depend

crank version in README and RPM spec files

upstream: openssh-8.6

OpenBSD-Commit-ID: b5f3e133c846127ec114812248bc17eff07c3e19

upstream: do not pass file/func to monitor; noted by Ilja van Sprundel;

ok djm@

OpenBSD-Commit-ID: 85ae5c063845c410283cbdce685515dcd19479fa

sshd don't exit on transient read errors

openssh-8.5 introduced a regression that would cause sshd to exit
because of transient read errors on the network socket (e.g. EINTR,
EAGAIN). Reported by balu.gajjala AT gmail.com via bz3297

perform report_failed_grab() inline

dedicated gnome-ssk-askpass3 source

Compatibility with Wayland requires that we use the gdk_seat_grab()
API for grabbing mouse/keyboard, however these API don't exist in
Gtk+2.

This branches gnome-ssk-askpass2.c => gnome-ssk-askpass3.c and
makes the changes to use the gdk_seat_grab() instead of grabbing
mouse/focus separately via GDK.

In the future, we can also use the branched file to avoid some
API that has been soft-deprecated in GTK+3, e.g. gtk_widget_modify_fg

Ensure valgrind-out exists.

Normally the regress tests would create it, but running the unit tests
on their own would fail because the directory did not exist.

Pass OBJ to unit test make invocation.

At least the Valgrind unit tests uses $OBJ.

Add pattern for valgrind-unit.

Run unit tests under valgrind.

Run a separate build for the unit tests under Valgrind.  They take long
enough that running in parallel with the other Valgrind tests helps.

ifdef out MIN and MAX.

In -portable, defines.h ensures that these are defined, so redefining
potentially causes a warning.  We don't just delete it to make any
future code syncs a little but easier.  bz#3293.

Remove only use of warn().

The warn() function is only used in one place in portable and does not
exist upstream.  Upgrade the only instance it's used to fail()
(the privsep/sandbox+proxyconnect, from back when that was new) and
remove the now-unused function.

Move make_tmpdir() into portable-specific area.

Reduces diff vs OpenBSD and makes it more likely diffs will apply
cleanly.

upstream: Add TEST_SSH_ELAPSED_TIMES environment variable to print the

elapsed time in seconds of each test.  This depends on "date +%s" which is
not specified by POSIX but is commonly implemented.

OpenBSD-Regress-ID: ec3c8c19ff49b2192116a0a646ee7c9b944e8a9c

Move the TEST_SSH_PORT section down a bit.

This groups the portable-specific changes together and makes it a
little more likely that patches will apply cleanly.

Further split Valgrind tests.

Even split in two, the Valgrind tests take by far the longest to run,
so split them four ways to further increase parallelism.

upstream: include "ssherr.h" not <ssherr.h>; from Balu Gajjala via

bz#3292

OpenBSD-Commit-ID: e9535cd9966eb2e69e73d1ede1f44905c30310bd

wrap struct rlimit in HAVE_GETRLIMIT too

wrap getrlimit call in HAVE_GETRLIMIT; bz3291

upstream: Don't check return value of unsetenv(). It's part of the

environment setup and not part of the actual test, and some platforms
-portable runs on declare it as returning void, which prevents the test from
compiling.

OpenBSD-Regress-ID: 24f08543ee3cdebc404f2951f3e388cc82b844a1

upstream: remove stray inserts; from matthias schmidt

OpenBSD-Commit-ID: 2c36ebdc54e14bbf1daad70c6a05479a073d5c63

upstream: missing comma; from kawashima james

OpenBSD-Commit-ID: 31cec6bf26c6db4ffefc8a070715ebef274e68ea

Install libcbor with libfido2.

enable authopt and misc unit tests

Neither were wired into the build, both required some build
adaptations for -portable

upstream: typos in comments; GHPR#180 from Vill

=?UTF-8?q?e=20Skytt=C3=A4?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

OpenBSD-Commit-ID: 93c732381ae0e2b680c79e67c40c1814b7ceed2c

upstream: sync CASignatureAlgorithms lists with reality. GHPR#174 from

Matt Hazinski

OpenBSD-Commit-ID: f05e4ca54d7e67b90fe58fe1bdb1d2a37e0e2696

polish whitespace for portable files

upstream: highly polished whitespace, mostly fixing spaces-for-tab

and bad indentation on continuation lines. Prompted by GHPR#185

OpenBSD-Commit-ID: e5c81f0cbdcc6144df1ce468ec1bac366d8ad6e9

upstream: whitespace (tab after space)

OpenBSD-Commit-ID: 0e2b3f7674e985d3f7c27ff5028e690ba1c2efd4

Save config.h and config.log on failure too.

upstream: fix incorrect plural; from Ville Skyt

=?UTF-8?q?t=C3=A4=20via=20GHPR#181?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

OpenBSD-Commit-ID: 92f31754c6296d8f403d7c293e09dc27292d22c9

upstream: ensure that pkcs11_del_provider() is called before exit -

some PKCS#11 providers get upset if C_Initialize is not matched with
C_Finalize.

From Adithya Baglody via GHPR#234; ok markus

OpenBSD-Commit-ID: f8e770e03b416ee9a58f9762e162add900f832b6

upstream: unused variable

OpenBSD-Commit-ID: 85f6a394c8e0f60d15ecddda75176f112007b205

upstream: Fix two problems in string->argv conversion: 1) multiple

backslashes were not being dequoted correctly and 2) quoted space in the
middle of a string was being incorrectly split.
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

A unit test for these cases has already been committed

prompted by and based on GHPR#223 by Eero Häkkinen; ok markus@

OpenBSD-Commit-ID: d7ef27abb4eeeaf6e167e9312e4abe9e89faf1e4

missing bits from 259d648e

upstream: cannot effectively test posix-rename extension after

changes in feature advertisment.

OpenBSD-Regress-ID: 5e390bf88d379162aaa81b60ed86b34cb0c54d29

upstream: add a test for misc.c:argv_split(), currently fails

OpenBSD-Regress-ID: ad6b96d6ebeb9643b698b3575bdd6f78bb144200

upstream: split

OpenBSD-Regress-ID: f6c03c0e4c58b3b9e04b161757b8c10dc8378c34

upstream: Use new limits@openssh.com protocol extension to let the

client select good limits based on what the server supports. Split the
download and upload buffer sizes to allow them to be chosen independently.

In practice (and assuming upgraded sftp/sftp-server at each end), this
increases the download buffer 32->64KiB and the upload buffer
32->255KiB.

Patches from Mike Frysinger; ok dtucker@

OpenBSD-Commit-ID: ebd61c80d85b951b794164acc4b2f2fd8e88606c

upstream: do not advertise protocol extensions that have been

disallowed by the command-line options (e.g. -p/-P/-R); ok dtucker@

OpenBSD-Commit-ID: 3a8a76b3f5131741aca4b41bfab8d101c9926205

gnome-ssh-askpass3 is a valid target here

upstream: return non-zero exit status when killed by signal; bz#3281 ok

dtucker@

OpenBSD-Commit-ID: 117b31cf3c807993077b596bd730c24da9e9b816

upstream: increase maximum SSH2_FXP_READ to match the maximum

packet size. Also handle zero-length reads that are borderline nonsensical
but not explicitly banned by the spec. Based on patch from Mike Frysinger,
feedback deraadt@ ok dtucker@

OpenBSD-Commit-ID: 4e67d60d81bde7b84a742b4ee5a34001bdf80d9c

upstream: don't let logging clobber errno before use

OpenBSD-Commit-ID: ce6cca370005c270c277c51c111bb6911e1680ec

Only call dh_set_moduli_file if using OpenSSL.

Fixes link failure when configuring --without-openssl since dh.c is not
linked in.

Don't install moduli during tests.

Now that we have TEST_SSH_MODULI_FILE pointing to the moduli in the
soure directory we don't need to install the file to prevent warnings
about it being missing.

Point TEST_SSH_MODULI_FILE at our own moduli.

This will allow the test to run without requiring a moduli file
installed at the configured default path.

upstream: spelling

OpenBSD-Commit-ID: 478bc3db04f62f1048ed6e1765400f3ab325e60f

upstream: Add ModuliFile keyword to sshd_config to specify the

location of the "moduli" file containing the groups for DH-GEX.  This will
allow us to run tests against arbitrary moduli files without having to
install them. ok djm@

OpenBSD-Commit-ID: 8df99d60b14ecaaa28f3469d01fc7f56bff49f66

upstream: pwcopy() struct passwd that we're going to reuse across a

bunch of library calls; bz3273 ok dtucker@

OpenBSD-Commit-ID: b6eafa977b2e44607b1b121f5de855107809b762

upstream: Import regenerated moduli file.

OpenBSD-Commit-ID: 7ac6c252d2a5be8fbad4c66d9d35db507c9dac5b

upstream: no need to reset buffer after send_msg() as that is done

for us; patch from Mike Frysinger

OpenBSD-Commit-ID: 565516495ff8362a38231e0f1a087b8ae66da59c

upstream: Add TEST_SSH_MODULI_FILE variable to allow overriding of the

moduli file used during the test run.

OpenBSD-Regress-ID: be10f785263120edb64fc87db0e0d6570a10220a

Allow (but return EACCES) fstatat64 in sandbox.

This is apparently used in some configurations of OpenSSL when glibc
has getrandom().  bz#3276, patch from Kris Karas, ok djm@

Move generic includes outside of ifdef.

This ensures that the macros in log.h are defined in the case where
either of --with-solaris-projects or --with-solaris-privs are used
without --with-solaris-contracts.  bz#3278.

Import regenerated moduli file.

upstream: Fix PRINT macro, the suffix param to sshlog() was missing.

Also remove redundant __func__ prefix from PRINT calls as the macro already
adds __FILE__, __func__ and __LINE__.  From Christos Zoulas. OK dtucker@

OpenBSD-Commit-ID: 01fdfa9c5541151b5461d9d7d6ca186a3413d949

upstream: don't sshbuf_get_u32() into an enum; reported by goetze

AT dovetail.com via bz3269

OpenBSD-Commit-ID: 99a30a8f1df9bd72be54e21eee5c56a0f050921a

upstream: typo in other_hostkeys_message() display output, ok djm

OpenBSD-Commit-ID: 276f58afc97b6f5826e0be58380b737603dbf5f5

upstream: needs FILE*; from Mike Frysinger

OpenBSD-Commit-ID: dddb3aa9cb5792eeeaa37a1af67b5a3f25ded41d

update depend

update relnotes URL

update RPM spec version numbers

upstream: openssh-8.5

OpenBSD-Commit-ID: 185e85d60fe042b8f8fa1ef29d4ef637bdf397d6

Only upload config logs if configure fails.

upstream: Add %k to list of keywords. From

=?UTF-8?q?=20Eero=20H=C3=A4kkinenvia=20bz#3267?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

OpenBSD-Commit-ID: 9c87f39a048cee2a7d1c8bab951b2f716256865e

upstream: Do not try to reset signal handler for signal 0 in

subprocess. Prevents spurious debug message.  ok djm@

OpenBSD-Commit-ID: 7f9785e292dcf304457566ad4637effd27ad1d46

upstream: fix alphabetic ordering of options; spotted by Iain Morgan

OpenBSD-Commit-ID: f955fec617d74af0feb5b275831a9fee813d7ad5

zlib is now optional.

Fix punctuatio and typo in README.md.

Some very minor fixes, missing 's' and punctuation.

Revert "ssh: optional bind interface if bind address specified."

This reverts commit 5a878a71a3528c2626aa1d331934fd964782d41c.

Apologies - I accidentally pushed this.

detech BSD libc hash functions in libbsd / libmd

Some Linux distributions are shipping the BSD-style hashing functions
(e.g. SHA256Update) in libbsd and/or libmd. Detect this situation to
avoid header/replacement clashes later. ok dtucker@

ssh: optional bind interface if bind address specified.

Allows the -b and -B options to be used together.
For example, when the interface is in the VRF.

upstream: remove this KEX fuzzer; it's awkward to use and doesn't play

nice with popular fuzzing drivers like libfuzzer. AFAIK nobody has used it
but me.

OpenBSD-Regress-ID: cad919522b3ce90c147c95abaf81b0492ac296c9

Remove macos-11.00 PAM test target too.

These are failing apparently due to some kind of infrastructure problem,
making it look like every commit is busted.

upstream: a bit more debugging behind #ifdef DEBUG_SK

OpenBSD-Commit-ID: d9fbce14945721061cb322f0084c2165d33d1993

Remove macos-11.0 from the test target list.

It has been consistently failing for the past few days with a github
actions internal error.

tidy the $INSTALLKEY_SH code layout a little

SSH-Copy-ID-Upstream: 78178aa5017222773e4c23d9001391eeaeca8983

if unable to add a missing newline, fail

SSH-Copy-ID-Upstream: 76b25e18f55499ea9edb4c4d6dc4a80bebc36d95

use $AUTH_KEY_DIR, now that we have it

since that was a change made since jjelen's commit was written

also, quote the variables

SSH-Copy-ID-Upstream: 588cd8e5cbf95f3443d92b9ab27c5d73ceaf6616

restorecon the correct directory

if using different path for authorized_keys file

SSH-Copy-ID-Upstream: 791a3df47b48412c726bff6f7b1d190721e65d51

upstream: s/PubkeyAcceptedKeyTypes/PubkeyAcceptedAlgorithms/

OpenBSD-Regress-ID: 3dbc005fa29f69dc23d97e433b6dffed6fe7cb69

upstream: Rename pubkeyacceptedkeytypes to pubkeyacceptedalgorithms in

test to match change to config-dump output.

OpenBSD-Regress-ID: 74c9a4ad50306be873d032819d5e55c24eb74d5d

upstream: Put obsolete aliases for hostbasedalgorithms and

pubkeyacceptedalgorithms after their current names so that the config-dump
mode finds and uses the current names.  Spotted by Phil Pennock.

OpenBSD-Commit-ID: 5dd10e93cccfaff3aaaa09060c917adff04a9b15

upstream: lots more s/key types/signature algorithms/ mostly in

HostbasedAcceptedAlgorithms and HostKeyAlgorithms; prompted by Jakub Jelen

OpenBSD-Commit-ID: 3f719de4385b1a89e4323b2549c66aae050129cb

upstream: Correct reference to signature algorithms as keys; from

Jakub Jelen

OpenBSD-Commit-ID: 36f7ecee86fc811aa0f8e21e7a872eee044b4be5

Add a couple more test VMs.

Valgrind test: split and move up list.

Since the valgrind test takes so long it approaches the limit allowed by
github, move it to the head of the list so it's the first one started and
split the longest tests out into a second instance that runs concurrently
with the first.

upstream: warn when the user specifies a ForwardAgent path that does

not exist and exit if ExitOnForwardFailure is set; bz3264

OpenBSD-Commit-ID: 72f7875865e723e464c71bf8692e83110699bf26

Disable rlimit sandbox, doesn't work with valgrind

Only run regress tests, runing unit tests as well makes it run longer
than allowed y github.

Upload valgrind logs on failure.

Rename "vm" to "os" in selfhosted to match c-cpp.

Should make it easier to share code or maybe merge at some point.

Upload regress failure logs in c-cpp too.

Comment out Solaris 64bit PAM build...

until I can figure out why it's failing.

Actually run Valgrind tests.

Add test against Valgrind.

Add fbsd12 test target.

Remove unused arg.

Add DEBUG_SK to kitchensink builds.