Demacro MD5 and improve data loading.

Use static inline functions instead of macros and improve handling of
aligned data. Also number rounds as per RFC 1321.

ok tb@

Mark internal functions as static.

Move bn_montgomery_reduce() and drop prototype.

No functional change.

Fix function guards.

Add an indicator that an extension has been processed.

ok jsing@

Fix expected client hello value to allow for supported_groups change.

ok jsing@

Garbage collect the unused verifyctx() and verifyctx_init()

ok joshua jsing

adapt ttm fault handler to OpenBSD
used by gem objects on dg2

Import regenerated moduli.

Process supported groups before key share.

This will allow us to know the client preferences for an upcoming
change to key share processing.

ok jsing@

Disable client handshake test for now for pending changes.

ok jsing@

Use errno_value instead of num for readability

ok jsing@

print amps and watts

amps and watts types

volts felt lonely

Use errno_value instead of num for readability

ok beck@ jsing@

Change ts to only support one second precision.

RFC 3631 allows for sub second ASN1 GENERALIZED times, if you
choose to support sub second time precison. It does not
indicate that an implementation must support them.

Supporting sub second timestamps is just silly and unrealistic,
so set our maximum to one second of precision. We then simplify
this code by removing some nasty eye-bleed that made artisinally
hand crafted strings and jammed them into an ASN1_GENERALIZEDTIME.

ok tb@, jsing@, with one second precision tested by kn@

Clean up conf's module_init()

Immediately error out when no name or value is passed instead of hiding
this in a a combination of ternary operator and strdup error check.
Use calloc(). Unindent some stupid, don't pretend this function can return
anything but -1 and 1, turn the whole thing into single exit and call the
now existing imodule_free() instead of handrolling it.

ok jsing

Add missing SFENCE.VMA instructions after switching page tables during
early kernel bootstrap.

ok jsg@, mlarkin@

Add the VLAN_HWTAGGING capability. Big thanks to bket@ for testing,
rebasing, refactoring, and addressing feedback for this diff.
ok bluhm@, jan@

optional debugging

remove possibly bogus length check

len is initially the line length, but then the two go out of sync.
ok millert@

Move the "no (hard) linking directories" and "no cross-mount links"
checks from all the filesystems that support hardlinks at all into
the VFS layer.  Simplify, EPERM description in link(2).

ok miod@ mpi@

regen

Unlock shutdown(2).

ok bluhm

Add rpigpio(4), a driver for the RP1 GPIO controller on the Raspberry Pi 5.

With this, GPIOs can be correctly configured and engaged.  Complete pinctrl
as well as IRQ functionality is yet to be implemented.

ok kettenis@

whois: use getline(3) instead of fgetln(3)
This simplifies the code and fixes a potential out of bounds read.
OK op@ mbuhl@

Rewrite HKDF_expand().

Simplify overflow checking and length tracking, use a CBB to handle output
and use HMAC_CTX_new() rather than having a HMAC_CTX on the stack.

ok tb@

Add 'ws_' prefix to 'wseventvar' structure members. No functional
changes.

ok miod

Revert r1.13 since it currently breaks openssl-ruby regress tests.

ok tb@

Inline sctx in EVP_DigestSignFinal

ok tb@ jsing@

Clean up use of EVP_MD_CTX_{legacy_clear,cleanup} in PKCS5_PBE_keyivgen

ok tb@

fix xbacklight on amdgpu

Call amdgpu_init_backlight() after drm_dev_register() otherwise
the connector isn't registered yet and dm->backlight_dev is not set.

tb@ mentioned this broke with the 6.6 drm update and confirmed this fixes it.
Debugged with help from dtucker@ on another machine.

Error on setting an invalid CSR version

Reported by David Benjamin (BoringSSL)

OK tb@

Remove unneeded brackets from if statement in EVP_DigestSignFinal

ok tb@

Clean up use of EVP_MD_CTX_{legacy_clear,cleanup} in EVP_BytesToKey

ok tb@

Codify more insane CRYPTO_EX_DATA API.

The current CRYPTO_EX_DATA implementation allows for data to be set without
calling new, indexes can be used without allocation, new can be called without
getting an index and dup can be called after new or without calling new.

Revise for TLS extension parsing/processing changes.

Simplify TLS extension parsing and processing.

Rather than having a separate parse and process step for each TLS
extension, do a first pass that parses all of the TLS outer extensions and
retains the extension data, before running a second pass that calls the TLS
extension processing code.

ok beck@ tb@

Clean up create_digest()

The ts code is its own kind of special. I only sent this diff out to hear
beck squeal. This diff doesn't actually fix anything, apart from (maybe)
appeasing some obscure static analyzer. It is decidedly less bad than a
similar change in openssl's issue tracker.

ok beck

Fix time conversion that broke regress.

ok tb@

Move custom sigctx handling out of EVP_DigestSignFinal

ok tb@

Verify string returned from local shell command.

Fix typo msg_types -> msg_type

from jsing

Revise TLS extension regress for parse/process changes.

Clean up EVP_CIPHER_CTX_{legacy_clear,cleanup} usage in evp/bio_enc.c

Additionally, this tidies up some surrounding code and replaces usage of
free with freezero and malloc with calloc.

ok tb@

Final tweaks in x509_trs.c for now

looked over by jsing

Split TLS extension parsing from processing.

The TLS extension parsing and processing order is currently dependent on
the order of the extensions in the handshake message. This means that the
processing order (and callback order) is not under our control. Split the
parsing from the processing such that the processing (and callbacks) are
run in a defined order.

Convert ALPN to the new model - other extensions will be split into
separate parse/process in following diffs.

ok beck@ tb@

Kill X509_TRUST

After peeling off enough layers, the entire wacky abstraction turns out
to be nothing but dispatching from a trust_id to a trust handler and
passing the appropriate nid and the cert.

ok beck jsing

Clean up EVP_MD_CTX_{legacy_clear,cleanup}() usage in x509/x509_cmp.c

ok tb@

Improve shell portability: grep -q is not portable so redirect stdout,
and use printf instead of relying on echo to do \n substitution.  Reduces
diff vs Portable.

Decouple TLS extension table order from tlsext_randomize_build_order()

The PSK extension must be the last extension in the client hello. This is
currently implemented by relying on the fact that it is the last extension
in the TLS extension table. Remove this dependency so that we can reorder
the table as needed.

ok tb@

Add back trust member of X509_TRUST that I accidentally deleted

Save error code from SSH for use inside case statement, from portable.
In some shells, "case" will reset the value of $?, so save it first.

Const correct the trust handlers

The certificates no longer need to be modified since we cache the
extensions up front.

ok beck

Increase timeout.  Resyncs with portable where some of the test
VMs are slow enough for this to matter.

In PuTTY interop test, don't assume the PuTTY major version is 0.
Patch from cjwatson at debian.org via bz#3671.

Pass the nid instead of the entire trust structure

This code is so ridiculously overengineered that it is an achievement even
by early OpenSSL standards.

ok beck

Pull extension caching into X509_check_trust()

This way the trust handlers can stop modifying the certificates.

ok beck

Remove unnecessary stat() calls from by_dir

When searching for a CA or CRL file in by_dir, this stat()
was used to short circuit attempting to open the file with
X509_load_cert_file(). This was a deliberate TOCTOU introduced
to avoid setting an error on the error stack, when what you
really want to say is "we couldn't find a CA" and continue
merrily on your way.

As it so happens you really do not care why the load_file failed
in any of these cases, it all boils down to "I can't find the CA
or CRL". Instead we just omit the stat call, and clear the error
stack if the load_file fails. The fact that you don't have a CA or
CRL is caught later in the callers and is what you want, mimicing
the non by_dir behaviour instead of possibly some bizzaro file
system error.

Based on a similar change in Boring.

ok tb@

Enable cad(4).

ok kettenis@

Implement resetting the PHY via a GPIO pin, like in fec(4).  This helps
enable the PHY on the Raspberry Pi 5.

ok kettenis@

whois: remove obsolete handle support

Contact handles have been obsolete for some time now.  The "!handle"
InterNic syntax no longer works and core COCO handle queries seems
to only return empty records.  OK sthen@ job@

Add tests for EVP_get_cipherbyname(NULL) and EVP_get_digestbyname(NULL)

Requested by and ok tb@

Restore EVP_get_cipherbyname(NULL)/EVP_get_digestbyname(NULL) handling

The previous implementation used the now defunct OBJ_NAME_get() which
bailed out when passed a NULL argument.  Difference spotted by the
regress tests in ports/net/openvpn (regular openvpn use is fine but
openvpn --show-ciphers/--show-digests crashes).

ok tb@

Convert libressl to use the BoringSSL style time conversions

This gets rid of our last uses of timegm and gmtime in the
library and things that ship with it. It includes a bit
of refactoring in ocsp_cl.c to remove some obvious ugly.

ok tb@

Sync with IANA Status Code Registry

From https://www.iana.org/assignments/http-status-codes/http-status-codes.xhtml

OK sthen@ miod@

Cleanup uvmpd_tune() & document global variable ownership.

- Stop calling uvmpd_tune() inside uvm_pageout().  OpenBSD currently doesn't
support adding RAM. `uvmexp.npages' is immutable after boot.

- Document that `uvmexp.freemin' and `uvmexp.freetarg' are immutable.

- Reduce the scope of the `uvm_pageq_lock' lock.  It serializes accesses
to `uvmexp.active' and `uvmexp.inactive'.

ok kettenis@

Rename ax into aux

Drop redundant NULL checks around two for loops

ok beck

Fix namespace build

noticed/ok beck

permament -> permanent

Remove OPENSSL_NO_* #ifdefs from evp_names.c

discussed with jsing

Bye bye gost, bye, bye turdiness

ok beck

use LIST_FOREACH_SAFE() to avoid use after free
this can't happen in a libsa environment

found by smatch, ok jsing@

Rename arg1 to nid because that's what it is

"Yeah, arg1 is always such an imaginative name" ian
ok beck

Clamp the manifestNumber to 20 octets value

The standards contain somewhat ambiguous language as to what the largest
acceptable value for a crlNumber or manifestNumber could be, due to a
limitation to 20 octets. The question is what 20 octets specifically are
meant...

Consensus seems to have emerged that the largest value is 2^159-1 since
2^160-1 would encode to 21 octets due to a padding octet to disambiguate
ff .. ff from -7f ff .. ff (iow the top bit of the first octet is a sign
bit).

Thus, switch from 2^160 - 1 to 2^159 - 1 as an upper bound by checking
the length of the value portion of the DER encoded ASN.1 integer to be
at most 20 octets.

Thanks to Martin Hoffmann, Tom Harrison, and Ben Maddison for raising and
discussing the issue. Thanks also to the spec authors for making me waste
a few hours of my life on a single bit.

ok job

Drop the unused 'name' member from X509_TRUST

This used to be exposed via an accessor, but this accessor is no longer
part of the library, so nuke it.

ok beck

update project-cymru url, from Robert Keizer, slightly tweaked

Remove radius.c which is added mistakenly and under review.

Allow zero-length identity response

ok tobhe

In kq_del(), delete matching EV_ADD entries to prevent libevent from
passing both EV_ADD and EV_DELETE for the same fd to kevent().

ok visa

readdir_r(3) was never necessary and has been deprecated by POSIX.
Document that in the manpage and stop using it internally.

ok deraadt@ millert@ jmc@

Recognise Meinberg PCI510, from Maurice Janssen

sync

Add Meinberg PCI510, from Maurice Janssen

Remove unused flags and arg2 members from X509_TRUST

ok jsing

Remove unused flags argument from the trust handlers

The public X509_check_trust() takes a flag parameter which we must leave
in place. However, we can stop passing the flag parameter around without
ever looking at it.

ok jsing

Expand ASN range for LACNIC

LACNIC received a new block of ASNs from IANA
https://mail.lacnic.net/pipermail/lacnog/2024-March/009690.html

OK tb@

Fix main() definition.

Increase /usr/src partition to 2GB - 5GB

ok miod@, deraadt@, otto@ and bluhm@

Remove padding from union inpaddru.

Alignment of IPv4 address with lower part of IPv6 address looks
like a leftover from times when IPv6 compatible addresses should
contain IPv4 addreses.  Better use a simple union for both IPv4 and
IPv6 addresses like everywhere else.  Use this type also for common
zero address.

OK mvs@

add "-V none" to prevent making any backups

from FreeBSD

ok bluhm deraadt

Fix chroot(2) call in control process.

Use /var/empty as chroot directory.  Call chroot(2) before setresuid(2).
Do the error check correctly.  Call chdir(2) after chroot(2).

from spiros thanasoulas; with florian@ tb@; OK millert@

Make local port which is bound during connect(2) unique per laddr.

in_pcbconnect() did not pass down the address it got from in_pcbselsrc()
to in_pcbpickport().  As a consequence local port numbers selected
during connect(2) were globally unique although they belong to
different addresses.  This strict uniqueness is not necessary and
wastes usable ports for outgoing connections.

To solve this, pass ina from in_pcbconnect() to in_pcbbind_locked().
This does not interfere how wildcard sockets are matched with
specific sockets during bind(2).  It only allows non-wildcard sockets
to share a local port during connect(2).

OK mvs@ deraadt@

Use sorflush() instead of direct unp_scan(..., unp_discard) to discard
dead unix(4) sockets.

The difference in direct unp_scan() and sorflush() is the mbuf(9) chain.
For the first case it is still linked to the `so_rcv', for the second it
is not. This is required to make `sb_mtx' mutex(9) the only `so_rcv'
sockbuf protection and remove socket re-locking from the most of
uipc_*send() paths. The unlinked mbuf(9) chain doesn't require any
protection, so this allows to perform sleeping unp_discard() lockless.

Also, the mbuf(9) chain of the discarded socket still contains addresses
of file descriptors and it is much safer to unlink it before FRELE()
them. This is the reason to commit this diff standalone.

ok bluhm

Rework the cease shutdown reason to work in both directions by looking
at the ibuf payload passed to log_notification().
Because of this move ibuf_get_string() and the log_notification() call
in parse_notification().
OK tb@

correct history of /dev/mem and /dev/kmem

The history section (added in CSRG) claimed both first appeared in v6.
Looking at the manuals in the TUHS archive, /dev/mem was in v1 and
/dev/kmem was introduced in v5.

ok jan@

Rework parse_notification() to use the ibuf API for everything.

While there fix the RFC5492 handling of ERR_OPEN_CAPA (the current code
has the logic inversed). ERR_OPEN_CAPA is there to signal that a needed
capability is missing in our OPEN message. Just add the handling of
ERR_OPEN_CAPA to log_notification().

Also rework the handling of the shutdown reason and move the printing
into log_notification().

OK tb@

Limit NFS connections to originate from a reserved port.

For TCP connections do the check when adding the socket via nfssvc(2).
For UDP do the check early after soreceive().
On top of this limit the sockets added via nfssvc(2) to IPv4 TCP and UDP
sockets.
OK millert@ deraadt@

Simplify X509_STORE_free()

This had an inlined version of sk_pop_free(). We can just call it the
right way.

ok jsing