First pass over x509_addr_validate_path()

Replace reaching into the structs with IPAddressFamily accessors
and add a few comments that explain what the code is actually doing.

ok inoguchi jsing

Document ruby31 FLAVOR

Refactor IPAddressFamily accessors

Introduce a helper function that allows fetching the AFI and the
optional SAFI out of an IPAddressFamily. Also add two wrappers that
only fetch and validate the AFI, where validation currently only
means that the length is between 2 and 3.

Use these accessors throughout to simplify and streamline the code.

ok inoguchi jsing

Pass the filename back from the parser to the parent.
The parent will then add the filename to the filepath tree instead
of doing that in entity_write_req(). In the parser pass the filename
instead of the full entity object to various proc_parser functions.
With this it will be possible to check more then one file in the parser.
OK tb@, earlyer version OK benno@

Fix -n mode by setting repository states to REPO_DONE instead of the
more correct REPO_FAILED. The problem is that with REPO_FAILED the repo
no longer matches a subsequent rrdp_get lookup and as a result the repo
uses rsync which wrong in this case.
OK benno@ tb@

Use the device we read the hibernate signature from for the entire
resume.  This fixes setups where a umass device no longer attaching
at resume results in a softraid device being renumbered so the
hibernate-time device is no longer correct

ok mlarkin@ jsing@

Restrict the pci(4) ioctl interface to devices detected by the kernel.
This fixes issues on the M1 Macs where the PCI probe done by Xorg
breaks the WiFi chip.

ok patrick@

fix length boundary checks for incoming packets in iwm/iwx

The minimum length and the maximum length required were both too low,
due to an error in accounting for the 4-byte packet length+flags header.

Patch by Christian Ehrhardt

fix Rx Block Ack session validity checks in iwm(4) and iwx(4)

I ported a NULL pointer check from iwlwifi rxmq.c which cannot
happen in our version of this code. Instead we need to check
the BA session ID to determine whether a BA session is valid.

Patch by Christian Ehrhardt.

Simplify the verify callback

The final warnx() is very noisy and essentially a remnant of earlier
debugging code. By ditching it and erroring directly on encountering
an unknown critical extension, the code becomes a bit simpler.

ok claudio

Try to handle possible vm_register() failures and return an error back
to the caller instead of most probably crashing because of a NULL pointer
access. This fixes also another -Wunused-but-set-variable warning.
OK benno@ dv@

Remove unused imsg type IMSG_VMDOP_RECEIVE_VM_RESPONSE.
OK benno@ dv@

Another -Wunused-but-set-variable fix.
Based on input from dv@

Fix some simple -Wunused-but-set-variable warnings.
OK benno@ dv@

- add LDAP
- capitalise RADIUS when referring to the protocol
- remove tis

from raf czlonka
ok sthen ajacoutot

acpi_getprop() needs to actually make sure that we're looking at the
correct property.  While there adjust acpi_getpropint() as well to
increase similarity with acpi_getprop().

ok kettenis@

Stop setting X509_V_FLAG_IGNORE_CRITICAL

Since the last bump, libcrypto knows about the RFC 3779 extensions.
Therefore, setting X509_V_FLAG_IGNORE_CRITICAL is no longer needed.
In fact, we want to error on critical extensions neither rpki-client
nor libcrypto knows about.

On older LibreSSL versions with the default verify callback, this
causes verification failures. Implement a verify callback that
intercepts X509_V_ERR_UNHANDLED_CRITICAL_EXTENSIONS and checks that
the cert doesn't contain critical extensions not supported by libcrypto
other than the expected RFC 3779 extensions.

Tested with LibreSSL 3.3 and 3.4 on OpenBSD 6.9 and 7.0-stable by me
and with LibreSSL 3.2 on Linux by claudio.

input/ok claudio

Return 0 on failure from send/get kex functions in the legacy stack.

In the legacy stack, a message handling function returns -1 for failure,
0 for need more data and 1 for success (although in extra special cases
2 may also be used). However, the various send/get kex functions only
need to indicate success or failure - switch these to return 0 on failure
(rather than -1) and use normal result testing.

This leaves GOST unchanged for now, as that code is special and needs
extra work.

ok inoguchi@ tb@

remove the last part of driver for aic-6250 scsi on aviion

Use normal result testing for tls1_check_curve().

Refactor ssl3_get_server_kex_ecdhe() to separate parsing and validation.

If we receive something other than a "named curve", send a handshake
failure alert as we're unable to complete the handshake with the given
parameters. If the server responded with a curve that we did not advertise
send an illegal parameter alert.

ok inoguchi@ tb@

Pull key share group/length CBB code up from tls13_key_share_public()

This provides better symmetry with the parsing code and will allow for
better reuse with the legacy stack, which has different message structures.

ok inoguchi@ tb@

remove files missed when sgi was removed
ok visa@

Only allow zero length key shares when we know we're doing HRR.

ok inoguchi@ tb@

Log command invocation in debugging log to aid in manually reproducing
failing commands.

unbreak test: was picking up system ssh-add instead of the one supposedly
being tested. Spotted by dtucker and using his VM zoo (which includes
some systems old enough to lack ed25519 key support)

remove unused file

Add `ipsec_flows_mtx' mutex(9) to protect `ipsp_ids_*' list and
trees.  ipsp_ids_lookup() returns `ids' with bumped reference
counter.  original diff from mvs

ok mvs

Make host name DHCP option configurable.
Diff from hagen@sdf.org, tweaks by me.
OK phessler
testing & OK bket

Wait for the link-local address to become non-tentative.
Otherwise we just end up with an ugly "Can't assign requested address"
error from sendmsg(2).
OK phessler

Remove commented out gtp from amd64 GENERIC

It has long been irrelevant as pointed out by Crystal Kolipe
kolipe.c AT exoticsilicon.com

ok mlarkin

sync

note the -c runs sh -c; from nabijaczleweli

Prefix life time is independent from router life time.
Form an IPv6 address even if the router announcing the prefix isn't a
default router.
Problem reported by mgraves AT brainfat.net on misc
OK denis

SOCs -> SoCs

the prism54 domain is long abandoned
don't give any traffic to whoever registered it afterwards

ok claudio@ stsp@

ansi

By default, put intermediate files in a temp dir and remove it on
completion.  To leave files in /tmp, use new -k option.

Don't use != 0 to check whether a pointer is non-NULL.

reuse gcu(4) comment from GENERIC fixing spelling

happend -> happened

approprate -> appropriate

Resore -> Restore

firmare -> firmware

excuted -> executed

Prism54 (only full-mac varients) -> Prism54 Full-MAC

Mac -> MAC

spelling
ok jmc@ reads ok tb@

immediatly -> immediately

fix strange indentation in code example

Grab kernel lock when required.

ok patrick@

Don't use != 0 to check whether a pointer is non-NULL.

Stop writing big-endian checksums into the little-endian GPT
header fields gh_csum and gh_part_csum.

Constrain kernel to accepting only correct little-endian
checksums.

Temporarily allow fdisk(8) to read either endian GPTs so that
big-endian GPTs can be made correct by a simple 'fdisk -e' &&
'w'.

Fixes inter-architecture, inter-OS GPT portability and GPT
fdisk(8) on big-endian architectures. Broken since initial GPT
implementation.

Suggestions and ok kettenis@

priviledged -> privileged

priveledged -> privileged

convension -> convention

Nummber -> Number

numers -> numbers

contoller -> controller

phsyaddr -> physaddr

spelling

addres -> address

unhandle -> unhandled

slignment -> alignment

preferense -> preference

plaform -> platform

Don't use *ENTRY_NB() with END_BUILTIN(), at least yet

Problem noted by naddy@

establush -> establish

Add ENTRY_NB() macro for doing an ASM function entry without setting
the binding to global (NB == "no binding"), as clang 13 is now
warning about changing the binding from global to weak.

This first pass does amd64 and sparc64 and pulls DEFS.h out of the
per-arch directory to a common directory; others to follow

ok kettenis@

Revert the hack for Apple M1 systems.

ok patrick@

Rewrite the kernel FPU handling code.  The new code saves the FPU state
in cpu_switch() instead of at the kernel edge and gets rid of the FPU
state tracking in struct cpu_info and struct pcb.  This fixes the random
crashes seen with SMP kernels on Apple M1.

ok patrick@

Use correct defines for random seed magic/length.

Spotted by Andreas Schnebinger

uniq(1): miscellaneous style(9)-ish stuff

- Include what you use:
  + Add <strings.h> for strcasecmp(3).
  + Drop <errno.h>, unused.
- Pull the "errstr" declaration out of the getopt(3) loop
  up to the top of main().
- Align the strtonum(3) error messages with the argument
  names in the uniq.1 manpage and the usage string.  They
  are referred to as "chars" and "fields".
- Trim some whitespace.
- Return from main() instead of exit(3).
- De-(void) fprintf(3).
- Prefer getprogname(3) to __progname.

uniq(1): bump numchars, numfields from int to long long

Also bump repeats from int to unsigned long long.

While here, don't cast the result of strtonum() and unwrap some lines.

Remove unused function prototype.

Add missing locking to pmap_extract(9) and pmap_unwire(9).

ok patrick@, mpi@

Multiprocol -> Multiprotocol

Identifiier -> Identifier

copyright++;

spelling

fix memleak in process_extension(); oss-fuzz issue #42719

eascape -> escape

approciate -> appropriate

failured -> failed

uniq(1): freopen(3) stdin, stdout

uniq(1) defaults to stdin and stdout, has exactly one input and one
output, and permits the user to replace the default input and/or the
default output with a given file.

freopen(3) is the right idiom in this context.  Get rid of file() and
the extra FILE pointers.  Switch from fprintf(3) to printf(3).

While here, const the "str" argument to show().

Thread: https://marc.info/?l=openbsd-tech&m=164078603312936&w=2

ok millert@

contibutions -> contributions

identfier -> identifier

spelling
ok dtucker@

spelling
ok ratchov@

excpetions -> exceptions

deafult -> default

Try to turn on less-capable mouse modes when turning on more-capable, to
increase the chances we get something even if the terminal doesn't support
the one we really want. GitHub issue 3020.

Interrups -> Interrupts

Add missing locking to pmap_extract(9) and pmap_unwire(9).

ok patrick@, mpi@

avaialble -> available

specifed -> specified

Newer Apple firmware on chipsets without a hardware RNG require the host to
provide a buffer of random bytes to the device on initialization.

Fix up handling of IFF_ALLMULTI and call uaq_iff() from uaq_init().

from Brad

typo: p5-Socket-SSL -> p5-IO-Socket-SSL
ok kn@

relayd(8): don't create sockets between CAs and RELAYs.

CA and RELAY process types don't need to communicate with other CA
or RELAY processes respectively, so don't create and distribute ipc
socketpairs.

Tested by and ok denis@