Fix an overly long line

Eventhough most openssl includes include everything try to be a bit more
explicit about what is used where. Seems to be the least worst solution.

Remove openssl includes and fcntl.h neither of those are used in main.c.
Add errno.h since this code makes direct use of errno.

Cleanup openssl includes a bit. Use x509.h instead of x509v3.h, add asn1.h
and remove evp.h. First two suggested by tb@
Compiler agrees

Shuffle code around, move all the bits of proc_parser into parser.c.
OK tb@

Prevent a lock order issue by shuffling code around. Instead of allocating
the file descriptors early do it late. This way the fdplock is not held
during the VFS operations.
OK mvs@

Unconditionally allocate a buffer big enough to hold a struct
usb_ctl_report.

Limiting the size of the buffer to the size of the requested report can
cause the ioctl(USB_GET_REPORT) command to fail with EFAULT as the
kernel will always copy sizeof(struct usb_ctl_report) bytes from the
address passed from user space. That is when the given address +
sizeof(struct usb_ctl_report) crosses a page boundary and the adjacent
page is not mapped.

ok mglocker@

Remove last remnants of ASU ac_flag from accounting.

OK deraadt@, bluhm@

make if_pfsync.c a better friend with PF_LOCK

The code delivered in this change is currently disabled. Brave souls
may enable the code by adding -DWITH_PF_LOCK when building customized
kernel. Big thanks goes to Hrvoje@ for providing test equipment and
testing.

As soon as we enter the next release cycle, the WITH_PF_LOCK will be
defined as default option for MP kernels.

OK dlg@

Add SIOCAIFADDR_IN and SIOCDIFADDR_IN to the wroute pledge
to allow setting and removing IPv4 addresses.
Needed for future iked(8) improvements.

Discussed with sthen@ and florian@
ok bluhm@ deraadt@

Fail early in legacy exporter if master secret is not available

The exporter depends on having a master secret. If the handshake is
not completed, it is neither guaranteed that a shared ciphersuite was
selected (in which case tls1_PRF() will currently NULL deref) or that
a master secret was set up (in which case the exporter will succeed
with a predictable value). Neither outcome is desirable, so error out
early instead of entering the sausage factory unprepared. This aligns
the legacy exporter with the TLSv1.3 exporter in that regard.

with/ok jsing

unbreak getline() conversion in disklabel

Turns off the direct ACK on every other segment

The kernel uses a huge amount of processing time for sending ACKs to the sender
on the receiving interface.  After receiving a data segment, we send out two
ACKs.  The first one in tcp_input() direct after receiving.  The second ACK is
send out, after the userland or the sosplice task read some data out of the
socket buffer.  Thus, we save some processing time and improve network
performance.

Longer tested by sthen@
OK claudio@

Adding a hard-trap instruction after the __threxit syscall instruction
broke pthreads on hppa. Reverting. Ok deraadt@

Add OID for draft-ietf-opsawg-finding-geofeeds

https://tools.ietf.org/html/draft-ietf-opsawg-finding-geofeeds describes
a mechanism to authenticate RFC 8805 Geofeed data files through the RPKI.

OpenSSL counterpart https://github.com/openssl/openssl/pull/14050

OK tb@ jsing@

After the rev. 1.108 commit we see some issues with ugen(4) behaviour,
which finally makes umb(4) fail, since ugen(4) attaches to one of the
umb(4) interfaces, fails, and marks the whole device dying.  Therefore
make usbd_device2interface_handle() backwards compatible again.

Problem reported by Mikolaj Kucharski.

ok edd@

Remove c from the test tool builds, nothing depends on that anymore

Use mkpath() == -1 to check for failure. No functional change.

change pf_route so pf only runs when packets enter and leave the stack.

before this change pf_route operated on the semantic that pf runs
when packets go over an interface, so when pf_route changed which
interface the packet was on it would run pf_test again. this change
changes (restores) the semantic that pf is only supposed to run
when packets go in or out of the network stack, even if route-to
is responsibly for short circuiting past the network stack.

just to be clear, for normal packets (ie, those not touched by
route-to/reply-to/dup-to), there isn't a difference between running
pf when packets enter or leave the stack, or having pf run when a
packet goes over an interface.

the main reason for this change is that running the same packet
through pf multiple times creates confusion for the state table.
by default, pf states are floating, meaning that packets are matched
to states regardless of which interface they're going over. if a
packet leaving on em0 is rerouted out em1, both traversals will end
up using the same state, which at best will make the accounting
look weird, or at worst fail some checks in the state and get
dropped.

another reason for this commit is is to make handling of the changes
that route-to makes consistent with other changes that are made to
packet. eg, when nat is applied to a packet, we don't run pf_test
again with the new addresses.

the main caveat with this diff is you can't have one rule that
pushes a packet out a different interface, and then have a rule on
that second interface that NATs the packet. i'm not convinced this
ever worked reliably or was used much anyway, so we don't think
it's a big concern.

discussed with many, with special thanks to bluhm@, sashan@ and
sthen@ for weathering most of that pain.
ok claudio@ sashan@ jmatthew@

remove ancient malloc ? realloc dance.  always use realloc.
ok millert tb

whitespace

fix memleaks in private key deserialisation; enforce more consistency
between redundant fields in private key certificate and private key
body; ok markus@

memleak on error path; ok markus@

add -Tu to usage();

Adjust the repository handling a bit. Instead of storing host/module pairs
store repo (rsync URI) and local (the local path to the repository).
Simplifies the the rsync handling a fair bit.
OK deraadt@

Add a mkpath() helper function to rpki-client to recursively create
directories.
OK deraadt@

As done for the AF_INET multicast case, ensure that passed interface
via index is actually in the right rdomain for the socket.
OK bluhm@ mvs@

KNF, move { up to if () statement

If IP_MULTICAST_IF or IP_ADD_MEMBERSHIP pass a interface index to the
kernel make sure that the rdomain of that interface is the same as
the rdomain of the inpcb.
Problem spotted and fix tested by semarie@
OK bluhm@ mvs@

dhclient(8): fork_privchld, take_charge, propose_release: poll(2) -> ppoll(2)

Switch from poll(2) to ppoll(2) in a few more functions.

Because we're working with ppoll(2) and clock_gettime(2) it is easier
to encode the various timeouts as static const timespecs instead of
preprocessor macros.  This way we aren't packing timespecs in the
middle of the code, which distracts from the (more important) logic of
what the code is doing.

Part of a larger campaign improve "time stuff" in dhclient(8).

Prompted by and discussed with krw@.  Based on a diff by krw@.

ok krw@

replace fgetln(3) with getline(3) in disklabel

Since getline() returns a C string, we don't need to carry around
the length separately.

ok millert@

Properly implement 'rde med compare strict' and make sure that the order
of prefixes is always correct. The strict RFC4271 way of checking MED is
requires to check the neighbor AS and only do the check if the AS are equal.
Because of this it is possible that inserting or removing a route reshuffles
the total order.

prefix_cmp() was extended to return the location where the decision happened:
- 0 if the decision was before the MED comparison or med compare always is set
- 1 if the decision happened after the MED comparison
- 2 if the MED made caused the decision

With this the new functions prefix_insert() and prefix_remove() are able
to decide if more prefixes need to be evaluated (testall was not 0.) and
if prefixes need to be re-evaluated after this one was put (testall = 2).
There is a local redo list where prefixes where the MED resulted in a
reshuffle are put on. After the new prefix is inserted all prefixes on
the redo list are reinserted. Because now all affected MED routes get
reevaluated the order is always correct.

Add a bunch of RPKI OIDs

RFC6482 - A Profile for Route Origin Authorizations (ROAs)
RFC6484 - Certificate Policy (CP) for the RPKI
RFC6493 - The RPKI Ghostbusters Record
RFC8182 - The RPKI Repository Delta Protocol (RRDP)
RFC8360 - RPKI Validation Reconsidered
draft-ietf-sidrops-rpki-rta - A profile for RTAs

Also in OpenSSL: https://github.com/openssl/openssl/commit/d3372c2f35495d0c61ab09daf7fba3ecbbb595aa

OK sthen@ tb@ jsing@

Fix popup mouse position.

introduce support for sending the If-Modified-Since header while
fetching over http(s) and use the timestamps from the remote server's
Last-Modified header if available when saving local files
this makes it possible to mirror files better with ftp(1)

the new timestamp behaviour can be disabled with the new '-u' flag

ok sthen@, input from sthen@ and gnezdo@

Fix use-after-free in dev_abort()

Fixes crash that can occur when an usb device is unplugged, found by edd@

article fix; from eddie youseph

article fixes; from eddie youseph

Improve the last comment

Remove a trailing white space, don't misspell misconfiguration and
use https.

ok jmc, claudio

Document MODOCAML_RUNDEP

ok bket@ sthen@ (who initially suggested the if-not-native value under
a similar name)

in case we're not a tty, don't do anything else

this does fix the grep case

ESP path MTU discovery over IPv6 tunnel has been fixed.  Add test.

change "demote counter" / "demote count" to "demotion counter", ok deraadt

describe pfsync(4)'s use of carpdemote, ok/tweak kn deraadt

Take flows into consideration for policy lookup as initiator.
Fixes a bug where policies that only differ in their flow
configuration lead to a handshake error.

Found by claudio@
ok patrick@

dhclient(8): default_route_index(): poll(2) -> ppoll(2)

Use ppoll(2) instead of poll(2) in default_route_index().  Using
ppoll(2) here forces us to use clock_gettime(2) to measure the
timeout, which is less error-prone than using time(3).

Part of a larger campaign in dhclient(8) to make "time stuff" more
accurate and robust.

Prompted by krw@.  Based on a diff from krw@.

ok krw@

The code in mdstore.c should stand on its own, so rename the global
variables used here instead of using the ones from config.c.

ok deraadt@, kn@

Remove obsolete vnode operation vector declarations.

OK bluhm@, claudio@, mpi@, semarie@

Use "EC/RSA key setup failure" to align error with others

ok eric jsing

Whitespace

handle #pinctrl-cells 2

needed for >= linux 5.9 dtbs on bbb
ok kettenis@

Fix path MTU discovery for ESP tunneled in IPv6.  We always want
short TCP segments or fragments encapsulated in ESP instead of
fragmented ESP packets.  Pass the don't fragment flag down along
the stack so that dynamic routes with MTU are created eventually.
with and OK markus@; OK tobhe@

Syntax of pf(4) route-to has changed.  Adapt tests.

Fix white spaces and wrap long lines.

Start implementing conditionals for filters.

Allows to check the existence of a variable in predicates, making it
possible to trace syscall latency, as follow:

syscall:select:entry
{
  @start[pid] = nsecs;
}

syscall:select:return
/@start[pid]/
{
  @usecs = hist((nsecs - @start[pid]) / 1000);
  delete(@start[pid]);
}

Align the mixed naming for the variables used to reference to
bInterfaceNumber and bAlternateSetting as following:

        ifaceidx -> ifaceno
        altidx -> altno

Suggested and ok mpi@

Add a no-detached choice to detach-on-destroy which detaches only if
there are no other detached sessions to switch to, from Sencer Selcuk in
GitHub issue 2553.

Netlock should be grabbed before pppx_if_find() call in pppxwrite().
Otherwise this `pxi' can be killed by concurrent thread after context
switch caused by following netlock.

ok yasuoka@

Remove dummy TUNSIFMODE ioctl(2) call from pppac(4) and npppd(8). Since
OpenBSD 6.7 npppd(8) can't work over tun(4).

ok yasuoka@

ifunit() was fully replaced by if_unit(9) and should go away.

ok bluhm@ dlg@

update the pathname for the control socket path; from daniel jakots
clean up FILES while here

ok claudio for the former

update currency exchange rates;

some article fixes; from eddie youseph and grep

a regular function decl collides with an inline, due to C99 inline rules.
We are never updating this sub-tree.  Knock out the collision in the simplest
way.  diff from mortimer.
This is the last change required for -fno-common on all architectures,
thanks to mortimer for starting the effort and encouraging others.

sync

Switch dispatch loop to ppoll() and protocol timeouts to struct timespec.

Reduces spurious packet transmissions in situations with short timings.

Suggestions millert@, further suggestions & ok cheloha@

change route-to so it sends packets to IPs instead of interfaces.

this is a significant (and breaking) reworking of the policy based
routing that pf can do. the intention is to make it as easy as
nat/rdr to use, and more robust when it's operating.

the main reasons for this change are:

- route-to, reply-to, and dup-to do not work with pfsync

 this is because the information about where to route-to is stored in
 rules, and it is hard to have a ruleset synced between firewalls,
 and impossible to have them synced 100% of the time.

- i can make my boxes panic in certain situations using route-to

 yeah...

- the configuration and syntax for route-to rules are confusing.

 the argument to route-to and co is an interace name with an optional
 ip address. there are several problems with this. one is that people
 tend to think about routing as sending packets to peers by their
 address, not by the interface they're reachable on. another is that
 we currently have no way to synchronise interface topology information
 between firewalls, so using an interface to say where packets go
 means we can't do failover of these states with pfsync. another
 is that a change in routing topology means a host may become
 reachable over a different interface. tying routing policy to
 interfaces gets in the way of failover and load balancing.

this change does the following:

- stores the route info in the state instead of the pf rule

 this allows route-to to keep working when the ruleset changes, and
 allows route-to info to be sent over pfsync. there's enough spare bits
 in pfsync messages that the protocol doesnt break.

 the caveat is that route-to becomes tied to pass rules that create
 state, like rdr-to and nat-to.

- the argument to route-to etc is a destination ip address

 it's not limited to a next-hop address (thought a next-hop can be a
 destination address). this allows for the failover and load balancing
 referred to above.

- deprecates the address@interface host syntax in pfctl

 because routing is done entirely by IPs, the interface is derived from
 the route lookup, not pf. any attempt to use the @interface syntax
 will fail now in all contexts.

there's enthusiasm from proctor@ jmatthew@ and others
ok sashan@ bluhm@

more strictly enforce KEX state-machine by banning packet types
once they are received. Fixes memleak caused by duplicate
SSH2_MSG_KEX_DH_GEX_REQUEST (spotted by portable OpenSSH kex_fuzz
via oss-fuzz #30078).

ok markus@

Spacing.

Ignore addresses that are not 0/32 (dynamic) in ikev2_cp_fixaddr()
instead of throwing an error.  Fixes a bug where flows without
'dynamic' were skipped when 'config/request address' is used.

ok patrick@

Don't leak flows if ikev2_cp_fixflow() fails.

ok patrick@

Make progress when stepping through rdns proposals even when skipping
localhost.

turns out STDOUT may have been redirected, in which case tcgetpgrp will
return -1, in which case we never need to suppress output.

noticed by Mark Patruck

replace fgetln(3) with getline(3) in fdisk

ok millert@

replace fgetln(3) with getline(3) in sed

Partly from Johann Oskarsson for Illumos/FreeBSD.
ok millert@

fix mistaken operator precedence in a pointer dereference in disklabel

ok millert@

Add basic support for BCM4378 as found on the Apple M1 SoCs.  There's a
little bit more to do though before it can be enabled.

regen

Add Broadcom BCM4378.

Set linesize returned by getline to zero when freeing and NULLing the
returned string.  OpenBSD's getline handles this just fine, but some
implementations used by -portable do not.  ok djm@

last pieces of satisfying -fno-common

Don't print an empty line at the end of `route sourceaddr`

ok denis

satisfy -fno-common

Remove duplicate hvmd decleration

Already declared "extern" in ldomctl.h;  required for "-fno-common".
OK kettenis

Move global domain declaration to parse.y

This is the only object that uses it;  required for "-fno-common".
OK kettenis

Add dhclient.conf back to list of "installed network configuration
files during upgrade".

Mistakenly removed during dhclient.conf cleanup of r1.1050.

Make editing GPT easier/safer by defaulting offet to beginning of largest
free space and preventing the creation of overlapping partitions.

Prompted & tested by landry@

Add AMAP flag description.

OK deraadt@

Remove ACOMPAT.

OK deraadt@

document that sizes in fdisk can be input and printed in terabytes

Abstract octeon board handling a little

Detect octeon board model in one place, and replace firmware-supplied
board_type with an abstract model identifier in driver code. This makes
it easier to manage with different products, and board flavours, that
happen to use the same model information, such as board_type.

satisfy -fno-common

do not print to STDOUT if we're in background, as requested by Theo
who pointed at ssh code for process group handling. Thanks

I'm such a doofus, of course I have to call base method as well

missing word in comment

switch ProgressMeter to clearer API

rework API slightly, so that handle_continue is an explicit method
(to be overrideen by subclasses when needed)

Re-try to open DNSSEC trust anchor file if /var is not mounted yet.
This is a step towards starting unwind earlier, before the network is
up and partitions are mounted.
OK kn

for now, do not try to install quirks in case we're running "not"
the better thing to do would be to pseudo-install it under /tmp so we
can run it, but it requires way more changes

Fix delay parsing by stealing from strtonum and returning a proper error to
the user when an invalid value is entered instead of silently falling back
to the default 5s.

While here I also capped the upper limit to UINT32_MAX / 1000000 to prevent
useconds_t overflow. This hard limits us to 4294s, instead of the current
soft limit which just make systat go berserk if you go over it.

Reported and original diff by Nick Gasson nick <at> nickg <dot> me <dot> uk

OK cheloha@
Tweaks and OK bluhm@