check return from pread, don't divide -1 for count

use recallocarray() because the array contains data that can be observed

initialize regmatch_t always, fixes grep -o ""
from Michael Santos

provide size to free(9)

Fix silly code that printfs NULL when there are no fractional seconds
on a GENREALIZEDTIME (which there should really never be for anything
remotely standards compliant)
ok jsing@

Tweak parse_string() to not consume the ';'. Simplifies/shortens
some logic.

Tweak 'expecting' parse_warn() messages to be more consistent.

Compute address for ll/sc only once.

Less convoluted code in soshutdown()
ok guenther

The character buffer should be resized using recallocarray()
ok millert and nicm a while ago

Always use return value of asprintf to determine success/failure,
don't rely upon *ret becoming NULL
ok millert, tom

Check return value of asprintf(), and don't use 0 as a char *

Started by, and ok, deraadt@

Change parse_string() warning from "filename must be a string" to
"expecting a string". Things other than filenames are parsed here.

Filter out RDTSCP, needed to handle solaris guests. We set the VMX control
to enable RDTSCP to 0, so when solaris attempted to use the instruction
(since it wasn't filtered out of CPUID information), the CPU issued an
#UD exception.

note that some hosts never generate tuples and are ignored;
ok beck

update currency exchange rates;

On ARMv8, the translation table walk is fully coherent so there is no
reason to explicitly flush the cache before invalidating the TLB.  The
barrier that is included in out TLB flushing code should be enough to
guarantee that the TLB walking hardware sees the updated page table
contents, so the explicit barriers can go as well.  Sanitize the code
immediately surrounding the removed bits while I'm there.

Tested by jsg@, ok drahn@, visa@

printf format strings should be literals. Reminded by clang.

Drop address conversion cruft.

Fix tcp stats reporting

Return the sum of per-cpu counters instead of the current cpu's
counters.  Brainfart on my side.  Analysis and fix by Andrei-Marius Radu.

add overdrive 1000

Fix an out-of-bounds memory access with 64-bit armaps.

OK kettenis@

Bring back the wait instruction into the idle loop, but only on octeon.
This lets an idle SoC run a bit cooler.

Tested on CN5020, CN6120 and CN7130.

Replace snprintf(NULL, malloc, snprintf.... with the much better asprintf.
ok millert

Prefer pread() over lseek()+read()
open() only needs the mode argument if O_CREAT is present

ok beck@ deraadt@

normalize order of arguments to if ()

Make dma range buffer cache pages visible in systat io
ok deraadt@

unlock tree, we are now hacking on 6.1-current

MDT...

The default for the "Server directory?" question can possibly come
from either what information is extracted from the cgi server or
from installurl(5). Otherwise a sane default is used.

Based on what server (HTTP_SERVER) is provided by the user decide
on what source to choose from for the default.

At the end of install_http() use the url from the cgi server as the
base for what's written to /etc/installurl if an official mirror was
used. Otherwise trim _url_base and remove the architecture and
snapshots or version part.

This fixes the problem reported by phessler@ which exposed how
fragile the current logic for this was after recent changes.

At this time of the release cycle the kernel presents itself as
release kernel, but we're still pre-release and the sets are still
in the snapshots directory on the mirrors. This was confusing the
installer script.

Thanks to phessler@ for finding this and testing.
Special thanks to tb@ who imposed on himself to try to understand
and review the diffs.

OK tb@, phessler@ (on a similar diff)
'commit when your are happy' deraadt@

Be quiet in case /var/syspatch/ is empty and that there's no remote sig
file yet (i.e. when we are in release mode but not released yet).

ok deraadt@

skip floppyB until more space is found

Xr acpisbs

sync

add a manpage for acpisbs, remove caveat from acpibat

Only close the SA if an error happens before ikev2_msg_init() was called
to make sure we do not run ikev2_msg_cleanup() on an unitialized stack
variable.

ok deraadt@ reyk@

Disable client-initiated renegotiation.

ok gilles@ eric@ deraadt@

correct NBPFILTER #ifdef's
from sthen and others

sync

these free() size choices appear to be wrong.  joel has a diff that fixes
them, but for release let's be conservative and use 0.

add signify public keys for syspatch for the current and next release

Use m_devget(9) to replace code that does more or less the same but assumes
the received packet fits in a single mbuf cluster, which isn't necessarily
the case.  This might fix the pool corruption seen by jcs@.

ok jcs@, jmatthew@, deraadt@

Set interface flag to VMIFF_UP when using -i option. This way vmd will make
sure the interfaces are up on startup.
OK deraadt@, reky@

m_devget() lost its ipf pointer argument, update man page.

Use strtonum(3) instead of strtol(3).  OK deraadt@

sync the version of the example package; ok deraadt@

Bring radiusd log.c copyright in line with other program's log.c
and other radiusd source files.  Remove the LOSS OF MIND clause.
OK henning@ yasuoka@ deraadt@

rephrase more enumerations of functions

account key needs to be in quotes.

ok benno deraadt

Fix iwi(4) regressions. WPA was broken since 6.0 errata 018.
Also, the firmware was rejecting RTS frames so iwi(4) didn't work against
an OpenBSD athn(4) hostap anymore; fix the config sent to firmware.
Prompted by report from bg2200 at jamesjerkinscomputer on misc@
ok deraadt@

The hppa version of as(1) requires whitespace before a .file directive,
it may not be in column 0.  This kind of thing is very common in GNU
and Linux software because the software was written from the start to
be 'compatible replacements' of vendor software.
ok jsing guenther

set REQ_EXT to x509v3_CA, fixing "ikectl ca XX create" inadvertently broken
in r1.41.  ok reyk deraadt

POOL_DEBUG off for release

move to 6.1 release, drop -beta tag

Remove quirks for two devices that are known to be CDC ACM protocol 0
that are now covered by the generic class matching.

tweak previous;

Match on class communications subclass abstract control model protocol
0 "No class specific protocol required" in addition to the existing
protocol 1 "AT Commands: V.250 etc" match.

This lets umodem(4) attach to the serial console on the overdrive 1000
which is a usb type-b socket on the back of the box not a db9 like the
overdrive 3000.

Add an instruction synchronisation barrier instruction after changing
the vfp state via cpacr_el1.  This matches the advice given in the
"Synchronization requirements for system registers" section of the ARMv8
ARM.

Without this an overdrive 1000 with A1120 (Cortex A57 r1p2) reliably
triggers "panic: VFP exception in the kernel" when init(8) is run.

ok drahn@ kettenis@

Properly handle VMX entry controls governing guest processor mode.

Before seabios, this didn't matter much but now it does since various
bootloaders/kernels need such treatment.

ok deraadt

add RDTSCP flags to identcpu.c

ok guenther, deraadt

Add helpful debug messages to tell us why public key authentication failed.

This is currently only visible in debug mode (eg. iked -dvv), some
debug messages will be turned into regular warnings later.

OK claudio@ deraadt@

Previous W^X diff only changed the access permissions in the bootstrap page
tables.  We need to set them in the final kernel page tables as well.

ok visa@

Fix typo in function name;
from Markus Triska <triska at metalevel dot at>
via OpenSSL commit 1f164c6f.

After i wrote SSL_renegotiate(3) from scratch, OpenSSL also
documented the function.  Merge the more detailed descriptions
and the additional documentation of SSL_renegotiate_abbreviated(3)
and SSL_renegotiate_pending(3).
From Matt Caswell, OpenSSL commit 39820637.

Make the test also work with obj directory.
from semarie@

Reset ci_curmap to kernel_pmap() in cpu_hatch().  Otherwise the lazy pmap
switching code might think the old pmap is still active after a resume
which could lead to a page fault in the kernel.

ok stsp@, mlarkin@, deraadt@

Remove RSA from the list of keywords, lookup is now done in a table.

This lets us configure explicit old-style RSA again.

OK mikeb@

small cleanup & optimization; ok deraadt@ millert@

Don't send informational responses before we're having the key material.

iked starts sending keepalive messages after authentication and after
successfully completing the handshake.  Other implementations, like
we've seen on Microsoft Azure, start sending keepalive messages right
after receiving the first SA_INIT message when they set up the key
material, even before we received the SA_INIT response to complete the
DH exchange.  The solution is to ignore early keepalive messages
before we're ready to encrypt our response, in the transition between
SA_INIT and AUTH.  The peer should still accept one or more missed
keepalives.

OK mikeb@

Link pledge sockopt regression tests to build.

Returning -1 in an imsg handler like ikev2_dispatch_cert aborts iked.

-1 means "I didn't handle or know this imsg", it should not be used to
indicate an application error in this context.

OK mikeb@

Call get/setsockopt(2) with various sockets and check which options
cause aborts due to pledge(2) restrictions.

Document the mcast pledge(2) as an addition to inet.
OK deraadt@

Allow the multicast ttl/hops and loop options with the mcast pledge.
from Matthias Pitzl; OK deraadt@

Prevent edit'ing a message from corrupting the mailbox. In an mbox file
every message is terminated by an empty line, so we have to make sure it
is preserved. Otherwise the message is combined with the next one.

joint effort with deraadt and millert

Make set_params() return the rate the device is using. Fixes
a wrong rate being reported when a unsupported rate was requested.

Simplify rate/channels/bits bounds checking code. From
Michael W. Bombardieri <mb at ii.net>. Thanks.

For IPv6 pass prefix not nexthop as network for connected nexthops back to
the RDE so that the code actually works.
Problem found and reported by Pier Carlo Chiodi (pierky at pierky com)
OK deraadt@

Add quirk for MacBook Pro 5,5. From Manav Rathi <mnvrth at gmail.com>.
Thanks!

add missing braces around a multi line if statement
ok patrick@ deraadt@

fix semicolon after if statement in currently uncalled code
ok bluhm@ deraadt@

repair knf & whitespace that jumped out of the screen during review
ok beck

Don't reject etherip packets if they are protected with IPsec.

This aligns code with documentation & matches what was available before
etherip(4) was split from gif(4).  sysctl net.inet.etherip.allow=1 is
still needed to accept etherip packets not protected with IPsec.

Reported by at least Jason Tubnor, ok mikeb@

Now that hibernate_alloc() only has clean success/failure, don't
need to call hibernate_free() to clean up a partial mess.
ok mlarkin kettenis

If hibernate_alloc() encounters a problem it should undo the partial
work.
ok mlarkin kettenis

Fix broken PKG_PATH example link, ftp://ftp.openbsd.org is no more.

OK sthen@

typo in debug build

simplify the SYNOPSIS as well, just like the option lists;
suggested by and OK jmc@

add a newline to an error printf

use a path of "/" if the URL does not include a trailing / - since
the web server probably doesn't like it, even though you published
the url without the trailing / in the certificate. (hello digicert!)
ok claudio@

hibernate_free() should not be called from MD code, acpi_sleep_state()
unwinds that.  Upon hibernate fail, this was a collection of double-frees..
ok claudio mlarkin

Fail early if an ocep server returns a non-200 http response, there is no
point in trying to parse error pages as an ocsp response.

If the sub-device of a softraid lacks a side-effect io function, return
failure as early as possible.
ok mlarkin claudio

rather than printing the wrong function name, dont print it at all.
found by Klemens Nanni

Don't cache the DH group in the policy

When tearing IKE SA down, the DH group referred by it is destroyed,
however it remains cached in the policy.  With the introduction of
IKE SA rekeying we have extended the life of this dangling pointer
by reusing it on new SAs.  So instead of caching the pointer in the
policy we can store the DH group ID and create a DH group on demand
using this parameter if it's specified.

With and OK reyk

various fixes to bring this page up to date a little;
help/ok bluhm

reinstate the capitalisation from previous, as advised by schwarze;

correct verb pattern;

Do not clobber the default compiler/linker links unless COMPILER_VERSION is
set to clang.

ok jsg@

For some options that are rarely needed in mandoc(1),
delete the descriptions and point to man(1) instead.
Inspired by apropos.1 rev. 1.35.