remove unused vn_isdisk(), added for softdep
ok kn@

fix grammar: "a pattern lists" -> "one or more pattern lists"

Implement support for version 7 controllers.  These have two separate
SPMI busses but we only support the first one for now.  Adding support for
the second bus will need some more surgery.

ok patrick@

Only override the time offset in rtcinfo[0] when setting the time; don't
touch rtcinfo[1] and rtcinfo[2].  This doesn't actually fix anything
but rtcinfo[1] on a new machine already contains the value we write into
it and we don't really know what the other bits are used for.

ok patrick@

Support the ACPI GPIO pins necessary to support the keyboard, touchpad
and touchscreen on the Qualcomm Snapdragon X Elite (X1E80100) laptops
Asus Vivobook S15 and Lenovo Yoga Slim 7x.

ok kettenis@

the port to listen on is an optional argument; the default port number
is 1812 for authentication and 1813 for accounting.

ok jmc@, yasuoka@

only "decorate-by" is currently supported by the grammar specification.

ok jmc@, yasuoka@

Implement IPv6 forwarding IPsec only.

IPsec gateways set the forwarding sysctl to 2.  While this worked
for IPv4 since a long time, adapt this feature for IPv6 now.  Set
sysctl net.inet6.ip6.forwarding=2 to forward only packets that have
been processed by IPsec.

Set IPV6_FORWARDING_IPSEC in ip6_input() and pass the flag down to
the call stack.  This provides consistent view on global variable
ip6_forwarding.  In ip6_output() or ip6_forward() drop packets that
do not match the policy.

OK denis@

make the CONFIGURATIONS list -compact to fox the item spacing;

fix SEE ALSO;

- tidy "authenticate" and "account" commands using Xo/Xc
- decoratd -> decorated (fix proposed by sobrado too)
- fix grammar in "account" description

ok yasuoka

Revert "Make daily(8) reporting services that are running"

Stop daily(8) mails with false information on rogue services.

OK florian@, solene@

remove uvm_addr_align() and uvm_addr_align_back()

not to be confused with uvm_addr_align_forward() and
uvm_addr_align_backward() which remain in uvm_addr.c

ok mlarkin@

Right now MSIs don't work on the Qualcomm Snapdragon X Elite (X1E80100).
This is the first and only platform so far where we have seen larger devbits
than we can initially support.  For now, stop registering the MSI controller
if we encounter this.  With this, PCIe devices use SPIs and work correctly.
At some point we can hopefully rip this thing out again.

ok kettenis@

Add device tree mapping for Asus Vivobook S15.

ok deraadt@

Map BUS_SPACE_MAP_PREFETCHABLE to Normal-NC.  There are other memory
attributes that could map to what we call write-combining on x86, but
this is what Linux uses.  This speeds up framebuffer access significantly.

ok patrick@

Switch to a table for mapping smbios vendor/product to device tree file
name.  Check for a partial match of the vendor like we already do for the
product.  This will help adding more machines to the list.

ok patrick@, deraadt@

Fix typo

Reported by Marco D'Itri

Add missing "module standard".  It is needed before use it.

remove __mp_release_all_but_one(), unused since sched_bsd.c rev 1.92
ok claudio@

regen

Add Qualcomm X1E80100

Fix unintended comparison between signed and unsigned integer.
C type conversion rules are hard, let's go shopping.

ok patrick@

Support the Qualcomm Snapdragon X Elite (X1E80100) PCIe controller.  We do
not do anything fancy for the SC8280XP either, so treat it equally.

ok kettenis@

From what we currently use, the Qualcomm Snapdragon X Elite (X1E80100)
GPIO controller is to be treated equally as the SC8280XP, apart from
the new one having a few more pins.

ok kettenis@

Give the Qualcomm Snapdragon X Elite (X1E80100) the same treatment as its
predecessors and don't touch the SMMUv2.

ok kettenis@

Read IPsec forwarding information once.

Fix MP race between reading ip_forwarding in ip_input() and checking
ip_forwarding == 2 in ip_output().  In theory ip_forwarding could
be 2 during ip_input() and later 0 in ip_output().  Then a packet
would be forwarded that was never allowed.  Currently exclusive
netlock in sysctl(2) prevents all races.

Introduce IP_FORWARDING_IPSEC and pass it with the flags parameter
that was introduced for IP_FORWARDING.

Instead of calling m_tag_find(), traversing the list, and comparing
with NULL, just check the PACKET_TAG_IPSEC_IN_DONE bit.  Reading
ipsec_in_use in ip_output() is a performance hack that is not
necessary.  New code only checks tree bits.

OK mvs@

Use correct idiom to get mac addresses from ethernet-like interfaces.

This unbreaks rad(8) on top of carp(4).

OK deraadt, bluhm

sync

minor cleanups, especially DPADD

The traditional LL/SC atomics perform poorly on modern arm64 systems with
many CPU cores.  With the recent conversion of the sched lock to a mutex
some systems appear to hang if the sched lock is contended.  ARMv8.1
introduced an LSE feature that provides atomic instructions such as CAS
that perform much better.  Unfortunately these can't be used on older
ARMv8.0 systems.  Use -moutline-atomics to make the compiler generate
function calls for atomic operations and provide an implementation for
the functions we use in the kernel that use LSE when available and fall
back on LL/SC.

Fixes regressions seen on Ampere Altra and Apple M2 Pro/Max/Ultra since
the conversion of the sched lock to a mutex.

tested by claudio@, phessler@, mpi@
ok patrick@

Do not attach acpitz(4) if the _STA method indicates that a thermal zone
isn't present.  While it isn't clear whether _STA applies to thermal zones
according to the ACPI standard, this prevents issues on the Asus Vivobook S15.

ok miod@, patrick@, deraadt@

spelling, grammar, macro fixes for previous;

Support numpad on newer macppc Apple PowerBooks

This is for newer PowerBooks with ukbd(4), and doesn't affect older
models with akbd(4).  The Fn key now makes a numpad,

     7  8  9  0  -          7  8  9  /  =
      U  I  O  P      =>     4  5  6  *
       J  K  L  ;             1  2  3  -
           M  .  /                0  .  +

Also, Fn+F6 is Num Lock.  This acts like Num Lock on other USB
keyboards, and unlike Num Lock on akbd(4).

From jon (at) elytron (dot) openbsd (dot) amsterdam

remove oga's copyright notice, none of those changes remain

remove unused agp_flush_cache_range()

remove unused agp_map functions
last use (in inteldrm) was removed in March

Fix previous.  The place of "accounting" was wrong.

Add support for RADIUS accounting.

Change the syntax for "module" and "authenticate".  "module" can have
a {} block now.  On the other hand, "authentication" can be without a
{} block.  The previous syntax is still accepted.  Also make
specifying the path of "module" be optional.

Stop scheduling an I/O event by the timer when the imsg_buf has the data
larger than the imsg header. It prevented the receiver from receiving the
following parts of the message.

signal handler must use the save_errno dance, and massage a variable
of type 'volatile sig_atomic_t'
ok tb

missing save_errno dance inside non-terminal signal handler

tidy up the text in previous; ok yasuoka

Enclose IPv6 address in a square bracket if the address is used with
the port number.

ok florian tobhe

Don't crash if we can't read the temperature for a zone while polling it.

ok dv@

Explicit TLS handshake with syslog client.

Add a new TLS handshake callback for incoming connections.  This
will allow to inspect the client certificate later.  For now only
print a debug message and check it in regress.

with and OK henning@

Modify IPCP to use {D,NB}NS servers from RADIUS.  Also move the
radius related functions from ppp.c to npppd_radius.c.

Exit with an error code when error or module die.
CVS ----------------------------------------------------------------------

Set SO_REUSEADDR for the listening socket.  This makes radiusd(8)
can bind both on an interface address and a wildcard address.

openssh-9.8

when sending ObscureKeystrokeTiming chaff packets, we can't
rely on channel_did_enqueue to tell that there is data to send.
This flag indicates that the channels code enqueued a packet
on _this_ ppoll() iteration, not that data was enqueued in _any_
ppoll() iteration in the timeslice. ok markus@

Call daemon(3) before parse_config() since parse_config() of radiusd(8)
starts some sub processes and parent-child relationship with them must
be kept.  But we want to show config error on stderr, so keep stdio
files open and close them after parse_config().

Remove unused secret field from struct radiusd_authentication

Don't receive decoration when not requested.

Show config error when -n

Add missing size check.

"secret" without quote can be used for key or value since it is treated
specially now.

Tweak a white space.

Delete a garbage empty definition.

use "lcd" to change directory before "lls" rather then "cd", since
the directory we're trying to list is local. Spotted by Corinna
Vinschen

Remove history of the tms struct.  It is tied to the function,
and the manual incorrectly claimed it first appeared in 4BSD.
ok deraadt@

correct history; first mention of /etc/rc in init manual pages was v4
ok deraadt@

correct history; dmesg appeared (without a manual page) in v7
ok deraadt@

we don't need the NOBYFOUR space-savings option anymore, that codepath
was replaced a while ago.
ok tb

delete dhclient(8).  ipv4 dhcp leases have been acquired by the
always-running-in-background dhcpleased(8) for a while, which is
activated per-interface with "ifconfig $if autoconf', or
"ifconfig $if inet autoconf", or with "inet autoconf" in /etc/hostname.$if
dhclient(8) has done execve(3) of ifconfig(8) to handle this for a while,
so everyone has moved to the dhcpleased(8) method
ok florian

Clearify "force" and "preference" interaction.

Problem reported by  Kirill A. Korinsky
OK kn

Remove lhash statistics.

These are not exactly useful and we previously stopped exposing them.

ok tb@

Use howmany() to calculate how many prpl entries are needed to describe a
hibernate i/o.

Use of howmany() suggested by jmatthew@, ok jmatthew@

Add support for the Realtek RTL8126 chip to the rge(4) driver.
The RTL8126 is a PCIe to 5Gb Ethernet controller.

regen

Add Realtek RTL8126.

sync with base

cast string literals with z_const char *

from upstream 2ba25b2ddab9aa939c321d087fcfca573a9cca55

Z_HUFFMAN -> Z_HUFFMAN_ONLY + linewrapping churn in a comment

from upstream 0f3b7b9595cc7d85c3b13282e71fcecef7f18f9c

remove struct acpi_parsestate, unused since dsdt.c rev 1.16

remove defines for acpi ioctls, unused since acpi.c rev 1.59

remove struct acpi_dev_rank, unused since acpi.c rev 1.144

Disable the shared cache between resolvers for now.

Since the latest libunbound update the frontend process would segfault
about once a day on one of my MX servers with what looks like a
use-after-free deep inside of libunbound.

Maybe we are poking too much at internals and the shared cache is too
much of a hack. #ifdef for now to ease investigation, but it is
possible that this code just has to go.

Z_HUFFMAN -> Z_HUFFMAN_ONLY

from upstream 0f3b7b9595cc7d85c3b13282e71fcecef7f18f9c

remove unused vars

Fix typos in previous.

remove unused vars

remove unused var

fix typo

Add variables for RFC 5176 Error Cause.

Add variables for DAE for RADIUS (RFC 5176).

Link regress unp-write-closed to build.

Restore original EPIPE and ENOTCONN errors priority in the uipc_send()
path changed in rev 1.206. At least acme-client(1) is not happy with
this change.

Reported by claudio. Tests and ok by bluhm.

Test writing to socket pair closed by the other side.  This must
trigger EPIPE error.

with and OK mvs@

Add more regress coverage for SSL_select_next_proto()

The ALPN callback should really ignore the out parameter if there's
no overlap. Document that explicitly. Also make it more explicit that
that the caller must work with a copy of out.

ok jsing

Cleanup control queue checks in vio(4).

Add missing newlines in prints while here.

ok sf@

Fix SSL_select_next_proto()

SSL_select_next_proto() is already quite broken by its design: const in,
non-const out, with the intention of pointing somewhere inside of the two
input pointers. A length returned in an unsigned char (because, you know,
the individual protocols are encoded in Pascal strings). Can't signal
uailure either. It also has an unreachable public return code.

Also, due to originally catering to NPN, this function opportunistically
selects a protocol from the second input (client) parameters, which makes
little sense for ALPN since that means the server falls back to a protocol
it doesn't (want to) support. If there's no overlap, it's the callback's
job to signal error to its caller for ALPN.

As if that wasn't enough misdesign and bugs, the one we're concerned with
here wasn't reported to us twice in ten years is that if you pass this API
a zero-length (or a sufficiently malformed client protocol list), it would
return a pointer pointing somewhere into the heap instead into one of the
two input pointers. This pointer could then be interpreted as a Pascal
string, resulting in an information disclosure of up to 255 bytes from the
heap to the peer, or a crash.

This can only happen for NPN (where it does happen in old python and node).

A long time ago jsing removed NPN support from LibreSSL, because it had
an utter garbage implementation and because it was practically unused.
First it was already replaced by the somewhat less bad ALPN, and the only
users were the always same language bindings that tend to use every feature
they shouldn't use. There were a lot of complaints due to failing test
cases in there, but in the end the decision turned out to be the right
one: the consequence is that LibreSSL isn't vulnerable to CVE-2024-5535.

Still, there is a bug here to fix. It is completely straightforward to
do so. Rewrite this mess using CBS, preserving the current behavior.
Also, we do not follow BoringSSL's renaming of the variables. It would
result in confusing code in almost all alpn callbacks I've seen in the
wild. The only exception is the accidental example of Qt.

ok jsing

Remove handling of SSLv2 client hello messages.

This code was only previously enabled if the minimum enabled version was
TLSv1.0 and a non-version locked method is in use. Since TLSv1.0 and
TLSv1.1 were disabled nearly a year ago, this code is no longer ever
being used.

ok tb@

drm/amdgpu: fix UBSAN warning in kv_dpm.c

From Alex Deucher
b065d79ed06a0bb4377bc6dcc2ff0cb1f55a798f in linux-6.6.y/6.6.36
f0d576f840153392d04b2d52cf3adab8f62e8cb6 in mainline linux

drm/radeon: fix UBSAN warning in kv_dpm.c

From Alex Deucher
9e57611182a817824a17b1c3dd300ee74a174b42 in linux-6.6.y/6.6.36
a498df5421fd737d11bfd152428ba6b1c8538321 in mainline linux

drm/i915/mso: using joiner is not possible with eDP MSO

From Jani Nikula
e7bda1f8ba8436266f7e49778009bf9995d1c801 in linux-6.6.y/6.6.36
49cc17967be95d64606d5684416ee51eec35e84a in mainline linux

delete obsolete comment

retire unused API