- (dtucker) [configure.ac] Put the check for the existence of getaddrinfo
   back so we disable the IPv6 tests if we don't have it.

 - (dtucker) [configure.ac defines.h loginrec.c logintest.c] Bug #1732: enable
   utmpx support on FreeBSD where possible.  Patch from Ed Schouten, ok djm@

 - (dtucker) [configure.ac] Bug #1744: use pkg-config for libedit flags if we
   have it and the path is not provided to --with-libedit.  Based on a patch
   from Iain Morgan.

 - (dtucker) [contrib/cygwin/Makefile] Don't overwrite files with the wrong
   ones.  Based on a patch from Roumen Petrov.

   - dtucker@cvs.openbsd.org 2010/03/26 01:06:13
     [ssh_config.5]
     Reformat default value of PreferredAuthentications entry (current
     formatting implies ", " is acceptable as a separator, which it's not.
     ok djm@

   - djm@cvs.openbsd.org 2010/03/26 00:26:58
     [ssh.1]
     mention that -S none disables connection sharing; from Colin Watson

 - (djm) [contrib/ssh-copy-id] Don't blow up when the agent has no keys;
   bz#1723 patch from Adeodato Simó via Colin Watson; ok dtucker@

 - (dtucker) Bug #1725: explicitly link libX11 into gnome-ssh-askpass2 using
   pkg-config, patch from Colin Watson.  Needed for newer linkers (ie gold).

 - (djm) [channels.c] Check for EPFNOSUPPORT as a socket() errno; bz#1721
   ok dtucker@

 - (djm) [session.c] Allow ChrootDirectory to work on SELinux platforms -
   set up SELinux execution context before chroot() call. From Russell
   Coker via Colin watson; bz#1726 ok dtucker@

   - djm@cvs.openbsd.org 2010/03/25 23:38:28
     [servconf.c]
     from portable: getcwd(NULL, 0) doesn't work on all platforms, so
     use a stack buffer; ok dtucker@

 - (dtucker) [configure.ac] Bug #1741: Add section for Haiku, patch originally
   by Ingo Weinhold via Scott McCreary, ok djm@

 - (djm) [openbsd-compat/bsd-arc4random.c] Fix preprocessor detection
   for arc4random_buf() and arc4random_uniform(); from Josh Gilkerson

 - (dtucker) [contrib/cygwin/ssh-host-config] Mount the Windows directory
   containing the services file explicitely case-insensitive.  This allows to
   tweak the Windows services file reliably.  Patch from vinschen at redhat.

 - (djm) [README contrib/caldera/openssh.spec contrib/redhat/openssh.spec]
   [contrib/suse/openssh.spec] Crank version numbers

   - djm@cvs.openbsd.org 2010/03/16 16:36:49
     [version.h]
     crank version to openssh-5.5 since we have a few fixes since 5.4;
     requested deraadt@ kettenis@

   - stevesk@cvs.openbsd.org 2010/03/16 15:46:52
     [auth-options.c]
     spelling in error message. ok djm kettenis

   - stevesk@cvs.openbsd.org 2010/03/15 19:40:02
     [key.c key.h ssh-keygen.c]
     also print certificate type (user or host) for ssh-keygen -L
     ok djm kettenis

   - jmc@cvs.openbsd.org 2010/03/13 23:38:13
     [ssh-keygen.1]
     fix a formatting error (args need quoted); noted by stevesk

   - djm@cvs.openbsd.org 2010/03/13 21:45:46
     [ssh-keygen.1]
     Certificates are named *-cert.pub, not *_cert.pub; committing a diff
     from stevesk@ ok me

   - djm@cvs.openbsd.org 2010/03/13 21:10:38
     [clientloop.c]
     protocol conformance fix: send language tag when disconnecting normally;
     spotted by 1.41421 AT gmail.com, ok markus@ deraadt@

   - markus@cvs.openbsd.org 2010/03/12 11:37:40
     [servconf.c]
     do not prepend AuthorizedKeysFile with getcwd(), unbreaks relative paths
     free() (not xfree()) the buffer returned by getcwd()

   - djm@cvs.openbsd.org 2010/03/12 01:06:25
     [servconf.c]
     unbreak AuthorizedKeys option with a $HOME-relative path; reported by
     vinschen AT redhat.com, ok dtucker@

   - djm@cvs.openbsd.org 2010/03/10 23:27:17
     [auth2-pubkey.c]
     correct certificate logging and make it more consistent between
     authorized_keys and TrustedCAKeys; ok markus@

   - jmc@cvs.openbsd.org 2010/03/10 07:40:35
     [ssh-keygen.1]
     typos; from Ross Richardson
     closes prs 6334 and 6335

   - jmc@cvs.openbsd.org 2010/03/08 09:41:27
     [ssh-keygen.1]
     sort the list of constraints (to -O); ok djm

 - (djm) [Makefile.in] Respecify -lssh after -lopenbsd-compat for
   ssh-pkcs11-helper to repair static builds (we do the same for
   ssh-keyscan). Reported by felix-mindrot AT fefe.de

 - (djm) [ssh-pkcs11-helper.c] Move #ifdef to after #defines to fix
   compilation failure when !HAVE_DLOPEN. Reported by felix-mindrot
   AT fefe.de

 - (tim) [contrib/cygwin/Makefile] Fix list of documentation files to install
   on a Cygwin installation. Patch from Corinna Vinschen.

 - (tim) [Makefile.in] Add missing $(EXEEXT) to install targets.
   Patch from Corinna Vinschen.

 - (tim) [openssh/Makefile.in] Now that scard is gone, no need to
   make $(datadir)

 - (tim) [contrib/suse/openssh.spec] crank version number here too.
   report by imorgan AT nas.nasa.gov

 - (dtucker) [configure.ac] Use a proper AC_CHECK_DECL for BROKEN_GETADDRINFO
   so setting it in CFLAGS correctly skips IPv6 tests.

   - djm@cvs.openbsd.org 2010/03/08 00:28:55
     [ssh-keygen.1]
     document permit-agent-forwarding certificate constraint; patch from
     stevesk@

 - (djm) Release OpenSSH-5.4p1

 - (djm) [README contrib/caldera/openssh.spec contrib/redhat/openssh.spec]
   crank version numbers

   - djm@cvs.openbsd.org 2010/03/07 22:16:01
     [ssh-keygen.c]
     make internal strptime string match strftime format;
     suggested by vinschen AT redhat.com and markus@

 - (djm) OpenBSD CVS Sync
   - djm@cvs.openbsd.org 2010/03/07 22:01:32
     [version.h]
     openssh-5.4

   - dtucker@cvs.openbsd.org 2010/03/07 11:57:13
     [auth-rhosts.c monitor.c monitor_wrap.c session.c auth-options.c sshd.c]
     Hold authentication debug messages until after successful authentication.
     Fixes an info leak of environment variables specified in authorized_keys,
     reported by Jacob Appelbaum.  ok djm@

 - (dtucker) [session.c] Also initialize creds to NULL for handing to
   setpcred.

 - (dtucker) [session.c] Bug #1567: move setpcred call to before chroot and
   do not set real uid, since that's needed for the chroot, and will be set
   by permanently_set_uid.

 - (dtucker) [auth.c] Bug #1710: call setauthdb on AIX before getpwuid so that
   it gets the passwd struct from the LAM that knows about the user which is
   not necessarily the default.  Patch from Alexandre Letourneau.

   - djm@cvs.openbsd.org 2010/03/05 10:28:21
     [ssh-add.1 ssh.1 ssh_config.5]
     mention loading of certificate files from [private]-cert.pub when
     they are present; feedback and ok jmc@

   - jmc@cvs.openbsd.org 2010/03/05 08:31:20
     [ssh.1]
     document certificate authentication; help/ok djm

   - jmc@cvs.openbsd.org 2010/03/05 06:50:35
     [ssh.1 sshd.8]
     tweak previous;

 - (djm) [configure.ac] set -fno-strict-aliasing for gcc4; ok dtucker@

   - djm@cvs.openbsd.org 2010/03/05 02:58:11
     [auth.c]
     make the warning for a revoked key louder and more noticable

 - (djm) [ssh-rand-helper.c] declare optind, avoiding compilation failure
   on some platforms

   - djm@cvs.openbsd.org 2010/03/04 23:27:25
     [auth-options.c ssh-keygen.c]
     "force-command" is not spelled "forced-command"; spotted by
     imorgan AT nas.nasa.gov

   - djm@cvs.openbsd.org 2010/03/04 23:19:29
     [ssh.1 sshd.8]
     move section on CA and revoked keys from ssh.1 to sshd.8's known hosts
     format section and rework it a bit; requested by jmc@

   - djm@cvs.openbsd.org 2010/03/04 23:17:25
     [sshd_config.5]
     missing word; spotted by jmc@

   - jmc@cvs.openbsd.org 2010/03/04 22:52:40
     [ssh-keygen.1]
     fix Bk/Ek;

 - (tim) [ssh-pkcs11.c] Fix "non-constant initializer" errors in older
   compilers. OK djm@

   - djm@cvs.openbsd.org 2010/03/04 20:35:08
     [ssh-keygen.1 ssh-keygen.c]
     Add a -L flag to print the contents of a certificate; ok markus@

   - jmc@cvs.openbsd.org 2010/03/04 12:51:25
     [ssh.1 sshd_config.5]
     tweak previous;

   - djm@cvs.openbsd.org 2010/03/04 10:38:23
     [regress/cert-hostkey.sh regress/cert-userkey.sh]
     additional regression tests for revoked keys and TrustedUserCAKeys

   - djm@cvs.openbsd.org 2010/03/03 00:47:23
     [regress/cert-hostkey.sh regress/cert-userkey.sh]
     add an extra test to ensure that authentication with the wrong
     certificate fails as it should (and it does)

   - djm@cvs.openbsd.org 2010/03/04 10:36:03
     [auth-rh-rsa.c auth-rsa.c auth.c auth.h auth2-hostbased.c auth2-pubkey.c]
     [authfile.c authfile.h hostfile.c hostfile.h servconf.c servconf.h]
     [ssh-keygen.c ssh.1 sshconnect.c sshd_config.5]
     Add a TrustedUserCAKeys option to sshd_config to specify CA keys that
     are trusted to authenticate users (in addition than doing it per-user
     in authorized_keys).

     Add a RevokedKeys option to sshd_config and a @revoked marker to
     known_hosts to allow keys to me revoked and banned for user or host
     authentication.

     feedback and ok markus@

   - djm@cvs.openbsd.org 2010/03/04 01:44:57
     [key.c]
     use buffer_get_string_ptr_ret() where we are checking the return
     value explicitly instead of the fatal()-causing buffer_get_string_ptr()

   - djm@cvs.openbsd.org 2010/03/03 22:50:40
     [PROTOCOL.certkeys]
     s/similar same/similar/; from imorgan AT nas.nasa.gov

   - djm@cvs.openbsd.org 2010/03/03 22:49:50
     [sshd.8]
     the authorized_keys option for CA keys is "cert-authority", not
     "from=cert-authority". spotted by imorgan AT nas.nasa.gov

 - OpenBSD CVS Sync
   - djm@cvs.openbsd.org 2010/03/03 01:44:36
     [auth-options.c key.c]
     reject strings with embedded ASCII nul chars in certificate key IDs,
     principal names and constraints

 - (djm) [regress/Makefile] Cleanup sshd_proxy_orig

 - (djm) [.cvsignore] Ignore ssh-pkcs11-helper

 - (djm) [contrib/redhat/openssh.spec] Replace obsolete BuildPreReq
   on XFree86-devel with neutral /usr/include/X11/Xlib.h;
   imorgan AT nas.nasa.gov in bz#1731

 - (djm) [ssh-keygen.c] Use correct local variable, instead of
   maybe-undefined global "optarg"

 - (djm) [regress/cert-userkey.sh] s/echo -n/echon/ here too

   - djm@cvs.openbsd.org 2010/03/02 23:20:57
     [ssh-keygen.c]
     POSIX strptime is stricter than OpenBSD's so do a little dance to
     appease it.

   - djm@cvs.openbsd.org 2010/03/02 23:20:57
     [ssh-keygen.c]
     POSIX strptime is stricter than OpenBSD's so do a little dance to
     appease it.

   - otto@cvs.openbsd.org 2010/03/01 11:07:06
     [ssh-add.c]
     zap what seems to be a left-over debug message; ok markus@

   - jmc@cvs.openbsd.org 2010/02/26 22:09:28
     [ssh-keygen.1 ssh.1 sshd.8]
     tweak previous;

 - (djm) [PROTOCOL.certkeys] Add RCS Ident

 - (tim) [config.guess config.sub] Bug 1722: Update to latest versions from
   http://git.savannah.gnu.org/gitweb/ (2009-12-30 and 2010-01-22
   respectively).

 - (dtucker) [openbsd-compat/port-linux.c] Make failure to write to the OOM
   adjust log at verbose only, since according to cjwatson in bug #1470
   some virtualization platforms don't allow writes.

 - (dtucker) [regress/{cert-hostkey,cfgmatch,cipher-speed}.sh} Replace
   "echo -n" with "echon" for portability.

 - (tim) [ssh-pkcs11-helper.c] Move declarations before calling functions
   to make older compilers (gcc 2.95) happy.

 - (djm) [auth.c] On Cygwin, refuse usernames that have differences in
   case from that matched in the system password database. On this
   platform, passwords are stored case-insensitively, but sshd requires
   exact case matching for Match blocks in sshd_config(5). Based on
   a patch from vinschen AT redhat.com.

 - (djm) [openbsd-compat/bsd-cygwin_util.c] Reduce the set of environment
   variables copied into sshd child processes. From vinschen AT redhat.com

- (djm) [ssh-pkcs11-helper.c ] Ensure RNG is initialised and seeded

   - djm@cvs.openbsd.org 2010/02/26 20:33:21
     [Makefile regress/cert-hostkey.sh regress/cert-userkey.sh]
     regression tests for certified keys

 - OpenBSD CVS Sync
   - djm@cvs.openbsd.org 2010/02/26 20:29:54
     [PROTOCOL PROTOCOL.agent PROTOCOL.certkeys addrmatch.c auth-options.c]
     [auth-options.h auth.h auth2-pubkey.c authfd.c dns.c dns.h hostfile.c]
     [hostfile.h kex.h kexdhs.c kexgexs.c key.c key.h match.h monitor.c]
     [myproposal.h servconf.c servconf.h ssh-add.c ssh-agent.c ssh-dss.c]
     [ssh-keygen.1 ssh-keygen.c ssh-rsa.c ssh.1 ssh.c ssh2.h sshconnect.c]
     [sshconnect2.c sshd.8 sshd.c sshd_config.5]
     Add support for certificate key types for users and hosts.

     OpenSSH certificate key types are not X.509 certificates, but a much
     simpler format that encodes a public key, identity information and
     some validity constraints and signs it with a CA key. CA keys are
     regular SSH keys. This certificate style avoids the attack surface
     of X.509 certificates and is very easy to deploy.

     Certified host keys allow automatic acceptance of new host keys
     when a CA certificate is marked as sh/known_hosts.
     see VERIFYING HOST KEYS in ssh(1) for details.

     Certified user keys allow authentication of users when the signing
     CA key is marked as trusted in authorized_keys. See "AUTHORIZED_KEYS
     FILE FORMAT" in sshd(8) for details.

     Certificates are minted using ssh-keygen(1), documentation is in
     the "CERTIFICATES" section of that manpage.

     Documentation on the format of certificates is in the file
     PROTOCOL.certkeys

     feedback and ok markus@

contrib/caldera/openssh.spec
contrib/redhat/openssh.spec
contrib/suse/openssh.spec

 - (djm) [Makefile.in ssh-pkcs11-helper.8] Add manpage for PKCS#11 helper

   - dtucker@cvs.openbsd.org 2009/11/09 04:20:04
     [regress/Makefile keygen-convert.sh]
     add regression test for ssh-keygen pubkey conversions

   - markus@cvs.openbsd.org 2010/02/08 10:52:47
     [regress/agent-pkcs11.sh]
     test for PKCS#11 support (currently disabled)

   - djm@cvs.openbsd.org 2010/02/24 06:21:56
     [regress/test-exec.sh]
     wait for sshd to fully stop in cleanup() function; avoids races in tests
     that do multiple start_sshd/cleanup cycles; "I hate pidfiles" deraadt@

   - djm@cvs.openbsd.org 2010/02/09 06:29:02
     [regress/Makefile]
     turn on all the malloc(3) checking options when running regression
     tests. this has caught a few bugs for me in the past; ok dtucker@

   - djm@cvs.openbsd.org 2010/02/09 04:57:36
     [regress/addrmatch.sh]
     clean up droppings

   - dtucker@cvs.openbsd.org 2010/01/11 02:53:44
     [regress/forwarding.sh]
     regress test for stdio forwarding

   - dtucker@cvs.openbsd.org 2009/11/09 04:20:04
     [regress/Makefile]
     add regression test for ssh-keygen pubkey conversions

   - djm@cvs.openbsd.org 2010/02/11 20:37:47
     [pathnames.h]
     correct comment

 - (djm) [pkcs11.h ssh-pkcs11-client.c ssh-pkcs11-helper.c ssh-pkcs11.c]
   [ssh-pkcs11.h] Add $OpenBSD$ RCS idents so we can sync portable

- (djm) [configure.ac] Enable PKCS#11 support only when we find a working
  dlopen()

 - (djm) [ssh-pkcs11-client.c ssh-pkcs11-helper.c ssh-pkcs11.c]
   Use ssh_get_progname to fill __progname

 - (djm) [ssh-pkcs11-client.c ssh-pkcs11-helper.c ssh-pkcs11.c]
   Make it compile on OSX

 - (djm) [INSTALL Makefile.in README.smartcard configure.ac scard-opensc.c]
   [scard.c scard.h pkcs11.h scard/Makefile.in scard/Ssh.bin.uu scard/Ssh.java]
   Remove obsolete smartcard support

   - jmc@cvs.openbsd.org 2010/02/11 13:23:29
     [ssh.1]
     libarary -> library;

   - markus@cvs.openbsd.org 2010/02/10 23:20:38
     [ssh-add.1 ssh-keygen.1 ssh.1 ssh_config.5]
     pkcs#11 is no longer optional; improve wording; ok jmc@

   - djm@cvs.openbsd.org 2010/02/09 06:18:46
     [auth.c]
     unbreak ChrootDirectory+internal-sftp by skipping check for executable
     shell when chrooting; reported by danh AT wzrd.com; ok dtucker@

   - djm@cvs.openbsd.org 2010/02/09 03:56:28
     [buffer.c buffer.h]
     constify the arguments to buffer_len, buffer_ptr and buffer_dump