fix parsing of the Last-Modified header

Was overlooked in r1.209.

diff from 'a dog' (OpenBSD [at] anthropomorphic [dot] dog)
ok tb, sthen

add `notab' to the list of modes that can be set with set-default-mode

specify also that it can be set globally with set-default-mode, as done
in the description of the other built-in modes.

Diff from Simon Branch (that I got via jmc@), thanks!

First step at removing struct sleep_state.

Pass the timeout and sleep priority not only to sleep_setup() but also
to sleep_finish(). With that sls_timeout and sls_catch can be removed
from struct sleep_state.

The timeout is now setup first thing in sleep_finish() and no longer as
last thing in sleep_setup(). This should not cause a noticeable difference
since the code run between sleep_setup() and sleep_finish() is minimal.

OK kettenis@

Add qctsens(4), a driver for the Temperature Sensor found on Qualcomm SoCs.

The driver not only provides the temperature readings for the cores, cluster
and memory in hw.sensors, but also allows the thermal zone code to act on
temperature changes.

ok drahn@

Inform fw_update(8) about qcpas(4) pattern.

ok kettenis@

Introduce M_IFGROUP type of memory allocation. M_TEMP is unreasonable
for interface groups data allocations.

ok kn claudio bluhm

Zap stray space

Use shared net lock for DIOCGETIFACES

snmpd(8) and 'pfctl -s Interfaces' dump pf's internal list of interfaces.

pf's internal interface list is completely protected by the pf lock,
pf lock assertions since pf_if.c r1.110 from over a week ago support this.

pfi_*() iterate over net lock protected if_groups lists, but only to read,
so downgrade from exclusive write net lock to a shared read-only one.

Feedback mvs
OK sashan

Remove net lock from DIOC{SET,CLR}IFFLAG

pf.conf's 'set skip on ifN' and 'pfctl -F all|Reset' set and clear flags,
PFI_IFLAG_SKIP being the only flag.  Nothing else in base uses these ioctls
and internal state is protected by the pf lock already.

OK sashan

Attach 0x51f1 devices to iwx(4) and fix params used for 0x7a70 devices.

from reyk@

regen

add 0x51f1 iwx(4) PCI device ID; from reyk@

Make it possible to store the kstack or ustack in a map (as value, not key).
Additionally fix the bacmp() function to work on integers and strings.
bacmp() is used when maps are printed out since the output is sorted by value.
Also adjust the rule parser to look into correctly into if branches to figure
out which values to request from the kernel.
OK kn@

Document the map specific functions (count, max, min, sum) in their own
part of the bt.5 man page.
Input and OK kn@

remove allupdates marker, it was only used by the short-lived
"@option explicit-update" flavor of firmware circa 2013.

pkg_add hasn't needed to know about this since basically forever

Switch from get_rfc*() to BN_get_rfc*()

The existence of the public get_rfc*() API is a historic curiosity that may
soon be corrected. We inherited its use and it survived in libssl until now.
Switch to the better named BN_get_rfc*() wrappers.

ok jsing

amd64: MCOUNT_EXIT: restore interrupts, don't unconditionally reenable them

This bug can cause all sorts of problems, but in particular it was
most easily reproduced as a double fault in the syscall return path on
this CPU model:

Intel(R) Core(TM) i7-8650U CPU @ 1.90GHz

Tons of help from guenther@ in narrowing down the root cause.  Fix
tweaked by guenther@.  Additional input from deraadt@ and kettenis@.

ok guenther@

Return error if the USB request to get the sample rate fails.

found by mlarkin

Remove some dead code from ECPKParameters_print()

This code is unreachable since binary curve support was removed.
There is a lot more to clean up in here...

ok jsing

Remove the now unused poly[] from EC_GROUP

This was needed for defining the multiplication over binary fields. Since
that code is gone, this is no longer needed.

ok jsing

Simplify EC_GROUP_get_basis_type()

The remaining EC_METHODs in libcrypto all have a field type of
NID_X9_62_prime_field, so this function always returns 0. Make
that more obvious.

ok jsing

On amd64, test whether PKU has been enabled and set our expectation
of the results based on that.  Also, the system now enforces
unreadability in copyin() of ld.so, libc, and application text,
even when PKU isn't enabled, so adjust those results to match.

ok deraadt@ anton@

Update regress files to aspa-profile-15 format

Decode and validate ASPA objects following the v1 syntax

Through draft-ietf-sidrops-aspa-profile-15, the ASPA profile was
made AFI-agnostic. This represents a simplification for both operators
and implementers in both the RPKI and BGP layers of the stack.

This update changes the JSON structure.

No effort was made to simultaneously support ASPA v0 and v1 objects.

OK tb@ claudio@

pax: truncate times to MAX_TIME_T, not INT_MAX
If the mtime in the file header is larger than MAX_TIME_T, trucate
it to MAX_TIME_T, not INT_MAX.  OK otto@

pax: use safe_print() to display messages which may include file names.
Reported by David Leadbeater.  OK op@

timeout_hardclock_update: provide initial value for automatic variables

Fix Ed Schouten's name

from weerd

Start using the new ibuf API in eigrpd. One ibuf_seek() still left since
the change is not trivial and I don't have a eigrp testbed.
OK tb@

Improve the conn_err() bufferevent error callback. To better report errors.
OK kn@

Update and refactor dvrmpd to use the new ibu API.

Do the checksum calculation in send_packet() instead of doing it all over
the place. This way the fixup only happens in one place.
OK tb@

Adjust EVP_PKEY_CTRL_HKDF_KEY to OpenSSL's semantics

For some reason there is no NULL check on setting the HKDF key for p2 like
in the other cases in the switch, instead OpenSSL fail in memdup, nulling
out the key but leaving he key_len at the old value. This looks accidental
but our behavior makes some haproxy regress tests segfault. So mimic weird
OpenSSL semantics but in addition set the key_len to 0.

Reported by Ilya Shipitsin

ok jsing

When exiting alternate screen, there is no need to reflow when going
back to old size since the contents will be overwritten. GitHub issue
3510.

Revert unrelated change that sneaked into the pf_ioctl.c commit.

Close all pf transactions before opening a new one in DIOCGETRULES.

Processes like snmpd or systat open pf(4) once and then issue many
DIOCGETRULES calls over their runtime. This accumulates many pf_trans
structs over their lifetime. At some point the kernel runs out of
memory because of that. By closing all transactions before creating
a new one, long living processes do no longer leak transactions.

This probably needs further refinement once more transactions types are
added but for now this solves the problem.

Problem found by florian@
OK sashan@ kn@

Add "us" to styles for underscore colour, GitHub issue 3589.

fix grammar of the comment describing pat_chk(); ok millert@

document handling of NULL envp as an extension;
from lucas de sena
ok espie

Provide kstats based on the byte and packet counters available in some
dwge(4) implementations.  The counters are all 32 bit, so enable reset-on-read
and accumulate them into 64 bit software counters, and enable the MMC
interrupts that indicate one or more counters is halfway to overflowing.
Tested on an RK3399, which has the counters, and an Allwinner A20, which
doesn't.

ok dlg@

Add missing RCS marker

Remove unneeded bn_local.h and drop a NULL check

Move ECDSA_size() to ecs_ossl.c to match what was done in ecdh

With ech_local.h gone, we no longer need to -I ecdh

Remove ech_local.h

Stop including ech_local.h

Remove prototypes for EC_KEY_{get,insert}_key_method_data()

These were accidentally left behind in a previous commit.

Move ecdh_KDF_X9_63() to ec_local.h

In anticipation of merging ecdh/ and ecdsa/ into ec/, move the last
remaining thing in ech_local.h where it will soon belong.

Move ECDH_size() to ech_key.c

This way the public ECDH API that will remain in libcrypto is in one file
and the public ECDH API that will go is in the other one.

Move the ecdh_method struct declaration to ech_lib.c

No other file uses this anymore

Move ECDH_OpenSSL() ECDSA_OpenSSL() to *_lib.c

Now that they no longer use static methods, they can move where they
belong. Also make the static method const, as it should have been all
along.

Remove EC_EXTRA_DATA

With the ecdh_check() and ecdsa_check() abominations gone, we can finally
get rid of EC_EXTRA_DATA and EC_KEY_{get,insert}_key_method_data(). The
EC_EX_DATA_*() handlers, (which fortunately have always had "'package'
level visibility") join the ride to the great bit bucket in the sky.

Thanks to op for making this possible.

ok jsing

Remove {ecdh,ecdsa}_check() and {ECDH,ECDSA}_DATA

This is now unused code. Removing it will free us up to remove some
other ugliness in the ec directory.

ok jsing

Remove method wrappers that use {ecdh,ecdsa}_check()

Now that it is no longer possible to set a custom {ECDH,ECDSA}_METHOD,
EC_KEY_METHOD can just call the relevant method directly without the
need for this extra contortion.

ok jsing

ecdsa_do_sign(): remove useless ecdsa_check() call

ok jsing

Make ECDH and ECDSA ex_data handlers always fail

They will be removed in the next major bump. No port uses them. They use
code that is in the way of upcoming surgery. Only libtls and smtpd used
to use the ECDSA version.

ok jsing

Make {ECDH,ECDSA}_set_method() always fail

They will be removed in the next major bump. No port uses them. They use
code that is in the way of upcoming surgery. Only libtls used the ECDSA
version, but thankfully op cleaned that up.

ok jsing

x509v3.h: unwrap a line

SGR 0 should not end hyperlink, reported by Lucas Trzesniewski.

Adjust/fix X509_check_purpose(3) documentation

Check for duplicate X.509v3 extension OIDs

Per RFC 5280, 4.2: A certificate MUST NOT include more than one instance
of a particular extension.

This implements such a check in x509v3_cache_extensions() by sorting the
list of extensions and looking for duplicate neighbors. This sidesteps
complications from extensions we do not know about and keeps algorithmic
complexity reasonable. If the check fails, EXFLAG_INVALID is set on the
certificate, which means that the verifier will not validate it.

ok jsing

Provide additional BN primitives for BN_ULLONG architectures.

On BN_ULLONG architectures, the C compiler can usually do a decent job
of optimising primitives, however it struggles to see through primitive
calls due to type narrowing. As such, providing explicit versions of
compound primitives can result in the production of more optimal code.
For example, on arm the bn_mulw_addw_addw() primitive can be replaced
with a single umaal instruction, which provides significant performance
gains.

Rather than intermingling #ifdef/#else throughout the header, the
BN_ULLONG defines are pulled up above the normal functions. This also
allows complex compound primitives to be reused. The conditionals have also
been changed from BN_LLONG to BN_ULLONG, since that is what really matters.

ok tb@

ech_local.h: remove unused ECDH_FLAG_FIPS_METHOD

remove ssl_init()

it's a noop; nowadays both LibreSSL and OpenSSL libcrypto and libssl
initialize themselves automatically before doing anything.

noticed by jsing, ok tb

remove ssl_init()

it's a noop; nowadays both LibreSSL and OpenSSL libcrypto and libssl
initialize themselves automatically before doing anything.

ok tb

remove ca_sslinit()

it's a noop; nowadays both LibreSSL and OpenSSL libcrypto and libssl
initialize themselves automatically before doing anything.

spotted by tb, ok tb tobhe

ec_local.h: move ec_group_simple_order_bits down a bit

Calculate inet PCB SIP hash without table mutex.

Goal is to run UDP input in parallel.  Btrace kstack analysis shows
that SIP hash for PCB lookup is quite expensive.  When running in
parallel, there is also lock contention on the PCB table mutex.

It results in better performance to calculate the hash value before
taking the mutex.  The hash secret has to be constant as hash
calculation must not depend on values protected by the table mutex.
Do not reseed anymore when hash table gets resized.

Analysis also shows that asserting a rw_lock while holding a mutex
is a bit expensive.  Just remove the netlock assert.

OK dlg@ mvs@

Add initial support for StarFive VisionFive V2 to stfclock(4).

This adds initial support for the syscrg and pll clocks on the StarFive
VisionFive V2 JH7110 SoC.

ok kettenis@

Remove precompute_mult/have_precompute_mult from EC_METHOD.

These are no longer in use - stub EC_GROUP_precompute_mult() and
EC_GROUP_have_precompute_mult() to match their existing behaviour.

ok tb@

Mop up EC_GROUP precomp machinery.

Since there are now no EC implementations that perform pre-computation at
the EC_GROUP level, remove all of the precomp machinery, including the
extra_data EC_GROUP member.

The ec_wNAF_mul() code is horrific - simply cut out the precomp code,
rather than trying to rewrite it (that's a project for another day).

ok tb@

Mop up ec_wNAF_{,have_}precompute_mult().

These were previously called by GF2m code and are no longer used.
Also remove ec_pre_comp_new(), since it is only called by
ec_wNAF_precompute_mult() and is now unused.

ok tb@

Add conditional around bn_mul_words() call.

At least one of our bn_mul_words() assembly implementation fails to handle
n = 0 correctly... *sigh*

Assign and test.

Check for non-zero length rather than a zero value.

This removes a data dependent timing path from BN_sqr().

ok tb@

Rewrite and simplify bn_sqr()/bn_sqr_normal().

Rework bn_sqr()/bn_sqr_normal() so that it is less convoluted and more
readable. Instead of recomputing values that the caller has already
computed, pass it as an argument. Avoid branching and remove duplication
of variables. Consistently use a_len and r_len naming for lengths.

ok tb@

Provide optimised bn_subw() and bn_subw_subw() for arm.

Call notification_done() in the regress test so that the list
of deltas is adjusted to what the test expects.

Remove a pair of parens and make one check more consistent with the others

Fix warning about empty ipAddressesOrRanges

Committed from an older tree.

smtpd: allow arguments on NOOP

per RFC3521 § 4.1.1.9 the NOOP command allows optionally one argument
that SHOULD be ignored.  For semplicity, relax it to allow anything after it.

Original diff by Sebastian J. Bronner, GitHub PR 1150, tweaked by me to
add smtp_check_noop().

Gilles agrees, ok millert@

Use consistent idiom for X509_get_ext_d2i()

X509_get_ext_d2i() is special. A NULL return value can be either a
success or a failure scenario: an extension may legitimately be absent.
However, to find out whether it was absent or an error ocurred, you need
to pass in &crit, a pointer to an int. Its purpose is to indicate whether
the extension was marked critical or not.

If the return value was NULL, crit becomes an error indicator:

crit == -1 means the extension was not found. This can be an error or fine
depending on the extension. Handle this accordingly. In particular for
basic constraints, if they are missing or non-critical, this is an error.

If crit == -2 then multiple extensions with the same OID as the nid
requested are present. this means the cert is non-conformant to RFC 5280.

If crit >= 0, then something weird happened. Either memory allocation
failed or the extension could not be parsed. It is not easily possible to
tell which.

In short, if crit != -1, drop the cert on the floor like a hot potato.
Add warnings where possible. For x509_any_inherits() this needs some more
work, but that will be done in a different diff another day.

ok job

Fix a bug in ex's 's' command with the 'c' flag when 'number' is off.
The underlining was positioned in the wrong place.  This fixes
the problem and matches historic ex behavior.  OK op@

Improve detection of RRDP session desynchronization

According to RFC 8182, a given session_id and serial number represent an
immutable record of the state of the Repository Server at a certain
point in time.

Add a check to the RRDP notification file processing to compare whether
the delta hashes associated to previously seen serials are different in
newly fetched notification files. Fall back to a snapshot if a difference
is detected, because such a mutation is a strong desynchronization
indicator.

Idea from Ties de Kock (RIPE NCC).
Based on a diff by job@
With and OK job@ tb@

Codify BN_asc2bn(NULL, *) behavior in regress.

Avoid crash in BN_asc2bn()

Historically (and currently in OpenSSL), BN_asc2bn() could be called with
NULL, but only for positive numbers. So BN_asc2bn(NULL, "1") would succeed
but BN_asc2bn(NULL, "-1"), would crash. The other *2bn functions return a
length, so accepting a NULL makes some sense since it allows callers to
skip over part of the string just parsed (atoi-style).

For BN_asc2bn() a NULL bn makes no sense because it returns a boolean. The
recent CBS rewrite makes BN_asc2bn(NULL, *) always crash which in turn made
Coverity throw a fit.

Another change of behavior from that rewrite pertains to accidents (or is
it madness?) like -0x-11 and 0x-11 being parsed as decimal -17 (which Ingo
of course spotted and diligently documented). This will be addressed later.

ok jsing

Fix return check for BN_hex2bn()

Purely cosmetic change taking into account the fact that this function
returns a length rather than a boolean. This is the last offender in the
library.

ok jsing

Fix return check of bn_hex2bn_cbs()

It returns a length, not a Boolean, so check for 0 explicitly. This is
purely cosmetic.

ok jsing

typo: hexidecimal -> hexadecimal

Remove some redundant parentheses

This file is already enough of an eyesore without them.

rpki-client: check for duplicate certificate extensions

RFC 5280 disallows multiple extensions with the same OID. Since libcrypto
does not check that currently, do this by hand. This only deals with CA
certs for now, EE certs could do that similarly.

Found with BBN test corpora

ok job

rpki-client: disallow empty sets of IP Addresses or AS numbers

RFC 3779 doesn't say anything about empty lists of IP addresses and AS
numbers. Of course the RFC 3779 code in libcrypto implements a check for
empty lists for AS numbers but fails to do so for IP addresses...

While RFC 6487 is explicit about disallowing empty lists of IP addresses,
it is not explicit about disallowing empty ipAddressesOrRanges, but that
seems to be the intent.

Found with BBN test corpora

ok job

Revert previous, not all platforms allow compiling
__builtin_return_address(a) with a != 0.

Avoid division by 0 in m_pool_used

OK dlg@

Reported-by: syzbot+a377d5cd833c2343429a@syzkaller.appspotmail.com

ksmn(4): Support thermal sensors on Ryzen 9 79xx

ok deraadt, brynet

symbols: Tweak this test so it works with -j N

Revert "clockintr_cpu_init: initialize starting offsets with clockintr_stagger()"

octeon machines do not increment the global variable "ncpus"
(init_main.c) in the same spot as other platforms, which violates the
KASSERT in clockintr_stagger(), causing a panic.

We need to bring octeon's behavior into alignment with every other
platform before proceeding with this patch.

Reported and debugged by bluhm@.

Mention lid position support.

From Jan Stary

Add machdep.lidaction example. We support this on arm64 laptops now.

From Jan Stary
Ok patrick@

Instead of tsleep on lbolt do a tsleep with a 1 second timeout.
Result is the same and gets rid of a lbolt use.
OK miod@

Allow to ask for deeper callers for leak reports using malloc options.
ok deraadt@