pledge() privileged process

ok deraadt@

pledge() pony and lookup

ok deraadt@

sync

worse, need even more includes...

Check mmap and read return values. While at it, remove unused duplicated file.

ok millert@

To specify a source address ping uses -I while ping6 uses -S. Switch
ping6 -I to the ping-alike semantics.
sthen@ thinks this is OK

pledge "stdio rpath" is good enough for these mainline BSD auth login
programs.
(I am very surprised pledge ended up working for programs like this)
ok semarie millert

Since the fsck_* programs now only handle one filesystem, this creates
a point where open() and disklabel reading have completed.  After that
point, pledge "stdio".

As a result, an fsck of a hostile partition (noone ever does that, or
do they? :) is done by a program with SUBSTANTIALLY less system call
exposure.
ok semarie

Copy permissions AND ownership when -o will override an input file.

with input by and ok deraadt@, millert@, tim@

sync

unfortunately rewritelabel() just before termination does a non-permitted
ioctl to rewrite the label, in support of the old-school "frag info in
the disklabel" concept.  disklabel folk, please come talk to me...

sync with httpd - no functional change, just C99 types

Only accept one filesystem/device as argument for checking.  Few people
will be calling these directly, and not for the multiple filesystem case.
fsck(8) is generally the parent and will handle things.
ok semarie; this change will also help a goal jsing has

When pledged with "fattr", allow chown to supplimentary groups.  This
came out of a discussion regarding "sort foo -o foo".
ok semarie

add includes for crc32() and uuid_dec_be() missed in rev 1.11
ok krw@

Init a variable in the recently added carp_vhe_match() function clang
and mpi believe could be used uninitialised.

ok mpi@

gc lst_ForEachNodeWhile, which isn't actually in use anywhere

make sure we use stdbool.h
Mostly diff by Daniel Dickman, who told me to commit in his stead,
as he's tied up at work.

include err.h for the err() calls added in rev 1.46

Don't use the NONE enum value where NULL was intended.  Found with clang.
ok renato@

bugfix: add ${.CURDIR} to deal with obj symlinks

unbreak regress/sbin/newfs

/dev/prandom is no more since Nov 30, 2008

OK otto@

bugfix : use ${.CURDIR} to cope with obj symlinks

add regress tests for automatic port allocation.
- enable ipv4
- leave ipv6 disabled

add regress tests for automatic port allocation

Reset the RTF_CONNECTED flag when cloning an entry.

While here check for RTF_CLONED insted of RTM_RESOLVE when adding an
entry.

Found while debugging naddy@'s NFS vs em(4) vs rtisvalid(9) issue.

Rewrite the logic around the dymanic array of routing tables to help
turning rtable_get(9) MP-safe.

Use only one per-AF array, as suggested by claudio@, pointing to an
array of pointers to the routing table heads.

Routing tables are now allocated/initialized per-AF.  This will let
us allocate routing table on-demand instead of always having an
AF_INET, AF_MPLS and AF_INET table as soon as a new rtableID is used.

This also get rid of the "void ***" madness.

ok dlg@, jmatthew@

Convert fgetln to getline.

Ok millert@ eric@ gilles@

tweak previous (two details i apparently missed)

Pledge "stdio" for simple games.

ok semarie@

Two more char -> unsigned char in ctype functions.

More (unsigned char) casts for ctype functions.

Pointed out by Michael McConville

Add EVP_AEAD_CTX_init(3) manpage to document the new(ish) AEAD API.
The "authenticated encryption with additional data" API is used for
ciphers like AES-GCM or ChaCha20-Poly1305.  The manpage is a beginning
and certainly needs more work, especially improvements in the EXAMPLES
section.

Based on agl's source code comments.
Converted from pod to mandoc by schwarze@

OK schwarze@ jsing@

enable pledge(2) in rain(6)

it is libcurses program: at init it needs "stdio rpath getpw tty", and after
drop to just "stdio tty". "tty" is needed at end for restoring the tty.

initial patch from doug@
ok doug@ deraadt@

Remove conditional compilation and #defines around signal handling
Don't catch signals that were ignored on entry
Suppress SIGCHLD if our kid is stopped: we don't care and it's not an error

ok millert@

pledge "tty" can allow ioctl TIOCEXCL on a tty

I messed up reading the call graph.  -d delete does use search, so a
late pledge is not possible in this way.

sendmsg() is allowed to pass cmsg's which are not CMSG_RIGHTS - last
refactoring inverted the checks; spotted by sthen in ping6.

Backout last. Breaks sparc64, amoung other dubiousness.

requested by deraadt@

Reject the escape sequences \[uD800] to \[uDFFF] in the parser.
These surrogates are not valid Unicode codepoints,
so treat them just like any other undefined character escapes:
Warn about them and do not produce output.
Issue noticed while talking to stsp@, semarie@, and bentley@.

Major character table cleanup:
* Use ohash(3) rather than a hand-rolled hash table.
* Make the character table static in the chars.c module:
There is no need to pass a pointer around, we most certainly
never want to use two different character tables concurrently.
* No need to keep the characters in a separate file chars.in;
that merely encourages downstream porters to mess with them.
* Sort the characters to agree with the mandoc_chars(7) manual page.
* Specify Unicode codepoints in hex, not decimal (that's the detail
that originally triggered this patch).
No functional change, minus 100 LOC, and i don't see a performance change.

Call the sort program through $SORTPROG, as intended; OK millert@

Prevent a NULL-pointer dereference when closing a ugen(4) node
in case the kernel failed to change the interface of a device.

Found the hardway by okan

In rev 1.15 the sizeof argument was fixed in a strlcat() call but
the truncation check immediately following it was not updated to
match.  Not an issue in practice since the buffers are the same
size.  OK deraadt@

Check if a file name can be extracted from a line before marking for
deletion.

3 more headers required for one stinking inet6 ioctl..

- pf_insert_src_node(): global argument (arg6) is useless, function
  always gets pointer to rule.

- pf_remove_src_node(): function should always remove matching src node,
  regardless the sn->rule.ptr being NULL or valid rule

- sn->rule.ptr is never NULL, spotted by mpi and Richard Procter _von_ gmail.com

OK mpi@, OK mikeb@

sm_error() already does the exit for us.

Allow ioctl SIOCGNBRINFO_IN6 in case of "route", for use by ndp.

NET_RT_FLAGS must also accept a proto selection.

Test t16 for ed-formatted diffs does not contain a substitution.
Add a minimalistic check in t17.

Ignore the setuid/setgid/sticky bits when copying the permissions of an input
file to the new output file. In preparation for pledge(2).

Suggested by and OK millert@

Replace our /^\.\././ expression with /.//. The term is simpler and has
the same meaning in our diff ed-context.

As a bonus, our ed-diff output can be processed by GNU patch now, too.

okay millert@

Put ASN1_dup() under #ifndef LIBRESSL_INTERNAL.

After the socket is open, the remainder is just io operations.
Use pledge "stdio".

Remove -b flag and let ping6 set the socket buffer size automatically
like ping.
Suggested by deraadt@, OK dlg

-C and -c allow at most one input file. Ensure this is the case when the
input files are specified through --files0-from.

OK millert@

apply PubkeyAcceptedKeyTypes filtering earlier, so all skipped
keys are noted before pubkey authentication starts. ok dtucker@

allow getsockopt IP_RECVDSTPORT & IPV6_RECVDSTPORT for an "inet" pledge

semarie points out i am already forgetting the rules are very tight around
*chown, even "proc fattr" won't let you do such a job.  remove early pledge(),
only leave call after fchown, before when symbol table work gets done.

Reduce the amount of code by moving the three copies of the ohash
callback functions into one common place, preparing for the use of
ohash for some additional purposes.  No functional change.

oops, a chown appears late on the code.  to satisfy this pledge
"stdio rpath wpath cpath getpw fattr proc" early on; "proc fattr"
allows doing work with other uids on the file.  after opening the
db, do the chown (replace with fchown since we know fd) and then
pledge "stdio rpath"; "rpath" due to tmpfile rename() at the end.
mistake spotted by mpi

Convert ECParameters_dup() from a macro that uses ASN1_dup_of() into an
actual function. This removes the last ASN1_dup_of usage from the tree.

Feedback from doug@ and miod@

can pledge "stdio" after opening device.

pledge "stdio rpath wpath cpath fattr"; fattr due to locking code borrowed
from mail.local

pledge "stdio rpath wpath cpath", full path handling to satisfy dbopen()

pledge "stdio rpath wpath cpath proc exec".  creates files throughout
it's lifetime, and often runs a pipe through "cpp"

pledge "stdio rpath wpath cpath"

Don't use exp2f(), it breaks build on vax. Use a shift instead.
reported by deraadt@

Convert a number of the old ASN1_{d2i,i2d}_{bio,fp}_of() macros to
ASN1_item_{d2i,i2d}_{bio,fp}() function calls.

ok beck@ doug@

Single byte read/write tests.

Add test coverage for peer certificate info and connection info.

Make regress work again post hackathon tls_handshake/tls_read/tls_write
changes.

Group d2i/i2d function prototypes by type and add missing externs for the
DSAPublicKey, DSAPrivateKey and DSAparams ASN1_ITEMs.

Sync printf family return value with ISO C which specifies that
these functions return a negative value on failure.
OK doug@ deraadt@

Add a helper for writing the message to simplify the code.
It also fixes the reported message length by taking prepended
headers into account and adds missing error checks there.

ok millert@ gilles@

pledge() queue process

ok deraadt@

pledge() control process

ok deraadt@

Make use of rtisvalid(9) to check if local route entries match existing
configured addressses.

ok mikeb@

Simplify arptfree() to no longer look at the route entry's refcounter.

ARP entries with an expired timeout are now removed from the tree even
if they are cached somehwere else.  This also reduces differences with
NDP.

ok bluhm@

Use rtisivalid(9) to check if the given (cached) route can be used.

Note that after calling rtalloc(9) we only check if a route has been
returned or not and do not check for its validity.  This cannot be
improved without a massive refactoring.

The kernel currently *do* use !RTF_UP route due to a mismatch between
the value of ifp->if_link_state and the IFF_UP|IFF_RUNNING code.

I'd explain the RTF_UP flag as follow:

.  If a cached route entry w/o RTF_UP is passed to ip{6,}_output(),
.  call rtalloc(9) to see if a better entry is present in the tree.

This is enough to support MPATH and route cache invalidation.

ok bluhm@

Make sure RTF_LOCAL route entries are UP when added to the tree.

This is required to maintain the original BSD behavior of locally
configured addresses being always reacheable.

Some interfaces are^w^W^Wem(4) is special and generally has a DOWN
link state when configured by netstart(8).  As a result all the
route entries cloned/added before its link state goes to UP are also
marked as DOWN.

Note that this problem was not present when local addresses were
attached to lo0.

ok mikeb@

Initialize va_filerev in vattr_null() to avoid leaking stack garbage;
problem pointed out by Martin Natano (natano (at) natano.net)

Also, stop chaining assignments (foo = bar = baz) in vattr_null().
The exact meaning of those depends on the order of the sizes-and-
signednesses of the lvalues, making them fragile: a statement here
mixed *six* types, but managed to get them in a safe order.  Delete
a 20+ year old XXX comment that was almost certainly bemoaning a bug
from when they were in an unsafe order.

ok deraadt@ miod@

ctype functions isxdigit() expect an unsigned char value; add missing casts
and adjust variable types to get correct behavior

ok beck@ millert@

To alter just the atime of the mailspool, use utimensat()+UTIME_OMIT instead
of stat()+utimes().  Prefer clock_gettime() over gettimeofday() to avoid
timeval->timespec conversion

ok millert@

Plug a leak.

Ok gilles@, reyk@

pledge("stdio") the scheduler process

pledge("stdio") the RSA-privsep process

let the enqueuer pledge() in both online and offline modes

ok deraadt@

Pass unsigned chars to ctype functions.

From Michael McConville

new sentence, new line;
do not Xr self;

offline queue is no longer user-writable, do not attempt resetting fchflags
it serves no purpose.

ok millert@, ok jung@, ok eric@

Pledge "stdio rpath" requests for nologin.

ok deraadt@
"reads ok" semarie@

Obvious pledge "stdio" for yes.

ok deraadt@

revert previous. changes the behaviour of:
rm -f ""

Add some newer DT_* and DF_* constants

ok kettenis@ miod@

Tighten the ranges in wcrtomb(3).

By definition, the range of valid Unicode code points is the union of
U+0000..U+D7FF and U+E000..U+10FFFF (see Unicode 8.0.0, chapter 3.9).

In UTF-16, the encoded values that would represent U+D800..U+DFFF are
used for surrogate pairs. UTF-8 has no concept of surrogate pairs;
attempting to treat them as regular code points violates the standard
and makes no sense besides.

ok stsp@

free the correct IV length, don't assume it's always the cipher
blocksize; ok dtucker@

Pledge "fattr" request should allow fchflags().

"add it" deraadt@

satisfy jmc!