Put some iwm(4) debug code into #ifdef IWM_DEBUG.
ok mpi@

Clean up iwm(4) scanning logic a bit: Reset sc_scanband in callers of
iwm_mvm_scan_request() and always call ieee80211_end_scan() when done.
ok mpi@

Oops, committed old version of previous diff with a typo in it: NLL -> NULL

In iwm(4), correctly size and map the mbuf used for large firmware commands.
Fixes occasional firmware errors while bringing the interface up or scanning.
ok phessler@

Don't free after calling paste_set but do after evbuffer_add, from Theo
Buehler.

Validate parsed ELF values to prevent out of boundary accesses.
While at it, return proper return value when encountering a stripped
binary. Instead of -1 (illegal file), it should be the amount of symbols
that were tried to be resolved.

ok millert

Disable !-command to escape to a shell. You are supposed to play, press
^Z, or open up another terminal if there is something else to do.

ok deraadt

Add native support for ed-style diffs. No need to pledge "proc exec" anymore.

ok deraadt

doug and I think the kernel has enough features to support
pledge "stdio rpath wpath cpath getpw proc exec tty" now.
It will be hard to drop many of those features unless cu becomes
privsep for the "upload" commands.

FIOSETOWN/FIOGETOWN were added to "ioctl", but study finds no programs
currently needing them.  delete 'em for now.
ok doug

Add TIOCCBRK and TIOCSDTR to the whitelist for pledge ioctl.

cu(1) uses these.

ok deraadt@

Pledge support for the parent/resolver in identd(8).

This limits the resolver to just "stdio getpw" or "stdio getpw rpath"
depending on whether ~/.noident files are checked.

The child/listener cannot use pledge yet because it calls a sysctl that
hasn't been whitelisted.

"commit" deraadt@

Pledge for ftp(1) in non-interactive mode.

We will iterate and remove some of the pledges in the future.  This is
conservative for now.

Tested by sthen@ and myself.
ok deraadt@

Remove -B from EXAMPLES; reminded by jmc@

Add allocarray(), an overflow-safe allocation function.

We avoided reallocation support because it demands more fancy footwork
to deal with the prepended link struct.

This has been on my mind for a while, and a 2010 security review of mksh
by the Android security team's Chris Palmer suggested it.

ok nicm@. Also discussed with millert@ and tedu@.

sync

fine tune the logging some more

simplify logging functions. once a daemon, always a daemon

safety check that we're dealing with the filter we expect

most things should be static

exit(1) is better for the impossible condition

fix some signed/unsigned integer type mismatches in format
strings; reported by Nicholas Lemonias

Do not abuse .Nm for emphasis;
patch from Michael Reed <m dot reed at mykolab dot com>.
Also drop .Tn while here.

Delete two preprocessor constants that are no longer used.
Patch from Michael Reed <m dot reed at mykolab dot com>.

argument to sshkey_from_private() and sshkey_demote() can't be NULL

After spawning, the parent can pledge "stdio rpath wpath cpath"
from rob pierce

Remove three distracting aliases for NULL.

ok nicm@

Simplify the part of args() that is handling .Bl -column phrases:
Delete manual "Ta" handling because macro handling should
not be done in an argument parser but should be left to the
macro parsers, which exist anyway and work well.
No functional change, minus 40 lines of code.

Confusing and redundant code found while investigating
an old bug report from tim@.

When blk_full() handles an .It line in .Bl -column and indirectly
calls phrase_ta() to handle a .Ta child macro, advance the body
pointer accordingly, such that a subsequent tab character rewinds
the right body block and doesn't fail an assertion.  That happened
when there was nothing between the .Ta and the tab character.
Bug reported by tim@ some time ago.

it is perhaps better style to not call close() on -1, even if harmless

make sure req is zeroed in tcp case

better memory handling of the request/cache chain

do not insert entry into cache until it's fully formed

doh, not all requests are the same size. check len first.

assert is the wrong tool

the inet sockets don't work well with inet6 addrs. pick family from addr.
detected by naddy

everybody can build rebound

no mail for _rebound. deraadt

introduce logerr, since most logging is followed by exit

don't allow NSD to pick up libevent from /usr/local if the libevent2
package is installed.

now with _rebound user, we can try a little harder at privdrop

_rebound user and group (52)

make the HUP interlocking in the parent work better.

trivial KNF

In syslogd replace the dprintf() macro with a logdebug() function
as dprintf(3) is in libc now and does something different.
OK guenther@

Pledge login_token with "stdio rpath wpath cpath fattr getpw tty".
OK deraadt@

just a space in usage, from deraadt

Remove an unused included header (sys/stat.h).

add a hint about the config file, until it changes

child can be pledged down a bit to just sockets and io

When using a pf rule with both nat-to and rdr-to, it could happen
that the nated source port was reused as destination port.  Do not
initialize nport at the beginning of the function, but where it is
needed.
OK sashan@

import rebound, a lightweight dns proxy, for further polishing

Introduce an unsigned char variable for the ctype function calls.

ok millert@

Don't Xr flock, since that is not the locking method used.
ok millert

Remove disklabel -B (NUMBOOT) support. All the platforms which used to need
it are now using MI installboot for that purpose.

ok krw@ deraadt@

Avoid a race between fopen(3) and fchmod(2).  Use umask(2) and
unlink(2) and fopen(3) to prevent an attacker to open an old file
with wrong permissions before the secret is written into it.  This
also guarantees that a new file with correct permissions is created.
Without fchmod(2) "fattr" can be removed from pledge.
with and OK deraadt@

No need to create links for xxboot now that MI installboot is the preferred
way to install boot blocks.

Use MI installboot instead of disklabel -B to install boot blocks.
ok krw@ deraadt@

Add an extra argument to bootstrap() to allow for a limited overlap between an
existing partition and the boot blocks span, and update all callers to require
an overlap limit of zero sectors (thus not changing their behaviour).

Then, add proper support for vax: copy the 2nd-stage boot block to /boot and
install the 1st-stage boot block at the beginning of the disk, retaining the
disklabel; allow for an overlap of up to 16 sectors, which is perfectly fine
as long as your `a' partition is FFS.

Note that regular installs will not even have such an overlap, because the
default OpenBSD span on a disk on vax starts at sector 16, but installation
media use sperific layout which require this.

ok krw@

add missing comma and missing range restriction, found by smilint

relaydMIBObjects, not relaydMIBOjbects. From Rob Pierce.

Remove some unnecessary NULL-checks before free(). Change two bzero()
calls on pf data to explicit_bzero().

ok mikeb@

Add TIOCFLUSH to "tty" in support of tcflush()

Exposing FIOASYNC in pledge "ioctl" is a mistake; remove it, cannot find safe uses of it

Plegde x99token with "stdio rpath wpath cpath fattr getpw tty".
with and OK deraadt@

Handle F_ISATTY in the fcntl() stub as well
ok guenther

remove '!' (subshell) and 'v' (edit) commands from ramdisk more(1) command.
first off, ^Z job control was added to BSD unix sometime around 1980 and is
a much better mechanism since the parent shell can contain what is going on.
!command support becomes a visible defect when programs are pledge'd
secondly this saves space.
ok miod tobias

corrects pledge code for fsck_ffs and fsck_ext2fs

on filesystem error, fsck will try to display username of inode, resulting need
of "getpw" for not SMALL version.

add a missed (?) -DSMALL in distrib/special/ for fsck_ffs and fsck_ext2fs

found by hard way by ajacoutot@

OK millert@

Let the rx path of cnmac run without the kernel lock. To avoid the need
of a mutex, the path no longer cleans up the queue of tx requests.

ok mpi@

Fix previous.  The port number is not included in sc_src and it is
checked already at beginning of the loop.

ok reyk

in6_pcbconnect() returns EADDRNOTAVAIL when
all the ports in the range portfirst .. portlast
are in use.

ok millert@, mpi@

iobuf_queue() should return the number of bytes it queued on success, not 0

ok eric@

Let "all" as an argument for "resume envelope", "pause envelope"
and "remove" subcommands.

seems potentially useful millert@, Ok gilles@

A classic case for bzero() -> explicit_bzero()

ok deraadt@

Cast arguments of ctype functions to Char, a lexism defined as unsigned
char.

Part of a larger attempt to audit ctype function argument types with
Coccinelle.

ok deraadt@

FIOCLEX & FIONCLEX should be in base ioctl set

give up; include stdlib.h from the .h file, sigh

fsck_ffs has a ^T signal handler which opens /dev/tty late.  Hoist that
opening to before the pledge, and cache the fd.
looked over by millert

lock needs pledge(proc exec) to use bsd auth system. from trondd

Fix a crash that occurs when printing the filename in a malformed NFS
request packet.

From Kevin Reay who obtained the fix from the tcpdump.org repo (part of
commit 6191f36146f5d286304e9b6e893477fe509d83ab).

ok canacar@ sthen@

Add missing includes to make the pf(4) man page example program compile
again.

Spotted by and based on a diff from Jack J. Woehr.

avoid using a var uninitialised
ok jung@

FALTHROUGH->FALLTHROUGH in comment, ok deraadt a few days ago

Document flock request

Add a dummy "flock" request that will allow file locking.  It is
not currently enforced but we want the kernel to be able to parse
it for an upcoming diff in the next few days.

smtpd in tree is no longer neither 5.4.4, nor 5.4.5, bump SMTPD_VERSION

whitespaces

better fix for overrun reported by Qualys Security.
buf is at all times kept nul terminated, so there is no need to enforce
this again upon exit. (no need to move buf around after we exahust space.)
ok beck miod

SMTPD_MAXPATHLEN -> PATH_MAX, this was unnoticed as file is not linked

imsg_read() may return EAGAIN, handle it in mproc_dispatch()

Bail out early if we have no buf_len
ok miod@

whitespace + only log TRACE_MPROC if not IMSG_STAT_{IN,DE}CREMENT

fix a memory leak reported by Qualys Security.
move the bndec variable in tighter since it's not used elsewhere in the
loop, then always free it after use.
ok bcook miod

remove a handful of log_warn that we should handle at a different place to
make them really useful

whitespace

fix define and enhanced status code reason for 5.5.0

Ensure we don't write a 0 byte past end of the buffer in the error case.
ok bcook@ deraadt@

Use a strict $PATH of "/usr/bin:/usr/local/bin" to run the (de)compressors
(gzip, compress, bzip2) rather than following the user's path.  This
seems easier than hardcoding the paths elsewhere and using basename().

pax/tar is pledged itself, but it can spawn one of these programs if
asked.  The three found at the strict path use pledge "stdio" very early
during startup, providing a warm fuzzy pledge->exec->no-pledge->pledge
interlock.  For bzip2, this assumes use of the ports/packages version
installed to /usr/local/bin, which has been pledged by sthen@.

Doing a 'tar tvfz hostile.tgz' becomes a bit safer, since an attacker
finding a buffer overflow or use after free has significantly fewer
system calls available (only pledge "stdio" in the decompressor).

ok millert sthen

we dump esc_code if we have an esc_class, code may be (and actually was)
confused as a pasto, so add a comment to make it clear that this is not
an error

Allow group wheel to read the mail log.  OK gilles@ sthen@