Always call endservent_r() after getservbyport_r().
Fix a memory leak when no entry is matched.

ok florian

properly fix ProxyJump parsing; Thanks to tb@ for pointing out my error
(parse_ssh_uri() can return -1/0/1, that I missed). Reported by Raf
Czlonka via bugs@

ok tb@

Show scope id when set; ok florian@

adapt to API change in hostkeys_foreach()/load_hostkeys()

Test that IPv4 path MTU discovery works over IPsec in tunnel mode.

plumb ssh_conn_info through to sshconnect.c; feedback/ok markus@

allow UserKnownHostsFile=none; feedback and ok markus@

load_hostkeys()/hostkeys_foreach() variants for FILE*

Add load_hostkeys_file() and hostkeys_foreach_file() that accept a
FILE* argument instead of opening the file directly.

Original load_hostkeys() and hostkeys_foreach() are implemented using
these new interfaces.

Add a u_int note field to the hostkey_entry and hostkey_foreach_line
structs that is passed directly from the load_hostkeys() and
hostkeys_foreach() call. This is a lightweight way to annotate results
between different invocations of load_hostkeys().

ok markus@

Use regress framework for setup and shorten target names.

slightly tweak the jot regress tests to avoid file name clashes on
case insensitive file systems.

Accept reject and blackhole routes for IPsec PMTU discovery.

Since revision 1.87 of ip_icmp.c icmp_mtudisc_clone() ignored reject
routes.  Otherwise TCP would clone these routes for PMTU discovery.
They will not work, even after dynamic routing has found a better
route than the reject route.

With IPsec the use case is different.  First you need a route, but
then the flow handles the packet without routing.  Usually this
route should be a reject route to avoid sending unencrypted traffic
if the flow is missing.  But IPsec needs this route for PMTU
discovery, so use it for that.

OK claudio@ tobhe@

Fix typo.

Don't leak ipsec_hosts when building hosts_list.

ok patrick@

rename pkg_add's pod files to avoid filenames with colons

Filenames with colons are not allowed on windows filesystems. So we rename
the pod files to avoid this. Should get us closer to being able to check
out the openbsd source code on a windows system.

ok espie@ (who suggested the current approach); sthen@ was ok with a
previous version of the diff

Onlly call event_del if there are events enabled, since not all libevents
are created equal.

From gilles@

Free filter_name in lka_filter_end

From gilles@
OK millert@ eric@

The TCE table needs to be aligned on a boundary that is a multiple of its
size.  Fixes booting on machines that have memory banks higher up in
physical address space which needs a larger TCE table.

Introduce klistops

This patch extends struct klist with a callback descriptor and
an argument. The main purpose of this is to let the kqueue subsystem
assert when a klist should be locked, and operate the klist lock
in klist_invalidate().

Access to a knote list of a kqueue-monitored object has to be
serialized somehow. Because the object often has a lock for protecting
its state, and because the object often acquires this lock at the latest
in its f_event callback function, it makes sense to use this lock also
for the knote lists. The existing uses of NOTE_SUBMIT already show
a pattern that is likely to become more prevalent.

There could be an embedded lock in klist. However, such a lock would be
redundant in many cases. The code cannot rely on a single lock type
(mutex, rwlock, something else) because the needs of monitored objects
vary. In addition, an embedded lock would introduce new lock order
constraints. Note that the patch does not rule out use of dedicated
klist locks.

The patch introduces a way to associate lock operations with a klist.
The caller can provide a custom implementation, or use a ready-made
interface with a mutex or rwlock.

For compatibility with old code, the new code falls back to using the
kernel lock if no specific klist initialization has been done. The
existing code already relies on implicit initialization of klist.

Sadly, this change increases the size of struct klist. dlg@ thinks this
is not fatal, though.

OK mpi@

Fix EDNS Client Subnet option (+subnet=)

This got broken when we introduced ecs_plen so that we can use
natural socket types.

Fix IPv6 link-local address handling for nameservers to talk to as
well as address to bind to.
Reported by Jordan Geoghegan (jordan AT geoghegan.ca), thanks!
Debugged by & initial fix by otto
Input & OK otto

Fix copy-pasto when selecting the addresses read from resolv.conf by
address family.  ok florian@

Convert uvm_km_valloc(9) calls to km_alloc(9).  Tested in qemu with
acpi disabled, no real mpbios hardware in sight.

ok kettenis@

sync with i915_pciids.h

drm/i915: Remove dubious Valleyview PCI IDs

From Alexei Podtelezhnikov
f2bde2546b81b64fb58aa04888fdd82a090b3908 in mainline linux

remove duplicate device id caused by subids in INTEL_IVB_Q_IDS

test against [VM_MIN_ADDRESS, VM_MAXUSER_ADDRESS] in access_ok()

ok kettenis@

Print client kem key with correct length.

ok markus@

remove extra s

Apply r1.86 of amd64 acpi_machdep.c to arm64 and i386, converting a few
uvm_km_valloc(9) to km_alloc(9).

tested on arm64 by bluhm@, i386 by me
ok kettenis@

rename filenames ending in a period

While windows may technically allow filenames to end in a period, the
recommendation is to avoid this as the shell does not support such files.
As of git 2.25, the behaviour was apparently changed to not allow files
with names ending in a period to be checked out on windows.

A second problem is upper/lower case conflicts for filenames.

To allow the source tree to be checked out on windows we follow FreeBSD
and rename a few files:

ss.. -> ss_
ssA  -> ss10
ssB  -> ss11

(FreeBSD svn revision 210167 from 2010)

as usual, this issue was extensively researched by jsg@

There's no need to include the OFW GPIO header.

Add support for the i.MX8MP PCIe clocks.

Add support for the i.MX8MP second ethernet.  The Plus SoC not only has the
usual fec(4), but also a variant of dwge(4).  Unfortunately it seems to be
a newer version, which isn't compatible to the one currently in our tree.

Emulate open drain GPIOs.  This replaces the hack added in the last commit.

ok patrick@

Add symbolic constants related to open source and open drain GPIOs.

ok patrick@

Make large read and write transactions work.

Update awk to December 18, 2020 version.
Includes the official fix for +-inf and +-nan handling.

Add glue for the USB3 controller on the i.MX8MP SoC.  NXP had this glue for
the i.MX8MQ as well, but while upstreaming they were told to shove it.  Now
for the i.MX8MP this glue is making a comeback.  Apparently there's some
divergence in low power handling to the regular DWC3 IP with special IRQs.
Now the question remains if this driver will be obsolete soon again, or if
this time it's here to stay.  The fun part is that while this driver was
written independent from the previous version, the diff is basically zero.

ok kettenis@

Add code to initialize the USB 3 PHY on i.MX8MP.

ok kettenis@

Use regress framework.

In io_str_read() return 0-length strings as NULL pointers instead of
empty strings. There are no empty strings being passed around but a
fair amount of optional strings and this will simplify this code.
OK tb@

Add support for the i.MX8MP USB clocks.

Attach imxgpc(4) to i.MX8MP as well.

Add fd close notification for kqueue-based poll() and select()

When the file descriptor of an __EV_POLL-flagged knote is closed,
post EBADF through the kqueue instance to the caller of kqueue_scan().
This lets kqueue-based poll() and select() preserve their current
behaviour of returning EBADF when a polled file descriptor is closed
concurrently.

OK mpi@

Make knote_{activate,remove}() internal to kern_event.c.

OK mpi@

Add details to -F flag

If you add alternatives domain names to
acme-client.conf, using -F is required to
renew the certificate with the new names.

ok jmc@

Use asprintf with %.*s to construct the path based on the mft file
location and the filename of the referenced file. Use the same method
both in main.c and mft.c which is a fair bit simpler than using calloc
and strlcpy/strlcat to build the string by hand.
OK tb@

Make sure the first packet of an SA has sequence number 1 (as described in
RFC 4302 and RFC 4303).  It seems this was changed by accident when support
for 64 bit sequence numbers was added.

ok bluhm@ patrick@

tht(4): more tsleep(9) -> tsleep_nsec(9)

The first wait-loop in tht_fw_load() can sleep for at least 10ms per
iteration instead of up to 1 tick per iteration with no ill effects.
The worst-case scenario is that we sleep a little longer than we do
now while we wait.

The second wait-loop can be simplified to sleep for at least 10ms per
iteration for up to 2000ms instead of using a timeout.  This method is
less precise and less efficient but is far simpler to read and
understand than using a timeout.  We can then remove all the
timeout-related stuff from if_tht.c.

Discussed with mpi@.

ok dlg@

fix possible error("%s", NULL) on error paths

refactor client percent_expand() argument passing; consolidate the
common arguments into a single struct and pass that around instead
of using a bunch of globals. ok markus@

prepare readconf.c for fuzzing; remove fatal calls and fix some
(one-off) memory leaks; ok markus@

Only enable the USB 3.0 port and PHY if it is enabled on a board.

Reset pin 3 of the GPIOAO bank to input mode to work around a hardware
bug in the Odroid C4/HC4 boards.

Reformating the test logging affected the expected output.

Use strtonum() instead of atoi() to parse port option.

Sort command line options.

ok bluhm@

Fix some breakage in handling +-inf and +-nan introduced in last version.

Match on "amlogic,meson-g12a-dwmac" which is used by newer Linux mainline
device trees.

Add support for the "Always On" GPIOs.

Fix some issues with referencing named ACPI nodes from Packages.
These references need to be resolved at runtime rather than when
they're parsed such that they pick up the right values for those nodes
which can be changed when for example _INI methods run.

The current approach is to replace these reference with a string that
names the node in question.  The problem with that is that packages
can also contain normal strings.  Which means that we need special
code that depends on the context where the package is used.

This diff takes a different approach by retaining a reference when
parsing.  Code that uses a package will need to resolve this reference
but there is no ambiguiety anymore.

ok patrick@

bwfm: add a delay in bwfm_set_key_cb before talking to hardware

This works around an issue on the BCM43602 where ieee80211 calls
this too quickly during authentication and triggers "unexpected
pairwise key update" errors.

ok patrick

Run setup_once targets in a sepearate block with headline before
all other targets.
OK tb@

Fix regress target name, they must be unique.

Link broadcast_bind, carp, in_pcbbind, sendsrcaddr regress to build.

Use ${SUDO} or skip test if not root.

Fix a race where the ${SUDO} process was killed instead of tcpdump.

Link pflow and wg regress to build.

rework the maths used to set mbuf timestamps.

there's a comment that explains how it works now, but the result is
that i get much tighter and more consistent synchronisation between
the kernel clock and the values derived from the mcx timestamps
now.

however, i only just worked out that there is still an unresolved
problem where the kernel clock changes how fast it ticks. this
happens when ntpd uses adjtime(2) or adjfreq(2) to try and make the
kernel tick at the same rate as the rest of the universe (well, the
small bit of it that it can observe). these adjustments to the
kernel clock immediately skew the timestamps that mcx calculates,
but then it also throws off the mcx calibration calculations that
run every 30 seconds. the offsets calculated in the next calibration
period are often (very) negative.

eg, when things are synced up nicely and you do a read of the mcx
timer and immediately follow it with a nanouptime(9) call, on this
box it calculates that the time in between those two events is about
2600ns. in the calibration period after ntpd did a very small adjtime
call, it now thinks the time between those two events is -700000ns.

this is a pretty obvious problem in hindsight. i can't think of a
simple solution to it at the moment though so i'm going to leave
mcx timestamping disabled for now.

Log reason a request is NAK'ed, as well as any problems sending the
NAK.

Suggestion & ok dlg@

Remove echo headlines.

Use setup and cleanup feature from regress framework.
Remove echo headlines.  Use consistent target names.
Makefile cleanup.

Remove echo headlines.  Makefile cleanup.

Remove echo headlines.  Use consistent target names.

Use setup and cleanup feature from regress framework.
Remove echo headlines.  Use consistent target names.

Do not clear useful bits in panic messages, always print full opte
variable.  Make PG_PVLIST panics consistent and print more values.
OK mpi@

Clean directory recursively only where necessary.

Use ESP sequence number as IV for AES-CTR, AES-GCM and Chacha20.
This eliminates the risk for IV reuse because of random collisions
and increases performance a little.

ok patrick@ markus@

Remove a redundant memset call.

Remove two reduntat memset calls.

pointed out by jsing

Use consistent target names.  Makefile cleanup.

Make test actually fail if something is broken.
Remove echo headlines.  Use consistent target names.

Avoid potential use of uninitialized in ASN1_time_parse

When parsing an UTCTime into a struct tm that wasn't cleared by the caller,
the years would be added to the already present value, which could give an
incorrect result.  This is an issue in ASN1_UTCTIME_cmp_time_t(), which is
practically unused.  Fix this by always zeroing the passed struct tm.

Issue reported by Olivier Taïbi, thanks!

ok jsing

softraid(4): more tsleep(9) -> tsleep_nsec(9) conversions

These wait loops block for up to 1 tick per iteration.  I think they
will continue to work if we block for at least 1ms per iteration.

My gut says that these could be rewritten not to spin and instead to
await a wakeup(9) from the other thread, but I think that would
involve making softraid(4) more MP-safe.

Fail to parse rules with invalid ranges

This makes pfctl(8) detect bogus ranges (with and without `-n') before
loading the ruleset and completes the previous commit.

OK sashan sthen

Reject rules with invalid port ranges

Ranges where the left boundary is bigger than the right one are always bogus
as they work like `port any' (`port 34<>12' means "all ports") or in way
that inverts the rule's action (`pass ... port 34:12' means "pass no port at
all").

Add checks for all ranges and invalidate those that yield no or all ports.

For this to work on redirections, make pfctl(8) pass the range's type,
otherwise boundary including ranges are not detected as such;  that is to
say, `struct pf_pool's `port_op' member was unused in the kernel so far.

`rdr-to' rules with invalid ranges could panic the kernel when hit.
Reported-by: syzbot+9c309db201f06e39a8ba@syzkaller.appspotmail.com
OK sashan

When debugging tests, it is useful to see the target name and which
output belongs to it.  Echo headline with regress target and empty
line afterwards.
OK sthen@ tb@ OK claudio@

Remove kqueue_free() and use KQRELE() in kqpoll_exit().

Because kqpoll instances are now linked to the file descriptor table,
the freeing of kqpoll and ordinary kqueues is similar.

Suggested by mpi@

Link kqpoll instances to fd_kqlist.

This lets the system remove kqpoll-related event registrations when
a file descriptor is closed.

OK mpi@

Fix some KNF issues

Use km_alloc(9)/km_free(9) instead of uvm_km_valloc(9)/uvm_km_free(9).
These are the preferred interfaces and using them avoids tripping over
a kernel lock assertion during early boot.

Tested by bluhm@, sthen@ and Hrvoje Popovski.
ok mpi@

Remove the assertion in uvm_km_pgremove().

At least some initialization code on i386 calls it w/o KERNEL_LOCK().

Found the hardway by jungle Boogie and Hrvoje Popovski.

Fix leak of REQUEST string.

Use natural sizes for S3I(s)->tmp's *_md arrays

It is a historical artifact that cert_verify_md[], finish_md[] and
peer_finish_md[] are twice as large as they need to be. This is
confusing, especially for finish_md[] and peer_finish_md[] which are
copied to to previous_client_finished[] and previous_server_finished[]
which are only half as large. It is easy to check that they will never
get more than EVP_MAX_MD_SIZE data written to them.

In 1998, EVP_MAX_MD_SIZE was 20 bytes long (for SHA-1). This got bumped to
16+20 for the SSLv3-specific md5+sha1.  Apparently under the impression
that EVP_MAX_MD_SIZE was still 20 bytes, someone else doubled finish_md[]'s
size to EVP_MAX_MD_SIZE*2 and added /* actually only needs to be 16+20 */.
A bit later finish_md[] was split up, and still a bit later the comment was
amended for TLSv1.  Shortly thereafter SHA-512 required a bump of
EVP_MAX_MD_SIZE to 64 by a third person and we have been carrying 192 bytes
of untouched memory in each of our SSLs ever since.

ok inoguchi jsing (jsing had the same diff)

missing NET_LOCK()/NET_UNLOCK() in pf_osfp_flush()

OK mpi@

Avoid NULL dereference after returning from copy().

okay martijn@

typo fix from aisha tammy; ok nicm

Add helpers around rw_status(9) to help checking if a lock is held.

ok visa@

Fix return value variable type in tls_keypair_load_cert

ERR_peek_error() returns unsigned long.
Reported by github issue by @rozhuk-im.

ok bcook@ jsing@

Make synchronize-panes a pane option and add -U flag to set-option to
unset an option on all panes. GitHub issue 2491 from Rostislav Nesin.