upstream: Record session ID, host key and sig at intital KEX

These will be used later for agent session ID / hostkey binding

ok markus@

OpenBSD-Commit-ID: a9af29e33772b18e3e867c6fa8ab35e1694a81fe

upstream: better error message for FIDO keys when we can't match

them to a token

OpenBSD-Commit-ID: 58255c2a1980088f4ed144db67d879ada2607650

Correct value for IPTOS_DSCP_LE.

It needs to allow for the preceeding two ECN bits.  From daisuke.higashi
at gmail.com via OpenSSH bz#3373, ok claudio@, job@, djm@.

Increase timeout for test step.

Update the list of tests that don't work on Minix.

While there, remove CC (configure will now find clang) and make the test
list easier to update via cut and paste.

Add minix host tuple.

Define SETEUID_BREAKS_SETUID for it which should make privsep work.

upstream: fix unintended sizeof pointer in debug path ok markus@

OpenBSD-Commit-ID: b9c0481ffc0cd801e0840e342e6a282a85aac93c

upstream: RSA/SHA-1 is not used by default anymore on the server

OpenBSD-Commit-ID: 64abef6cfc3e53088225f6b8a1dcd86d52dc8353

upstream: hash full host:port when asked to hash output, fixes hashes

for non- default ports. bz3367 ok dtucker@

OpenBSD-Commit-ID: 096021cc847da7318ac408742f2d0813ebe9aa73

upstream: improve the testing of credentials against inserted FIDO

keys a little more: ask the token whether a particular key belongs to it in
cases where the token support on-token user- verification (e.g. biometrics)
rather than just assuming that it will accept it.

Will reduce spurious "Confirm user presence" notifications for key
handles that relate to FIDO keys that are not currently inserted in at
least some cases.

Motivated by bz3366; by Pedro Martelletto

OpenBSD-Commit-ID: ffac7f3215842397800e1ae2e20229671a55a63d

upstream: move check_sk_options() up so we can use it earlier

OpenBSD-Commit-ID: 67fe98ba1c846d22035279782c4664c1865763b4

upstream: ssh-rsa is no longer in the default for

PubkeyAcceptedAlgorithms.

OpenBSD-Commit-ID: 34a9e1bc30966fdcc922934ae00f09f2596cd73c

upstream: don't put the tty into raw mode when SessionType=none, avoids

^c being unable to kill such a session. bz3360; ok dtucker@

OpenBSD-Commit-ID: 83960c433052303b643b4c380ae2f799ac896f65

previous commit broke bcrypt_pbkdf()

Accidentally reverted part of the conversion to use SHA512 from SUPERCOP
instead of OpenBSD-style libc SHA512.

Fix typo in Neils' name.

sync bcrypt-related files with OpenBSD

The main change is that Niels Provos kindly agreed to rescind the
BSD license advertising clause, shifting them to the 3-term BSD
license.

This was the last thing in OpenSSH that used the advertising clause.

depend

upstream: sshsig: return "key not found" when searching empty files

rather than "internal error"

OpenBSD-Commit-ID: e2ccae554c78d7a7cd33fc5d217f35be7e2507ed

upstream: ssh-keygen -Y match-principals doesn't accept any -O

options at present, so don't say otherwise in SYNOPSIS; spotted jmc@

OpenBSD-Commit-ID: 9cc43a18f4091010741930b48b3db2f2e4f1d35c

upstream: fix indenting in last commit

OpenBSD-Commit-ID: 8b9ba989815d0dec1fdf5427a4a4b58eb9cac4d2

upstream: missing initialisation for oerrno

OpenBSD-Commit-ID: 05d646bba238080259bec821c831a6f0b48d2a95

Correct ifdef to activate poll() only if needed.

upstream: whitespac e

OpenBSD-Regress-ID: b9511d41568056bda489e13524390167889908f8

upstream: regression test for match-principals. Mostly by Fabian

Stelzer

OpenBSD-Regress-ID: ced0bec89af90935103438986bbbc4ad1df9cfa7

upstream: Add ssh-keygen -Y match-principals operation to perform

matching of principals names against an allowed signers file.

Requested by and mostly written by Fabian Stelzer, towards a TOFU
model for SSH signatures in git. Some tweaks by me.

"doesn't bother me" deraadt@

OpenBSD-Commit-ID: 8d1b71f5a4127bc5e10a880c8ea6053394465247

upstream: debug("func: ...") -> debug_f("...")

OpenBSD-Commit-ID: d58494dc05c985326a895adfbe16fbd5bcc54347

Allow for fd = -1 in compat ppoll overflow check.

Fixes tests on at least FreeBSD 6, possibly others.

Don't auto-enable Capsicum sandbox on FreeBSD 9/10.

Since we changed from select() to ppoll() tests have been failing.
This seems to be because FreeBSD 10 (and presumably 9) do not allow
ppoll() in the privsep process and sshd will fail with "Not permitted in
capability mode".  Setting CAP_EVENT on the FDs doesn't help, but weirdly,
poll() works without that.  Those versions are EOL so this situation is
unlikely to change.

upstream: regression test for ssh-keygen -Y find-principals fix; from

Fabian Stelzer ok djm markus

OpenBSD-Regress-ID: 34fe4088854c1a2eb4c0c51cc4676ba24096bac4

upstream: less confusing debug message; bz#3365

OpenBSD-Commit-ID: 836268d3642c2cdc84d39b98d65837f5241e4a50

upstream: avoid xmalloc(0) for PKCS#11 keyid for ECDSA keys (we

already did this for RSA keys). Avoids fatal errors for PKCS#11 libraries
that return empty keyid, e.g. Microchip ATECC608B "cryptoauthlib"; bz#3364

OpenBSD-Commit-ID: 054d4dc1d6a99a2e6f8eebc48207b534057c154d

upstream: ssh-keygen -Y find-principals was verifying key validity

when using ca certs but not with simple key lifetimes within the allowed
signers file.

Since it returns the first keys principal it finds this could
result in a principal with an expired key even though a valid
one is just below.

patch from Fabian Stelzer; feedback/ok djm markus

OpenBSD-Commit-ID: b108ed0a76b813226baf683ab468dc1cc79e0905

Correct calculation of tv_nsec in poll().

Add compat implementation of ppoll using pselect.

Put poll.h inside ifdef HAVE_POLL_H.

upstream: check for POLLHUP wherever we check for POLLIN

OpenBSD-Commit-ID: 6aa6f3ec6b17c3bd9bfec672a917f003a76d93e5

upstream: fd leak in sshd listen loop error path; from Gleb

Smirnoff

OpenBSD-Commit-ID: a7a2be27a690a74bf2381bc16cea38e265657412

upstream: check for POLLHUP as well as POLLIN in sshd listen loop;

ok deraadt millert

OpenBSD-Commit-ID: a4f1244c5a9c2b08dac4f3b1dc22e9d1dc60c587

upstream: check for POLLHUP as well as POLLIN, handle transient IO

errors as well as half-close on the output side; ok deraadt millert

OpenBSD-Commit-ID: de5c5b9939a37476d256328cbb96305bdecf511e

adjust seccomp filter for select->poll conversion

Needed to add ppoll syscall but also to relax the fallback rlimit
sandbox. Linux poll() fails with EINVAL if npfds > RLIMIT_NOFILE,
so we have to allow a single fd in the rlimit.

update depends

compat for timespecsub() and friends

upstream: set num_listen_socks to 0 on close-all instead of -1,

which interferes with the new poll()-based listen loop; spotted and debugged
by anton@+deraadt@

OpenBSD-Commit-ID: f7ab8ab124f615a2e0c45fee14c38d2f2abbabbd

upstream: use ppoll() instead of pselect() with djm

OpenBSD-Commit-ID: 980f87c9564d5d2ad55722b7a6f44f21284cd215

upstream: match .events with .fd better

OpenBSD-Commit-ID: 77eef212ca0add905949532af390164489c5984b

upstream: convert select() to poll() ok djm

OpenBSD-Commit-ID: b53e4940ff10dd24f8d16e8db8ef1970015d7ead

upstream: replace select() with ppoll(), including converting

timeval's to timespec's to make things easier. back and forth and ok; djm

OpenBSD-Commit-ID: 89d3b23c60875da919e7820f9de6213286ffbec9

upstream: It really looks like pledge "stdio dns" is possible

earlier. Discussed with mestre

OpenBSD-Commit-ID: 610873de63a593e0ac7bbbcb7a0f2894d36f4c01

upstream: aggressively pre-fill the pollfd array with fd=-1

OpenBSD-Commit-ID: c2a525de8f83c1a04405bd79122c424140552a5b

upstream: Convert from select() to ppoll(). Along the way, I

observed that the select() code was using exceptfds incorrectly.. ok millert

OpenBSD-Commit-ID: 548e05bfc31b2af02319eb3d051286d4128dec96

Switch from LibreSSL 3.4.0 to 3.4.1.

The LibreSSL 3.4.0 release has an OPENBSD_BRANCH that points to
"master" and that branch no longer has the files LibreSSL expects
and thus it will no longer build, breaking the test.

upstream: add the sntrup761x25519-sha512@openssh.com hybrid

ECDH/x25519 + Streamlined NTRU Prime post-quantum KEX to the default
KEXAlgorithms list (after the ECDH methods but before the prime-group DH
ones).

ok markus@

OpenBSD-Commit-ID: 22b77e27a04e497a10e22f138107579652854210

upstream: fix ssh-keysign for KEX algorithms that use SHA384/512

exchange hashes; feedback/ok markus@

OpenBSD-Commit-ID: 09a8fda1c081f5de1e3128df64f28b7bdadee239

upstream: improve error message when trying to expand a ~user path

for a user that doesn't exist; better matches what the shell does

ok deraadt@

OpenBSD-Commit-ID: 1ddefa3c3a78b69ce13d1b8f67bc9f2cefd23ad6

Don't trust closefrom() on Linux.

glibc's closefrom implementation does not work in a chroot when the kernel
does not have close_range.  It tries to read from /proc/self/fd and when
that fails dies with an assertion of sorts.  Instead, call close_range
ourselves from our compat code and fall back if that fails.  bz#3349,
with william.wilson at canonical.com and fweimer at redhat.com.

upstream: Plug a couple of minor mem leaks. From beldmit at

gmail.com via github PR#283, ok markus@

OpenBSD-Commit-ID: ec1fa7d305d46226861c3ca6fb9c9beb2ada2892

upstream: move cert_filter_principals() to earlier in the file for

reuse; no code change

OpenBSD-Commit-ID: 598fa9528b656b2f38bcc3cf5b6f3869a8c115cf

upstream: Many downstreams expect ssh to compile as non-C99...

OpenBSD-Commit-ID: e6aa3e08bda68e5fb838fc8a49b1d2dfc38ee783

Skip getline() on HP-UX 10.x.

HP-UX 10.x has a getline() implementation in libc that does not behave
as we expect so don't use it.  With correction from Thorsten Glaser and
typo fix from Larkin Nickle.

basic SECURITY.md (refers people to the website)

upstream: crank SSH_SK_VERSION_MAJOR to match recent change in

usr/bin/ssh

OpenBSD-Regress-ID: 113d181c7e3305e138db9b688cdb8b0a0019e552

upstream: Better handle FIDO keys on tokens that provide user

verification (UV) on the device itself, including biometric keys.

Query the token during key creation to determine whether it supports
on-token UV and, if so, clear the SSH_SK_USER_VERIFICATION_REQD flag
in the key so that ssh(1) doesn't automatically prompty for PIN later.

When making signatures with the key, query the token's capabilities
again and check whether the token is able (right now) to perform user-
verification without a PIN. If it is then the PIN prompt is bypassed
and user verification delegated to the token. If not (e.g. the token
is biometric capable, but no biometric are enrolled), then fall back
to user verification via the usual PIN prompt.

Work by Pedro Martelletto; ok myself and markus@

NB. cranks SSH_SK_VERSION_MAJOR

OpenBSD-Commit-ID: e318a8c258d9833a0b7eb0236cdb68b5143b2f27

upstream: sshsig: add tests for signing key validity and

find-principals

- adds generic find-principals tests (this command had none before)
- tests certs with a timeboxed validity both with and without a
 restriced lifetime for the CA
- test for a revoked CA cert

by Fabian Stelzer

OpenBSD-Regress-ID: 9704b2c6df5b8ccfbdf2c06c5431f5f8cad280c9

upstream: avoid signedness warning; spotted in -portable

OpenBSD-Regress-ID: 4cacc126086487c0ea7f3d86b42dec458cf0d0c6

upstream: ssh-keygen: make verify-time argument parsing optional

From Fabian Stelzer

OpenBSD-Commit-ID: 1ff35e4c366a45a073663df90381be6a8ef4d370

unbreak fuzz harness for recent changes

Use -Wbitwise-instead-of-logical if supported.

use -Wmisleading-indentation cflag if available

ok dtucker@

depend

remove built-in support for md5crypt()

Users of MD5-hashed password should arrange for ./configure to link
against libxcrypt or similar. Though it would be better to avoid use
of MD5 password hashing entirely, it's arguably worse than DEScrypt.

feedback and ok dtucker@

upstream: increment SSH_SK_VERSION_MAJOR to match last change

OpenBSD-Regress-ID: 17873814d1cbda97f49c8528d7b5ac9cadf6ddc0

upstream: When downloading resident keys from a FIDO token, pass

back the user ID that was used when the key was created and append it to the
filename the key is written to (if it is not the default).

Avoids keys being clobbered if the user created multiple
resident keys with the same application string but different
user IDs.

feedback Pedro Martelletto; ok markus

NB. increments SSH_SK_VERSION_MAJOR

OpenBSD-Commit-ID: dbd658b5950f583106d945641a634bc6562dd3a3

upstream: For open/openat, if the flags parameter does not contain

O_CREAT, the 3rd (variadic) mode_t parameter is irrelevant.  Many developers
in the past have passed mode_t (0, 044, 0644, or such), which might lead
future people to copy this broken idiom, and perhaps even believe this
parameter has some meaning or implication or application. Delete them all.
This comes out of a conversation where tb@ noticed that a strange (but
intentional) pledge behaviour is to always knock-out high-bits from mode_t on
a number of system calls as a safety factor, and his bewilderment that this
appeared to be happening against valid modes (at least visually), but no
sorry, they are all irrelevant junk.  They could all be 0xdeafbeef. ok
millert

OpenBSD-Commit-ID: 503d11633497115688c0c6952686524f01f53121

kitchensink test target now needs krb5.

Test both MIT KRB5 and Heimdal.

upstream: Plug mem addrinfo mem leaks.

Prevent mem leaks in the (unlikely) event that getaddrinfo returns
no addresses.  ALso, remove an unneeded NULL check in addr_ntop. From
khaleesicodes via github PR#281, ok deraadt@

OpenBSD-Commit-ID: e8a5afc686376637c355c5f7e122dc4b080b9c1a

upstream: Remove unnecessary semicolons

... in case statements. From khaleesicodes via github PR#280.

OpenBSD-Commit-ID: e1e89360b65775cff83e77ce040b342015caf4ed

upstream: Fix typos in comments.

From khaleesicodes via github PR#280.

OpenBSD-Commit-ID: 26fdd83652c40f098bf7c685e8ebb9eb72cc45fc

upstream: switch scp(1) back to sftp protocol.

openbsd 7.0 release shipped with the (hopefully last) scp that uses RCP
protocol for copying.  Let's get back to testing the SFTP protocol.

OpenBSD-Commit-ID: 9eaa35d95fd547b78b0a043b3f518e135f151f30

Source configs script so setup_ci can use settings

Install libedit and pam based on config flags.

Don't use 'here string", it's not POSIX.

Remove -Werror from compiler package to install.

Build with -Werror on most recent gcc and clang.

Include string.h and stdio.h for strerror.

Include error reason if trace disabling fails.

Add tcmalloc test target.

upstream: Document that CASignatureAlgorithms, ExposeAuthInfo and

PubkeyAuthOptions can be used in a Match block.  Patch from eehakkin via
github PR#277.

OpenBSD-Commit-ID: c0a63f5f52e918645967ac022b28392da4b866aa

Skip SK unit tests when built without security-key

Include relevant env vars on command line.

Makes it easier to reproduce a build by cut/pasting the configure line.

Only enable sk-* key types if ENABLE_SK is defined

Disable security key on minix3.

The test doesn't work so disable.

Add USE_LIBC_SHA2 for (at least) NetBSD 9.

Define OPENSSL_NO_SHA including OpenSSL from test.

We don't use SHA256 from OpenSSL in the sk-dummy module and the
definitions can conflict with system sha2.h (eg on NetBSD) so define
OPENSSL_NO_SHA so we don't attempt to redefine them.

Disable security key on NetBSD4 test.

sk-dummy used for the security key test includes both sha2.h and OpenSSL
causing the definitions conflict so disable security key support on this
platform.

clean regress/misc/sk-dummy in cleandir target

upstream: Dynamically allocate encoded HashKnownHosts and free as

appropriate. Saves 1k of static storage and prevents snprintf "possible
truncation" warnings from newer compilers (although in this case it's false
positive since the actual sizes are limited by the output size of the SHA1).
ok djm@

OpenBSD-Commit-ID: e254ae723f7e3dce352c7d5abc4b6d87faf61bf4

upstream: use libc SHA256 functions; make this work when compiled

!WITH_OPENSSL

OpenBSD-Regress-ID: fda0764c1097cd42f979ace29b07eb3481259890

upstream: Add test for ssh hashed known_hosts handling.

OpenBSD-Regress-ID: bcef3b3cd5a1ad9899327b4b2183de2541aaf9cf

fix broken OPENSSL_HAS_ECC test

spotted by dtucker