upstream: new name/link for agent I-D

OpenBSD-Commit-ID: e3420f3925a297a1b2ab7dfe7c7d274cfc8e1193

upstream: mention that biometrics may be used for FIDO key user

verification as well as PIN. Prompted by Zack Newman, ok jmc@

OpenBSD-Commit-ID: b774a4438c9be70012661ee278450790d21277b8

upstream: g/c outdated XXX comments

OpenBSD-Commit-ID: 74d0c0b74994d9a4343c4d7ea4948cb34f609a6c

upstream: regression test for UpdateHostkeys with multiple keys backed

by ssh-agent. Patch from Maxime Rey.

OpenBSD-Regress-ID: 1777ab6e639e57c0e20cbcb6df60455b49fd8bb3

upstream: Explicitly specify the signature algorithm when signing

hostkeys-prove requests.

Fixes a corner-case triggered by UpdateHostKeys with one or more unknown
host keys stored in ssh-agent where sshd refuses to accept the signature
coming back from the agent.

Report/fix from Maxime Rey

OpenBSD-Commit-ID: 460c7d527a24f92b7e5f68ca1a2fa242ebf0d086

upstream: when using RSA keys to sign messages, select the

signature algorithm based on the requested hash algorithm ("-Ohashalg=xxx").

This allows using something other than rsa-sha2-512, which may not
be supported on all signing backends, e.g. some smartcards only
support SHA256.

Patch from Morten Linderud; ok markus@

OpenBSD-Commit-ID: 246353fac24e92629263996558c6788348363ad7

upstream: turn off CDIAGFLAGS and turn back on INSTALL_STRIP

accidentally changed in last commit

OpenBSD-Commit-ID: 6d07e4606997e36b860621a14dd41975f2902f8f

Disable security key for bigendian interop.

It doesn't currently work.  It's not clear why, but I suspect
sk-dummy.so ends up being built for the wrong architecture.

Reshuffle OpenWRT test configs.

Move the the flags used by the OpenWRT distro to mipsel target and
enable OpenSSL on all targets to improve coverage.

Explicitly disable security key and openssl on mips target so that host
end of the bigendian interop tests don't attempt them and fail (since
they're not enabled on the target side).

Add keytype to bigendian interop test.

Ignore chown failure, eg due to dangling symlinks.

Test bigendian interop.

Where our test target is a bigendian system, do an additional build on
the runner host (which is little endian) and test interop between the two.
Should hopefully catch obvious endianness bugs.

Allow overridding TEST_SSH_SSHD.

This will allow tests to specify an alternative sshd, eg on a remote
machine with different endianness.

upstream: ssh-agent implemented an all-or-nothing allow-list of

FIDO application IDs for security key-backed keys, to prevent web key handles
from being used remotely as this would likely lead to unpleasant surprises.
By default, only application IDs that start with "ssh:*" are allowed.

This adds a -Owebsafe-allow=... argument that can override the default
list with a more or less restrictive one. The default remains unchanged.

ok markus@

OpenBSD-Commit-ID: 957c1ed92a8d7c87453b9341f70cb3f4e6b23e8d

upstream: Ignore extra groups that don't fit in the buffer passed

to getgrouplist(3)

Our kernel supports 16 groups (NGROUPS_MAX), but nothing prevents
an admin from adding a user to more groups.  With that tweak we'll keep
on ignoring them instead of potentially reading past the buffer passed to
getgrouplist(3).  That behavior is explicitely described in initgroups(3).

ok millert@ gilles@

OpenBSD-Commit-ID: a959fc45ea3431b36f52eda04faefc58bcde00db

Add git signing key for Tim Rice

Correct path to c-cpp.yml file in workflow config.

Test new OpenSSL and LibreSSL releases.`

Add nbsd10 default test config.

fix uint64_t types; reported by Tom G. Christensen

htole64() etc for systems without endian.h

upstream: explicitly include endian.h

OpenBSD-Commit-ID: 13511fdef7535bdbc35b644c90090013da43a318

upstream: fix ML-KEM768x25519 KEX on big-endian systems; spotted by

jsg@ feedback/ok deraadt@

OpenBSD-Commit-ID: 26d81a430811672bc762687166986cad40d28cc0

upstream: mlkem768x25519-sha256 has been promoted to default key

exchange

OpenBSD-Commit-ID: 5a3259a193fd42108a869ebf650b95b5f2d08dcf

Retire the minix3 test config.

It got broken by the sshd-auth change, it's not obvious why, and the
platform lacks the debugging tools (eg gdb, strace) to figure it out.
The upstream project seems effectively dead (6 years since the last
commit, 10 since the last release).  It was useful while it lasted
(we found a real bug because of it) but its time seems to have passed.

Updated gitignore to ignore sshd-session and sshd-auth targets

Simplify pselect shim and remove side effects.

Instead of maintaing state (pipe descriptors, signal handlers) across
pselect-on-select invocations, set up and restore them each call.
This prevents outside factors (eg a closefrom or signal handler
installation) from potentially causing problems.  This does result in a
drop in throughput of a couple of percent on geriatric platforms without
a native pselect due to the extra overhead.  Tweaks & ok djm@

upstream: promote mlkem768x25519-sha256 to be the default key exchange;

ok markus@

OpenBSD-Commit-ID: fc673065e6505bb06b2e2b9362f78ccb4200a828

upstream: test SIGUSR1 dropping all keys from ssh-agent

OpenBSD-Regress-ID: 8654b9aa8eb695b1499fffc408c25319592bf0e0

upstream: amake ssh-agent drop all keys when it receives SIGUSR1;

let's users zap keys without access to $SSH_AUTH_SOCK

ok deraadt@

OpenBSD-Commit-ID: dae9db0516b1011e5ba8c655ac702fce42e6c023

upstream: relax valid_domain() checks to allow an underscore as the

first character. ok deraadt@

OpenBSD-Commit-ID: 3f8be6d32496e5596dd8b14e19cb067ddd7969ef

upstream: Remove sshd logfile in start_sshd

... and ssh and sshd log wrappers before recreating them.  Prevents "can't
create" errors during tests when running tests without SUDO after having
run them with SUDO.

OpenBSD-Regress-ID: 2f0a83532e3dccd673a9bf0291090277268c69a6

upstream: Add a sshd debug wrapper

... to run all of the subprograms from the build directory while
developing and debugging.  Should help prevent accidentally testing
against unchanged installed sshd-auth and sshd-session binaries. ok djm@

OpenBSD-Commit-ID: 61760cdc98c2bc8f1e9f83a6f97cca0f66b52e69

upstream: Make debug call printf("%s", NULL) safe.

Prevents problems on platforms where this isn't safe (which it's not
required to be).  ok djm@

OpenBSD-Commit-ID: 8fa4ce3ad90915c925b81b99a79ab920b0523387

Resync cvsid missed in commit 6072e4c9.

upstream: mention that LocalForward and RemoteForward can accept Unix

domain socket paths; GHPR115

OpenBSD-Commit-ID: a8a34d0a0c51a9ddab3dfce615f9878fa76ef842

upstream: remove duplicate check; GHPR392 from Pedro Martelletto

OpenBSD-Commit-ID: 597ab7dd3f0e78939d2659fc1904d0f39ee95487

upstream: allow "-" as output file for moduli screening

based on GHPR393

OpenBSD-Commit-ID: 1517763764eb55d03a6092dd120d2909c6fef0e1

upstream: ssh-keyscan doesn't need it's own sshfatal() definition, it

can use the shared one from fatal.c

based on GHPR401 from lengyijun

OpenBSD-Commit-ID: 8ea75ea99f27f464c9223cbc89cb046ccf9cd5c4

upstream: in _ssh_order_hostkeyalgs() consider ECDSA curve type when

arranging the hostkey algorithms. AFAIK this code is unused in OpenSSH, but I
guess others are using it

based on GHPR387 from Pawel Jakub Dawidek

OpenBSD-Commit-ID: 4d462495ac0c40f7b7dd66178e0005b9b2128225

upstream: require control-escape character sequences passed via the '-e

^x' commandline to be exactly two characters long. Avoids one by OOB read if
ssh is invoked as "ssh -e^ ..."

Spotted by Maciej Domanski in GHPR368

OpenBSD-Commit-ID: baa72bc60898fc5639e6c62de7493a202c95823d

upstream: remove addr.[ch] functions that are unused and

visbility-restrict ones that are unused outside the implementation itself;
based on GHPR#282 by tobias@

OpenBSD-Commit-ID: a0140f2418b4d46cfaa7b33febc0a0931f9b2744

upstream: unreachable POLLERR case; from ya0guang via GHPR485

OpenBSD-Commit-ID: b3c82655190532b01eb817e532742cfaa4687eff

upstream: s/Sx/Cm/ for external references; from Domen Puncer

Kugler via GHPR501

OpenBSD-Commit-ID: f864a34feb5d5ff17160cf7c42ad0f7744fe8a3f

upstream: mention SshdAuthPath option; ok djm@

OpenBSD-Commit-ID: 9a5d3add25e4e77bd3805bc5583a842ecf34d85c

Remove references to systrace and pledge sandboxes.

ok djm@

Fix "undeclared 'ut'" error by replacing it with 'utx'

Seed RNG when starting up sshd-auth.

Makes builds configured --without-openssl work again since otherwise
the first use of the RNG comes after the sandbox init and it can't
open /dev/random.

MacOS 12 runners are deprecated, replace with 15.

Fix lookup path for sshd-auth; bz3745

fix breakage; missing saved_argc symbol

fix capsicum sandbox

put back some portable bits for sshd-auth.c

there's only one sandbox, move to a static global

depend

upstream: regress support for split sshd-auth binary

OpenBSD-Regress-ID: df7d18a87b475f70004770f0f4e404adba5f6ab7

upstream: test some more Match syntax, including criteria=arg and

negations

OpenBSD-Regress-ID: 67476baccc60bf1a255fd4e329ada950047b8b8d

upstream: Split per-connection sshd-session binary

This splits the user authentication code from the sshd-session
binary into a separate sshd-auth binary. This will be executed by
sshd-session to complete the user authentication phase of the
protocol only.

Splitting this code into a separate binary ensures that the crucial
pre-authentication attack surface has an entirely disjoint address
space from the code used for the rest of the connection. It also
yields a small runtime memory saving as the authentication code will
be unloaded after thhe authentication phase completes.

Joint work with markus@ feedback deraadt@

Tested in snaps since last week

OpenBSD-Commit-ID: 9c3b2087ae08626ec31b4177b023db600e986d9c

upstream: don't start the ObscureKeystrokeTiming mitigations if

there has been traffic on a X11 forwarding channel recently.

Should fix X11 forwarding performance problems when this setting is
enabled. Patch from Antonio Larrosa via bz3655

OpenBSD-Commit-ID: 820284a92eb4592fcd3d181a62c1b86b08a4a7ab

upstream: remove duplicate misc.h include ok dtucker@

OpenBSD-Commit-ID: fdd056e7854294834d54632b4282b877cfe4c12e

upstream: Turn off finite field (a.k.a modp) Diffie-Hellman key

exchange in sshd by default. Specifically, this removes the
diffie-hellman-group* and diffie-hellman-group-exchange-* methods. The client
is unchanged and continues to support these methods by default.

Finite field Diffie Hellman is slow and computationally expensive for
the same security level as Elliptic Curve DH or PQ key agreement while
offering no redeeming advantages.

ECDH has been specified for the SSH protocol for 15 years and some
form of ECDH has been the default key exchange in OpenSSH for the last
14 years.

ok markus@

OpenBSD-Commit-ID: 4e238ad480a33312667cc10ae0eb6393abaec8da

upstream: fix previous change to ssh_config Match, which broken on

negated Matches; spotted by phessler@ ok deraadt@

OpenBSD-Commit-ID: b1c6acec66cd5bd1252feff1d02ad7129ced37c7

upstream: remove some unused defines; ok djm@

OpenBSD-Commit-ID: 3a63e4e11d455704f684c28715d61b17f91e0996

upstream: remove some unneeded Xo/Xc calls; from evan silberman the

original diff had a couple of errors, which i've fixed

OpenBSD-Commit-ID: f37ad5888adbc0d4e1cd6b6de237841f4b1e650d

upstream: fix regression introduced when I switched the "Match"

criteria tokeniser to a more shell-like one. Apparently the old tokeniser
(accidentally?) allowed "Match criteria=argument" as well as the "Match
criteria argument" syntax that we tested for.

People were using this syntax so this adds back support for
"Match criteria=argument"

bz3739 ok dtucker

OpenBSD-Commit-ID: d1eebedb8c902002b75b75debfe1eeea1801f58a

upstream: some extra paranoia, reminded by jsg@

OpenBSD-Commit-ID: 22072bfa1df1391858ae7768a6c627e08593a91e

gss-serv.c needs sys/param.h

From Void Linux

build construct_utmp() when USE_BTMP is set

Fixes compile error on Void Linux/Musl

Test the flags from OpenWRT's package.

fix utmpx ifdef

02e16ad95fb1f56ab004b01a10aab89f7103c55d did a copy-paste for
utmpx, but forgot to change the ifdef appropriately

upstream: remove some unused defines; ok djm@

OpenBSD-Commit-ID: 81869ee6356fdbff19dae6ff757095e6b24de712

upstream: remove unneeded semicolons; checked by millert@

OpenBSD-Commit-ID: 3fb621a58e04b759a875ad6a33f35bb57ca80231

Add 9.9 branch to CI status console.

update version numbers

upstream: openssh-9.9

OpenBSD-Commit-ID: 303417285f1a73b9cb7a2ae78d3f493bbbe31f98

include openbsd-compat/base64.c license in LICENSE

conditionally include mman.h in arc4random code

fix bug in recently-added sntrup761 fuzzer

key values need to be static to persist across invocations;
spotted by the Qualys Security Advisory team.

upstream: use 64 bit math to avoid signed underflow. upstream code

relies on using -fwrapv to provide defined over/underflow behaviour, but we
use -ftrapv to catch integer errors and abort the program. ok dtucker@

OpenBSD-Commit-ID: 8933369b33c17b5f02479503d0a92d87bc3a574b

upstream: minor grammar/sort fixes for refuseconnection; ok djm

OpenBSD-Commit-ID: 1c81f37b138b8b66abba811fec836388a0f3e6da

avoid gcc warning in fuzz test

upstream: bad whitespace in config dump output

OpenBSD-Commit-ID: d899c13b0e8061d209298eaf58fe53e3643e967c

use construct_utmp to construct btmp records

Simpler and removes some code with the old-style BSD license.

upstream: update the Streamlined NTRU Prime code from the "ref"

implementation in SUPERCOP 20201130 to the "compact" implementation in
SUPERCOP 20240808. The new version is substantially faster. Thanks to Daniel
J Bernstein for pointing out the new implementation (and of course for
writing it).

tested in snaps/ok deraadt@

OpenBSD-Commit-ID: bf1a77924c125ecdbf03e2f3df8ad13bd3dafdcb

upstream: document Match invalid-user

OpenBSD-Commit-ID: 2c84a9b517283e9711e2812c1f268081dcb02081

upstream: add a "Match invalid-user" predicate to sshd_config Match

options.

This allows writing Match conditions that trigger for invalid username.
E.g.

PerSourcePenalties refuseconnection:90s
Match invalid-user
 RefuseConnection yes

Will effectively penalise bots try to guess passwords for bogus accounts,
at the cost of implicitly revealing which accounts are invalid.

feedback markus@

OpenBSD-Commit-ID: 93d3a46ca04bbd9d84a94d1e1d9d3a21073fbb07

upstream: Add a "refuseconnection" penalty class to sshd_config

PerSourcePenalties

This allows penalising connection sources that have had connections
dropped by the RefuseConnection option. ok markus@

OpenBSD-Commit-ID: 3c8443c427470bb3eac1880aa075cb4864463cb6

upstream: Add a sshd_config "RefuseConnection" option

If set, this will terminate the connection at the first authentication
request (this is the earliest we can evaluate sshd_config Match blocks)

ok markus@

OpenBSD-Commit-ID: 43cc2533984074c44d0d2f92eb93f661e7a0b09c

upstream: switch sshd_config Match processing to the argv tokeniser

too; ok markus@

OpenBSD-Commit-ID: b74b5b0385f2e0379670e2b869318a65b0bc3923

upstream: switch "Match" directive processing over to the argv

string tokeniser, making it possible to use shell-like quoting in Match
directives, particularly "Match exec". ok markus@

OpenBSD-Commit-ID: 0877309650b76f624b2194c35dbacaf065e769a5

upstream: include pathname in some of the ssh-keygen passphrase

prompts. Helps the user know what's going on when ssh-keygen is invoked via
other tools. Requested in GHPR503

OpenBSD-Commit-ID: 613b0bb6cf845b7e787d69a5b314057ceda6a8b6

upstream: Do not apply authorized_keys options when signature

verification fails. Prevents restrictive key options being incorrectly
applied to subsequent keys in authorized_keys. bz3733, ok markus@

OpenBSD-Commit-ID: ba3776d9da4642443c19dbc015a1333622eb5a4e

Fix without_openssl always being set to 1

In Fedora systems, %{?rhel} is empty. In RHEL systems, %{?fedora} is
empty. Therefore, the original code always sets without_openssl to 1.

upstream: Relax absolute path requirement back to what it was prior to

OpenSSH 9.8, which incorrectly required that sshd was started with an
absolute path in inetd mode. bz3717, patch from Colin Wilson

OpenBSD-Commit-ID: 25c57f22764897242d942853f8cccc5e991ea058

upstream: document the mlkem768x25519-sha256 key exchange algorithm

OpenBSD-Commit-ID: fa18dccdd9753dd287e62ecab189b3de45672521

Spell omnios test host correctly.

Add omnios test target.

Wrap stdint.h in ifdef.

Also test PAM on dfly64.

stubs for ML-KEM KEX functions

used for C89 compilers