Fix cvs up of nc.

Install nc during upstream test.

This ensures that the installed nc matches the expectations of the
regress tests.

Remove 9.7 branch from CI status page.

It's been obsolete long enough that github no longer reports its
status.

pull a small netcat SOCKS4A fix from upstream

upstream: test SOCKS4A; ok tb

OpenBSD-Regress-ID: d880b75280295cd581a86e39bb0996d347f122d2

upstream: remove log tarballing "it seemed like a good idea at the

time" - dtucker@

ensure that log files have correct perms when running under sudo/doas

ok dtucker@

OpenBSD-Regress-ID: 20588c14b05de9519f85d638b374b66ae0678c89

upstream: use logit_f("...") instead of logit("func: ...")

OpenBSD-Commit-ID: c8d49eb39a9abff3cbcaeaf7df9d48468a5a0695

upstream: function to make a sshbuf from a hex string; useful in

tests

also constify some arguments

OpenBSD-Commit-ID: 00f9c25b256be0efd73f2d8268ff041bc45ffb2c

merge netcat SOCKS4A support from OpenBSD

Not a full sync of this file as we have diverged substantially
from upstream (it has libtls support, etc.)

Include OpenSSL compat shim where needed.

Run all tests on Cygwin again.

... now that we've fixed ci-setup on Cygwin.

Use USERNAME rather than LOGNAME on Cygwin.

LOGNAME is specified by POSIX, but Windows (or at least, github's
Windows images) don't set it.

Add debug output when setting up CI environment.

Include openssl compat shims in test.

Fixes tests on platforms using older LibreSSL releases prior to 3.4.

Add compat shims for EC_POINT affine_coordinates

LibreSSL <3.4 does not have EC_POINT_[gs]et_affine_coordinates
but does have the now-deprecated _GFp variantes.  We still support
LibreSSL back as far as 3.2.x so add a compat shim.

upstream: Use EC_POINT_[sg]et_affine_coordinates()

It is available in all supported OpenSSL flavors/versions and the _GFp
variants will be removed from LibreSSL.

ok hshoexer jsing

OpenBSD-Regress-ID: 66cf1561e7b6c49002978f2d6720956f33a882f0

upstream: Use EC_POINT_[sg]et_affine_coordinates()

It is available in all supported OpenSSL flavors/versions and the _GFp
variants will be removed from LibreSSL.

ok hshoexer jsing

OpenBSD-Commit-ID: ecedca0e1ffa80e0c9ef7c787bc6a972882c596b

upstream: make the progress-meter code safe against being called

when not initialised; spotted by tb@ feedback/ok tb@ deraadt@

OpenBSD-Commit-ID: a9fda1ee08a24c62e0981ff6d15ca93b63467038

upstream: convert a last quad_t to int64_t. ok deraadt djm

OpenBSD-Commit-ID: 1c9e01ba1a9ccf442a9cdf10f222077f66885f1f

Set runner pasword to random string.

The most recent version of the Github ubuntu-latest image sets the
password field to "!" which sshd considers to be a locked account,
breaking most of the tests.

Debug log for why an account is considered locked.

Move debug log output into separate workflow step.

Should reduce the need to scroll back to find out which test actually
failed.

Skip sftp-perm on Cygwin too.

Remove CYGWIN binmode as it's now obsolete.

Also skip sftp-cmds test on Cygwin.

Fails at the hardlink step.

Tell Cygwin to use native symlinks.

Skip keygen-knownhost test on Cygwin.

It fails but at this time it's not clear why.

Pass Cygwin setup location to CI setup.

(instead of hard coding it, wrongly).

Add RUN_ONLY_TEST to limit which tests are run.

For testing, you can set the repo variable RUN_ONLY_TEST in your repo
(Repo -> Settings -> Security -> Actions -> Variables) to run only that test.

Move misc-agent.o to LIBSSH_OBJS.

It's needed by the fuzzer.

Put PRIV_ECDSA back, it's still used.

Should fix oss-fuzz test.

Since it's unused, make dirfd() take void *.

Some platforms (eg Old BSDs) in some configurations define DIR to "void
*", which causes compile errors in the no-op implementation.

Add no-op implmentation of dirfd().

Fixes build on pre-POSIX.1 2008 systems.

ssh-agent: exit 0 from SIGTERM under systemd socket-activation

When the ssh-agent service is configured to be launched under systemd
socket-activation, the user can inspect the status of the agent with
something like:

    systemctl --user status ssh-agent.service

If the user does:

    systemctl --user stop ssh-agent.service

it causes the `systemd --user` supervisor to send a SIGTERM to the
agent, which terminates while leaving the systemd-managed socket in
place.  That's good, and as expected. (If the user wants to close the
socket, they can do "systemctl --user stop ssh-agent.socket" instead)

But because ssh-agent exits with code 2 in response to a SIGTERM, the
supervisor marks the service as "failed", even though the state of the
supervised service is exactly the same as during session startup (not
running, ready to launch when a client connects to the socket).

This change makes ssh-agent exit cleanly (code 0) in response to a
SIGTERM when launched under socket activation. This aligns the systemd
supervisor's understanding of the state of supervised ssh-agent with
reality.

Signed-off-by: Daniel Kahn Gillmor <dkg@fifthhorseman.net>

Skip d_type check on platforms that don't have it.

On those, the subsequent stat() should catch the sockets.

upstream: Rename sockaddr_un sun -> sunaddr.

This makes things easier in -portable, where on Solaris an derivatives
"sun" is defined to "1", causing compilation errors.  ok deraadt@.

OpenBSD-Commit-ID: 0669043afb49856b57b382f0489221bd98305d3b

upstream: remove DSA from the regression/unit test suite too.

OpenBSD-Regress-ID: 4424d2eaf0bce3887318ef6d18de6c06f3617d6e

upstream: another missing ifdef

OpenBSD-Regress-ID: 4f71f8f122eac4cbf7f1d2088a9be45317dd3e4a

upstream: missing ifdef

OpenBSD-Regress-ID: 7260fb672de5738c17dec06c71a5be0186bb2b09

upstream: memory leak on error path; bz3821

OpenBSD-Commit-ID: 65577596a15ad6dd9a1ab3fc24c1c31303ee6e2b

upstream: test ssh-agent with the -T flag to force the old /tmp

location rather than inside the homedir.  During relink operation,
/.ssh/agent was created which is surprising.  This test sequence could use
some improvement so this is a temporary fix. observed by florian, change ok
semarie

OpenBSD-Commit-ID: c7246a6b519ac390ca550719f91acfdaef1fa0f0

upstream: finally remove DSA signature support from OpenSSH.

feedback/ok tb@, ok deraadt@

OpenBSD-Commit-ID: bfe6ee73c1b676c81a2901030c791f8ec888228f

upstream: Now that there's an I-D for certificate keys, refer to

that instead of the much more basic format description we had previously.

OpenBSD-Commit-ID: cf01e0727a813fee8626ad7b3aa240621cc92014

upstream: - add full stop to the text in -a - move the -U and -u

text to the correct place

OpenBSD-Commit-ID: 2fb484337a0978c703f61983bb14bc5cbaf898c2

Add minimal implementations of fstatat and unlinkat.

Fixes build on some pre-POSIX.1-2008 platforms.

New location of cygwin setup.

Boringssl now puts libcrypto in a different place.

Handle systems that don't have st_mtim.

Ignores nanoseconds, but it's checking for >1h old so a few nanoseconds
shouldn't matter much.  Fixes build on Mac OS X.

Supply timespecsub if needed.

includes.h for compat, time.h for clock_gettime.

Cygwin install in back on D:

depend

upstream: missing file in previous commit

OpenBSD-Commit-ID: e526c97fcb2fd9f0b7b229720972426ab437d7eb

upstream: Move agent listener sockets from /tmp to under

~/.ssh/agent for both ssh-agent(1) and forwarded sockets in sshd(8).

This ensures processes (such as Firefox) that have restricted
filesystem access that includes /tmp (via unveil(3)) do not have the
ability to use keys in an agent.

Moving the default directory has the consequence that the OS will no
longer clean up stale agent sockets, so ssh-agent now gains this
ability.

To support $HOME on NFS, the socket path includes a truncated hash of
the hostname. ssh-agent will by default only clean up sockets from
the same hostname.

ssh-agent gains some new flags: -U suppresses the automatic cleanup
of stale sockets when it starts. -u forces a cleanup without
keeping a running agent, -uu forces a cleanup that ignores the
hostname. -T makes ssh-agent put the socket back in /tmp.

feedback deraadt@ naddy@, doitdoitdoit deraadt@

OpenBSD-Commit-ID: 8383dabd98092fe5498d5f7f15c7d314b03a93e1

upstream: correct log messages; the reap function is used for more

than just the preauth process now

OpenBSD-Commit-ID: 768c5b674bd77802bb197c31dba78559f1174c02

upstream: make writing known_hosts lines more atomic, by writing

the entire line in one operation and using unbuffered stdio.

Usually writes to this file are serialised on the "Are you sure you
want to continue connecting?" prompt, but if host key checking is
disabled and connections were being made with high concurrency
then interleaved writes might have been possible.

feedback/ok deraadt@ millert@

OpenBSD-Commit-ID: d11222b49dabe5cfe0937b49cb439ba3d4847b08

upstream: fix a out-of-bounds read if the known_hosts file is

truncated after the hostname.

Reported by the OpenAI Security Research Team

ok deraadt@

OpenBSD-Commit-ID: c0b516d7c80c4779a403826f73bcd8adbbc54ebd

Set Windows permssions on regress dir.

Prevents "unprotected private key file" error when running tests.

Add 10.0 branch to test status page.

cygwin-install-action now puts setup.exe on D:

Include time.h for clock_gettime().

Add includes.h for new tests.

Fixes builds on older platforms.

Provide INFINITY if it's not provided.

INFINITY is specified in c99, so define if not provided.

Look for sqrt(), possibly in libm.

The unit tests now use sqrt(), which in some platforms (notably
DragonFlyBSD and Solaris) is not in libc but rather libm.  Since only
the unit tests use this, add TESTLIBS and if necessary put libm in it.

upstream: Cast signalled_keydrop to int when logging to prevent warning

on platforms where sig_atomic_t is not the same as int.  bz#3811, patch from
jlduran at gmail com.

OpenBSD-Commit-ID: b6bc9e9006e7f81ade57d41a48623a4323deca6c

upstream: basic benchmarking support for the unit test framework enable

with "make UNITTEST_BENCHMARK=yes"

ok dtucker@

OpenBSD-Regress-ID: 7f16a2e247f860897ca46ff87bccbe6002a32564

upstream: rework the text for -3 to make it clearer what default

behaviour is, and adjust the text for -R to make them more consistent;

issue raised by mikhail mp39590;
behaviour explained by naddy

ok djm

OpenBSD-Commit-ID: 15ff3bd1518d86c84fa8e91d7aa72cfdb41dccc8

update version numbers

upstream: openssh-10.0

OpenBSD-Commit-ID: db5b4a1f1c9e988f8f166b56dc5643606294b403

upstream: Fix logic error in DisableForwarding option. This option

was documented as disabling X11 and agent forwarding but it failed to do so.
Spotted by Tim Rice.

OpenBSD-Commit-ID: fffc89195968f7eedd2fc57f0b1f1ef3193f5ed1

upstream: oops, I accidentally backed out the typo fix

OpenBSD-Commit-ID: f485f79bf3e9ebbe1de13ac96150cf458956cfd8

upstream: typo

OpenBSD-Commit-ID: f912725c7d303720706b3ccfb2cb846d46296d13

initialise websafe_allowlist in agent fuzzer

upstream: typo

OpenBSD-Regress-ID: 08477b936d1d0c1e8a98aa1c0e1bdde8871894c9

upstream: typo

OpenBSD-Commit-ID: 6e683e13e72bf1e43bbd3bbc6a8332d5a98bdc99

upstream: Include time.h for time().

Fixes warning on some platforms when building without openssl.

OpenBSD-Commit-ID: 04ca29b8eaae1860c7adde3e770baa1866e30a54

upstream: Wrap #include <openssl/dsa.h> in #ifdef WITH_DSA

ok djm

OpenBSD-Commit-ID: ed01a7c102243f84e4a317aefb431916d98aab15

remove all instances of -pie from LDFLAGS

Previously only the first instance of this flag was removed.
Unbreaks build on OpenSUSE Tumbleweed. Patch from Antonio Larrosa

upstream: remove ability to enable DSA support. Actual code will be

g/c'd separately. ok deraadt@

OpenBSD-Commit-ID: 2a032b75156c4d922e8343fa97ff6bc227f09819

upstream: Add TEST_SSH_SSHD_ENV to sshd lines here too.

OpenBSD-Regress-ID: 045f2c88b42d694b404db51c5de5eca20d748ff1

upstream: Pass "ControlMaster no" to ssh when invoked by scp & sftp.

If you have ControlMaster auto (or yes) in your config, and the
first connection you make is via scp or sftp, then you may get a
few unexpected options applied to it (eg ForwardX11 no), since sftp
and sftp explicitly disable those for reasons.  These effects will
persist beyond the initial scp or sftp command.

This explicitly disables persistent session *creation* by scp and sftp.
It will not prevent them from using an existing session if one has
already been created.

From Github PR#557, ok djm@ kn@

OpenBSD-Commit-ID: 9dad7c737466837e0150c4318920f46d844770c4

upstream: Set sshd environment variables during sshd test run too.

OpenBSD-Regress-ID: 50cb325d92c390a2909662c901f6ac5d80b6f74d

upstream: Add TEST_SSH_SSHD_ENV variable which is added to sshd's

environment. Will be used in Portable to tweak behaviour of tcmalloc's
debugging.

OpenBSD-Regress-ID: 67e38c3c4517ddb72c8a3549a3325a166d7bb6d6

upstream: chown log directory in addition to log files.

OpenBSD-Regress-ID: b520d54a0bbf2c6554413c798218bda26b385ad9

Be explicit about environment variables for tests.

This will make it easier to reproduce a test failure by cut-and-paste of
the corresponding line from the github log.

Add tcmalloc flags to TEST_SSH_SSHD_ENV.

This will get passed to sshd via test-exec.sh.

Add PuTTY 0.81, 0.82 and 0.83 to tests.

Include TCMALLOC_STACKTRACE_METHOD in output.

If TCMALLOC_STACKTRACE_METHOD happens to be set, include it in the debug
output to make reproducing test cases easier.

Test with-linux-memlock-onfault in kitchensink.

Include fcntl.h so AT_FDCWD does not get redefined.

Add support for locking memory on Linux

Linux wakes up kcompactd threads in order to make more contiguous memory
available on the system, it does this by migrating live movable pages
(actively modifying live processes' page tables and constantly flooding
them with page invalidation IPIs, which can be up to millions per
second), which causes the process to become unresponsive for up to
seconds or even minutes in some severe cases. In case of sshd, we want
to always be able to connect to the system, even if it's under heavy
kcompactd load.

Introduce an option to protect sshd and its children sessions from being
compacted by kcompactd (this works in cojunction with
compact_unevictable_allowed = 0). Note that we depend on MCL_ONFAULT
being available, which was introduced in linux 4.4. MCL_ONFAULT allows
the system to lock pages lazily, thus drastically reducing memory usage
of a locked process (without MCL_ONFAULT, every existing mapping in the
process is instantly write-faulted).

platform: introduce a way to hook new session start

Previously this was possible via post_fork_child, but ever since sshd
was split into multiple binaries, this is now no longer possible becase
of execv.

upstream: Prevent theoretical NULL deref in throughlocal_sftp.

Coverity CID 405019, although at the moment it's not reachable. ok djm@

OpenBSD-Commit-ID: 630d46c1021b69fbb470e349976c70e9a48b7644

Fix workflow syntax again.

Differentiate logfiles better.

Fix another typo in workflow.

Fix syntax error in workflow.

Identify each logfile while printing them.

upstream: fix NULL dereference for Match conditions missing

arguments, e.g. "Match user". Spotted by Coverity (CID 477813)

OpenBSD-Commit-ID: 13584281cfa23b8ebc41f9d128a6b9464ae960d4

upstream: Fix EVP_CIPHER_CTX_ctrl() return checks

While this API tries to translate negative return values (i.e. -1) to 0
in BoringSSL and LibreSSL, it is still possible for it to return negative
values in prinicple. We even incorrectly document that -1 can be returned
while Boring and OpenSSL plead the Fifth.

In OpenSSL 3 there are now code paths that explicitly return -1 and they
started shifting their return checks to <= 0 - of course they do this in
inconsistent and sometimes incorrect manner. While these paths aren't
reachable from ssh right now, who can really tell what happens in the two
hundred lines of inscrutable bloated mess this has become.

So error check with <= 0 to ensure that we don't accidentally translate an
error to success.

ok markus schwarze

OpenBSD-Commit-ID: a855c833cf4ecfce43bedc761f26ad924f70483c