Build boot blocks with -msmall-data -msmall-text.

Drop historical comment and an old '#if notyet'.

Kill link_rtrequest(), introduce in 1990 to "fix" the result
of rt_getifa() when adding link level route from outside the
kernel.

ok claudio@

Use only one refcounting mechanism for route entries.

ok bluhm@, dlg@, claudio@

Only check for rt_ifp now that it is alays the same as rt_ifa->ifa_ifp.

ok millert@, bluhm@

Make sure that the address matching the key (destination) of a route
entry is attached to this entry.

ok phessler@, bluhm@

Use rt_ifp instead of rt_ifa->ifa_ifp.

ok bluhm@

Kill dead code, ifa is specified and won't change.

ok bluhm@

iked hereby pledges that it will run with restricted system
operations.  This adds pledge(2) too all processes, including the iked
parent process; the existing privsep design has been improved for
better pledgeability.  There haven't been any serious problems as it
was already sane (eg. by receiving the PFKEYv2 and UDP sockets via fd
passing).  The control socket moved to an independent process to
remove some abilities from the cert process.

Committed in agreement with many but nobody was brave enough to OK it.

Better testing will happen with having it in the tree.
"It's the truth" deraadt@
"Let's see what happens" benno@

Add a regress test for if_indextoname() and if_nametoindex()

Another change that is needed to restore the previous behaviour of
ASN1_{GENERALIZED,UTC}TIME_set_string(), which allows it to be called
with a NULL pointer.

ok beck@

Inspired by satosin(), use inline functions to convert sockaddr dl.
Instead of casts they check wether the incoming object has the
expected type.  So introduce satosdl() and sdltosa() in the kernel.
OK mpi@

Final removal of EXTERN.

ok nicm@

Stop linking iked -static: It was inherited from isakmpd that is
-static for NFS-over-IPsec that might mount the libraries after /usr.
The benefit of linking iked dynamic outweighs the historic reason, eg.
to get full address space randomization and to benefit from libcrypto
updates, so we turn it into a dynamic binary.

OK deraadt@ naddy@

Restore previous behaviour and allow
ASN1_{GENERALIZED,UTC,}TIME_set_string() to be called with a NULL pointer.

Found the hard way by @kinichiro on github.

ok beck@

Add pledge(2) to some binutils that handle untrusted data.  Most can do with
"stdio rpath", while objdump(1) also needs "tmppath" for objdump -i.

ok deraadt@, comments sthen@ kettenis@

Extend tests to call ASN1_{GENERALIZED,UTC,}TIME_set_string() with a NULL
pointer - because, you know, you might want to set a string on a NULL
object. The previous implementation apparently allowed this as a way of
testing if the string was valid... probably because the *_check() functions
are only useable after the string has already been set.

Fix case where we wanted to test ASN1_TIME_set_string() but were testing
ASN1_UTCTIME_set_string() twice instead.

Fix case where we wanted to test ASN1_TIME_set_string() but were testing
ASN1_UTCTIME_set_string() twice instead.

Do not pass an ``ia'' just to dereference ``ia_ifp''.

ok claudio@, bluhm@, jsg@

Revert revision 1.282:
"Allow for empty blocks for peers.  While this is bad style for permant
use, this is very nice to temporarily disable a peer option."

This broke the grammar by introducing shift/reduce errors.

OK phessler@

use crypt_checkpass("password", NULL) to fake a login instead of bcrypt

use crypt_checkpass to check password

copying of the environment can be done later, as the user running

pledge "abort" left behind accidentally

use crypt_checkpass instead of doing things the hard way with crypt.

setlocale() before pledge()... until we learn more

remove some horrible iwm typedefs
ok stsp@

If the pane is still on all_window_panes but not actually connected to
window or session (which can happen if it is killed during a command
sequence and something else has a reference), fall back to the best
effort. Fixes "tmux killw\; detach" for Rudis Muiznieks.

Unzoom before -LRUD, reported by Andy Weidenbaum.

If we receive an empty route message, log it and ignore it.  Happens
occasionally on FreeBSD.

from Melissa Jenkins

OK claudio@, florian@, benno@

fix company name.

ok jmc@

fix spelling mess.

ok jmc@

improve indentation in list block.

ok jmc@

fix typo in unit of time.

ok jmc@

Further study shows "route" should allow all address families in NET_RT_DUMP
With benno

typo.

ok jmc@

Log identify messages.

This should not be changed.

Do not dereference ``ifa_ifp'' when we already have an ``ifp'' pointer.

Rename shutdown to exit.

The eigrpe process also needs to pledge "cpath" for unlinking the
control socket.

After some consideration, simply allow TIOCSCTTY in the "tty" pledge.
Discussion with nicm.

Do not dereference ``ia_ifp'' when we already have an ``ifp'' pointer.

Use rt_ifp as intended.

During s2k15 we fixed this ugly 20+ years loopback hack of having a
rt_ifp different than rt_ifa->ifa_ifp.

ok millert@, bluhm@

Kill dead code missed in per-ifp counter removal.

ok millert@, bluhm@

document "id" request; from Gregor Best

delivery to maildir needs pledge fattr

from Gregor Best <gbe@unobtanium.de>

halex removed the -p restriction, so do not document it;
from kirill bychkov

at present the setpriority() syscall is considered fairly low risk and
placed in pledge "proc".  pledge "stdio getpw proc", from Theo Buehler

Add a regress for libc handling of SIGTHR

Pledge "stdio rpath tty" for hangman(6).

Patch submitted by Ricardo Mestre <serial@helheim.mooo.com>

ok semarie@

rename ml_join to ml_enlist and expose it to the rest of the kernel.

pledge in doas.  startup pledge "stdio rpath getpw proc exec id".  4
more times after that more attributes are dropped: "proc" after bsd
auth has spawned/received result from the login_* program; "getpw"
after the final getpwent lookup, "id" after the final uid changing,
and "rpath" after constructing getcwd.  leaving only "exec", for the
ride into execve().

Until we understand the sitaution better, we should pledge() after
setlocale(), not before.  Not just here, but probably everywhere?

Fix typo in comment. From Theo Buehler.

Move all mdoc(7) node validation done before child parsing
to the new separate validation pass, except for a tiny bit
needed by the parser which goes to the new mdoc_state() module;
cleaner, simpler, and surprisingly also shorter by 15 lines.

Reject too small bits value in BN_generate_prime_ex(), so that it does not risk
becoming negative in probable_prime_dh_safe(). Reported by Franck Denis who
noticed `openssl gendh 0' would segfault.
Fix adapted from OpenSSL RT#2701.

ok beck@ jsing@

Use SSL_CTX_set_ecdh_auto() instead of rolling our own version.

ok gilles@

Only enable SSL_VERIFY_PEER when the verify option is set on a listener.

Always enabling SSL_VERIFY_PEER unnecessarily increases the number of
messages/bytes in the TLS handshake and increases our attack surface,
since we request and then process client certificates.

ok gilles@

In the case where len is not a multiple of sizeof(RC4_CHUNK) the RC4 code
will end up doing a read and write of up to 7 bytes beyond the specified
length. This is effectively a non-issue since we read and write back the
same data and due to alignment it is within a page boundary.

Regardless, avoid this by removing the "special" handling for the remaining
length and allow the standard (non-chunk) code to process the remaining
bytes, which does not result in overrun.

Reported by Pascal Cuoq <cuoq at trust-in-soft.com> - thanks!

ok beck@ miod@

Setting fcntl(F_SETOWN) for a pipe failed with inappropriate ioctl
for device.  In sys_fcntl() the ioctl(TIOCSPGRP) is called, but the
pipe expects SIOCSPGRP.  Sockets have a specal case for the same
reason, so adapt the special code for pipes.
OK millert@

Style fixes; from Ilya Kaliman

Remove a couple of unhelpful defines.

ok nicm@

Don't bother casting NULL.

ok nicm@

Assign pointer to NULL rather than 0.

ok nicm@

Penultimate commit to remove EXTERN.

ok nicm@

Do some cleanup in syslogd ttymsg().  Add a debug message when the
syslogd child calls fork(2) to delay blocked output.
OK benno@

client_key_table was missing.

fix memory leak in error path
ok djm@

add missing rcsid
ok renato@

By popular demand add a default binding for mouse wheel up to scroll
into history (if the mouse is, on of course).

make sure ProgressMeter gets set up. Fixes some weirdness in package installs,
as it now must contain a proper linkback to its own state.

No longer mention rtable_get(), it's a private function now.

While here use C99 types in function definitions.

Return the correct error code when a table already exists.

u_short -> unsigned int for rtableid.

Do not call uvm_swap_finicrypt_all() a second time in dumpsys().

ok tedu@, deraadt@, miod@

Remove Diffie-Hellman moduli entries below 2048.

OpenSSH requires a 2048 minimum for DH in the client and server.

input and ok sthen@
ok dtucker@, djm@

Add support for route summarization.

Working great but need more testing, especially with ipv6. For now
we don't validate if one configured summary is inside another or the
presence of duplicates. Will address these issues in a future commit.

Minor fixes and code cleanup.

Compare pointers to NULL rather than 0.

ok djm@

tweak previous;

Use client pointer not file descriptor in logging.

add a new getsockopt option IP_IPDEFTTL to retrieve the default ttl.
this can be used as an alternative to sysctl net.inet.ip.ttl, in
programs that use pledge().
ok reyk@, "Like this" deraadt@

Fix write to other user's tty.  The device has to be opened with
O_WRONLY, but without O_CREAT.  So freopen(3) has to be replaced
with open(2) and dup2(2).
from deraadt@

believe this will work with "stdio rpath wpath cpath inet" now that
SO_RCVBUF is permitted.  It may even be possible to lose the "inet" a
bit later in the code.  Anyone want to test?

Document SOCK_DNS flag
ok guenther tedu semarie

At guenther's suggestion replace dnssocket() with a SOCK_DNS flag on
socket().  Without pledge, all other socket behaviours become permitted,
except this one case: connect/send* only works to *:53.  In pledge mode,
a very few are further restricted.  Some backwards compatibility for
the dnssocket/dnsconnect calls will remain in the tree temporarily so
that people can build through the transition.
ok tedu guenther semarie

Add SIOCGIFGMEMB to "route" (returns a list of all interfaces who are
member of the given group).  This is used by some parse.y.

OK deraadt@

Fix 802.1p VLAN priority code points for VLAN_HWTAGGING.
Our in-kernel ether-vtag has a different layout to the vr TXSTAT register.

ok sthen@

... but keep the previous logic for sparc, which is the other user of this
Makefile, until it switches to MI installboot, too.

Missing commit of vax switch to MI installboot(8), forgotten when it went in.

Lob a style(9) grenade in here.

add "proc" to pledge for script(1)

it needs to "forward" SIGWINCH to subprocesses.

ok deraadt@

The table could change when retrying so don't save it at start of
server_client_handle_key.

After pledge "dns" has been refactored and setsockopt(SO_RCVBUF)
has been added to it, the syslogd privsep parent does not need
pledge "inet" anymore.
discussed with deraadt@

Add an explicit check for a malformed AS segment with (segment length 0),
avoiding division by zero when deciding whether it contains 2- or 4-byte ASNs.
Refactor TCHECK calls to ensure proper coverage.

From Kevin Reay, ok canacar with wording tweak (I used "malformed" rather
than canacar's suggested "invalid size" or Kevin's original "empty").

fix a use after free found by clang using an approach suggested by renato
ok renato@

On xmalloc failure, stop trying to determine the total amount of allocated
memory up to this point by using sbrk(2).  This is of course wildly incorrect
for any mmap-based malloc(3).

This also makes it possible to bring pledge(2) to gnu/.

comments kettenis@, ok miod@

update regress for pledge after whitelisted-path view inclusion