parse SIZE advertisement

sort previous;

slightly better wording re handing of $TERM, from Jakub Jelen
via bz2386

add a SetEnv directive for sshd_config to allow an administrator to
explicitly specify environment variables set in sessions started by
sshd. These override the default environment and any variables set
by user configuration (PermitUserEnvironment, etc), but not the SSH_*
variables set by sshd itself.

ok markus@

add a SetEnv directive to ssh_config that allows setting environment
variables for the remote session (subject to the server accepting them)

refactor SendEnv to remove the arbitrary limit of variable names.

ok markus@

reorder child environment preparation so that variables read from
~/.ssh/environment (if enabled) do not override SSH_* variables
set by the server.

Minor cleanup in ifuse_ops_setattr.

ok mpi@

Instead of working out which pane to resize with the mouse by walking
the panes list, look through the layout cells for the nearest border and
resize that cell. From Dan Aloni in GitHub issue 1374.

Bail out if fchmod(2) fails.

Don't quietly install ld.so.hints with mode 0600 because this adds
overhead to shlib lookup for non-root processes.

From Nan Xiao.

ok guenther@

Test DH params allocation and free.

Constipate all the struct lock_type's so they go into .rodata

ok visa@

Constipate all the struct lock_type's so they go into .rodata

ok visa@

The udp control option processing was implemented three times.
Multicast lacked receive destination port.  Better use a function
and do it all in one place.  The pipex chunk does not use the
options, so it can happen before.  Adding the udp header length to
the ip header length was done inconsistently.  Do it explicitly
when needed.
OK mpi@ visa@

New semaphore implementation making sem_post async-safe.

POSIX dictates that sem_post() needs to be async-safe here[0] and is
thus included in the list of safe functions to call from within a signal
handler here[1].

The old semaphore implementation is using spinlocks and __thrsleep to
synchronize between threads.

Let's say there are two threads: T0 and T1 and the semaphore has V=0.
T1 calls sem_wait() and it will now sleep (spinlock) until someone else
sem_post()'s. Let's say T0 sends a signal to T1 and exits.
The signal handler calls sem_post() which is meant to unblock T1 by
incrementing V. With the old semaphore implementation we we are now in a
deadlock as sem_post spinlocks on the same lock.

The new implementation does not suffer from this defect as it
uses futexes to resolve locking and thus sem_post does not need to spin.
Besides fixing this defect and making us POSIX compliant, this should
also improve performance as there should be less context switching and
thus less time spent in the kernel.

For architectures that do not provied futexes and atomic operations,
the old implementation will be used and it is now being renamed to
rthread_sem_compat as discussed with mpi@.

[0] -- http://pubs.opengroup.org/onlinepubs/9699919799/functions/sem_post.html
[1] -- http://pubs.opengroup.org/onlinepubs/9699919799/functions/V2_chap02.html

OK visa@, mpi@, guenther@

Tweak previous - check for a NULL client and simplify manual text.

Add -x- and -y- to use client size, from Stefan Assmann in GitHub issue 1372.

Handle AENs for logical disk creation and deletion.
SAS3 and newer controllers allow these operations at any time
through the server management interface - tested on a SAS3108
(Lenovo x3650 M5) and SAS3508 (Dell R6415).

ok dlg@

Rework sensors and bio(4) support to use the target number from the logical
disk list, rather than assuming target numbers match the position in the
list.  Now we always allocate enough sensors for the maximum number of
logical disks, so we can store sensor information indexed by target number.
While here, split up the logical disk sensor code simplify adding and
removing sensors for logical disks as they're created and destroyed.

ok dlg@

Greatly simplify the resampling routine using the fact it processes
exactly one block.

The conversion chain processes exactly one block, so no need to
calculate & count the number of processed samples. This allows to move
the calls to processing routines in dev_mix_badd() and
dev_sub_bcopy(), which is much simpler. No behaviour change.

fix incorrect expansion of %i in load_public_identity_files(); reported by
Roumen Petrov

fix some over-long lines and __func__ up some debug messages

Prevent ggc3 error: redefinition of `fuse_dirh_t'

OK millert@

prepare for dri3proto

remove unused flags and obsolete comments

ok gilles@

test the correct configuration option name

Make callers of VOP_CREATE(9) and VOP_MKNOD(9) responsible for
unlocking the directory vnode.

OK mpi@, helg@

add some EXIT STATUS sections; from matthew martin

use RELAY_* flags where appropriate

ok gilles@

tweak previous;

Attach bwfm(4) to the Broadcom 4356 found in the GPD Pocket.

Tested by mlarkin@

Some PCIe-based bwfm(4) chips also require that we supply an NVRAM
binary.  In case we have an (optional) NVRAM binary, copy it to the
end of the chip's memory.

Tested by mlarkin@ on his GPD Pocket.

tweak previous;

put ".Re" in the right place;

some permitlisten fixes from markus@ that I missed in my insomnia-fueled
commits last night

The global zero addresses must not change, mark them constant.
OK tb@ visa@

simplify the codepath for backup relay setup

ok gilles@

Mention enabling PIE by default is turned off by using "-pg".

Pass -nopie to the linker when -pg is specified to make the
profiler(gprof) work properly.

ok mpi

permitlisten/PermitListen unit test from Markus

fix regression caused by recent permitlisten option commit:
authorized_keys lines that contained permitopen/permitlisten were
being treated as invalid.

Apply the retpoline transformation to indirect jumps in the raw ASM

ok mlarkin@ mortimer@ deraadt@

Treat XSAVEOPT and other XSAVE extensions like other cpu flags

oddness noted by kettenis
ok mlarkin@ deraadt@

Remove unused variable.

Spotted by Nan Xiao.

RFC 8106 obsolteted RFC 6106.
From brad@, OK jmc

code cleanup

ok gilles@ semarie@

The function dounmount() traverses the mnt_list in forward direction
to call vfs_busy() for all nested mount points.  vfs_stall() called
vfs_busy() in reverser order for all mount points.  Change the
direction of the latter to resolve the lock order conflict.
OK visa@

switch config file parsing to getline(3) as this avoids static limits
noted by gerhard@; ok dtucker@, djm@

regress test for PermitOpen

man bits for permitlisten authorized_keys option

man bits for PermitListen

permitlisten option for authorized_keys; ok markus@

Add a PermitListen directive to control which server-side addresses
may be listened on when the client requests remote forwarding (ssh -R).

This is the converse of the existing PermitOpen directive and this
includes some refactoring to share much of its implementation.

feedback and ok markus@

sync

After pledge the frontend process is only accepting from
an AF_UNIX socket (the control socket) so replace inet with
unix pledge.

Make sure cr17 matches curcpu() on non-MULTIPROCESSOR kernels.

This fixes that luna88k non-MULTIPROCESSOR kernel with option
DIAGNOSTIC (i.e. GENERIC) will hang silently at boot.

That problem had been caused after the addition of a
MUTEX_ASSERT_UNLOCKED check in kprintf() in sys/kern/subr_prf.c
1.95.

The diff is suggested from Miod Vallat, tested it on
non-MULTIPROCESSOR and MULTIPROCESSOR kernels by me.

remove fields that are found in struct dispatcher from struct relayhost

ok gilles@

add non-regression tests for bad user list files

if the parser can't find a starting line in user db, it won't look
at any line, so it won't error out.
Add logic to make it error out.

Prefix fields of pfkey & routing PCBs, part 2, no functionnal change.

ok tb@

Prefix fields of pfkey & routing PCBs, no functionnal change.

ok visa@, tb@

Pass the socket to sounlock(), this prepare the terrain for per-socket
locking.

ok visa@, bluhm@

Asseert that a pfkey or routing socket is referenced by a `fp' instead
of calling sofree(), when its PCB is detached.

This is different from TCP which does not always detach `inpcb's from
sockets.  In the pfkey & routing case caling sofree() there is a noop
whereas for TCP it's needed to free closed connections.

Having fewer sofree() makes it easier to understand the code and move
the locks down.

ok visa@

document missing database filters

ok stsp@ claudio@ jca@

print metric for Intra-Area-Prefix LSAs

ok stsp@ claudio@ jca@

pluart(4) is mi now

Add RETGUARD to clang for amd64. This security mechanism uses per-function
random cookies to protect access to function return instructions, with the
effect that the integrity of the return address is protected, and function
return instructions are harder to use in ROP gadgets.

On function entry the return address is combined with a per-function random
cookie and stored in the stack frame. The integrity of this value is verified
before function return, and if this check fails, the program aborts. In this way
RETGUARD is an improved stack protector, since the cookies are per-function. The
verification routine is constructed such that the binary space immediately
before each ret instruction is padded with int03 instructions, which makes these
return instructions difficult to use in ROP gadgets. In the kernel, this has the
effect of removing approximately 50% of total ROP gadgets, and 15% of unique
ROP gadgets compared to the 6.3 release kernel. Function epilogues are
essentially gadget free, leaving only the polymorphic gadgets that result from
jumping into the instruction stream partway through other instructions. Work to
remove these gadgets will continue through other mechanisms.

Remaining work includes adding this mechanism to assembly routines, which must
be done by hand. Many thanks to all those who helped test and provide feedback,
especially deaadt, tb, espie and naddy.

ok deraadt@

Move pluart(4) to dev/fdt.

ok jsg@

Unify arm64 and armv7 pluart(4) implementations.

ok jsg@

Add missing csi_dh_params_dup() calls.

Use proper markup for ioctl arguments instead of documenting them using
free-form text.

ok jmc@

remove struct relayhost from struct envelope.

ok gilles@

Recognise Cortex A76.  Only adding to arm64 as it only supports aarch32
for EL0/userland.  MIDR value from ATF.

ok kettenis@

Revert introduction of fdinsert(), a sanitify check triggers when
closing a LARVAL file.

Found the hardway by sthen@.

Switch from lazy FPU switching to semi-eager FPU switching: track whether
curproc's xstate ("extended state") is loaded in the CPU or not.
 - context switch, sendsig(), vmm, and doing CPU crypto in the kernel all
   check the flag and, if set, save the old thread's state to the PCB,
   clear the flag, and then load the _blank_ state
 - when returning to userspace, if the flag is clear then set it and restore
   the thread's state

This simpler tracking also fixes the restoring of FPU state after nested
signal handlers.

With this, %cr0's TS flag is never set, the FPU #DNA trap can no
longer happen, and IPIs are no longer necessary for flushing or
syncing FPU state; on the other hand, restoring xstate while returning
to userspace means we have to handle xrstor faulting if we could
be loading an altered state.  If that happens, reset the state,
fake a #GP fault (SIGBUS), and recheck for ASTs.

While here, regularize fxsave/fxrstor vs xsave/xrstor handling, by
using codepatching to switch to xsave/xrstor when present in the
CPU.  In addition, code patch in use of xsaveopt in most places
when the CPU supports that.  Use the 64bit-wide variants of the
instructions in all cases so that x87 instruction fault IPs are
reported correctly.

This change has three motivations:
1) with modern clang, SSE registers are used even in rcrt0.o, making
   lazy FPU switching a smaller benefit vs trap costs
2) the Intel SDM warns that lazy FPU switching may increase power costs
3) post-Spectre rumors suggest that the %cr0 TS flag might not block
   speculation, permitting leaking of information about FPU state
   (AES keys?) across protection boundaries.

tested by many in snaps; prodding from deraadt@

Turn all instances of Fn into proper cross references. While here, remove
redundant references to termios and favor Po/Pc for parenthesis enclosing.

ok jmc@ schwarze@

document "match tag"; ok gilles

Split "return to userspace via iretq" from intr_fast_exit into intr_user_exit.
Move AST handling from the bottom of alltraps and Xdoreti to the
 top of the new routine.
syscall-return-via-iretq and the FPU #DNA trap jump into intr_user_exit after
 the AST check (already performed for the former, skipped for the latter)
Delete a couple debugging hooks mlarkin@ and I used during Meltdown work

tested by many in snaps; thanks to brynet@ for spurious interrrupt testing
earlier reviews and comments kettenis@ mlarkin@; prodding from deraadt@

Remove the cpu_reset_needs_v4_MMU_disable flag; it's always true for hardware
that OpenBSD runs on.

ok patrick@

Use process-private futexes.  This avoids the overhead of calling into uvm
to look up the mapping for the futex address.

ok visa@, mpi@

honor SIZE extension when advertised by peer

ok millert@

for "match", document that envelopes that do not match anything are rejected,
and that rules are evaluated sequentially, first match wins;

ok gilles

remove "from local" (the default) from one of the match rules: the line
immediately above also uses this notation, it's shorter, and it keeps
two examples in the man page which claim to be the same as the default config
(but with exceptions) in sync;

ok gilles

Sync VFS documentation with reality

Missed during the "Namecache revamp" in 2009.

Reported by Georg Bege <georg at bege dot email>, thanks.

OK visa jmc mpi jca

Allow specifying binary via ROUTE

OK bluhm jca

Zap unused mifi_t.

OK bluhm mpi jca

Zap unused sockaddr.

OK bluhm deraadt jca

drop BUMPTIME

unused since v1.76, ca 5.3

ok kettenis@ deraadt@

Fix file descriptor leak.

Patch submitted by Nan Xiao, ok tb@ sthen@ millert@ deraadt@ jca@

tweak previous;

add support for mda wrappers allowing postmaster to define command wrappers
that will be executed (with recipient privileges) before calling the users'
mail delivery agent

ok eric@

in non-DIAGNOSTIC kernels, rw_assert_wrlock becomes a nop which leaves the
local variable dangling, so calculate the lock address by hand at invocation
ok kettenis

4-bit bus width is mandatory for SDIO cards that support High Speed
mode, so switch from 1-bit to 4-bit bus width if the host controller
supports it.

ok kettenis@

Remove the extra pager code when compiled without the BACKWARDS flag.
Most terminals have scrollback options, or can be achieved via tmux, so
it's not needed.

OK millert@

Definitively choose the existing semantics for the scroll and null command.
POSIX states: "An empty command list shall be equivalent to the p command",
so changing the behaviour of a null-command in any other case is a
violation of POSIX.

OK millert@

The function pf_create_state() calls pf_set_protostate() before
pf_state_insert(), so the state key has not been set.  When inlining,
the compiler recognized the NULL pointer dereference in
s->key[PF_SK_STACK]->proto and optimized it away.  But if pf.c was
compiled with -fno-inline, the system crashed during boot.  Add a
NULL check in pf_set_protostate() to handle the situation when the
function is called.
OK sashan@ henning@

tweak the text of the relaying example: make it clear that the example
allows delivery as well as relaying (for authenticated users), and that
passing to an external mda is possible, but not required;

ok gilles

Cleanup IPsec output error handling with consistent goto drop.
from markus@; OK mpi@

"match auth" matches transactions that *have been* authenticated;
ok gilles

Switch to SDIO High Speed mode if the host controller supports it.

ok kettenis@