Add pthread_sigmask() and raise() to the list of async signal safe
functions, per POSIX Issue 7

ok deraadt

fix a minibug reported by kristaps@:
preserve manpath and arch in .Xr links

- whitespace cleanups (trailing whitespace, indentation)
- minor code shuffling and rename a variable to reduce diff with wd.c

no binary change

Revert the up/down wheel emulation for now, there will be a better way
to do this along later for those who want it.

Bring back net.inet6.icmp6.rediraccept for rtsol.  Pointed out by
bluhm@ three days ago, oops.

net.inet6.ip6.accept_rtadv is gone

Since net.inet6.ip6.accept_rtadv is gone, the installer shouldn't
set it.  Provisionally drop net.inet6.icmp6.rediraccept, too.

Use explicit_bzero() instead of memset() on buffers going out of scope.
Also, zero the SHA256 context.

suggested by "eric" in a comment on an opensslrampage.org post
ok miod@ deraadt@

don't try to be clever and name the _PATH_CP exec "mv", since this
breaks the instbin argv[0] mechanism
found by landry, ok guenther

use getlist() instead of hand-rolled equivalent, no functional change;
diff from Kent R. Spillner <kspillner at acm org>;
no objections came up when showing this diff on tech@

cast from void * before math; enh@google

missing newline

Fix typo: s/lstate/lstat/

boot(9): Reduce annoying style diffs

- Always use either: ((x & RB_XXX) != 0) or ((x & RB_XXX) == 0) in boolean
  context (mostly if (x), or x ? y : z)
  - prom_halt() in alpha is confirmed to take int as boolean

Converted by coccinelle.  No functional change intended.

Kristaps points out that the current HTTP/1.1 draft standard (RFC
2616) requires the Location: response-header field to be an absolute
URI (14.30), and only the most recent proposed standard (RFC 7231),
which is barely a month old, allows a relative Location: (7.1.2).
While most modern browsers appear to support relative Location:
headers, some may not, and it's maybe a bit early to rely on relative
Location: headers.

I'm not going back to the HTTP_HOST or SERVER_NAME CGI variables,
though.  While some CGI programs certainly require those, in which
case both the CGI programmer and the web server admin have to be
very careful to keep the system secure and reliable, man.cgi(8)
does not really need them.  We always know at compile time which
domain we are running for, and for man.cgi(8), security and reliability
are definitely much more important than flexibility.  So make HTTP_HOST
a compile-time definition for now.

5.7 packages key

lockf is entirely useless and it was a mistake to change to it, go back
to using flock which actually works sensibly. Also always retry the lock
to fix a potential race, and add some extra logging.

Drop explicit support for F13-F20 and change to match the xterm terminfo
entry:

        F13-F24 are S-F1 to S-F12
        F25-F36 are C-F1 to C-F12
        F37-F48 are C-S-F1 to C-S-F12
        F49-F60 are M-F1 to M-F12
and     F61-F63 are M-S-F1 to M-S-F3

This should be no difference for applications inside tmux, but means
that any key binding for F13 will need to be replaced by S-F1 and so on.

fix some wrong comments and a bit of KNF

printf(9) and friends don't support the <number>$ flags, so gcc's
kprintf attribute shouldn't accept them.

ok martynas@

Switch from <sys/endian.h> or <machine/endian.h> to the new,
being-standardized <endian.h>

ok deraadt@ millert@ beck@

sync

5.7 base key

Provide correct guidance on which header to use in the comments

Move more OS-specific functionality to arc4random.h headers.

Move <sys/mman.h> and raise(SIGKILL) calls to OS-specific headers.
On OpenBSD, move thread_private.h as well to arc4random.h.
On Windows, use TerminateProcess on getentropy failure.

ok deraadt@

Fixed typo in error message.

okay deraadt@

ask about lid

if we think this is a laptop (wsdisplay.....) ask a lidsuspend
question.  Let's see who whines.

look up correct dev_t.  This matters for the case where a device is
underlying softraid.
ok mlarkin

Merge cmd.c from zboot into boot, dropping "clear" command while at it.

With input from deraadt@

okay jasper@, uebayashi@

A HTTP connection may have multiple requests with content.  Allow
to specify an array of md5 hashes in the test arguments and check
all of them in the client and server log files.  So test that relayd
does not modify the http body.

RB_MINIROOT is never checked by anything, so stop setting it.

match on vga1 or vgafb0, well, let's just call it vga.* for now

spacing glitches

Support hibernating to softraid crypto volumes.

much help and ok from deraadt@

Fix tcpdump(8) display of logical link control data in IEEE802 frames.
The frame subtype field is in the first byte of frame control but tcpdump(8)
was looking at the second byte to determine if this is a data frame.
Patch by Nathanael Rensen, thanks!

initial win32 ARC4_LOCK/UNLOCK implementation.

It may make sense to later replace this with a Critical Section later.
ok guenther@

Skip reading bits from a region marked as "Preserve" if all bits will be
modified.  Some Sony and Asus laptops don't like this; the read seems to
trigger an unwanted SMI that makes the machine hang.  Diagnosed by mpi@

ok mpi@

Eliminate silly call() routine that fakes up internal calls as if
the user typed in undocumented arguments by splitting two functions
and doing normal (shock!) C calls.

Move extern declarations to externs.h
Eliminate another function cast

Always allocate bwi(4) ring descriptors below the 1GB boundary to give 30bit
devices a chance to work. Use bounce buffers for mbufs on 30bit devices.

This fixes "intr fatal TX/RX" errors that render the internal wifi on many
macppc machines unusable. However, packet loss problems remain. In my testing
the device works fine sometimes, but experiences packet loss rates of up
to 80% at other times. Still, this is a step forward.

Helpful hints from claudio@ and dlg@
Tested on macppc by mpi@ and myself
"go ahead" kettenis@, ok mpi@

In bwi(4), don't declare an interrupt as unhandled in case the PHY TX error
bit is set. This interrupt condition is handled by resetting the device.
ok mpi@ as part of a larger diff

Make bwi_dma_mbuf_create() use the correct loop counter in error case.
Bug inherited from DragonFly BSD.
ok mpi@ as part of a larger diff.

Load bwi(4) firmware once, not every time the interface is brought up.
Fixes a panic if the interrupt handler decides to reset the device.
Firmware cannot be loaded in interrupt context.
ok mpi@ as part of a larger diff

Fix array overflow in command line handling

Mark a slurry of functions as static
Eliminate two more trivial wrappers

use NULL instead of 0 when dealing with pointers
ok guenther@

Kill lint comments; mark ExitString() as __dead

Switch from memmove() to memcpy() where appropriate; simplify address
parsing logic; eliminate an inefficient use of MIN() macro

VSUSP and SIGTSTP are required by POSIX

Delete an insane chunk of code for handling broken poll() emulation.
Pass poll() INFTIM instead of -1

Add prototypes to some function callbacks and fix the type errors that
this reveals.
Make NetTrace static to utilities.c

Stop using the (now) internal rc.subr functions _rc_do() and _rc_wait().
- no need to start spamd in background mode
- return from rc_start() in case spamd failed to start
- execute spamd-setup without explicitly waiting for spamd

prodded by, discussed with and OK ajacoutot@

Fix auto-upgradable files detection.

from Nathanael Rensen, thanks!

More encryption tentacles: intr_happened and intr_waiting vanish
Push more includes into .c files
Make ring.c only need ring.h

Eliminate trivial wrappers TerminalWrite() and TerminalRead()
Replace TerminalFlushOutput() with tcflush().
Replace TerminalAutoFlush() with check of tty's NOFLSH flag as
documented in the manpage.
Push <netdb.h> into .c files

Don't depend on <sys/param.h> for MAXPATHLEN

Correctly cast to unsigned char for ctype functions/macros
Push <ctype.h> and <unistd.h> into the .c files

ring_init() can't fail
KNF ring.h

-8 is the default

Don't need -I${.CURDIR}

Simplify #includes, start pushing them into the .c files, eliminate
extern declarations from .c files that duplicate those in .h files,
start marking functions with __dead

correct unconfig: target; Jean-Philippe Ouellet

tweak -W options

no longer play with /dev/log

From ISO/IEC 9899:1999 and 9899:201x,
6.11.5 - Storage-class specifiers:
    The placement of a storage-class specifier other than at the
    beginning of the declaration specifiers in a declaration is
    an obsolescent feature.

Diff from Jean-Philippe Ouellet (jean-philippe (at) ouellet.biz)

Ooops, verbose_encrypt option is gone too.
Also stop assuming that csh is the only shell with job control

The manpage claims the -a option uses getlogin(2), so do so.  Also,
ignore its value if it returns a user that doesn't exit

The only authentication info now is the login name

Demonstrate how new linux getrandom() will be called, at least until
it shows up in libraries.  Even the system call is probably not finalized.
Bit dissapointed it has turned out to be a descriptor-less read() with
EINVAL and EINTR error conditions, but we can work with it.

remove a variable called wantencryption.
hahahahahahahahahha.  OK, I'm done.

This pulls in <ddb/db_output.h>, so don't redeclare ddb functions

Oddly, chmod chgrp chown were at the wrong path on these media.
from Jean-Philippe Ouellet

place sysctl in sorted order; Jean-Philippe Ouellet

arch was in wrong bin dir; Jean-Philippe Ouellet

Mark the format string argument to BIO_*printf as not being allowed to be NULL

ok bcook@

Make sure the correct errno is reported by warn* or err* and not
the errno of an intervening cleanup operation like close/unlink/etc.
Also, the format string for warn* and err* shouldn't end with a newline.

Diff from Doug Hogan (doug (at) acyclic.org)

Fix ordering breakage, moving the fclose() test last again.
Also correct some format strings.

From Doug Hogan (doug (at) acyclic.org)

Update regress to match change in stpcpy() linker message

Noted by Doug Hogan (doug (at) acyclic.org)

Make sure the correct errno is reported by warn* or err* and not
the errno of an intervening cleanup operation like close/unlink/etc.

Diff from Doug Hogan (doug (at) acyclic.org)

Delete unused variables found by -Wall

Add missing include.  Tickled by Doug Hogan (doug (at) acyclic.org)

Mark fatal() as printf-like.
Don't put a format string that's only used once in a variable.

Flense the telnet code base of unwanted ifdefs: authentication/encryption
tn3270, sgtty, pre-POSIX and other ancient system support, etc.  Brings up
to date the manpage with what we support.

ok matthieu@ beck@ jmc@ millert@ deraadt@ okan@

Print a warning message if the files with the random seed are not
writeable during shutdown.  This prevents ugly error messages when
the machine is rebooted from singe-user without mounting the file
systems read-write.
suggested by deraadt@

Explicitely check the value of REGRESS_SKIP_SLOW rather than its emptyness,
for it defaults to a non-empty value; Doug Hogan

Make sure struct sockaddr_in gets completely initialized by setting it to zero
before setting the few fields we are interested in; Doug Hogan

Bring back pci_dopm, but disable it before powerdown.

This fixes both the Lemote reboot issue and the USB issue on the
Gdium's that miod@ spotted.

Suggested by kettenis@, thanks!

Okay miod@

remove disabled main hook; we use phdr now; ok bcook

arc4random re-seeds with getentropy() now; ok deraadt@ jmc@

tab love

Move _ARC4_ATFORK handlers from thread_private.h in portable.

move _ARC4_LOCK/UNLOCK primitives from thread_private into OS-specific modules

Security fix:
Validate the manpath up front and report a Bad Request if it is not
listed in manpath.conf, such that clients can't probe which directories
exist on the server.  In case of configuration errors, consistently
report Internal Server Error without disclosing any further information.

Partially based on a patch from Sebastien Marie <semarie-openbsd at
latrappe dot fr>, but avoiding a couple of issues with that patch
and approaching the issue in a somewhat more rigorous way.

fixup typos

Backout pci_dopm usage as it also breaks reboot on Lemote's.

Noticed by matthieu@.

Security fix:
Validate the name of the file to show before opening it.
Only allow relative filenames starting with "man" or "cat"
and containing neither "/.." nor "../".

While here, correct the condition discarding an initial "./".

Vulnerability found by Sebastien Marie <semarie-openbsd at latrappe dot fr>.
Many thanks for sending a patch; however, i did not use it but made the
checks even stricter.

Document that abort() is async signal safe now that it doesn't flush
stdio buffers

While here replace "SUSv[67]" with "POSIX Issue [67]" and update
signal(3) to mention that pselect() and ppoll() are async signal safe
like sigaction(2) already does.

ok guenther

actually use the cve match_location correctly.
problem noticed by aja@

miod pointed out i forgot which way round casts go.

Fix strtonum range to unbreak -pass fd:0

ok deraadt@