upstream: match_user() shouldn't be called with user==NULL unless

host and ipaddr are also NULL

OpenBSD-Commit-ID: fa3518346c21483e9e01a2e4b9436ae501daf8ea

upstream: don't care about glob() return value here.

OpenBSD-Commit-ID: 85bb82fea90478a482e9f65a1bec0aa24227fd66

upstream: Move up null check and simplify process_escapes.

Based on Coverity CID 291863 which points out we check the channel
pointer for NULLness after dereferencing it.  Move this to the start
of the function, and while there simplify initialization of efc a bit.
ok djm@

OpenBSD-Commit-ID: de36e5ad6fde0fe263ca134e986b9095dc59380a

need va_end() after va_copy(); ok dtucker

spotted by Coverity

upstream: Explicitly ignore return from waitpid here too.

OpenBSD-Commit-ID: eef2403df083c61028969fc679ee370373eacacb

upstream: Explictly ignore return codes

where we don't check them.

OpenBSD-Commit-ID: 1ffb03038ba1b6b72667be50cf5e5e396b5f2740

upstream: Return immediately from get_sock_port

if sock <0 so we don't call getsockname on a negative FD.  From Coverity
CID 291840, ok djm@

OpenBSD-Commit-ID: de1c1130646230c2eda559831fc6bfd1b61d9618

upstream: don't leak arg2 on parse_pubkey_algos error path; ok

dtucker@

OpenBSD-Commit-ID: 7d0270ad3dd102412ca76add2b3760518abdef75

upstream: clamp max number of GSSAPI mechanisms to 2048; ok dtucker

OpenBSD-Commit-ID: ce66db603a913d3dd57063e330cb5494d70722c4

upstream: don't print key if printing hostname failed; with/ok

dtucker@

OpenBSD-Commit-ID: ad42971a6ee5a46feab2d79f7f656f8cf4b119f3

upstream: remove redundant test

OpenBSD-Commit-ID: 6a0b719f9b1ae9d42ad8c5b144c7962c93792f7c

upstream: don't attempt to decode a ridiculous number of

attributes; harmless because of bounds elsewhere, but better to be explicit

OpenBSD-Commit-ID: 1a34f4b6896155b80327d15dc7ccf294b538a9f2

upstream: remove unused variable; prompted by Coverity CID 291879

OpenBSD-Commit-ID: 4c7d20ef776887b0ba1aabcfc1b14690e4ad0a40

upstream: Check fd against >=0 instead of >0 in error path. The

dup could in theory return fd 0 although currently it doesn't in practice.
From Dmitry Belyavskiy vi github PR#238.

OpenBSD-Commit-ID: 4a95f3f7330394dffee5c749d52713cbf3b54846

upstream: Ignore return value from muxclient(). It normally loops

without returning, but it if returns on failure we immediately exit.
Coverity CID 405050.

OpenBSD-Commit-ID: ab3fde6da384ea588226037c38635a6b2e015295

don't call connect() on negative socket

Coverity CID 405037

upstream: return SSH_ERR_KEY_NOT_FOUND if the allowed_signers file

is empty, not SSH_ERR_INTERNAL_ERROR. Also remove some dead code spotted
by Coverity; with/ok dtucker@

OpenBSD-Commit-ID: 898a1e817cda9869554b1f586a434f67bcc3b650

upstream: Remove dead code from inside if block.

The only way the if statement can be true is if both dup()s fail, and
in that case the tmp2 can never be set. Coverity CID 291805, ok djm@

OpenBSD-Commit-ID: c0d6089b3fb725015462040cd94e23237449f0c8

child_set_eng: verify both env pointer and count.

If child_set env was called with a NULL env pointer and a non-zero count
it would end up in a null deref, although we don't currently do this.
Prompted by Coverity CID 291850, tweak & ok djm@

upstream: Ignore return from sshpkt_disconnect

since we set our own return value for the function.  Coverity CID 291797,
ok djm@

OpenBSD-Commit-ID: 710b57ba954c139240895e23feea41f203201f04

upstream: Plug potential mem leak in process_put.

It allocates abs_dst inside a loop but only frees it on exit, so free
inside the loop if necessary.  Coverity CID 291837, ok djm@

OpenBSD-Commit-ID: a01616503a185519b16f00dde25d34ceaf4ae1a3

upstream: fix memory leak; Coverity CID 291848

with/ok dtucker@

OpenBSD-Commit-ID: 37f80cb5d075ead5a00ad1b74175684ab1156ff8

upstream: Plug more mem leaks in sftp by making

make_absolute_pwd_glob work in the same way as make_absolute: you
pass it a dynamically allocated string and it either returns it, or
frees it and allocates a new one. Patch from emaste at freebsd.org and
https://reviews.freebsd.org/D37253 ok djm@

OpenBSD-Commit-ID: 85f7404e9d47fd28b222fbc412678f3361d2dffc

upstream: Remove compat code for OpenSSL < 1.1.*

since -portable no longer supports them.

OpenBSD-Commit-ID: ea2893783331947cd29a67612b4e56f818f185ff

upstream: Remove compat code for OpenSSL 1.0.*

versions now that -portable has dropped support for those versions.

OpenBSD-Regress-ID: 82a8eacd87aec28e4aa19f17246ddde9d5ce7fe7

Prevent conflicts between Solaris SHA2 and OpenSSL.

We used to prevent conflicts between native SHA2 headers and OpenSSL's
by setting OPENSSL_NO_SHA but that was removed prior to OpenSSL 1.1.0

Remove HEADER_SHA_H from previous...

since it causes more problems than it solves.

Replace OPENSSL_NO_SHA with HEADER_SHA_H.

Since this test doesn't use OpenSSL's SHA2 and may cause conflicts we
don't want to include it, but OPENSSL_NO_SHA was removed beginning in
OpenSSL's 1.1 series.

Configure with --target instead of deprecated form.

Pass rpath when building 64bit Solaris.

Explicitly disable OpenSSL on AIX test VM.

upstream: Add RevokedHostKeys to percent expansion test.

OpenBSD-Regress-ID: c077fd12a38005dd53d878c5b944154dec88d2ff

upstream: Add tilde and environment variable expansion to

RevokedHostKeys. bz#3552, ok djm@

OpenBSD-Commit-ID: ce5d8e0219b63cded594c17d4c2958c06918ec0d

upstream: fix test: getnameinfo returns a non-zero value on error, not

(neccessarily) -1. From GHPR#384

OpenBSD-Commit-ID: d35e2b71268f66f5543a7ea68751972b3ae22b25

upstream: scp: when copying local->remote, check that source file

exists before opening SFTP connection to the server. Based on GHPR#370 ok
dtucker, markus

OpenBSD-Commit-ID: b4dd68e15bfe22ce4fac9960a1066a2b721e54fb

Also look for gdb error message from OpenIndiana.

Explicitly disable security key test on aix51 VM.

We don't know how to build the shared objects required for the security
key tests so skip them.

Split libcrypto and other config flags.

This should allow the automatic OpenSSL version selection in the tests
to work better.

Specify test target if we build without OpenSSL.

When we decide we can't use the versions of OpenSSL available, also
restrict the tests we run to avoid the ones that need OpenSSL.

Find suitable OpenSSL version.

Check the installed OpenSSL versions for a suitable one, and if there
isn't (and we don't have a specific version configured) then build
without OpenSSL.

Github testing support for BoringSSL

BoringSSL doesn't support EC_POINT_point2bn()

so don't invoke it in unittest

another ERR_load_CRYPTO_strings() vestige

don't use obsolete ERR_load_CRYPTO_strings()

OpenSSL (and elsewhere in OpenSSH) uses ERR_load_crypto_strings()

Allow building with BoringSSL

put back SSLeay_version compat in configure test

Needed to detect old versions and give good "your version is bad"
messages at configure time; spotted by dtucker@

remove support for old libcrypto

OpenSSH now requires LibreSSL 3.1.0 or greater or
OpenSSL 1.1.1 or greater

with/ok dtucker@

Test latest OpenSSL 1.1, 3.0 and LibreSSL 3.7.

Show 9.3 branch instead of 9.2.

depend

crank version

upstream: openssh-9.3

OpenBSD-Commit-ID: 8011495f2449c1029bb316bd015eab2e00509848

upstream: Free KRL ptr in addition to its contents.

From Coverity CID 291841, ok djm@

OpenBSD-Commit-ID: f146ba08b1b43af4e0d7ad8c4dae3748b4fa31b6

upstream: Check pointer for NULL before deref.

None of the existing callers seem to do that, but it's worth checking.
From Coverity CID 291834, ok djm@

OpenBSD-Commit-ID: a0a97113f192a7cb1a2c97b932f677f573cda7a4

upstream: Limit number of entries in SSH2_MSG_EXT_INFO

request. This is already constrained by the maximum SSH packet size but this
makes it explicit.  Prompted by Coverity CID 291868, ok djm@ markus@

OpenBSD-Commit-ID: aea023819aa44a2dcb9dd0fbec10561896fc3a09

upstream: calloc can return NULL but xcalloc can't.

From Coverity CID 291881, ok djm@

OpenBSD-Commit-ID: 50204b755f66b2ec7ac3cfe379d07d85ca161d2b

upstream: Explicitly ignore return from fcntl

(... FD_CLOEXEC) here too.  Coverity CID 291853.

OpenBSD-Commit-ID: 99d8b3da9d0be1d07ca8dd8e98800a890349e9b5

bounds checking for getrrsetbyname() replacement;

Spotted by Coverity in CID 405033; ok millert@

upstream: Plug mem leak on error path. Coverity CID 405026, ok djm@.

OpenBSD-Commit-ID: 8212ca05d01966fb5e72205c592b2257708a2aac

Add prototypes for mkstemp replacements.

Should prevent warnings due to our wrapper function.

upstream: Expliticly ignore return code from fcntl(.. FD_CLOEXEC) since

there's not much we can do anyway.  From Coverity CID 291857, ok djm@

OpenBSD-Commit-ID: 051429dd07af8db3fec10d82cdc78d90bb051729

upstream: Like sshd_config, some ssh_config options are not

first-match-wins. sshd_config.5 was fixed in r1.348, this is the same for
this file

OpenBSD-Commit-ID: 7be55b9351cde449b136afcc52d07aa4113b215e

upstream: Remove no-op (int) > INT_MAX checks

since they can never be true. From Coverity CID 405031, ok djm@

OpenBSD-Commit-ID: 9df3783b181e056595e2bb9edf7ed41d61cf8e84

Wrap mkstemp calls with umask set/restore.

glibc versions 2.06 and earlier did not set a umask on files created by
mkstemp created the world-writable.  Wrap mkstemp to set and restore
the umask.  From Coverity (CIDs 291826 291886 291891), ok djm@

upstream: modify parentheses in conditionals to make it clearer what is

being assigned and what is being checked

ok djm dtucker

OpenBSD-Commit-ID: 19c10baa46ae559474409f75a5cb3d0eade7a9b8

upstream: Re-split the merge of the reorder-hostkeys test.

In the kex_proposal_populate_entries change I merged the the check for
reordering hostkeys with the actual reordering, but kex_assemble_names
mutates options.hostkeyalgorithms which renders the check ineffective.
Put the check back where it was.  Spotted and tested by jsg@, ok djm@

OpenBSD-Commit-ID: a7469f25a738db5567395d1881e32479a7ffc9de

upstream: include destination constraints for smartcard keys too.

Spotted by Luci Stanescu; ok deraadt@ markus@

OpenBSD-Commit-ID: add879fac6903a1cb1d1e42c4309e5359c3d870f

Limit the number of PAM environment variables.

xcalloc has its own limits, but these are specific to PAM.  From
Coverity CID 405198, ok djm@

Limit the number of PAM environment variables.

From Coverity CID 405194, tweaks and ok djm@

upstream: Plug mem leak. Coverity CID 405196, ok djm@

OpenBSD-Commit-ID: 175f09349387c292f626da68f65f334faaa085f2

upstream: ssh-pkcs11: synchronize error messages with errors

A handful of error messages contained incorrect function names or
otherwise inaccurate descriptions. Fix them to match reality.

input/ok djm

OpenBSD-Commit-ID: 165a15db52f75b31e1804b043480c36af09f3411

upstream: Delete obsolete /* ARGSUSED */ lint comments.

ok miod@ millert@

OpenBSD-Commit-ID: 7be168a570264d59e96a7d2d22e927d45fee0e4c

Extra brackets to prevent warning.

upstream: use RSA/SHA256 when testing usability of private key in

agent; with/ok dtucker

OpenBSD-Commit-ID: fe1382e2fdf23fcae631308e72342bad56066a56

upstream: use RSA/SHA256 when testing usability of private key;

based on fix in bz3546 by Dmitry Belyavskiy; with/ok dtucker

OpenBSD-Commit-ID: 0ef414cc363a832f9fab92a5da0234448bce2eba

upstream: refactor to be more readable top to bottom. Prompted by

Coverity CID 405048 which was a false-positive fd leak; ok dtucker@

OpenBSD-Commit-ID: fc55ec2af622a017defb9b768bf26faefc792c00

Add header changes missed in previous.

upstream: Fix mem leak in environment setup.

From jjelen at redhat.com via bz#2687, ok djm@

OpenBSD-Commit-ID: 9f9e4ba3cac003e6f81da3bcebd1b9ec43e7f353

upstream: Unit test for kex_proposal_populate_entries.

OpenBSD-Regress-ID: bdb211d80d572a08bf14b49fe2a58b9ff265c006

upstream: fix memory leak in process_read() path; Spotted by James

Robinson in GHPR363; ok markus@

OpenBSD-Commit-ID: cdc2d98e6478b7e7f3a36976845adae3820429d8

upstream: correct size for array argument when changing

UMAC_OUTPUT_LEN Coverity CID 291845; ok dtucker@

OpenBSD-Commit-ID: 2eb017d10705bb623d4418691f961c930eafaec0

upstream: Refactor creation of KEX proposal.

This adds kex_proposal_populate_entries (and corresponding free) which
populates the KEX proposal array with dynamically allocated strings.
This replaces the previous mix of static and dynamic that has been the
source of previous leaks and bugs.  Remove unused compat functions.
With & ok djm@.

OpenBSD-Commit-ID: f2f99da4aae2233cb18bf9c749320c5e040a9c7b

upstream: Fix mem and FILE leaks in moduli screening.

If multiple -Ocheckpoint= options are passed, the earlier ones would
be overwritten and leaked.  If we use an input file that wasn't stdin,
close that.  From Coverity CIDs 291884 and 291894.

OpenBSD-Commit-ID: a4d9d15f572926f841788912e2b282485ad09e8b

upstream: Plug mem leak in moduli checkpoint option parsing.

From Coverity CID 291894.

OpenBSD-Commit-ID: 9b1aba2d049741ae21c8dc4560a7e29ab17310f4

upstream: Remove unused compat.h includes.

We've previously removed a lot of the really old compatibility code,
and with it went the need to include compat.h in most of the files that
have it.

OpenBSD-Commit-ID: 5af8baa194be00a3092d17598e88a5b29f7ea2b4

upstream: Use time_t for x11 timeout.

Use time_t instead of u_int for remaining x11 timeout checks for 64bit
time_t safety.  From Coverity CIDs 405197 and 405028, ok djm@

OpenBSD-Commit-ID: 356685bfa1fc3d81bd95722d3fc47101cc1a4972

upstream: Ensure ms_remain is always initialized

similar to what we do in ssh_packet_write_wait.  bz#2687, from jjelen
at redhat.com.

OpenBSD-Commit-ID: a50e0541cf823f8d1c72f71ccde925d3dbe6dfac

upstream: Check for non-NULL before string

comparison. From jjelen at redhat.com via bz#2687.

OpenBSD-Commit-ID: 0d9b2e0cac88a311b5766b1aef737082583c285f

upstream: guard against getsockname(-1, ...) from Coverity CID

291832

OpenBSD-Commit-ID: e58d5227327917d189229b7f0b37d2780f360d5f

upstream: some options are not first-match-wins. Mention that there

are exceptions at the start of the manpage and label some of them in the
option description.

OpenBSD-Commit-ID: 3b74728446fa6fc8742769eeb8c3674e233e84c4

upstream: actually print "channeltimeout none" in config dump mode;

spotted via Coverity CID 405022

OpenBSD-Commit-ID: b074b52bf138b75f08264e8da15880b29c7a630f

Add Coverity badges.

upstream: Check return values of dup2. Spotted by Coverity, ok djm@

OpenBSD-Commit-ID: 19fb1b53072826d00c67df677731d2f6c1dd602b

upstream: Use time_t for x11_refuse_time timeout. We need

SSH_TIME_T_MAX for this, so move from misc.c to misc.h so it's available.
Fixes a Coverity warning for 64bit time_t safety, ok djm@

OpenBSD-Commit-ID: c69c4c3152cdaab953706db4ccf4d5fd682f7d8d

upstream: Check return value from fctnl and warn on failure.

Spotted by Coverity, ok djm@

OpenBSD-Commit-ID: 2097c7db3cf657f1e3a6c5077041bacc63143cab

upstream: Remove SUDO in proxy command wrapper. Anything that needs

sudo is already run by it, and it breaks if root isn't in sudoers.

OpenBSD-Regress-ID: 6cf22fda32a89c16915f31a6ed9bbdbef2a3bac9

upstream: Fix breakage on dhgex test.

This was due to the sshd logs being written to the wrong log file.
While there, make save_debug_logs less verbose, write the name of the
tarball to regress.log and use $SUDO to remove the old symlinks (which
shouldn't be needed, but won't hurt).  Initial problem spotted by anton@.

OpenBSD-Regress-ID: 9c44fb9cd418e6ff31165e7a6c1f9f11a6d19f5b

upstream: Quote grep and log message better.

OpenBSD-Regress-ID: 3823d9063127169736aa274b1784cb28e15b64d4

upstream: Always call fclose on checkpoints.

In the case of an fprintf failure we would not call fclose which would
leak the FILE pointer.  While we're there, try to clean up the temp file
on failure.  Spotted by Coverity, ok djm@

OpenBSD-Commit-ID: 73c7ccc5d4fcc235f54c6b20767a2815408525ef

upstream: Remove old log symlinks

before creating new ones. In -portable some platforms don't like
overwriting existing symlinks.

OpenBSD-Regress-ID: 7e7ddc0beb73e945e1c4c58d51c8a125b518120f