout and decrease the buffer size to not end up dropping
all the entropy provided by the device.

Also make sure we match the right endpoint.

From Sean Levy based on comments from Andreas Gustafsson who's behind
Alea.

oops, started expecting sockoptlevelname() to handle two arguments
but never actually did so.  Fix that so that we stop losing the
second argument to {get,set}sockopt().  Handling of levels other than
SOL_SOCKET could be improved.

The first argument to socket/socketpair is an address family, not a protocol
family.  (sysctl(3) is practically the only place where PF_* is correct)

Tweaks utimensat/futimens handling to always update ctime, even when both
atime and mtime are UTIME_OMIT (at least for ufs, tmpfs, and ext2fs), and
to correctly handle a timestamp of -1.

ok millert@

don't call record_login() in monitor when UseLogin is enabled;
bz#278 reported by drk AT sgi.com; ok dtucker

Add some missing options to sshd -T and fix the output of VersionAddendum
HostCertificate.  bz#2346, patch from jjelen at redhat com, ok djm.

Make drm ioctls table driven.  Further reduces the diff to linux.
ok kettenis@

Document "none" for PidFile XAuthLocation TrustedUserCAKeys and RevokedKeys.
bz#2382, feedback from jmc@, ok djm@

Restore the page headers and page footers that accidentally got lost
in rev. 1.225.  Regression reported by florian@.

firmware, not firmwares;

tweak previous;

ipa_inp_next is unused; via mikeb@

remove unfinished/unused support for socket-attached ipsec-policies
ok mikeb

change {import,export}_identity so it can be used for policies; ok mikeb
(fixes sadb_ident_type conversion for policies)

shorten "outdated mandoc.db" warning message; requested by deraadt@

sync

Tweak error output.
ok krw@

Make sure LLVM static analyzer do not report a false positive,
found by and fix confirmed by jsg@.

document %m, sort %.

add %m as a shorthand, will expand to
pub/OpenBSD/5.7/packages/amd64
for lazy typers.

okay aja@

document % sequences.

reorg code, the arch/osversion code should live in a single place,
short and sweet

Match the Nd of the page, prodded by jmc@

commit expanded tags for %c, %v, %a

Enable ualea(4) where we have uhub(4), these USB device lists cry for
unification...

Manpage for ualea(4) with tweaks from jmc@.

New driver for Araneus Alea II TRNG.  All the hardwork has been done by
Sean Levy, aka attila, <attila + stalphonsos ! com>, thanks!

ok deraadt@

Plug leak of address passed to logging.  bz#2373, patch from jjelen at redhat,
ok markus@

Fix some issues in bright colour handling. Bold background doesn't exist
so there is no reason for tty_check_bg to mess with the BRIGHT flag at
all, ever. Also use aixterm colours for 256-to-16 translation if the
terminal supports them. And there is no reason for tty_colours_bg to
worry about whether the terminal supports them - tty_check_bg has
already taken care of it.

Use tty_term_flag not _has for flags, also fix a typo (position not
permission).

Test that ping6 fragments with ethernet padding get reassembled
correctly.

Convert error/errorx/errorc functions -> fatal/fatalx/fatalc and
make then take a printf format string instead of requiring the
caller to snprintf into a buffer first.  OK deraadt@

Only set the cipher list if one was specified and actually check the return
value from SSL_CTX_set_cipher_list(). Also remove pointless getenv()
handling.

ok bcook@ doug@

Clean up the ssl_bytes_to_cipher_list() API - rather than having the
ability to pass or not pass a STACK_OF(SSL_CIPHER) *, which is then either
zeroed or if NULL a new one is allocated, always allocate one and return it
directly.

Inspired by simliar changes in BoringSSL.

ok beck@ doug@

Now that tls_close() is more robust, consider a failure to be fatal.

Treat SSL_ERROR_ZERO_RETURN as a success, rather than a failure. Also
ensure that outlen is set to zero so that tls_read() has read(2) like
semantics for EOF.

Spotted by doug@

Make tls_close() more robust - do not rely on a close notify being received
from the other side and only return TLS_READ_AGAIN/TLS_WRITE_AGAIN if we
failed to send a close notify on a non-blocking socket.

Otherwise be more forceful and always shutdown/close the socket regardless
of other failures. Also do not consider ENOTCONN or ECONNRESET to be a
shutdown failure, since there are various situations where this can occur.

ok doug@ guenther@

Fix setting old-style window -fg/-bg/-attr options that aren't global.

Add the necessary glue to keep carp(4) working while other pseudo-drivers
are converted to if_input().

ok dlg@, claudio@

Use ether_ifattach() and ether_ifdetach() when cloning/destroying an
interface instead of rewritting most of them.

This change is also needed for upcoming if_input() conversion.

As a bonus pseudo-driver attached on top of carp are now detached in
the right order.

ok claudio@, henning@

include header required for DEBUG build; ok jsg@

Avoid using inet_ntoa() twice in a single printf() parameter list
by caching the results from excess inet_ntoa() calls before doing
the printf(). Should improve usefullness (?) of DHCPRELEASE log
entries by actually printing ciaddr and giaddr correctly when
dhcprelays stand between servers and clients.

Looks good to dlg@.

Fix a typo introduced in the niq_enqueue() conversion.

Should fix a panic reported by many on bugs@ and misc@.

ok dlg@

Add the necessary glue to keep vlan(4) working while other pseudo-drivers
are converted to if_input().

Reviewed by Rafael Zalamena.

ok claudio@, dlg@

Convert remaining drm ioctl implementation functions to return Linux-style
negative errno values.

ok jsg@

add the include dir for libepoxy

Unneeded return at the end of a void function.

opt{ind,err,arg} are already known

remove historical (void)foo (which were only here to hide lint's
undrenchable thirst for false positives)

It feels like this Makefile should contain -Wall at least

document missing argument; ok jmc

Another couple of commas in the wrong place, ok jmc

Remove an extra comma pointed out by jmc@.

Reorder prototypes to better match manpage layout and add some missing
argument names, from Fabian Raetz. ok deraadt

sparc{,64} do not need softraid partitions to be defined as 4.2BSD, probably
since only one month after this was mentioned in CAVEATS.

IPsec auth and credentials are not stored in the kernel anymore;
noticed by deraadt@

wrap a long line

Fix sa_sigaction() handler example.  The third argument is void * and
should be cast to ucontext_t * to actually use it.  OK deraadt@

This is not System V, we spell it SIGCHLD.
Adapted from a diff from Jan Stary.

Setting the configuration in *_attach() is a bad practise because if it
fails it's impossible to debug and you cannot use your device.

So instead of calling usbd_set_config_index(), match the right interface.

This is trivial with this device because it has only one configuration
and interface.

It's not possible to call umcs_get_status() in interrupt context
because it submits synchronous transfers, so schedule a task when
necessary.

make ipsp_address thread safe;  ok mpi

ip6_sprintf is long gone;  noticed by blambert

Move verify externs into the header file.

Remove support for storing credentials and auth information in the kernel.

This code is largely unfinished and is not used for anything.  The change
leaves identities as only objects referenced by ipsec_ref structure and
their handling requires some changes to support more advanced matching of
IPsec connections.

No objections from reyk and hshoexer, with and OK markus.

Convert openssl(1) s_time to new option handling.

ok doug@

Clean up and improve openssl(1) errstr:

- Use BIO_new_fp() instead of BIO_new()/BIO_set_fp() and handle NULL
  return value in a more appropriate manner.

- Use stroul() instead of sscanf() with appropriate error checking.

ok doug@