better memory management of threads (thanks knuth)

merge in master

use Beof for awk port

remove ape regexp library, add utility for awk native port

libjson: add slack space to literal string buffer to handle bad runes (thanks mischief)

if the input string contains invalid utf-8, runetochar() produces
unicode replacement characters that can overflow the literal buffer.
as the overflow check is done after runetochar(), add UTFmax bytes
of slack space avoiding the issue.

remove old libregexp files; add headers for upas/bayes

New libregexp and APE ported to native

abaco(1): remove readweb

made abaco's gui respect $font and made readweb respect most installations

rsa: rename getkey() to getrsakey(), document rsa2csr in rsa(8)

libsec: implement server side SCSV preventing silly client fallbacks

silly clients (web*) reconnect when the handshake failed with a lower
protocol version, which allows downgrade attacks (POODLE). but instead
of stopping this madness, they invented a new magic TLSID to indicate
to the server that this connection attempt is a retry, and rely on the
server to notice and stop them from sabotaging themselfs.

libsec: order tlshand cipher suits by: keyexchange>=cipher>=hash, ignore client preference

client preference is usualy crazy, so just ignore it.
we always want the diffie hellman suits before static
rsa and prefer chacha over aes-gcm.

rsagen: increase default key size to 2048 bits

libsec: remove affine coordinate point operations from ecc

we now just do point addtion in jacobian coordinate system, and
convert the result to affine when s->z == nil.

libsec: implement elliptic curve group operations in jacobian coordinate system

rcpu: make sure not to leak /env/fn#server and /env/fn#aanserver for drawterm (thanks mischief)

libsec: implement server side ECDHE key exchange with secp256r1, move DH state in TlsSec structure, simplify

implement ECDHE key exchange with secp256r1 on the server side, providing
perfect forward secrecy (tho slowly).

it is easier to just keep the ECDH/DH state in the TlsSec structure,
which fits better with the grouping of the functions. we do the cleanup
in tlsConnectionFree() now, so a lot of error handling logic could go
away.

reinvestigated some error paths and removed the ones that cannot error.

move functions to fit the logical grouping.

combine the code for signing handshake hashes (for client certs) and
DH parameters. provide digestDHparams() function to be shared between
server and client code.

webfs: fix memory leak of serverName in tlswrap()

rsa(8): provide example for converting OpenSSL generated PEM file to factotum

libsec: massive cleanup of tlshand.c

don't pass or generate sessionID's. this was never used nor
actually implemented and leaks the process pid.

get rid of version and random field duplications, move TlsSec
structure into TlsConnection.

make msgRecv() clear the message first, get rid of unneccesary
msgClear() calls.

libsec: fix memory leak of RSApub, avoid parsing certificate twice to extract rsa public key

instead of letting factotum_rsa_open() parse the certificate,
we pass in the rsa public key which is then matched against the
factotum keyring. this avoids parsing the x509 certificate
twice.

the sec->rsapub was not freed, so free it in tlsSecClose()

libsec: recognize and decode PKCS#8 wrapped RSA private keys for auth/asn12rsa

example usage:

auth/pemdecode 'PRIVATE KEY' test.pem | auth/asn12rsa

webfs: change %H (hostname) format to %N to not collide with encodefmt's %H (hex)

libsec: x509: convert to UTF8 from BMPString and UNIString, reject \0 bytes

libc: fix out of bounds access in dirpackage(), simplify

- dirpackage() was not checking if the stat entry lies within
the buffer. fixed.

- simplify dirpackage(), as we process all the bytes from
the buffer, we do not need to track "ss" here as its the same
as "ts".

- zero Dir* array pointer early in dirread() and dirreadall()
and avoid calling dirpackage on <= buffer length.

kbdfs: add shift+altgr table 7 for polish keymaps

Subject: typo: ee corrected (thanks Eric Lindblad)

sorry there were entries as

3 27 '§
3 27 '½

should have been

3 27 '§
3 43 '½

attached is a corrected version

fix estonian keymap (thanks Eric Lindblad)

The /sys/lib/kbmap/ee file seemed to have CRs in it. If a first column in the table
(for modifier key) as 4 is for Alt Gr + Shift then the attached (UTF-8 without BOM)
should work as a replacement ee file.

Best Regards,
Eric Lindblad

python: make hashlib.py fallback to openssl in case of old python binary

remove unused liboventi

ktrace: sign extend stack dump pc for amd64

libc: remove unneeded #include <auth.h> for crypt() and netcrypt()

libdraw: avoid BPSHORT()/BPLONG() expansion, cleanup loadchar(),cachechars()

assigning the expression value to a temporary variable in
BPSHORT() and BPLONG() saves arround 2K of text in rio on
arm and arround 1K on amd64.

loadchar(): use the passed in "h" as the char index instead
of recomputing it from c-f->cache. dont recompute wid.

cachechars(): do cache lookup and find oldest entry in a
single loop pass.

add danish keymap (thanks Eric Lindblad)

ape: explicitely list the ape libs to build in mkfile

ape: removing openssl

python: remove openssl support, use ape/libsec for cryptographics hash functions

gs: replace openssl aes implementation with ape/libsec

ape: add libauth, libbio, libmp and libsec as replacements for openssl

hg: create system wide /sys/lib/hgrc to enabled hgwebfs extension

the openssl we currently use is outdated and will be removed
soon. webfs will handle the https for us with native tls code.
keys have to be stored in factotum for everyone who also wants
to commit directly.

libauth: remove unneeded includes for authsrv.h, avoid pulling in dependency for rerrstr()

libsec: make #include headers consistent

libsec: dont use mips assembly routines for spim, wrong endianess

libmp: fix build for spim, reduce by the mips assembly files

hg: set mercurial.url.has_https when hgwebfs extension is in use

this allows the use of SSL/HTTPS even when python is not build
with openssl support.

ape: move compatibility libc.h to lib9 directory and incooperate needed functions for ape/mp (wip)

ape: remove broken 9errstr.c

ape: add internal _NSEC() function and make gettimeofday() use it

libmp: make includes consistent, make test program compile under ape (work in progress)

libdraw: dont postnote to pid==0 in ekill()

merge

add missing target for antiword in /sys/src/cmd/aux/mkfile (thanks _sl)

aes(2): mention aesCBC bug

listen(8): fix html rendering

listen(8): document tcp17019 rcpu service

tls(3): document support for TLSv1.1 and TLSv1.2

qball(2): fix bad manpage reference

devstream(3): removed

ether82563: initial i217 support from http://www.9legacy.org/9legacy/patch/pc-ether82563-i210.diff (thanks k0ga)

This patch is only an adaptation for 9front of the patch located in
http://www.9legacy.org/9legacy/patch/pc-ether82563-i210.diff.  The
major difference is that this patch ignores errors in checksum of
eeprom, because in my system the checksum was wrong.  After 3 months,
I didn't have problems, and I think the patch can be used.  although
it has some things that need to be fixed.  If the link is inactive
when the system boots then it will remain inactive forever.

tcp567: run authserver with p9sk1 tickets disabled preventing offline password brute-force

jpg: fd == 0 is valid, so don't ignore it

libdraw: fix out of bounds memory access after subfont array reallocation (thanks ray)

/n/bugs/open/libdrawfont.c_buffer_overflow
http://bugs.9front.org/open/libdrawfont.c_buffer_overflow/readme

ray@raylai.com

Hi all,

In plan9port this bug keeps crashing mc when I run lc in a directory with Chinese characters. This is a diff from OpenBSD but it should apply cleanly to the various plan9 sources.

The code is basically trying to do a realloc (I guess realloc wasn't available back then?) but it copies too much from the original buffer.

Since realloc is available, just use it. If realloc isn't available outside plan9port (I haven't checked) the memmove line should be changed from:
memmove(f->subf, of, (f->nsubf+DSUBF)*sizeof *subf);
to:
memmove(f->subf, of, f->nsubf*sizeof *subf);

I hope this is helpful.

Ray

rio: /dev/kbd cleanup

- use free running unsigned indeces for window kbdq
- emalloc() vs malloc() in xfid

kbdfs(8): document new /dev/kbd behaviour

change /dev/kbd to return multiple messages per read

mercurial: CVE-2016-3630

backported the following patches from mercurial 3.7.3:

https://selenic.com/repo/hg/rev/b6ed2505d6cf
https://selenic.com/repo/hg/rev/b9714d958e89

kernel: always clunk closed fids asynchronously, regardless of caching

6in4: ingress filter multicast and link-local, but allow relay traffic

6in4: allow setting the local IPv4 address with -i flag (thanks k0ga)

9fs: bind -b /n/9front.org!7734 /n/lists

kernel: remove unused NSMAX, NSLOG, NSCACHE constants from portdat.h

fortunes: Ah, nice. the woodpeckers are back.

devsegment: cleanups

- return distinct error message when attempting to create Globalseg with physseg name
- copy directory name to up->genbuf so it stays valid after we unlock(&glogalseglock)
- cleanup wstat() handling, allow changing uid
- make sure global segment size is below SEGMAXSIZE
- move isoverlap() check from globalsegattach() into segattach()
- remove Proc* argument from globalsegattach(), segattach() and isoverlap()
- make Physseg.attr and segattach attr parameter an int for consistency

bullshit: +progressive +enhancement

zynq: cleanup devarch, flushmmu() after procflushpsecg()

kernel: fix procflushmmu()

fix bug introduced in previous change for zynq, broke
procflushseg() function only flushing the first proc
matching the segment.

kernel: print pid as %lud instead %lux (in tsleep() debug print)

libsec: fix tlsid for TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

the previous cipher id's where fore TLS_ECDH_* not TLS_ECDHE_*... sorry :(

devtls: print the path of the underlying chan in status file

to figure out what network connection a particular tls
conversation refers to, we add the path of the underlying
we send the encrypted tls traffic over in the status file,
example:

term% grep -n '^Chan:' '#a'/tls/*/status
#a/tls/0/status:7: Chan: /net/tcp/6/data
#a/tls/1/status:7: Chan: /net/tcp/0/data

devip: applying changes for bug: multicasts_and_udp_buffers

/n/bugs/open/multicasts_and_udp_buffers
http://bugs.9front.org/open/multicasts_and_udp_buffers/readme

michal@Lnet.pl

I have ported my small MPEG-TS analisis tool to Plan9.

To allow this application working I had to fix a bug in the kernel IPv4 code and increase UDP input buffer.

Bug is related to listening for IPv4 multicast traffic. There is no problem if you listen for only one group or multiple groups with different UDP ports. This works:

Write to UDP ctl:

anounce PORT
addmulti INTERFACE_ADDR MULTICAST_ADDR
headers

and you can read packets from data file.

You need to set headers option because otherwise every UDP packet for MULTICAST_ADDR!PORT is treat as separate connection. This is a bug and should be fixed too, but I didn't tried it.

There is a problem when you need to receive packets for multiple multicast groups. Usually the same destination port is used by multiple streams and above sequence of commands fails for second group because the port is the same.

Simple and probably non-intrusive fix is adding "|| ipismulticast(addr)" to if statement at /sys/src/9/ip/devip.c:861 line:

if(ipforme(c->p->f, addr) || ipismulticast(addr))

This fixes the problem and now you can use the following sequence to listen for multiple multicast groups even if they all have the same destination port:

announce MULTICAST_ADDR!PORT
addmulti INTERFACE_ADDR MULTICAST_ADDR
headers

After that my application started working but signals packet drops at >2 Mb/s input rate. The same is reported by kernel netlog. Increase capacity of UDP connection input queue fixes this problem /sys/src/9/ip/udp.c:153

c->rq = qopen(512*1024, Qmsg, 0, 0);

--
Michał Derkacz

zynq: introduce SG_FAULT to prevent access to AXI segment while PL is not ready

access to the axi segment hangs the machine when the fpga
is not programmed yet. to prevent access, we introduce a
new SG_FAULT flag, that when set on the Segment.type or
Physseg.attr, causes the fault handler to immidiately
return with an error (as if the segment would not be mapped).

during programming, we temporarily set the SG_FAULT flag
on the axi physseg, flush all processes tlb's that have
the segment mapped and when programming is done, we clear
the flag again.

file: deal with negative coordinates in plan9 bitmaps, print image size

kernel: fix tsleep()/twakeup()/tsemacquire() race

tsleep() used to cancel the timer with:

if(up->tt != nil)
timerdel(up);

which still can result in twakeup() to fire after tsleep()
returns (because we set Timer.tt to nil *before* we call the tfn).
in most cases, this is not an issue as the Rendez*
usually is just &up->sleep, but when it is dynamically allocated
or on the stack like in tsemacquire(), twakeup() will call
wakeup() on a potentially garbage Rendez structure!

to fix the race, we execute the wakup() with the Timer lock
held, and set p->trend to nil only after we called wakeup().

that way, the timerdel(); which unconditionally locks the Timer;
can act as a proper barrier and use up->trend == nil as the
condition if the timer has already fired.

rio: flushimage() before wscrsleep()

devtls: zero secret information before freeing, cleanup

stats: fix display->locking race

add portable AES-GCM (Galois/Counter Mode) implementation to libsec and devtls

rio: add flushimage() after mb2 menu action

mothra(1): fix url for https://code.9front.org/hg/plan9front/

rio botch

file(1): print warnings on /fd/2, remove some duplicate strings, whitespace fixes

games/life: add -d delay parameter, -b color reversal parameter, and update manpage

games(1) cleanup

lib9p: remove duplicate variable assignment in createfile()

rio: fix some spacing, slightly cleaner arg handling

libdraw: have openfont() set error string

libc: trailing whitespace cleanup

ip/gping: add main pid to pid list for killall()

abandon streaming experiment

for queue like non-seekable files, it is impossible to implement an
exportfs because one has to run the kernels devtab read() and write()
in separate processes, and that makes it impossible to maintain 9p message
order as the scheduler can come in and randomly schedule one process before
another.

so as soon as we have a transition from 9p -> syscalls, we'r screwed.

i currently see just two possibilities:

- introduce special file type like QTSEQ with strictly ordered i/o semantics
- fix all fileservers and exportfs to only do one outstanding i/o to QTSEQ files
which means maintaining a queue per fid

this doesnt propagate. so exporting slow 9p mount again will be limited
again by latency of the inner mount.

other option:

- return offset in Rread, so client can bring responses back into order. this
requires changing all fileservers and drivers to maintain such an per fid offset
and change the protocol to include it in the response, and also pass it to userspace
(new syscalls or pass it in TOS)

this only works for read pipelining, write is still screwed.

both options suck.

--
cinap

libc: fix runestrecpy() return value (thanks spew)