Add SANDBOX_DEBUG to the kitchensink test build.

disable SANDBOX_SECCOMP_FILTER_DEBUG

It was mistakenly enabled in 2580916e4872

Reported by Peter sec-openssh-com.22.fichtner AT 0sg.net

Update autotools

Regenerate config files using latest autotools

Fix typo in comment.  Spotted by tim@

upstream: Remove duplicate includes.

 Patch from AtariDreams via github PR#364.

OpenBSD-Commit-ID: b9186638a05cb8b56ef7c0de521922b6723644ea

upstream: make struct sshbuf private

and remove an unused field; ok dtucker

OpenBSD-Commit-ID: c7a3d77c0b8c153d463398606a8d57569186a0c3

Restore ssh-agent permissions on exit.

...enough that subsequent builds can overwrite ssh-agent if necessary.

upstream: Clean up ssh-add and ssh-agent logs.

OpenBSD-Regress-ID: 9eda8e4c3714d7f943ab2e73ed58a233bd29cd2c

upstream: Log output of ssh-agent and ssh-add

This should  make debugging easier.

OpenBSD-Regress-ID: 5974b02651f428d7e1079b41304c498ca7e306c8

upstream: Add void to client_repledge args to fix compiler warning. ok djm@

OpenBSD-Commit-ID: 7e964a641ce4a0a0a11f047953b29929d7a4b866

upstream: tighten pledge(2) after session establishment

feedback, ok & testing in snaps deraadt@

OpenBSD-Commit-ID: aecf4d49d28586dfbcc74328d9333398fef9eb58

upstream: New EnableEscapeCommandline ssh_config(5) option

This option (default "no") controls whether the ~C escape is available.
Turning it off by default means we will soon be able to use a stricter
default pledge(2) in the client.

feedback deraadt@ dtucker@; tested in snaps for a while

OpenBSD-Commit-ID: 7e277595d60acb8263118dcb66554472257b387a

upstream: In channel_request_remote_forwarding the parameters for

permission_set_add are leaked as they are also duplicated in the call. Found
by CodeChecker. ok djm

OpenBSD-Commit-ID: 4aef50fa9be7c0b138188814c8fe3dccc196f61e

Use -fzero-call-used-regs=used on clang 15.

clang 15 seems to have a problem with -fzero-call-used-reg=all which
causes spurious "incorrect signature" failures with ED25519.  On those
versions, use -fzero-call-used-regs=used instead.  (We may add exceptions
later if specific versions prove to be OK).  Also move the GCC version
check to match.

Initial investigation by Daniel Pouzzner (douzzer at mega nu), workaround
suggested by Bill Wendling (morbo at google com).  bz#3475, ok djm@

Skip unit tests on slow riscv64 hardware.

Rework how selfhosted tests interact with runners.

Previously there was one runner per test target (mostly VMs).  This had
a few limitations:
 - multiple tests that ran on the same target (eg multiple build
   configs) were serialized on availability or that runner.
 - it needed manual balancing of VMs over host machines.

To address this, make VMs that use ephemeral disks (ie most of them)
all use a pool of runners with the "libvirt" label.  This requires that
we distinguish between "host" and "target" for those.  Native runners
and VMs with persistent disks (eg the constantly-updated snapshot ones)
specify the same host and target.

This should improve test throughput.

Run vmstartup from temp dir.

This will allow us to create ephemeral disk images per-runner.

Make "config" in matrix singular and pass in env.

This will allow the startup scripts to adapt their behaviour based on
the type and config.

Add "libvirt" label to dfly30.

Rename "os" in matrix to "target".

This is in preparation to distinguish this from the host that the runner
runs on in case where they are separate (eg VMs).

Remove unused self-hosted test targets.

Remove explicit "default" test config argument.

Not specifying the test config implicitly selects default args.

Add fallback for old platforms w/out MAP_ANON.

If we haven't found it yet, recheck for sys/stat.h.

On some very old platforms, sys/stat.h needs sys/types.h, however
autoconf 2.71's AC_CHECK_INCLUDES_DEFAULT checks for them in the
opposite order, which in combination with modern autoconf's
"present but cannot be compiled" behaviour causes it to not be
detected.

Add dfly62 test target.

upstream: Handle dynamic remote port forwarding in escape commandline's

-R processing. bz#3499, ok djm@

OpenBSD-Commit-ID: 194ee4cfe7ed0e2b8ad0727f493c798a50454208

Remove seed passing over reexec.

This was added for the benefit of platforms using ssh-rand-helper to
prevent a delay on each connection as sshd reseeded itself.

ssh-random-helper is long gone, and since the re-exec happens before the
chroot the re-execed sshd can reseed itself normally. ok djm@

Skip reexec test on OpenSSL 1.1.1 specifically.

OpenSSL 1.1.1 has a bug in its RNG that breaks reexec fallback, so skip
that test.  See bz#3483 for details.

upstream: Fix typo in fatal error message.

Patch from vapier at chromium.org.

OpenBSD-Commit-ID: 8a0c164a6a25eef0eedfc30df95bfa27644e35cf

upstream: Remove errant colon and simplify format

string in error messages. Patch from vapier at chromium.org.

OpenBSD-Commit-ID: fc28466ebc7b74e0072331947a89bdd239c160d3

upstream: rename client_global_hostkeys_private_confirm() to

client_global_hostkeys_prove_confirm(), as it handles the
"hostkeys-prove00@openssh.com" message; no functional change

OpenBSD-Commit-ID: 31e09bd3cca6eed26855b88fb8beed18e9bd026d

upstream: typo in comment

OpenBSD-Commit-ID: 39c58f41e0f32d1ff31731fa6f5bbbc3ad25084a

Defer seed_rng until after closefrom call.

seed_rng will initialize OpenSSL, and some engine providers (eg Intel's
QAT) will open descriptors for their own use.  bz#3483, patch from
joel.d.schuetze at intel.com, ok djm@

Fix comment text.  From emaste at freebsd.org.

Avoid assuming layout of fd_set

POSIX doesn't specify the internal layout of the fd_set object, so let's
not assume it is just a bit mask. This increases compatibility with
systems that have a different layout.

The assumption is also worthless as we already refuse to use file
descriptors over FD_SETSIZE anyway. Meaning that the default size of
fd_set is quite sufficient.

Shutdown any VM before trying to check out repo.

In the case where the previous run did not clean up, the checkout will
fail as it'll leave a stale mount.

Run vm startup and shutdown from runner temp dir.

Should work even if the github workspace dir is on a stale sshfs mount.

Add valrind-5 test here too.

Update checkout and upload actions.

Update actions/checkout and actions/upload-artifact to main branch for
compatibility with node.js v16.

Split out rekey test since it runs the longest.

upstream: The IdentityFile option in ssh_config can also be used to

specify a public key file, as documented in ssh.1 for the -i option. Document
this also for IdentityFile in ssh_config.5, for documentation completeness.
From laalsaas at systemli.org via portable github PR#352, ok jmc@ djm@

OpenBSD-Commit-ID: 2f943be9f96e60ef81a9a4faa25b009999f9883b

upstream: Remove some set but otherwise unused variables, spotted

in -portable by clang 16's -Wunused-but-set-variable.  ok djm@

OpenBSD-Commit-ID: 3d943ddf2369b38fbf89f5f19728e7dc1daf3982

upstream: Check for and disallow MaxStartups values less than or

equal to zero during config parsing, rather than faling later at runtime.
bz#3489, ok djm@

OpenBSD-Commit-ID: d79c2b7a8601eb9be493629a91245d761154308b

upstream: fix parsing of hex cert expiry time; was checking whether the

start time began with "0x", not the expiry time.

from Ed Maste

OpenBSD-Commit-ID: 6269242c3e1a130b47c92cfca4d661df15f05739

Fix merge conflict.

Branch-specific links for master status badges.

Add CIFuzz status badge.

Do not run CIFuzz on selfhosted tree.

We already run it on the regular tree, no need to double up.

Whitespace change to trigger CIFuzz workflow.

Run cifuzz workflow on the actions as regular CI.

Add CIFuzz integration

upstream: Import regenerated moduli.

OpenBSD-Commit-ID: b0e54ee4d703bd6929bbc624068666a7a42ecb1f

upstream: Fix typo. From pablomh via -portable github PR#344.

OpenBSD-Commit-ID: d056ee2e73691dc3ecdb44a6de68e6b88cd93827

Link to branch-specific queries for V_9_1 status.

Use "prohibit-password" in -portable comments.

"without-password" is the deprecated alias for "prohibit-password",
so we should reference the latter. From emaste at freebsd.org.

Fix tracing disable on FreeBSD.

Some versions of FreeBSD do not support using id 0 to refer to the
current pid for procctl, so pass getpid() explicitly.  From
emaste at freebsd.org.

Fix setres*id checks to work with clang-16.

glibc has the prototypes for setresuid and setresgid behind _GNU_SOURCE,
and clang 16 will error out on implicit function definitions, so add
_GNU_SOURCE and the required headers to the configure checks.  From
sam at @gentoo.org via bz#3497.

configure.ac: Fix -Wstrict-prototypes

Clang 16 now warns on this and it'll be removed in C23, so let's
just be future proof. It also reduces noise when doing general
Clang 16 porting work (which is a big job as it is).  github PR#355.

Signed-off-by: Sam James <sam@gentoo.org>

configure.ac: Add <pty.h> include for openpty

Another Clang 16ish fix (which makes -Wimplicit-function-declaration
an error by default).  github PR#355.

See: 2efd71da49b9cfeab7987058cf5919e473ff466b
See: be197635329feb839865fdc738e34e24afd1fca8

Fix broken zlib link.

Don't run openbsd-compat tests on Cygwin.

Add "compat-tests" to the default TEST_TARGET so we can override as
necessary.  Override TEST_TARGET for Cygwin as the tests don't currently
compile there.

upstream: replace recently-added valid_domain() check for hostnames

going to known_hosts with a more relaxed check for bad characters; previous
commit broke address literals. Reported by/feedback from florian@

OpenBSD-Commit-ID: 10b86dc6a4b206adaa0c11b58b6d5933898d43e0

Rerun tests on changes to Makefile.in in any dir.

Link libssh into compat tests.

The cygwin compat code uses xmalloc, so add libssh.a so pick up that.

Fix compat regress to work with non-GNU make.

Increase selfhosted job timeout.

The default job timeout of 360 (6h) is not enough to complete the
regress tests for some of the slow VMs depending on the load on the host.
Increase to 600 (10h).

Only run opensslver tests if built with OpenSSL.

Add tests for OpenSSL 3.0.7 and LibreSSL 3.6.1.

Run compat regress tests too.

Compat tests need libcrypto.

This was moved to CHANNELLIBS during the libs refactor.  Spotted by
rapier at psc.edu.

Include time.h when defining timegm.

Fixes build on some platforms eg recent AIX.

Always use compat getentropy.

Have it call native getentropy and fall back as required.  Should fix
issues of platforms where libc has getentropy but it is not implemented
in the kernel.  Based on github PR#354 from simsergey.

Check for sockaddr_in.sin_len.

If found, set SOCK_HAS_LEN which is used in addr.c.  Should fix keyscan
tests on platforms with this (eg old NetBSD).

upstream: Use variable for diff options

instead of unconditionally specifying "-rN". This will make life easier
in -portable where not all diff's understand -N.

OpenBSD-Regress-ID: 8b8a407115546be1c6d72d350b1e4f1f960d3cd3

OpenSSL dev branch is 302 not 320.

While there, also accept 301 which it shat it was previously.

upstream: put sshkey_check_rsa_length() back in sshkey.c to unbreak

OPENSSL=no builds

OpenBSD-Commit-ID: 99eec58abe382ecd14b14043b195ee1babb9cf6e

upstream: allow ssh-keyscan(1) to accept CIDR address ranges, e.g.

ssh-keyscan 192.168.0.0/24

If a CIDR range is passed, then it will be expanded to all possible
addresses in the range including the all-0s and all-1s addresses.

bz#976 feedback/ok markus@

OpenBSD-Commit-ID: ce6c5211f936ac0053fd4a2ddb415277931e6c4b

fix merge botch

upstream: refactor sshkey_private_deserialize

feedback/ok markus@

OpenBSD-Commit-ID: f5ca6932fdaf840a5e8250becb38315a29b5fc9f

upstream: refactor sshkey_private_serialize_opt()

feedback/ok markus@

OpenBSD-Commit-ID: 61e0fe989897901294efe7c3b6d670cefaf44cbd

upstream: refactor certify

feedback/ok markus@

OpenBSD-Commit-ID: 35d742992e223eaca3537e6fb3d3002c08eed4f6

upstream: refactor sshkey_sign() and sshkey_verify()

feedback/ok markus@

OpenBSD-Commit-ID: 368e662c128c99d05cc043b1308d2b6c71a4d3cc

upstream: refactor sshkey_from_blob_internal()

feedback/ok markus@

OpenBSD-Commit-ID: 1f46c0cbb8060ee9666a02749594ad6658c8e283

upstream: refactor sshkey_from_private()

feedback/ok markus@

OpenBSD-Commit-ID: e5dbe7a3545930c50f70ee75c867a1e08b382b53

upstream: factor out key generation

feedback/ok markus@

OpenBSD-Commit-ID: 5b4211bff4de8d9adb84bc72857a8c42c44e7ceb

upstream: refactor and simplify sshkey_read()

feedback/ok markus@

OpenBSD-Commit-ID: 0d93b7a56e31cd06a8bb0d2191d084ce254b0971

upstream: factor out public key serialization

feedback/ok markus@

OpenBSD-Commit-ID: a3570c4b97290c5662890aea7328d87f55939033

upstream: factor out sshkey_equal_public()

feedback/ok markus@

OpenBSD-Commit-ID: 1368ba114cb37732fe6ec3d89c7e6d27ea6fdc94

upstream: begin big refactor of sshkey

Move keytype data and some of the type-specific code (allocation,
cleanup, etc) out into each key type's implementation. Subsequent
commits will move more, with the goal of having each key-*.c file
owning as much of its keytype's implementation as possible.

lots of feedback + ok markus@

OpenBSD-Commit-ID: 0f2b4334f73914344e9e5b3d33522d41762a57ec

upstream: Be more paranoid with host/domain names coming from the

never write a name with bad characters to a known_hosts file.

reported by David Leadbeater, ok deraadt@

OpenBSD-Commit-ID: ba9b25fa8b5490b49398471e0c9657b0cbc7a5ad

upstream: regress test for unmatched glob characters; fails before

previous commit but passes now. bz3488; prodded by dtucker@

OpenBSD-Regress-ID: 0cc5cc9ea4a6fd170dc61b9212f15badaafb3bbd

upstream: when scp(1) is using the SFTP protocol for transport (the

default), better match scp/rcp's handling of globs that don't match the
globbed characters but do match literally (e.g. trying to transfer
"foo.[1]").

Previously scp(1) in SFTP mode would not match these pathnames but
legacy scp/rcp mode would.

Reported by Michael Yagliyan in bz3488; ok dtucker@

OpenBSD-Commit-ID: d8a3773f53015ba811fddba7473769a2fd343e11

upstream: use correct type with sizeof ok djm@

OpenBSD-Commit-ID: d6c882c2e8a42ff831a5b3cbc2c961ecb2dd6143

upstream: ssh-agent.1: - use Nm not Xr for self-ref - while here,

wrap a long line

ssh-agent.c:
- add -O to usage()

OpenBSD-Commit-ID: 855dac4695cef22e96d69c53436496bc408ca389

upstream: document "-O no-restrict-websafe"; spotted by Ross L

Richardson

OpenBSD-Commit-ID: fe9eaa50237693a14ebe5b5614bf32a02145fe8b

OpenSSL dev branch now identifies as 3.2.0.

revert c64b62338b4 and guard POLL* defines instead

c64b62338b4 broke OSX builds, which do have poll.h but lack ppoll(2)
Spotted by dtucker

undef _get{short,long} before redefining

Fix snprintf configure test for clang 15

Clang 15 -Wimplicit-int defaults to an error in C99 mode and above.
A handful of tests have "main(..." and not "int main(..." which caused
the tests to produce incorrect results.

skip bsd-poll.h if poll.h found; ok dtucker