On the Qualcomm SoC as implemented on the Lenovo x13s the BIOS already
configures and makes use of the SMMU.  We need to keep those mappings
alive as otherwise the machine will die and reboot.  Unfortunately we
cannot simply set those domains to bypass, as when we set a domain to
bypass it is actually set to fault.  Instead reserve a domain and set
it to disabled, which behaves the same as if we used a bypass mapping.

With feedback from kettenis@

Provide the AML root in ACPI's softc so that drivers that need access
don't have to declare it using extern.

Suggested by and with feedback from kettenis@
Tested by deraadt@ on arm64, amd64 and i386
Tested by bluhm@ on amd64 and i386

Avoid signed integer overflow due to unary negation

The current X509_print_ex() tries too hard pretty printing negative
serialNumbers (which shouldn't occur in the first place). In particular,
negating LONG_MAX leads to signed overflow. Ditch the code dealing with
negative serialNumbers representable as long and fall back to the long
form printing. This simplifies the code and fixes

oss-fuzz #49944

with/ok jsing

Also attach spdmem on Gdium.

Clarify warning related to ROA eContent

Disallow AS Resources extension on ROA EE certificates

The ROA specification (RFC 6482 section 4) is a bit underspecified, however
in the wild the RFC 3779 AS Resources extension never ever appears on ROA EE
certificates, as it serves no purpose in the validation process.

OK tb@

Reverse NULL check in krVPN6_change()

This matches the VPN4 code and avoids a NULL deref in the else branch.

ok claudio

More kroute_nexthop cleanup. Mainly use direct assignment instead of
memcpy(). Additionally replace a bzero() with memset() and remove to
superfluous bzero calls.
OK tb@

Fix check of home directory (&& not ||), from Markus F X J Oberhumer,
GitHub issue 3297.

Pass the "good random" flag from the bootblocks to the kernel when applicable.

Cast int64_t to uint64_t for negating

Avoid signed integer overflow by casting an int64_t to uint64_t before
negating. Same fix was applied in a_int.c -r1.44, but was forgotten to
be applied to a_enum.c.

ok jsing

Only print versions we know about

The version field of an X.509 Certificate is an enum

   Version  ::=  INTEGER  {  v1(0), v2(1), v3(2)  }

Printing the version as l + 1 only really makes sense with 0 <= l <= 2.
Otherwise print a naked l while also indicating that it is an unknown
version.

ok jsing

Fix logic in network_dump_upcall()

The nexthop can be valid but still a NULL pointer. In that case just set
the aid like it is done for invalid nexthops. If the nexthop is set by
explicitly specifying one then include the exit_nexthop, that is the
nexthop that is relevant for BGP. Further cleanup the function as usual.
OK tb@

Add iic at glxpcib, to get spdmem to attach on 2F-based systems.

Remove alpha kernel code to process userland misaligned accesses, and the
machdep.unaligned_* sysctl to control its behaviour. Such code made sense more
than 20 years ago where a lot of code was not 64-bit clean, but this is no
longer the case those days.

ok jsg@ millert@ deraadt@

Decrease how long to wait for the remote peer to send IO before giving up

If a repository is uncommunicative, rpki-client will try other transports,
or come back later (because of a next crontab invocation).

OK claudio@

fixup header for bgpctl show network so it lines up again.
OK tb@

Remove netlock assertion from vlan_ioctl(). Now (*if_ioctl)() called
without netlock for SIOC{G,S}IFMEDIA commands.

ok bluhm@

Fix two compiler warnings resulting from last zlib bump

total_out is now an unsigned long, so a format string warning is issued
on all architectures. Fix this and also fix the format string for the
off_t len, which is signed, not unsigned.

Comparing an unsigned long to an off_t involves implementation-defined
behavior for values > LONG_MAX on 64-bit architectures, so the compiler
complains. Fix this by checking that len >= 0 and then casting both sides
to a wider type.

reported by and ok deraadt

Build the Compress::Raw::Zlib perl module with /usr/lib/libz

Two actively used copies of zlib in base are enough. This simplifies
handling security fixes. Now that zlib.h r1.7 is reverted, zlib ffi
works fine on 32-bit architectures.

Compared with an earlier attempt in March, this disables the Z_SOLO build
option (problem found by gkoehler) and fixes two regress tests to work
with zlib 1.2.12. Corresponding upstream commits:
https://github.com/pmqs/Compress-Raw-Zlib/commit/c44e0b732e214b7f77d42a3af6ae64e
https://github.com/pmqs/Compress-Raw-Zlib/commit/f47ea5f36c40fe19efe404dd75fd790

ok bluhm

Remove games from the default $PATH in /etc/skel

The games are a playground for developers. Their code is very old and full
of bugs.

ok deraadt kn

match other archs use %s for version printf

Backout "Call getuptime() just once per function"

This caused stuck ndp cache entries as found by naddy, sorry.

sync

prevent breakable hyphens in segment identifiers
from being turned into underscores;
bug reported by <Eldred dot fr> Habert

Make the http code respect MAX_CONN_TIMEOUT and fail connects once they
hit this timeout. This is in line with the rsync code.
OK tb@ job@

Sync inflateGetHeader() fix from userland

Pull in inflateGetHeader() buffer overflow fix

Fix buffer overflow in inflateGetHeader()

This is the initial fix combined with a fix for a NULL deref introduced
in the initial fix.

ok millert, help from tj

commit eff308af425b67093bab25f80f1ae950166bece1
Author: Mark Adler <fork@madler.net>
Date:   Sat Jul 30 15:51:11 2022 -0700

    Fix a bug when getting a gzip header extra field with inflate().

    If the extra field was larger than the space the user provided with
    inflateGetHeader(), and if multiple calls of inflate() delivered
    the extra header data, then there could be a buffer overflow of the
    provided space. This commit assures that provided space is not
    exceeded.

https://github.com/madler/zlib/commit/eff308af425b67093bab25f80f1ae950166bece1

commit 1eb7682f845ac9e9bf9ae35bbfb3bad5dacbd91d (HEAD -> develop, origin/develop)
Author: Mark Adler <fork@madler.net>
Date:   Mon Aug 8 10:50:09 2022 -0700

    Fix extra field processing bug that dereferences NULL state->head.

    The recent commit to fix a gzip header extra field processing bug
    introduced the new bug fixed here.

https://github.com/madler/zlib/commit/1eb7682f845ac9e9bf9ae35bbfb3bad5dacbd91d

riscv64: trigger deferred timer interrupts from splx(9)

In order to move riscv64 to a machine-independent clock interrupt
subsystem, the riscv64 clock interrupt code needs to function without
any specific knowledge of the clock interrupt schedule.

The easiest way to achieve this (as we just did with powerpc and
powerpc64) is, if the timer interrupt fires while the CPU is at or
above IPL_CLOCK, defer clock interrupt work until the the timer
interrupt is logically unmasked in splx(9).

In particular, trigger the timer interrupt from plic_setipl() so the
interrupt, if any, is pending before we handle soft interrupts.

Because we're no longer deferring work until the next tick, we don't
need to count pending statclock ticks in struct cpu_info.

kettenis@ notes that the timer triggering code should be refactored
into more generic code when we add support for a non-plic(4) riscv64
machine.

Graciously fixed, compiled, and tested by jca@.

Link: https://marc.info/?l=openbsd-tech&m=165931635410276&w=2
ok kettenis@

powerpc64: trigger deferred DEC interrupts from splx(9)

In order to move to a machine-independent clock interrupt subsystem,
the powerpc64 clock interrupt code needs to work without knowing
anything about the clock interrupt schedule.

The easiest way to do this is, if the DEC fires while the CPU's IPL is
at or above IPL_CLOCK, to postpone clock interrupt work until the
clock interrupt is logically unmasked from splx(9).

Because we no longer defer work until the next tick, we don't need to
keep track of pending statclock ticks in the cpu_info struct.

With input from kettenis@.

Graciously compiled and tested by gkoehler@ and kettenis@.

Link: https://marc.info/?l=openbsd-tech&m=165862522102767&w=2
ok kettenis@ gkoehler@.

sync

If interface drivers had enabled transmit offloading of the payload
checksum, IPv6 fragments contained invalid checksum.  For fragments
the protocol checksum has to be calculated before fragmentation.
Hardware cannot do this as it is too late.  Do it earlier in software.
tested and OK mbuhl@

For putenv(3), return an error if string starts with a '=' character.
Both FreeBSD and NetBSD have this behavior.  OK deraadt@

switch fgetln remnants to getline.  ok millert@

fully switch quiz(6) to getline; diff from Ben Fuller (ben [at] bvnf
space), ok millert@

Constify in6_addr pointer arguments in nd6_*() functions

All of them are passed to inspect/copy out fields, none of the functions
writes to the struct.

This makes it easier to argue about code (in MP context).

OK bluhm

Add YGJ, Yanago Kitaro, Tottori, Japan

Also known as Miho-Yanago.  Flew in and out of here in 2019.

top(1): display uptime with seconds, print uptime in fixed format

1. It's sometimes useful to know the system uptime with more precision
   than one minute.

So, this patch changes top(1) to print seconds of uptime in addition
to minutes, hours, and days.

2. It's *always* annoying when the information you want on a realtime
   display is not shown in the same place in a consistent format.

So, this patch also changes top(1) to always print the uptime like
this:

up D days HH:MM:SS

This is much easier to read at a glance.  In particular, it requires
no additional thought on my part to figure out whether the machine has
been up less than one day.

Maybe of note is that these changes make top(1)'s output different
from that of uptime(1).  I don't think this matters very much.  top(1)
is a realtime display, so it isn't likely to be parsed.  uptime(1) is
a different story.

Link: https://marc.info/?l=openbsd-tech&m=160046282400892&w=2
Positive feedback from kn@.

ok gnezdo@ bluhm@ millert@

sync

Call getuptime() just once per function

IPv6 pendant to bluhm's sys/netinet/if_ether.c r1.249:
    Instead of calling getuptime() all the time in ARP code, do it only
    once per function.  This gives a more consistent time value.
    OK claudio@ miod@ mvs@

OK bluhm

remove unused arm and armv7 headers
ok miod@

Unify the maximum idle IO timeout for RSYNC & HTTPS

OK claudio@

remove mouse.h last used by pre-wscons drivers
ok miod@ millert@

Set rsync connection timeout to 15 seconds.

OK sthen@

To make protocol input functions MP safe, internet PCB need protection.
Use their reference counter in more places.
The in_pcb lookup functions hold the PCBs in hash tables protected
by table->inpt_mtx mutex.  Whenever a result is returned, increment
the ref count before releasing the mutex.  Then the inp can be used
as long as neccessary.  Unref it at the end of all functions that
call in_pcb lookup.
As a shortcut, pf may also hold a reference to the PCB.  When
pf_inp_lookup() returns it, it also incements the ref count and the
caller can handle it like the inp from table lookup.
OK sashan@

Change branch condition inverted to realize original intention in
comment.

Found by Tetsuya Isaki at NetBSD and nono project, during
investigating work-in-progress NetBSD/luna88k.
It originally comes from Mach luna88k port, more than 30 years ago:-)

Tested by me, "That's much better!" miod@

Build llvm-cov in base.

Since llvm-profdata is in base as well, we can now produce reports from
coverage data without having to install the devel/llvm port.

OK gnezdo@

Before ypconnect(2) addition, "getpw" was a horrible "hole" that triggered
on libc trying to open /var/run/ypbind.lock, so pledge had to BYPASSUNVEIL
accesses to this file.  We accepted the opening of that file for a small
period for build cross-over, but that waiting period ends now.

Start to add annotations to the cpu_info members, doing I/a/o for
immutable/atomic/owned ala <sys/proc.h>.  Move CPUF_USERSEGS and
CPUF_USERXSTATE, which really are private to the CPU, into a new
ci_pflags and rename s/CPUF_/CPUPF_/.  Make all (remaining) ci_flags
alterations via atomic_{set,clear}bits_int(), so its annotation
isn't a lie.  Delete ci_info member as unused all the way from
rev 1.1

ok jsg@ mlarkin@

Use PMAP_PREFER_ALIGN() == 0 rather than !defined(PMAP_PREFER) to enable the
fast path in the pager code; this benefits most mips64 platforms.

ok kettenis@ mpi@

Move fallback PMAP_PREFER definitions from uvm_map.c to uvm_pmap.h for them
to be available to other files. NFC

ok kettenis@ mpi@

zap extra space in usage added by mistake in last commit.

Modern EFI systems tend to want larger EFI Sys partitions, they play
games in there, in particular during BIOS upgrade sequences.
ok krw kettenis dv

sync

Fix fallout from netlock removal in media ioctl.  The bridge does
not support media parameter, so just skip these ioctls.  Do not
release a netlock that was not taken.
panic found and fix tested by Michael Graves; OK mvs@

Use NI_MAXHOST and NI_MAXSERV constants to allocate temporary strings
for saddr_ntop() and inet_ntop().  This avoids truncation warnings
and is better than arbitrary size values with 64 or 128 bytes.
OK deraadt@

Improve HISTORY and add AUTHORS.
In particular, mention the 4.0BSD and v8/Tahoe APIs that were
supported until OpenBSD 5.4 and that matter for the evolution
of RE functions in the BSD libc.

Joint work with and OK jsg@.

Regarding authorship of the v8 functions, Russ Cox writes
near the end of https://swtch.com/~rsc/regexp/regexp1.html :
"While writing the text editor sam in the early 1980s, Rob Pike
wrote a new regular expression implementation, which Dave Presotto
extracted into a library that appeared in the Eighth Edition.
Pike's implementation incorporated submatch tracking into an efficient
NFA simulation but, like the rest of the Eighth Edition source, was
not widely distributed.  Pike himself did not realize that his
technique was anything new.
Henry Spencer reimplemented the Eighth Edition library interface
from scratch, but using backtracking, and released his implementation
into the public domain.  It became very widely used, eventually
serving as the basis for the slow regular expression implementations
mentioned earlier: Perl, PCRE, Python, and so on.  (In his defense,
Spencer knew the routines could be slow, and he didn't know that a
more efficient algorithm existed.  He even warned in the documentation,
"Many users have found the speed perfectly adequate, although
replacing the insides of egrep with this code would be a mistake.")
Pike's regular expression implementation, extended to support
Unicode, was made freely available with sam in late 1992, but the
particularly efficient regular expression search algorithm went
unnoticed."  [...]

add a -t flag to change the request timeout

original diff from Alfred Morgan (alfred [at] 54 dot org)
ok florian@ and manpage tweaks by me.

Clean up the netlock macros.  Merge NET_RLOCK_IN_SOFTNET and
NET_RLOCK_IN_IOCTL, which have the same implementation.  The R and
W are hard to see, call the new macro NET_LOCK_SHARED.  Rename the
opposite assertion from NET_ASSERT_WLOCKED to NET_ASSERT_LOCKED_EXCLUSIVE.
Update some outdated comments about net locking.
OK mpi@ mvs@

Refactor readdoslabel() into a more readable form using various
helper functions.

The refactored code ensures disklabels are read from/written to
disk only from/to unused space or an OpenBSD partition. This
prevents accidental damage to filesystems that start immediately
following an MBR or GPT.

The refactored code also finds the disklabel present on the
i386/amd64 floppyXX.img, rather than spoofing the media as a
single MSDOS partition.

Tweak and positive comments from jmatthew@

blist: use swblk_t type (defined in sys/blist.h)

reduce the diff with DragonFlyBSD by using swblk_t and u_swblk_t types.

while here, move bitmap type (u_swblk_t) to u_int64_t on all archs. it makes the
regress the same on 64 and 32bits archs (and it success on both).

ok mpi@

remove swblk_t type from sys/types.h

- it is currently unused (except in some regress)
- it is non-standard
- it shouldn't have been visible in first place

ok jca@ mpi@ todd@ deraadt@

mention tascodec(4)

tascodec(4)

Delete the ridiculous first three sentences of BUGS
and fix some minor markup nits:
get rid of useless .Tn macros and add one missing .Fn macro.
No objection from jsg@.

add arch to Dt

add arch to Dt

remove comma on last Xr

simplaudio -> simpleaudio

Fix backpointer.

ok jsg@

aplaudio(4), apldma(4), aplmca(4) and aplnco(4)

Prevent buffer overflow in OF_getpropintarray().

ok jsg@

match recent Intel CPUs in fw_update(8)

Intel CPUs mostly used to have processor name strings of the form
cpu0: Intel(R) Pentium(R) M processor 1.60GHz ("GenuineIntel" 686-class) 1.60 GHz, 06-0d-06
cpu0: Intel(R) Core(TM) i7-5600U CPU @ 2.60GHz, 2494.61 MHz, 06-3d-04
recent CPUs use
cpu0: 11th Gen Intel(R) Core(TM) i5-1130G7 @ 1.10GHz, 30009.37 MHz, 06-8c-01
cpu0: 12th Gen Intel(R) Core(TM) i5-12400, 4390.71 MHz, 06-97-02
cpu0: 12th Gen Intel(R) Core(TM) i7-1260P, 1995.55 MHz, 06-9a-03

change pattern used to handle this

also covers oddities such as
cpu0: Genuine Intel(R) CPU @ 600MHz, 600.10 MHz
cpu0: Genuine Intel(R) CPU @ 1.00GHz, 1000.13 MHz, 06-26-01
cpu0: Genuine Intel(R) CPU L2400 @ 1.66GHz ("GenuineIntel" 686-class) 1.67 GHz, 06-0e-08

test chips use "Genuine Intel(R) CPU 0000"

Support wildcards in fw_update patterns

Up to two wildcards, since we have to work around the way ksh does things.

Tweaks and suggestions from kn@ and halex@

fix error message

Use the FAIL macro instead of fprintf(stderr, "FAIL: ...\n");

Make the bogokey[] global static const.

Move CBB_init() to a consistent place.

Consistently initialize failure to 1 at the top of the function and
clear it right before the done label.

Fix bounds check in ucc_add_key(); ok anton@

Consistently check for CBB_init() failure.

Remove overly aggressive trust check in legacy verifier that breaks
p5-IO-Socket-SSL regress and regress/sbin/iked/live

Still passes the mutt regress that this was intended to fix.

ok tb@

The netlock for SIOCSIFMEDIA and SIOCGIFMEDIA ioctl is not necessary.
Legacy drivers run with kernel lock, interface media is MP safe or
has kernel lock.  Assert kernel lock in ix(4) and ixl(4).
OK kettenis@

Skip disabled nodes.

put ci_mutex_level inside DIAGNOSTIC

Among published AT&T UNIX releases, a shutdown(8) command was contained
in PWB/UNIX 1.0 (July 1977) and in System III (1982),
but not in v7 (Jan 1979) nor in 32v (May 1979).
According to the Australian UNIX User Group Newsletter Vol. I No. I
https://www.tuhs.org/Archive/Documentation/AUUGN/AUUGN-V01.1.pdf ,
(October 1978), Letter from John Lions on page 20, UNIX/TS 1.0 (late
1978 or early 1979) also contained an implementation of shutdown(8).
So it is unlikely it came from the CSRC and more likely it was
invented either by the PWB or by the USG group.
Since we don't know for sure, only cite the first public release.

It was a mistake to say "appeared in 4.0BSD".  That release only
contained a stub manual page (without a DESCRIPTION), and the
file man8/BUGS in 4.0BSD mentions it without giving details,
presumably trying to indicate it wasn't really available yet.
The is no shutdown(8) implementation in BSD before 4.1cBSD.

OK jsg@

Remove most of the indirection introduced in previous and instead fetch
the appropriate tls_extension_funcs pointers for client and server from
libssl and reach into them directly.

ok jsing

don't prompt for FIDO passphrase before attempting to enroll the
credential, just let the enroll operating fail and we'll attempt
to get a PIN anyway. Might avoid some unneccessary PIN prompts.

Part of GHPR#302 from Corinna Vinschen; ok dtucker@

change some 4.4BSD references to earlier releases
ok schwarze@

Use 16 bit variable to store more fragment flag.  This avoids loss
of significant bits on big endian machines.  Bug has been introduced
in previous commit by removing the =! 0 check.
OK mvs@

Add HISTORY and AUTHORS.

In https://minnie.tuhs.org/pipermail/tuhs/2020-January/019955.html ,
Brian Walden wrote (which looks like a reliable source to me):

"GWRL stands for Gottfried W. R. Luderer, the author of cut(1) and
paste(1), probably around 1978.  Those came either from PWB or USG,
as he worked with, or for, Berkley Tague. Thus they made their way
into AT&T commercial UNIX, first into System III and the into System
V, and that's why they are missing from early BSD releases as they
didn't get into Research UNIX until the 8th Edition.
[...]
I knew Dr. Luderer [...]
I also briefly worked for Berk when he was the department head
for 45263 in Whippany Bell Labs before moving to Murray Hill."

Omission pointed out by daniel@.
Joint work with jsg@.
OK jsg@ daniel@.

Once all files from argv have been read the main process can unveil to
the cachedir and if output files are written to outputdir. In -f mode
the unveil can be read-only in normal operation rwc is required because
the main process writes the RRDP files and also does the cleanup at the
end of the run.
Input from tb@ and mestre@, OK tb@

Change g and G to go to top and bottom of menu, GitHub issue 3286.

SWITCH section in ifconfig(8) no longer exists; point people at VEB instead

Correct a markup mistake found with mandoc -T lint:
Use .Vt instead of .Tn for mode_t and dev_t.
While here, also use .Fa rather than .Va for st_rdev (as usual
for struct fields), and correctly mark up st_mode and S_IFMT.

For clarity and consistency, refer to ".Bx 4.0" rather than ".Bx 4".
Also, mention /usr/ucb/man because /usr/bin/man did not provide -f in 4.0BSD.

Use ".Bx 4.0" rather than ".Bx 4" for clarity and consistency.
Both are correct, but "4.0" avoids the misunderstanding that we were
talking about any unspecified 4.xBSD release, and it is much more widely
used in our manuals.
Discussed with jsg@ in the context of other manual pages.

Add some glue to fetch the tlsext functions from the tls_extensions[]
table rather than calling the functions directly.

Make tlsext_*_{build,needs,parse}() functions static

None of these functions are used outside of ssl_tlsext.c. The only reason
they are prototyped in the header is for the use of tlsexttest.c. Rather
than having a big pile of useless copy-paste in the header, we can adapt
the test to avoid using these functions directly.

ok jsing