we're not shooting yacception

okay millert@

Make libtool regress tests pass:
- There are no NOPIC architectures anymore.
- Add DISABLED targets for tests failing intensionally without
  touching the real targets.
- In execute mode libtool command line must use ./p2 as .  is not
  in my PATH.
OK mpi@ espie@

Make mmap_hint.c compile on i386 by adding includes.  Unfortunately
test is still failing.

Fix function name in panic message.

Make configuration lines match GENERIC files.

This adds amd64 and splits up alpha and i386.

OK deraadt@

Remove unnecessary #ifdefs in telnet. No binary change.

OK deraadt@, tedu@

When working out the current client (for example for switch-client with
no target), prefer clients attached to the current session if there is
one. GitHub issue 995 from Jan Larres.

When generating all hostkeys (ssh-keygen -A), clobber existing keys
if they exist but are zero length. zero-length keys could previously
be made if ssh-keygen failed part way through generating them, so avoid
that case too. bz#2561 reported by Krzysztof Cieplucha; ok dtucker@

allow fetching lists from https:// URLs too

switch user to _spamd before executing ftp(1) to fetch lists.
sprinkle in some closefrom(2); ok deraadt@ beck@

Now that we have the -Wstyle message level, downgrade six warnings
that are not syntax mistakes and that do not cause wrong formatting
or content to style suggestions.
Also upgrade two warnings that may cause information loss to errors.

sync

REGRESS_TARGET has been renamed to TEST_TARGET.
spotted by anton@

Delete variable REGRESS_TARGET, missing plural S is a typo and it
is not used.  Convert tests into a common style.
OK anton@

anton@ has fixed the test script so that it can run as root.  Remove
my workaround that switched to build user.

Fix display of overlong lines containing non-ASCII bytes.
Also fixes a crash reported by Hiltjo Posthuma <hiltjo at codemadness
dot org>, though in a different way than with the patch he sent.
OK florian@ bcallah@

revert previous, requested by jmc@; he says the broken .Xr is intentional

Our website says that socppc was discontinued after 5.8 (thanks to
tobiasu@ for pointing that out), but the manual pages are still
installed.  I have no idea how to properly tedu an architecture, so
deleting the dead .Xr to boot_socppc(8) is all i'm doing in this respect.

Document tls_config_set_crl_file() and tls_config_set_crl_mem().

Based on a diff from Jack Burton <jack at saosce dot com dot au>, thanks!

Delete cross references to boot_landisk(8).
According to tobiasu@, landisk is moribund and writing new manual
pages for it would be a waste of time.

Bump minor due to symbol addition.

Add support for providing CRLs to libtls - once a CRL is provided we
enable CRL checking for the full certificate chain.

Based on a diff from Jack Burton <jack at saosce dot com dot au>, thanks!

Discussed with beck@

fix RCS Id; found with mandoc -Tlint

cons_options() only needs to know a buffer and a length to
pack options into. Not all the gory details of interface_info.

Move some of the raw packet processing out of options.c's
do_packet() and into the more obvious dispatch.c's
packethandler().

Mention that RFC791 is why we use 576-byte UDP packets.

delete duplicate RCS ID and lots of .Tn

delete duplicate RCS IDs; found with mandoc -Tlint

Do not suppress what's going on.

The 0x (or 0X) prefix in base 16 is optional so only skip over the
prefix if the character following it is a valid hex char.  The C99
standard is clear that given the string "0xy" zero should be returned
and endptr set to point to the "x".  OK deraadt@ espie@

fix broken cross references; found with mandoc -Tlint

installer version of slaacd, not hooked up to the build yet

Sprinkel in some #ifndef SMALL to make slaacd smaller for the
installer.

This removes the control socket handling which is useless because we
won't have slaacctl in the installer.

Also deraadt@ pointed out that this would be the first use of log.c in
the installer where we don't have syslogd running so it's rather
pointless. So this completely neuters logging.

The log.h change doesn't interfere with benno@'s efforts of unifying
log.c

The installer version of slaacd won't even compile control.c and log.c

reorder imsg_type enum so that we can #ifndef SMALL all the control
related imsg types

move rpref enum definition up so that we can #ifndef SMALL a big block

Disable new tests until sed has been adapted.
Discussed with otto@

sync

Initialize the return value and do not use garbage as exit status.
Then the test passes.

Link the runtests programs statically and explain why.

Add ULL suffix to 64 bit constants.  This avoids compiler warnings
on i386 and allows to compile the C++ test.  Upstream dropped the
ULL in an insufficient attempt to make the siphash code C89 compatible.
Their fix will be more complicated.
No binary change.

/tmp/cvsa9y4jm

Remove bogus arguments from a printf in the bootloader.

ok tom@

Compile libexpat with -fvisibility=hidden.  This restricts the
exported symbols to the indended API.  We do not need a Symbols.map
anymore.  Major library bump is necessary as some internal functions
vanish from the ABI.
Discussed upstream with Sebastian Pipping; ports bulk build ajacoutot@;
OK deraadt@

sync the list of pci devices which don't require aperture
ok kettenis@

Add tests for all features of file completion in csh.

Disassociate PA load address of the kernel from VA, such that PA isn't
a mask of VA, but can be an offset (once other code is ready...).  Also,
simplify and remove useless symbols.
ok mlarkin

vmd: increase the max number of disks from 2 to 4. Requires kernel rebuild
as a struct passed to vmm has changed size.

ok deraadt, pd

0xcc-fill a few more alignments.  Not because these ones matter particularily,
but because elimination highlights more important ones.
Cursory review mortimer, ok mlarkin

remove an unneeded .align and .code32

ok deraadt

fix date

Fix operator precedence according to Brian W. Kernighan and Lorinda
L. Cherry, "Typesetting Mathematics - User's Guide (Second Edition)",
August 15, 1978, paragraph 23; swarm of bugs pointed out by bentley@.

Fix native/raw backlight support in inteldrm(4).

Validate prefix information in router advertisements according to RFC
4862 Section 5.5.3.

This very likely solves the problem of slaacd generating privacy
addresses at a very high rate as reported by Matthias Schmidt on
bugs@; thanks!

The problem is that we constantly generate new privacy addresses if we
receive a router advertisement with a pltime of 0 since that address
will immediately be deprecated.

This needs revisiting since we will run into the same problem with
other low pltimes.

Favor a UID-agnostic prompt in ksh edit mode tests. Allows the tests to pass
when executed as root.

Spotted by bluhm@

Revert previously added tests for file completion that are currently failing.

Prodded by bluhm@

avoid double space caused by end-of-sentence detection; requested by jmc@

Remove knowledge of struct interface_info from clparse.c. Just
pass the interface name and the TAILQ to put static leases into.

Add a TAILQ for static leases to struct client_config to hold the
static leases until it's time to add them to ifi.

Add add_lease() to add leases to a TAILQ while checking for
leases that are superseded by the new lease.

RFC 6066 states that IP literals are not permitted in "HostName" for a
TLS Server Name extension, however seemingly several clients (including
Python, Ruby and Safari) violate the RFC. Given that this is a fairly
widespread issue, if we receive a TLS Server Name extension that contains
an IP literal, pretend that we did not receive the extension rather than
causing a handshake failure.

Issue raised by jsg@

ok jsg@

Implement the generated dependency with a stamp file to avoid needless
recompiling of the test programs.  Add some RCS ids.

forgot to commit this one

The EQN_LISTONE box type is pointless.
Simplify by just using EQN_LIST with expectargs = 1.
Noticed while investigating a bug report from bentley@.
No functional change.

Enable NFSCLIENT to let installation over NFS work.

OK kettenis@, deraadt@

Fix RAMDISK build.

OK bluhm@

make use of (f)lex -o option to create unique temporary files, so that
make -j will be happier.

okay millert@

based on florian@'s observation and guenther@'s work in kernel makefiles.
don't include .d files during obj and cleanup, because those files might
be utterly bogus following an untimely reboot.

This allows cleaning stuff up without needing to manually remove those
files.

okay millert@, kettenis@

regen

Add Intel Braswell Sensor Hub device.

nits about trailing punctuation found with mandoc -Tlint

void functions don't return 0

From Klemens Nanni

fix cross references to self; found with mandoc -Tlint

Convert pf tagname malloc(9) into pool_get(9) to make it MP safe.
While there use TAILQ_FOREACH macro for traversing tags.
OK mpi@

The IP in IP input function strips the outer header and reinserts
the inner IP packet into the internet queue.  The IPv6 local delivery
code has a loop to deal with header chains.  The idea is to use
this loop and avoid the queueing and rescheduling.  The IPsec packet
will be processed in a single flow.
Merge the IP deliver loop from both IP versions into a single
ip_deliver() function that can handle both addresss families.  This
allows to process an IP in IP header like a normal extension header.
If af != AF_UNSPEC, we are already in a deliver loop and have the
kernel look.  Then we can just return the next protocol.  Otherwise
we enqueue.  The dequeue thread has the kernel lock and starts an
IP delivery loop.
OK mpi@

Don't stop logging to stderr when running in foreground with -d.

Pointed out by Kapetanakis Giannis

Comments are lying.

document that we're no longer using 'make depend'

bye bye depends
okay tb@ deraadt@

If we are sending a neighbor solicitation for a link local address
send it with a link local source address as well.

This helps upstream routers with their own source address
selection.

A reoccurring scenario is:
- gateway on fe80::1%if
- the gateway does not have an IP in the same prefix as our global address

When we want to talk to the outside world we first need to resolve the
gateway. We copy the source address from our outgoing packet to the
neighbor solicitation packet (a global address) and ask for layer2
information of a link local address.

The upstream router now needs to do source address selection of it's
own. Since we are coming from a global address and there is no address
from the same prefix the router uses another global address lying
around.

We then drop this with "ND packet from non-neighbor".

Reported over the years by a few people, most recently by Marc Peters
on bugs@ who confirmed that this fixes the problem.

OK stsp@, mpi@

Some documentation improvements:

- Fix TLS s/server/client/

- Use 'remote loghost' consistently, even if it's not clear to which
  endpoint this correspond.

- Replace 'forwarding' by 'sending' to remove the ambiguity about the
  inserted hostname.

- Do not use the word 'server' with 'socket' to avoid confusion with
  a TLS server.

- Prefer 'senders' than 'clients' when it comes to spoofing, to reduce
  one usage of the word 'client.

ok jmc@, bluhm@

remove useless (void)printf casts, diff from Klemens Nanni, massaged
by me.

Add tests for file completion in ksh emacs mode, currently failing.

While here, pass the v option to hexdump in order to output all data.

Switch to build user if run as root.  Prompt output $ or # affects test.

cross reference to self; found with mandoc(1)

Revert back previous, pledge cannot be enabled on the privsep'd proc yet, at
least not as is

Reported by tim@, OK deraadt@ to backout the pledge for now

Fix file regress from stdin if obj directory exists.

Fix the only remaining mandoc(1) ERROR in the base system.
(Can't resist the temptation to commit 'cause it allows
such a cute commit message.)

proper escaping to prevent information loss; found with mandoc -Tlint

Fix handling of \} on roff request lines.
Cures bogus error messages in pages generated with pod2man(1).

Ignore entries with specific PCI subvendor/subdevice such that we don't
inadvertedly match the Intel HD Graphics P4000 as a "Quanta transcode"
device.

Thanks to Joe Gidi for figuring out that I inadvertedly brought this back.
Hopefully fixing it this way prevents it from happening again.

< and > keys to scroll preview list left and right in tree mode.

Fix building the libedit regress programs.

delete tokens that have never been used.
From Rob Pierce
ok yacc and gcc

rename fetch_state() to fetch_ifstate(). The word "state" is a bit
overloaded in this daemon.
From Rob Pierce

Fix some variable alignment whitespace.
From Rob Pierce

It turns out association of tbl spans with layout rows is simpler than
i thought.  Fixing a bug in curs_addch(3) and minus 25 lines of code.

if configured, set the ttl (IPV6_UNICAST_HOPS) for ipv6 tcp checks.
From Kapetanakis Giannis, thanks.
ok florian@

Detect upfront whether we have a particular set installed and if not, do *not*
list a matching syspatch as available. This will allow to skip the syspatches
for the X sets for example if we don't have them installed. If we do install
these sets a posteriori, then syspatch *will* list the X syspatches if there are
any.

req. by many
ok robert@

make relayd not crash in relay_udp_server() when using a dns relay.
needs revisiting. From Rivo Nurges, thanks.
ok florian@

Switch reorder_kernel() from sending emails to logging via syslog
and to write the logfile inside the kernel compile dir.

- turn the whole reorder_kernel function into a subshell {} -> ()
- create kernel compile dir early on
- redirect all stdout/stderr to a logfile inside this dir
- setup ERR trap handler that
  - disables the EXIT trap handler
  - syslogs the error and hints to the logfile
  - additionally sends this message to the console
- setup EXIT trap handler that syslogs success
- wipe only the content instead of the whole kernel compile dir
- reestablish stdout redirection to the log after the wipe
- remove -q option of sha256 to log check result
- run reorder_kernel() in the background

OK deraadt@ tb@

Do not add isakmpd obj directory to .PATH.  We must compile some
fake objects from regress ourselves.

some of this code was written in an era when spaces cost extra.
add a little breathing room.

calculate multiples of 4 smarter; from Klemens Nanni

It does not make sense to use ioctl(FIONREAD) with TLS as libtls
has already read the buffer from kernel to user land.  I have blindly
copied this code from libevent for syslogd(8) TLS, remove it together
with the bug.  It caused hangs in ldapd(8).
report, analysis, testing, OK Seiya Kawashima, Robert Klein, gsoares@