- markus@cvs.openbsd.org 2006/10/10 10:12:45
[openssh-git.git] / ChangeLog
blob2b752ca54c06818ad5357ed767700fc5ff28b0c0
1 20061023
2  - (djm) OpenBSD CVS Sync
3    - ray@cvs.openbsd.org 2006/09/30 17:48:22
4      [sftp.c]
5      Clear errno before calling the strtol functions.
6      From Paul Stoeber <x0001 at x dot de1 dot cc>.
7      OK deraadt@.
8    - djm@cvs.openbsd.org 2006/10/06 02:29:19
9      [ssh-agent.c ssh-keyscan.c ssh.c]
10      sys/resource.h needs sys/time.h; prompted by brad@
11      (NB. Id sync only for portable)
12    - djm@cvs.openbsd.org 2006/10/09 23:36:11
13      [session.c]
14      xmalloc -> xcalloc that was missed previously, from portable
15      (NB. Id sync only for portable, obviously)
16    - markus@cvs.openbsd.org 2006/10/10 10:12:45
17      [sshconnect.c]
18      sleep before retrying (not after) since sleep changes errno; fixes
19      pr 5250; rad@twig.com; ok dtucker djm
21 20061018
22  - (dtucker) OpenBSD CVS Sync
23    - ray@cvs.openbsd.org 2006/09/25 04:55:38
24      [ssh-keyscan.1 ssh.1]
25      Change "a SSH" to "an SSH".  Hurray, I'm not the only one who
26      pronounces "SSH" as "ess-ess-aich".
27      OK jmc@ and stevesk@.
28  - (dtucker) [sshd.c] Reshuffle storing of pw struct; prevents warnings
29    on older versions of OS X.  ok djm@
31 20061016
32  - (dtucker) [monitor_fdpass.c] Include sys/in.h, required for cmsg macros
33    on older (2.0) Linuxes.  Based on patch from thmo-13 at gmx de.
35 20061006
36  - (tim) [buildpkg.sh.in] Use uname -r instead of -v in OS_VER for Solaris.
37    Differentiate between OpenServer 5 and OpenServer 6
38  - (dtucker) [configure.ac] Set put -lselinux into $LIBS while testing for
39    SELinux functions so they're detected correctly.  Patch from pebenito at
40    gentoo.org.
41  - (tim) [buildpkg.sh.in] Some systems have really limited nawk (OpenServer).
42    Allow setting alternate awk in openssh-config.local.
44 20061003
45  - (tim) [configure.ac] Move CHECK_HEADERS test before platform specific
46    section so additional platform specific CHECK_HEADER tests will work
47    correctly. Fixes "<net/if_tap.h> on FreeBSD" problem report by des AT des.no
48    Feedback and "seems like a good idea" dtucker@
50 20061001
51  - (dtucker) [audit-bsm.c] Include errno.h.  Pointed out by des at des.no.
53 20060929
54  - (dtucker) [configure.ac] Bug #1239: Fix configure test for OpenSSH engine
55    support.  Patch from andrew.benham at thus net.
57 20060928
58  - (dtucker) [entropy.c] Bug #1238: include signal.h to fix compilation error
59    on Solaris 8 w/out /dev/random or prngd.  Patch from rl at
60    math.technion.ac.il.
62 20060926
63  - (dtucker) [bufaux.h] nuke bufaux.h; it's already gone from OpenBSD and not
64    referenced any more.  ok djm@
65  - (dtucker) [sftp-server.8] Resync; spotted by djm@
66  - (dtucker) Release 4.4p1.
68 20060924
69  - (tim) [configure.ac] Remove CFLAGS hack for UnixWare 1.x/2.x (added
70    to rev 1.308) to work around broken gcc 2.x header file.
72 20060923
73  - (dtucker) [configure.ac] Bug #1234: Put opensc libs into $LIBS rather than
74    $LDFLAGS.  Patch from vapier at gentoo org.
76 20060922
77  - (dtucker) [packet.c canohost.c] Include arpa/inet.h for htonl macros on
78    some platforms (eg HP-UX 11.00).  From santhi.amirta at gmail com.
80 20060921
81  - (dtucker) OpenBSD CVS Sync
82    - otto@cvs.openbsd.org 2006/09/19 05:52:23
83      [sftp.c]
84      Use S_IS* macros insted of masking with S_IF* flags. The latter may
85      have multiple bits set, which lead to surprising results. Spotted by
86      Paul Stoeber, more to come. ok millert@ pedro@ jaredy@ djm@
87    - markus@cvs.openbsd.org 2006/09/19 21:14:08
88      [packet.c]
89      client NULL deref on protocol error; Tavis Ormandy, Google Security Team
90  - (dtucker) [defines.h] Include unistd.h before defining getpgrp; fixes
91    build error on Ultrix.  From Bernhard Simon.
93 20060918
94  - (dtucker) [configure.ac] On AIX, check to see if the compiler will allow
95    macro redefinitions, and if not, remove "-qlanglvl=ansi" from the flags.
96    Allows build out of the box with older VAC and XLC compilers.  Found by
97    David Bronder and Bernhard Simon.
98  - (dtucker) [openbsd-compat/port-aix.{c,h}] Reduce scope of includes.
99    Prevents macro redefinition warnings of "RDONLY".
101 20060916
102  - OpenBSD CVS Sync
103    - djm@cvs.openbsd.org 2006/09/16 19:53:37
104      [deattack.c deattack.h packet.c]
105      limit maximum work performed by the CRC compensation attack detector,
106      problem reported by Tavis Ormandy, Google Security Team;
107      ok markus@ deraadt@
108  - (djm) Add openssh.xml to .cvsignore and sort it
109  - (dtucker) [auth-pam.c] Propogate TZ environment variable to PAM auth
110    process so that any logging it does is with the right timezone.  From
111    Scott Strickler, ok djm@.
112  - (dtucker) [monitor.c] Correctly handle auditing of single commands when
113    using Protocol 1.  From jhb at freebsd.
114  - (djm) [sshd.c] Fix warning/API abuse; ok dtucker@
115  - (dtucker) [INSTALL] Add info about audit support.
117 20060912
118  - (djm) [Makefile.in buildpkg.sh.in configure.ac openssh.xml.in]
119    Support SMF in Solaris Packages if enabled by configure. Patch from
120    Chad Mynhier, tested by dtucker@
122 20060911
123  - (dtucker) [cipher-aes.c] Include string.h for memcpy and friends.  Noted
124    by Pekka Savola.
126 20060910
127  - (dtucker) [contrib/aix/buildbff.sh] Ensure that perl is available.
128  - (dtucker) [configure.ac] Add -lcrypt to let DragonFly build OOTB.
130 20060909
131  - (dtucker) [openbsd-compat/bsd-snprintf.c] Add stdarg.h.
132  - (dtucker) [contrib/aix/buildbff.sh] Always create privsep user.
133  - (dtucker) [buildpkg.sh.in] Always create privsep user.  ok djm@
135 20060908
136  - (dtucker) [auth-sia.c] Add includes required for build on Tru64.  Patch
137    from Chris Adams.
138  - (dtucker) [configure.ac] The BSM header test needs time.h in some cases.
140 20060907
141  - (djm) [sshd.c auth.c] Set up fakepw() with privsep uid/gid, so it can
142    be used to drop privilege to; fixes Solaris GSSAPI crash reported by
143    Magnus Abrante; suggestion and feedback dtucker@
144    NB. this change will require that the privilege separation user must
145    exist on all the time, not just when UsePrivilegeSeparation=yes
146  - (tim) [configure.ac] s/BROKEN_UPDWTMP/BROKEN_UPDWTMPX/ on SCO OSR6
147  - (dtucker) [loginrec.c] Wrap paths.h in HAVE_PATHS_H.
148  - (dtucker) [regress/cfgmatch.sh] stop_client is racy, so give us a better
149    chance of winning.
151 20060905
152  - (dtucker) [configure.ac] s/AC_DEFINES/AC_DEFINE/ spotted by Roumen Petrov.
153  - (dtucker) [loginrec.c] Include paths.h for _PATH_BTMP.
155 20060904
156  - (dtucker) [configure.ac] Define BROKEN_UPDWTMP on SCO OSR6 as the native
157    updwdtmp seems to generate invalid wtmp entries.  From Roger Cornelius,
158    ok djm@
160 20060903
161  - (dtucker) [configure.ac openbsd-compat/openbsd-compat.h] Check for
162    declaration of writev(2) and declare it ourselves if necessary.  Makes
163    the atomiciov() calls build on really old systems.  ok djm@
165 20060902
166  - (dtucker) [openbsd-compat/port-irix.c] Add errno.h, found by Iain Morgan.
167  - (dtucker) [ssh-keyscan.c ssh-rand-helper.c ssh.c sshconnect.c
168    openbsd-compat/bindresvport.c openbsd-compat/getrrsetbyname.c
169    openbsd-compat/port-tun.c openbsd-compat/rresvport.c] Include <arpa/inet.h>
170    for hton* and ntoh* macros.  Required on (at least) HP-UX since we define
171    _XOPEN_SOURCE_EXTENDED.  Found by santhi.amirta at gmail com.
173 20060901
174  - (djm) [audit-bsm.c audit.c auth-bsdauth.c auth-chall.c auth-pam.c]
175    [auth-rsa.c auth-shadow.c auth-sia.c auth1.c auth2-chall.c]
176    [auth2-gss.c auth2-kbdint.c auth2-none.c authfd.c authfile.c]
177    [cipher-3des1.c cipher-aes.c cipher-bf1.c cipher-ctr.c clientloop.c]
178    [dh.c dns.c entropy.c gss-serv-krb5.c gss-serv.c hostfile.c kex.c]
179    [kexdhc.c kexdhs.c kexgexc.c kexgexs.c key.c loginrec.c mac.c]
180    [md5crypt.c monitor.c monitor_wrap.c readconf.c rsa.c]
181    [scard-opensc.c scard.c session.c ssh-add.c ssh-agent.c ssh-dss.c]
182    [ssh-keygen.c ssh-keysign.c ssh-rsa.c ssh.c sshconnect.c]
183    [sshconnect1.c sshconnect2.c sshd.c]
184    [openbsd-compat/bsd-cray.c openbsd-compat/port-aix.c]
185    [openbsd-compat/port-linux.c openbsd-compat/port-solaris.c]
186    [openbsd-compat/port-uw.c]
187    Lots of headers for SCO OSR6, mainly adding stdarg.h for log.h;
188    compile problems reported by rac AT tenzing.org
189  - (djm) [includes.h monitor.c openbsd-compat/bindresvport.c]
190    [openbsd-compat/rresvport.c] Some more headers: netinet/in.h 
191    sys/socket.h and unistd.h in various places
192  - (dtucker) [openbsd-compat/bsd-cygwin_util.c] Fix implict declaration
193    warnings for binary_open and binary_close.  Patch from Corinna Vinschen.
194  - (dtucker) [configure.ac includes.h openbsd-compat/glob.{c,h}] Explicitly
195    test for GLOB_NOMATCH and use our glob functions if it's not found.
196    Stops sftp from segfaulting when attempting to get a nonexistent file on
197    Cygwin (previous versions of OpenSSH didn't use the native glob). Partly
198    from and tested by Corinna Vinschen.
199  - (dtucker) [README contrib/{caldera,redhat,suse}/openssh.spec]  Crank
200    versions.
202 20060831
203  - (djm) [CREDITS LICENCE Makefile.in auth.c configure.ac includes.h ]
204    [platform.c platform.h sshd.c openbsd-compat/Makefile.in]
205    [openbsd-compat/openbsd-compat.h openbsd-compat/port-solaris.c]
206    [openbsd-compat/port-solaris.h] Add support for Solaris process
207    contracts, enabled with --use-solaris-contracts. Patch from Chad
208    Mynhier, tweaked by dtucker@ and myself; ok dtucker@
209  - (dtucker) [contrib/cygwin/ssh-host-config] Add SeTcbPrivilege privilege
210    while setting up the ssh service account.  Patch from Corinna Vinschen.
212 20060830
213  - (djm) OpenBSD CVS Sync
214    - dtucker@cvs.openbsd.org 2006/08/21 08:14:01
215      [sshd_config.5]
216      Document HostbasedUsesNameFromPacketOnly.  Corrections from jmc@,
217      ok jmc@ djm@
218    - dtucker@cvs.openbsd.org 2006/08/21 08:15:57
219      [sshd.8]
220      Add more detail about what permissions are and aren't accepted for
221      authorized_keys files.  Corrections jmc@, ok djm@, "looks good" jmc@
222    - djm@cvs.openbsd.org 2006/08/29 10:40:19
223      [channels.c session.c]
224      normalise some inconsistent (but harmless) NULL pointer checks
225      spotted by the Stanford SATURN tool, via Isil Dillig;
226      ok markus@ deraadt@
227    - dtucker@cvs.openbsd.org 2006/08/29 12:02:30
228      [gss-genr.c]
229      Work around a problem in Heimdal that occurs when KRB5CCNAME file is
230      missing, by checking whether or not kerberos allocated us a context
231      before attempting to free it.  Patch from Simon Wilkinson, tested by
232      biorn@, ok djm@
233    - dtucker@cvs.openbsd.org 2006/08/30 00:06:51
234      [sshconnect2.c]
235      Fix regression where SSH2 banner is printed at loglevels ERROR and FATAL
236      where previously it weren't.  bz #1221, found by Dean Kopesky, ok djm@
237    - djm@cvs.openbsd.org 2006/08/30 00:14:37
238      [version.h]
239      crank to 4.4
240  - (djm) [openbsd-compat/xcrypt.c] needs unistd.h
241  - (dtucker) [auth.c openbsd-compat/port-aix.c] Bug #1207: always call
242    loginsuccess on AIX immediately after authentication to clear the failed
243    login count.  Previously this would only happen when an interactive
244    session starts (ie when a pty is allocated) but this means that accounts
245    that have primarily non-interactive sessions (eg scp's) may gradually
246    accumulate enough failures to lock out an account.  This change may have
247    a side effect of creating two audit records, one with a tty of "ssh"
248    corresponding to the authentication and one with the allocated pty per
249    interactive session.
251 20060824
252  - (dtucker) [openbsd-compat/basename.c] Include errno.h.
253  - (dtucker) [openbsd-compat/bsd-misc.c] Add includes needed for select(2) on
254    older systems.
255  - (dtucker) [openbsd-compat/bsd-misc.c] Include <sys/select.h> for select(2)
256    on POSIX systems.
257  - (dtucker) [openbsd-compat/bsd-openpty.c] Include for ioctl(2).
258  - (dtucker) [openbsd-compat/rresvport.c] Include <stdlib.h> for malloc.
259  - (dtucker) [openbsd-compat/xmmap.c] Move #define HAVE_MMAP to prevent
260    unused variable warning when we have a broken or missing mmap(2).
262 20060822
263  - (dtucker) [Makefile.in] Bug #1177: fix incorrect path for sshrc in
264    Makefile.  Patch from santhi.amirta at gmail, ok djm.
266 20060820
267  - (dtucker) [log.c] Move ifdef to prevent unused variable warning.
268  - (dtucker) [configure.ac] Save $LIBS during PAM library tests and restore
269    afterward.  Removes the need to mangle $LIBS later to remove -lpam and -ldl.
270  - (dtucker) [configure.ac] Relocate --with-pam parts in preparation for
271    fixing bug #1181.  No changes yet.
272  - (dtucker) [configure.ac] Bug #1181: Explicitly test to see if OpenSSL
273    (0.9.8a and presumably newer) requires -ldl to successfully link.
274  - (dtucker) [configure.ac] Remove errant "-".
276 20060819
277  - (djm) OpenBSD CVS Sync
278    - djm@cvs.openbsd.org 2006/08/18 22:41:29
279      [gss-genr.c]
280      GSSAPI error code should be 0 and not -1; from simon@sxw.org.uk
281  - (dtucker) [openbsd-compat/regress/Makefile.in] Add $(EXEEXT) and add a
282    single rule for the test progs.
284 20060818
285  - (dtucker) [configure.ac openbsd-compat/bsd-closefrom.c] Resync with
286    closefrom.c from sudo.
287  - (dtucker) [openbsd-compat/bsd-closefrom.c] Comment out rcsid.
288  - (dtucker) [openbsd-compat/regress/snprintftest.c] Newline on error.
289  - (dtucker) [openbsd-compat/regress/Makefile.in] Use implicit rules for the
290    test progs instead; they work better than what we have.
291  - (djm) OpenBSD CVS Sync
292    - stevesk@cvs.openbsd.org 2006/08/06 01:13:32
293      [compress.c monitor.c monitor_wrap.c]
294      "zlib.h" can be <zlib.h>; ok djm@ markus@
295    - miod@cvs.openbsd.org 2006/08/12 20:46:46
296      [monitor.c monitor_wrap.c]
297      Revert previous include file ordering change, for ssh to compile under
298      gcc2 (or until openssl include files are cleaned of parameter names
299      in function prototypes)
300    - dtucker@cvs.openbsd.org 2006/08/14 12:40:25
301      [servconf.c servconf.h sshd_config.5]
302      Add ability to match groups to Match keyword in sshd_config.  Feedback
303      djm@, stevesk@, ok stevesk@.
304    - djm@cvs.openbsd.org 2006/08/16 11:47:15
305      [sshd.c]
306      factor inetd connection, TCP listen and main TCP accept loop out of
307      main() into separate functions to improve readability; ok markus@
308    - deraadt@cvs.openbsd.org 2006/08/18 09:13:26
309      [log.c log.h sshd.c]
310      make signal handler termination path shorter; risky code pointed out by
311      mark dowd; ok djm markus
312    - markus@cvs.openbsd.org 2006/08/18 09:15:20
313      [auth.h session.c sshd.c]
314      delay authentication related cleanups until we're authenticated and
315      all alarms have been cancelled; ok deraadt
316    - djm@cvs.openbsd.org 2006/08/18 10:27:16
317      [misc.h]
318      reorder so prototypes are sorted by the files they refer to; no
319      binary change
320    - djm@cvs.openbsd.org 2006/08/18 13:54:54
321      [gss-genr.c ssh-gss.h sshconnect2.c]
322      bz #1218 - disable SPNEGO as per RFC4462; diff from simon AT sxw.org.uk
323      ok markus@
324    - djm@cvs.openbsd.org 2006/08/18 14:40:34
325      [gss-genr.c ssh-gss.h]
326      constify host argument to match the rest of the GSSAPI functions and
327      unbreak compilation with -Werror
328  - (djm) Disable sigdie() for platforms that cannot safely syslog inside
329    a signal handler (basically all of them, excepting OpenBSD);
330    ok dtucker@
332 20060817
333  - (dtucker) [openbsd-compat/fake-rfc2553.c openbsd-compat/setproctitle.c]
334    Include stdlib.h for malloc and friends.
335  - (dtucker) [configure.ac openbsd-compat/bsd-closefrom.c] Use F_CLOSEM fcntl
336    for closefrom() on AIX.  Pointed out by William Ahern.
337  - (dtucker) [openbsd-compat/regress/{Makefile.in,closefromtest.c}] Regress
338    test for closefrom() in compat code.
340 20060816
341  - (djm) [audit-bsm.c] Sprinkle in some headers
343 20060815
344  - (dtucker) [LICENCE] Add Reyk to the list for the compat dir.
346 20060806
347  - (djm) [openbsd-compat/bsd-getpeereid.c] Add some headers to quiet warnings
348    on Solaris 10
350 20060806
351  - (dtucker) [defines.h] With the includes.h changes we no longer get the
352    name clash on "YES" so we can remove the workaround for it.
353  - (dtucker) [openbsd-compat/{bsd-asprintf.c,bsd-openpty.c,bsd-snprintf.c,
354    glob.c}] Include stdlib.h for malloc and friends in compat code.
356 20060805
357  - (djm) OpenBSD CVS Sync
358    - stevesk@cvs.openbsd.org 2006/07/24 13:58:22
359      [sshconnect.c]
360      disable tunnel forwarding when no strict host key checking
361      and key changed; ok djm@ markus@ dtucker@
362    - stevesk@cvs.openbsd.org 2006/07/25 02:01:34
363      [scard.c]
364      need #include <string.h>
365    - stevesk@cvs.openbsd.org 2006/07/25 02:59:21
366      [channels.c clientloop.c packet.c scp.c serverloop.c sftp-client.c]
367      [sftp-server.c ssh-agent.c ssh-keyscan.c sshconnect.c sshd.c]
368      move #include <sys/time.h> out of includes.h
369    - stevesk@cvs.openbsd.org 2006/07/26 02:35:17
370      [atomicio.c auth.c dh.c authfile.c buffer.c clientloop.c kex.c]
371      [groupaccess.c gss-genr.c kexgexs.c misc.c monitor.c monitor_mm.c]
372      [packet.c scp.c serverloop.c session.c sftp-client.c sftp-common.c]
373      [sftp-server.c sftp.c ssh-add.c ssh-agent.c ssh-keygen.c sshlogin.c]
374      [uidswap.c xmalloc.c]
375      move #include <sys/param.h> out of includes.h
376    - stevesk@cvs.openbsd.org 2006/07/26 13:57:17
377      [authfd.c authfile.c dh.c canohost.c channels.c clientloop.c compat.c]
378      [hostfile.c kex.c log.c misc.c moduli.c monitor.c packet.c readpass.c]
379      [scp.c servconf.c session.c sftp-server.c sftp.c ssh-add.c ssh-agent.c]
380      [ssh-keygen.c ssh-keyscan.c ssh-keysign.c ssh.c sshconnect.c]
381      [sshconnect1.c sshd.c xmalloc.c]
382      move #include <stdlib.h> out of includes.h
383    - jmc@cvs.openbsd.org 2006/07/27 08:00:50
384      [ssh_config.5]
385      avoid confusing wording in HashKnownHosts:
386      originally spotted by alan amesbury;
387      ok deraadt
388    - jmc@cvs.openbsd.org 2006/07/27 08:00:50
389      [ssh_config.5]
390      avoid confusing wording in HashKnownHosts:
391      originally spotted by alan amesbury;
392      ok deraadt
393    - dtucker@cvs.openbsd.org 2006/08/01 11:34:36
394      [sshconnect.c]
395      Allow fallback to known_hosts entries without port qualifiers for
396      non-standard ports too, so that all existing known_hosts entries will be
397      recognised.  Requested by, feedback and ok markus@
398    - stevesk@cvs.openbsd.org 2006/08/01 23:22:48
399      [auth-passwd.c auth-rhosts.c auth-rsa.c auth.c auth.h auth1.c]
400      [auth2-chall.c auth2-pubkey.c authfile.c buffer.c canohost.c]
401      [channels.c clientloop.c dh.c dns.c dns.h hostfile.c kex.c kexdhc.c]
402      [kexgexc.c kexgexs.c key.c key.h log.c misc.c misc.h moduli.c]
403      [monitor_wrap.c packet.c progressmeter.c readconf.c readpass.c scp.c]
404      [servconf.c session.c sftp-client.c sftp-common.c sftp-server.c sftp.c]
405      [ssh-add.c ssh-agent.c ssh-keygen.c ssh-keyscan.c ssh.c sshconnect.c]
406      [sshconnect1.c sshconnect2.c sshd.c sshlogin.c sshtty.c uuencode.c]
407      [uuencode.h xmalloc.c]
408      move #include <stdio.h> out of includes.h
409    - stevesk@cvs.openbsd.org 2006/08/01 23:36:12
410      [authfile.c channels.c progressmeter.c scard.c servconf.c ssh.c]
411      clean extra spaces
412    - deraadt@cvs.openbsd.org 2006/08/03 03:34:42
413      [OVERVIEW atomicio.c atomicio.h auth-bsdauth.c auth-chall.c auth-krb5.c]
414      [auth-options.c auth-options.h auth-passwd.c auth-rh-rsa.c auth-rhosts.c]
415      [auth-rsa.c auth-skey.c auth.c auth.h auth1.c auth2-chall.c auth2-gss.c]
416      [auth2-hostbased.c auth2-kbdint.c auth2-none.c auth2-passwd.c ]
417      [auth2-pubkey.c auth2.c authfd.c authfd.h authfile.c bufaux.c bufbn.c]
418      [buffer.c buffer.h canohost.c channels.c channels.h cipher-3des1.c]
419      [cipher-bf1.c cipher-ctr.c cipher.c cleanup.c clientloop.c compat.c]
420      [compress.c deattack.c dh.c dispatch.c dns.c dns.h fatal.c groupaccess.c]
421      [groupaccess.h gss-genr.c gss-serv-krb5.c gss-serv.c hostfile.c kex.c]
422      [kex.h kexdh.c kexdhc.c kexdhs.c kexgex.c kexgexc.c kexgexs.c key.c]
423      [key.h log.c log.h mac.c match.c md-sha256.c misc.c misc.h moduli.c]
424      [monitor.c monitor_fdpass.c monitor_mm.c monitor_mm.h monitor_wrap.c]
425      [monitor_wrap.h msg.c nchan.c packet.c progressmeter.c readconf.c]
426      [readconf.h readpass.c rsa.c scard.c scard.h scp.c servconf.c servconf.h]
427      [serverloop.c session.c session.h sftp-client.c sftp-common.c]
428      [sftp-common.h sftp-glob.c sftp-server.c sftp.c ssh-add.c ssh-agent.c]
429      [ssh-dss.c ssh-gss.h ssh-keygen.c ssh-keyscan.c ssh-keysign.c ssh-rsa.c]
430      [ssh.c ssh.h sshconnect.c sshconnect.h sshconnect1.c sshconnect2.c]
431      [sshd.c sshlogin.c sshlogin.h sshpty.c sshpty.h sshtty.c ttymodes.c]
432      [uidswap.c uidswap.h uuencode.c uuencode.h xmalloc.c xmalloc.h]
433      [loginrec.c loginrec.h openbsd-compat/port-aix.c openbsd-compat/port-tun.h]
434      almost entirely get rid of the culture of ".h files that include .h files"
435      ok djm, sort of ok stevesk
436      makes the pain stop in one easy step
437      NB. portable commit contains everything *except* removing includes.h, as
438      that will take a fair bit more work as we move headers that are required
439      for portability workarounds to defines.h. (also, this step wasn't "easy")
440    - stevesk@cvs.openbsd.org 2006/08/04 20:46:05
441      [monitor.c session.c ssh-agent.c]
442      spaces
443  - (djm) [auth-pam.c defines.h] Move PAM related bits to auth-pam.c
444  - (djm) [auth-pam.c auth.c bufaux.h entropy.c openbsd-compat/port-tun.c]
445    remove last traces of bufaux.h - it was merged into buffer.h in the big
446    includes.h commit
447  - (djm) [auth.c loginrec.c] Missing netinet/in.h for loginrec
448  - (djm) [openbsd-compat/regress/snprintftest.c]
449    [openbsd-compat/regress/strduptest.c] Add missing includes so they pass
450    compilation with "-Wall -Werror"
451  - (djm) [auth-pam.c auth-shadow.c auth2-none.c cleanup.c sshd.c]
452    [openbsd-compat/port-tun.c openbsd-compat/port-tun.h] Sprinkle more
453    includes for Linux in
454  - (dtucker) [cleanup.c] Need defines.h for __dead.
455  - (dtucker) [auth2-gss.c] We still need the #ifdef GSSAPI in -portable.
456  - (dtucker) [openbsd-compat/{bsd-arc4random.c,port-tun.c,xmmap.c}] Lots of
457    #include stdarg.h, needed for log.h.
458  - (dtucker) [entropy.c] Needs unistd.h too.
459  - (dtucker) [ssh-rand-helper.c] Needs stdarg.h for log.h.
460  - (dtucker) [openbsd-compat/getrrsetbyname.c] Nees stdlib.h for malloc.
461  - (dtucker) [openbsd-compat/strtonum.c] Include stdlib.h for strtoll,
462    otherwise it is implicitly declared as returning an int.
463  - (dtucker) OpenBSD CVS Sync
464    - dtucker@cvs.openbsd.org 2006/08/05 07:52:52
465      [auth2-none.c sshd.c monitor_wrap.c]
466      Add headers required to build with KERBEROS5=no.  ok djm@
467    - dtucker@cvs.openbsd.org 2006/08/05 08:00:33
468      [auth-skey.c]
469      Add headers required to build with -DSKEY.  ok djm@
470    - dtucker@cvs.openbsd.org 2006/08/05 08:28:24
471      [monitor_wrap.c auth-skey.c auth2-chall.c]
472      Zap unused variables in -DSKEY code.  ok djm@
473    - dtucker@cvs.openbsd.org 2006/08/05 08:34:04
474      [packet.c]
475      Typo in comment
476  - (dtucker) [openbsd-compat/bsd-cygwin_util.c] Add headers required to compile
477    on Cygwin.
478  - (dtucker) [openbsd-compat/fake-rfc2553.c] Add headers needed for inet_ntoa.
479  - (dtucker) [auth-skey.c] monitor_wrap.h needs ssh-gss.h.
480  - (dtucker) [audit.c audit.h] Repair headers.
481  - (dtucker) [audit-bsm.c] Add additional headers now required.
483 20060804
484  - (dtucker) [configure.ac] The "crippled AES" test does not work on recent
485    versions of Solaris, so use AC_LINK_IFELSE to actually link the test program
486    rather than just compiling it.  Spotted by dlg@.
488 20060802
489  - (dtucker) [openbsd-compat/daemon.c] Add unistd.h for fork() prototype.
491 20060725
492  - (dtucker) [openbsd-compat/xmmap.c] Need fcntl.h for O_RDRW.
494 20060724
495  - (djm) OpenBSD CVS Sync
496    - jmc@cvs.openbsd.org 2006/07/12 13:39:55
497      [sshd_config.5]
498       - new sentence, new line
499       - s/The the/The/
500       - kill a bad comma
501    - stevesk@cvs.openbsd.org 2006/07/12 22:28:52
502      [auth-options.c canohost.c channels.c includes.h readconf.c]
503      [servconf.c ssh-keyscan.c ssh.c sshconnect.c sshd.c]
504      move #include <netdb.h> out of includes.h; ok djm@
505    - stevesk@cvs.openbsd.org 2006/07/12 22:42:32
506      [includes.h ssh.c ssh-rand-helper.c]
507      move #include <stddef.h> out of includes.h
508    - stevesk@cvs.openbsd.org 2006/07/14 01:15:28
509      [monitor_wrap.h]
510      don't need incompletely-typed 'struct passwd' now with
511      #include <pwd.h>; ok markus@
512    - stevesk@cvs.openbsd.org 2006/07/17 01:31:10
513      [authfd.c authfile.c channels.c cleanup.c clientloop.c groupaccess.c]
514      [includes.h log.c misc.c msg.c packet.c progressmeter.c readconf.c]
515      [readpass.c scp.c servconf.c sftp-client.c sftp-server.c sftp.c]
516      [ssh-add.c ssh-agent.c ssh-keygen.c ssh-keyscan.c ssh-keysign.c ssh.c]
517      [sshconnect.c sshlogin.c sshpty.c uidswap.c]
518      move #include <unistd.h> out of includes.h
519    - dtucker@cvs.openbsd.org 2006/07/17 12:02:24
520      [auth-options.c]
521      Use '\0' rather than 0 to terminates strings; ok djm@
522    - dtucker@cvs.openbsd.org 2006/07/17 12:06:00
523      [channels.c channels.h servconf.c sshd_config.5]
524      Add PermitOpen directive to sshd_config which is equivalent to the
525      "permitopen" key option.  Allows server admin to allow TCP port
526      forwarding only two specific host/port pairs.  Useful when combined
527      with Match.
528      If permitopen is used in both sshd_config and a key option, both
529      must allow a given connection before it will be permitted.
530      Note that users can still use external forwarders such as netcat,
531      so to be those must be controlled too for the limits to be effective.
532      Feedback & ok djm@, man page corrections & ok jmc@.
533    - jmc@cvs.openbsd.org 2006/07/18 07:50:40
534      [sshd_config.5]
535      tweak; ok dtucker
536    - jmc@cvs.openbsd.org 2006/07/18 07:56:28
537      [scp.1]
538      replace DIAGNOSTICS with .Ex;
539    - jmc@cvs.openbsd.org 2006/07/18 08:03:09
540      [ssh-agent.1 sshd_config.5]
541      mark up angle brackets;
542    - dtucker@cvs.openbsd.org 2006/07/18 08:22:23
543      [sshd_config.5]
544      Clarify description of Match, with minor correction from jmc@
545    - stevesk@cvs.openbsd.org 2006/07/18 22:27:55
546      [dh.c]
547      remove unneeded includes; ok djm@
548    - dtucker@cvs.openbsd.org 2006/07/19 08:56:41
549      [servconf.c sshd_config.5]
550      Add support for X11Forwaring, X11DisplayOffset and X11UseLocalhost to
551      Match.  ok djm@
552    - dtucker@cvs.openbsd.org 2006/07/19 13:07:10
553      [servconf.c servconf.h session.c sshd.8 sshd_config sshd_config.5]
554      Add ForceCommand keyword to sshd_config, equivalent to the "command="
555      key option, man page entry and example in sshd_config.
556      Feedback & ok djm@, man page corrections & ok jmc@
557    - stevesk@cvs.openbsd.org 2006/07/20 15:26:15
558      [auth1.c serverloop.c session.c sshconnect2.c]
559      missed some needed #include <unistd.h> when KERBEROS5=no; issue from
560      massimo@cedoc.mo.it
561    - dtucker@cvs.openbsd.org 2006/07/21 12:43:36
562      [channels.c channels.h servconf.c servconf.h sshd_config.5]
563      Make PermitOpen take a list of permitted ports and act more like most
564      other keywords (ie the first match is the effective setting). This
565      also makes it easier to override a previously set PermitOpen. ok djm@
566    - stevesk@cvs.openbsd.org 2006/07/21 21:13:30
567      [channels.c]
568      more ARGSUSED (lint) for dispatch table-driven functions; ok djm@
569    - stevesk@cvs.openbsd.org 2006/07/21 21:26:55
570      [progressmeter.c]
571      ARGSUSED for signal handler
572    - stevesk@cvs.openbsd.org 2006/07/22 19:08:54
573      [includes.h moduli.c progressmeter.c scp.c sftp-common.c]
574      [sftp-server.c ssh-agent.c sshlogin.c]
575      move #include <time.h> out of includes.h
576    - stevesk@cvs.openbsd.org 2006/07/22 20:48:23
577      [atomicio.c auth-options.c auth-passwd.c auth-rhosts.c auth-rsa.c]
578      [auth.c auth1.c auth2-chall.c auth2-hostbased.c auth2-passwd.c auth2.c]
579      [authfd.c authfile.c bufaux.c bufbn.c buffer.c canohost.c channels.c]
580      [cipher-3des1.c cipher-bf1.c cipher-ctr.c cipher.c clientloop.c]
581      [compat.c deattack.c dh.c dns.c gss-genr.c gss-serv.c hostfile.c]
582      [includes.h kex.c kexdhc.c kexdhs.c kexgexc.c kexgexs.c key.c log.c]
583      [mac.c match.c md-sha256.c misc.c moduli.c monitor.c monitor_fdpass.c]
584      [monitor_mm.c monitor_wrap.c msg.c nchan.c packet.c rsa.c]
585      [progressmeter.c readconf.c readpass.c scp.c servconf.c serverloop.c]
586      [session.c sftp-client.c sftp-common.c sftp-glob.c sftp-server.c sftp.c]
587      [ssh-add.c ssh-agent.c ssh-dss.c ssh-keygen.c ssh-keyscan.c]
588      [ssh-keysign.c ssh-rsa.c ssh.c sshconnect.c sshconnect1.c sshconnect2.c]
589      [sshd.c sshlogin.c sshpty.c ttymodes.c uidswap.c xmalloc.c]
590      move #include <string.h> out of includes.h
591    - stevesk@cvs.openbsd.org 2006/07/23 01:11:05
592      [auth.h dispatch.c kex.h sftp-client.c]
593      #include <signal.h> for sig_atomic_t; need this prior to <sys/param.h>
594      move
595  - (djm) [acss.c auth-krb5.c auth-options.c auth-pam.c auth-shadow.c]
596    [canohost.c channels.c cipher-acss.c defines.h dns.c gss-genr.c]
597    [gss-serv-krb5.c gss-serv.c log.h loginrec.c logintest.c readconf.c]
598    [servconf.c ssh-keygen.c ssh-keyscan.c ssh-keysign.c ssh-rand-helper.c]
599    [ssh.c sshconnect.c sshd.c openbsd-compat/bindresvport.c]
600    [openbsd-compat/bsd-arc4random.c openbsd-compat/bsd-misc.c]
601    [openbsd-compat/getrrsetbyname.c openbsd-compat/glob.c]
602    [openbsd-compat/mktemp.c openbsd-compat/port-linux.c]
603    [openbsd-compat/port-tun.c openbsd-compat/readpassphrase.c]
604    [openbsd-compat/setproctitle.c openbsd-compat/xmmap.c]
605    make the portable tree compile again - sprinkle unistd.h and string.h 
606    back in. Don't redefine __unused, as it turned out to be used in
607    headers on Linux, and replace its use in auth-pam.c with ARGSUSED
608  - (djm) [openbsd-compat/glob.c]
609    Move get_arg_max() into the ifdef HAVE_GLOB block so that it compiles
610    on OpenBSD (or other platforms with a decent glob implementation) with
611    -Werror
612  - (djm) [uuencode.c]
613    Add resolv.h, is it contains the prototypes for __b64_ntop/__b64_pton on
614    some platforms
615  - (djm) [session.c]
616    fix compile error with -Werror -Wall: 'path' is only used in
617    do_setup_env() if HAVE_LOGIN_CAP is not defined
618  - (djm) [openbsd-compat/basename.c openbsd-compat/bsd-closefrom.c]
619    [openbsd-compat/bsd-cray.c openbsd-compat/bsd-openpty.c]
620    [openbsd-compat/bsd-snprintf.c openbsd-compat/fake-rfc2553.c]
621    [openbsd-compat/port-aix.c openbsd-compat/port-irix.c]
622    [openbsd-compat/rresvport.c]
623    These look to need string.h and/or unistd.h (based on a grep for function
624    names)
625  - (djm) [Makefile.in]
626    Remove generated openbsd-compat/regress/Makefile in distclean target
627  - (djm) [regress/Makefile regress/agent-getpeereid.sh regress/cfgmatch.sh]
628    [regress/cipher-speed.sh regress/forcecommand.sh regress/forwarding.sh]
629    Sync regress tests to -current; include dtucker@'s new cfgmatch and 
630    forcecommand tests. Add cipher-speed.sh test (not linked in yet)
631  - (dtucker) [cleanup.c] Since config.h defines _LARGE_FILES on AIX, including
632    system headers before defines.h will cause conflicting definitions.
633  - (dtucker) [regress/forcecommand.sh] Portablize.
635 20060713
636  - (dtucker) [auth-krb5.c auth-pam.c] Still more errno.h
638 20060712
639  - (dtucker) [configure.ac defines.h] Only define SHUT_RD (and friends) and
640    O_NONBLOCK if they're really needed.  Fixes build errors on HP-UX, old
641    Linuxes and probably more.
642  - (dtucker) [configure.ac] OpenBSD needs <sys/types.h> before <sys/socket.h>
643    for SHUT_RD.
644  - (dtucker) [openbsd-compat/port-tun.c] OpenBSD needs <netinet/in.h> before
645    <netinet/ip.h>.
646  - (dtucker) OpenBSD CVS Sync
647    - stevesk@cvs.openbsd.org 2006/07/10 16:01:57
648      [sftp-glob.c sftp-common.h sftp.c]
649      buffer.h only needed in sftp-common.h and remove some unneeded
650      user includes; ok djm@
651    - jmc@cvs.openbsd.org 2006/07/10 16:04:21
652      [sshd.8]
653      s/and and/and/
654    - stevesk@cvs.openbsd.org 2006/07/10 16:37:36
655      [readpass.c log.h scp.c fatal.c xmalloc.c includes.h ssh-keyscan.c misc.c
656      auth.c packet.c log.c]
657      move #include <stdarg.h> out of includes.h; ok markus@
658    - dtucker@cvs.openbsd.org 2006/07/11 10:12:07
659      [ssh.c]
660      Only copy the part of environment variable that we actually use.  Prevents
661      ssh bailing when SendEnv is used and an environment variable with a really
662      long value exists.  ok djm@
663    - markus@cvs.openbsd.org 2006/07/11 18:50:48
664      [clientloop.c ssh.1 ssh.c channels.c ssh_config.5 readconf.h session.c
665      channels.h readconf.c]
666      add ExitOnForwardFailure: terminate the connection if ssh(1)
667      cannot set up all requested dynamic, local, and remote port
668      forwardings. ok djm, dtucker, stevesk, jmc
669    - stevesk@cvs.openbsd.org 2006/07/11 20:07:25
670      [scp.c auth.c monitor.c serverloop.c sftp-server.c sshpty.c readpass.c
671      sshd.c monitor_wrap.c monitor_fdpass.c ssh-agent.c ttymodes.c atomicio.c
672      includes.h session.c sshlogin.c monitor_mm.c packet.c sshconnect2.c
673      sftp-client.c nchan.c clientloop.c sftp.c misc.c canohost.c channels.c
674      ssh-keygen.c progressmeter.c uidswap.c msg.c readconf.c sshconnect.c]
675      move #include <errno.h> out of includes.h; ok markus@
676    - stevesk@cvs.openbsd.org 2006/07/11 20:16:43
677      [ssh.c]
678      cast asterisk field precision argument to int to remove warning;
679      ok markus@
680    - stevesk@cvs.openbsd.org 2006/07/11 20:27:56
681      [authfile.c ssh.c]
682      need <errno.h> here also (it's also included in <openssl/err.h>)
683    - dtucker@cvs.openbsd.org 2006/07/12 11:34:58
684      [sshd.c servconf.h servconf.c sshd_config.5 auth.c]
685      Add support for conditional directives to sshd_config via a "Match"
686      keyword, which works similarly to the "Host" directive in ssh_config.
687      Lines after a Match line override the default set in the main section
688      if the condition on the Match line is true, eg
689      AllowTcpForwarding yes
690      Match User anoncvs
691              AllowTcpForwarding no
692      will allow port forwarding by all users except "anoncvs".
693      Currently only a very small subset of directives are supported.
694      ok djm@
695  - (dtucker) [loginrec.c openbsd-compat/xmmap.c openbsd-compat/bindresvport.c
696    openbsd-compat/glob.c openbsd-compat/mktemp.c openbsd-compat/port-tun.c
697    openbsd-compat/readpassphrase.c openbsd-compat/strtonum.c] Include <errno.h>.
698  - (dtucker) [openbsd-compat/setproctitle.c] Include stdarg.h.
699  - (dtucker) [ssh-keyscan.c ssh-rand-helper.c] More errno.h here too.
700  - (dtucker) [openbsd-compat/openbsd-compat.h] v*printf needs stdarg.h.
701  - (dtucker) [openbsd-compat/bsd-asprintf.c openbsd-compat/port-aix.c
702    openbsd-compat/rresvport.c] More errno.h.
704 20060711
705  - (dtucker) [configure.ac ssh-keygen.c openbsd-compat/bsd-openpty.c
706    openbsd-compat/daemon.c] Add includes needed by open(2).  Conditionally
707    include paths.h.  Fixes build error on Solaris.
708  - (dtucker) [entropy.c] More fcntl.h, this time on AIX (and probably
709    others).
711 20060710
712  - (dtucker) [INSTALL] New autoconf version: 2.60.
713  - OpenBSD CVS Sync
714    - djm@cvs.openbsd.org 2006/06/14 10:50:42
715      [sshconnect.c]
716      limit the number of pre-banner characters we will accept; ok markus@
717    - djm@cvs.openbsd.org 2006/06/26 10:36:15
718      [clientloop.c]
719      mention optional bind_address in runtime port forwarding setup
720      command-line help. patch from santhi.amirta AT gmail.com
721    - stevesk@cvs.openbsd.org 2006/07/02 17:12:58
722      [ssh.1 ssh.c ssh_config.5 sshd_config.5]
723      more details and clarity for tun(4) device forwarding; ok and help
724      jmc@
725    - stevesk@cvs.openbsd.org 2006/07/02 18:36:47
726      [gss-serv-krb5.c gss-serv.c]
727      no "servconf.h" needed here
728      (gss-serv-krb5.c change not applied, portable needs the server options)
729    - stevesk@cvs.openbsd.org 2006/07/02 22:45:59
730      [groupaccess.c groupaccess.h includes.h session.c sftp-common.c sshpty.c]
731      move #include <grp.h> out of includes.h
732      (portable needed uidswap.c too)
733    - stevesk@cvs.openbsd.org 2006/07/02 23:01:55
734      [clientloop.c ssh.1]
735      use -KR[bind_address:]port here; ok djm@
736    - stevesk@cvs.openbsd.org 2006/07/03 08:54:20
737      [includes.h ssh.c sshconnect.c sshd.c]
738      move #include "version.h" out of includes.h; ok markus@
739    - stevesk@cvs.openbsd.org 2006/07/03 17:59:32
740      [channels.c includes.h]
741      move #include <arpa/inet.h> out of includes.h; old ok djm@
742      (portable needed session.c too)
743    - stevesk@cvs.openbsd.org 2006/07/05 02:42:09
744      [canohost.c hostfile.c includes.h misc.c packet.c readconf.c]
745      [serverloop.c sshconnect.c uuencode.c]
746      move #include <netinet/in.h> out of includes.h; ok deraadt@
747      (also ssh-rand-helper.c logintest.c loginrec.c)
748    - djm@cvs.openbsd.org 2006/07/06 10:47:05
749      [servconf.c servconf.h session.c sshd_config.5]
750      support arguments to Subsystem commands; ok markus@
751    - djm@cvs.openbsd.org 2006/07/06 10:47:57
752      [sftp-server.8 sftp-server.c]
753      add commandline options to enable logging of transactions; ok markus@
754    - stevesk@cvs.openbsd.org 2006/07/06 16:03:53
755      [auth-options.c auth-options.h auth-passwd.c auth-rh-rsa.c]
756      [auth-rhosts.c auth-rsa.c auth.c auth.h auth2-hostbased.c]
757      [auth2-pubkey.c auth2.c includes.h misc.c misc.h monitor.c]
758      [monitor_wrap.c monitor_wrap.h scp.c serverloop.c session.c]
759      [session.h sftp-common.c ssh-add.c ssh-keygen.c ssh-keysign.c]
760      [ssh.c sshconnect.c sshconnect.h sshd.c sshpty.c sshpty.h uidswap.c]
761      [uidswap.h]
762      move #include <pwd.h> out of includes.h; ok markus@
763    - stevesk@cvs.openbsd.org 2006/07/06 16:22:39
764      [ssh-keygen.c]
765      move #include "dns.h" up
766    - stevesk@cvs.openbsd.org 2006/07/06 17:36:37
767      [monitor_wrap.h]
768      typo in comment
769    - stevesk@cvs.openbsd.org 2006/07/08 21:47:12
770      [authfd.c canohost.c clientloop.c dns.c dns.h includes.h]
771      [monitor_fdpass.c nchan.c packet.c servconf.c sftp.c ssh-agent.c]
772      [ssh-keyscan.c ssh.c sshconnect.h sshd.c sshlogin.h]
773      move #include <sys/socket.h> out of includes.h
774    - stevesk@cvs.openbsd.org 2006/07/08 21:48:53
775      [monitor.c session.c]
776      missed these from last commit:
777      move #include <sys/socket.h> out of includes.h
778    - stevesk@cvs.openbsd.org 2006/07/08 23:30:06
779      [log.c]
780      move user includes after /usr/include files
781    - stevesk@cvs.openbsd.org 2006/07/09 15:15:11
782      [auth2-none.c authfd.c authfile.c includes.h misc.c monitor.c]
783      [readpass.c scp.c serverloop.c sftp-client.c sftp-server.c]
784      [ssh-add.c ssh-agent.c ssh-keygen.c ssh-keysign.c ssh.c sshd.c]
785      [sshlogin.c sshpty.c]
786      move #include <fcntl.h> out of includes.h
787    - stevesk@cvs.openbsd.org 2006/07/09 15:27:59
788      [ssh-add.c]
789      use O_RDONLY vs. 0 in open(); no binary change
790    - djm@cvs.openbsd.org 2006/07/10 11:24:54
791      [sftp-server.c]
792      remove optind - it isn't used here
793    - djm@cvs.openbsd.org 2006/07/10 11:25:53
794      [sftp-server.c]
795      don't log variables that aren't yet set
796  - (djm) [loginrec.c ssh-rand-helper.c sshd.c openbsd-compat/glob.c]
797    [openbsd-compat/mktemp.c openbsd-compat/openbsd-compat.h]
798    [openbsd-compat/port-tun.c openbsd-compat/readpassphrase.c]
799    [openbsd-compat/xcrypt.c] Fix includes.h fallout, mainly fcntl.h
800  - OpenBSD CVS Sync
801    - djm@cvs.openbsd.org 2006/07/10 12:03:20
802      [scp.c]
803      duplicate argv at the start of main() because it gets modified later;
804      pointed out by deraadt@ ok markus@
805    - djm@cvs.openbsd.org 2006/07/10 12:08:08
806      [channels.c]
807      fix misparsing of SOCKS 5 packets that could result in a crash;
808      reported by mk@ ok markus@
809    - dtucker@cvs.openbsd.org 2006/07/10 12:46:51
810      [misc.c misc.h sshd.8 sshconnect.c]
811      Add port identifier to known_hosts for non-default ports, based originally
812      on a patch from Devin Nate in bz#910.
813      For any connection using the default port or using a HostKeyAlias the
814      format is unchanged, otherwise the host name or address is enclosed
815      within square brackets in the same format as sshd's ListenAddress.
816      Tested by many, ok markus@.
817  - (dtucker) [openbsd-compat/openbsd-compat.h] Need to include <sys/socket.h>
818    for struct sockaddr on platforms that use the fake-rfc stuff.
820 20060706
821  - (dtucker) [configure.ac] Try AIX blibpath test in different order when
822    compiling with gcc.  gcc 4.1.x will accept (but ignore) -b flags so
823    configure would not select the correct libpath linker flags.
824  - (dtucker) [INSTALL] A bit more info on autoconf.
826 20060705
827  - (dtucker) [ssh-rand-helper.c] Don't exit if mkdir fails because the
828    target already exists.
830 20060630
831  - (dtucker) [openbsd-compat/openbsd-compat.h] SNPRINTF_CONST for snprintf
832    declaration too.  Patch from russ at sludge.net.
833  - (dtucker) [openbsd-compat/getrrsetbyname.c] Undef _res before defining it,
834    prevents warnings on platforms where _res is in the system headers.
835  - (dtucker) [INSTALL] Bug #1202: Note when autoconf is required and which
836    version.
838 20060627
839  - (dtucker) [configure.ac] Bug #1203: Add missing '[', which causes problems
840    with autoconf 2.60.  Patch from vapier at gentoo.org.
842 20060625
843  - (dtucker) [channels.c serverloop.c] Apply the bug #1102 workaround to ptys
844    only, otherwise sshd can hang exiting non-interactive sessions.
846 20060624
847  - (dtucker) [configure.ac] Bug #1193: Define PASSWD_NEEDS_USERNAME on Solaris.
848    Works around limitation in Solaris' passwd program for changing passwords
849    where the username is longer than 8 characters.  ok djm@
850  - (dtucker) [serverloop.c] Get ifdef/ifndef the right way around for the bug
851    #1102 workaround.
853 20060623
854  - (dtucker) [README.platform configure.ac openbsd-compat/port-tun.c] Add
855    tunnel support for Mac OS X/Darwin via a third-party tun driver.  Patch
856    from reyk@, tested by anil@
857  - (dtucker) [channels.c configure.ac serverloop.c] Bug #1102: Around AIX
858    4.3.3 ML3 or so, the AIX pty layer starting passing zero-length writes
859    on the pty slave as zero-length reads on the pty master, which sshd
860    interprets as the descriptor closing.  Since most things don't do zero
861    length writes this rarely matters, but occasionally it happens, and when
862    it does the SSH pty session appears to hang, so we add a special case for
863    this condition.  ok djm@
865 20060613
866  - (djm) [getput.h] This file has been replaced by functions in misc.c
867  - OpenBSD CVS Sync
868    - djm@cvs.openbsd.org 2006/05/08 10:49:48
869      [sshconnect2.c]
870      uint32_t -> u_int32_t (which we use everywhere else)
871      (Id sync only - portable already had this)
872    - markus@cvs.openbsd.org 2006/05/16 09:00:00
873      [clientloop.c]
874      missing free; from Kylene Hall
875    - markus@cvs.openbsd.org 2006/05/17 12:43:34
876      [scp.c sftp.c ssh-agent.c ssh-keygen.c sshconnect.c]
877      fix leak; coverity via Kylene Jo Hall
878    - miod@cvs.openbsd.org 2006/05/18 21:27:25
879      [kexdhc.c kexgexc.c]
880      paramter -> parameter
881    - dtucker@cvs.openbsd.org 2006/05/29 12:54:08
882      [ssh_config.5]
883      Add gssapi-with-mic to PreferredAuthentications default list; ok jmc
884    - dtucker@cvs.openbsd.org 2006/05/29 12:56:33
885      [ssh_config]
886      Add GSSAPIAuthentication and GSSAPIDelegateCredentials to examples in
887      sample ssh_config.  ok markus@
888    - jmc@cvs.openbsd.org 2006/05/29 16:10:03
889      [ssh_config.5]
890      oops - previous was too long; split the list of auths up
891    - mk@cvs.openbsd.org 2006/05/30 11:46:38
892      [ssh-add.c]
893      Sync usage() with man page and reality.
894      ok deraadt dtucker
895    - jmc@cvs.openbsd.org 2006/05/29 16:13:23
896      [ssh.1]
897      add GSSAPI to the list of authentication methods supported;
898    - mk@cvs.openbsd.org 2006/05/30 11:46:38
899      [ssh-add.c]
900      Sync usage() with man page and reality.
901      ok deraadt dtucker
902    - markus@cvs.openbsd.org 2006/06/01 09:21:48
903      [sshd.c]
904      call get_remote_ipaddr() early; fixes logging after client disconnects;
905      report mpf@; ok dtucker@
906    - markus@cvs.openbsd.org 2006/06/06 10:20:20
907      [readpass.c sshconnect.c sshconnect.h sshconnect2.c uidswap.c]
908      replace remaining setuid() calls with permanently_set_uid() and
909      check seteuid() return values; report Marcus Meissner; ok dtucker djm
910    - markus@cvs.openbsd.org 2006/06/08 14:45:49
911      [readpass.c sshconnect.c sshconnect2.c uidswap.c uidswap.h]
912      do not set the gid, noted by solar; ok djm
913    - djm@cvs.openbsd.org 2006/06/13 01:18:36
914      [ssh-agent.c]
915      always use a format string, even when printing a constant
916    - djm@cvs.openbsd.org 2006/06/13 02:17:07
917      [ssh-agent.c]
918      revert; i am on drugs. spotted by alexander AT beard.se
920 20060521
921  - (dtucker) [auth.c monitor.c] Now that we don't log from both the monitor
922    and slave, we can remove the special-case handling in the audit hook in
923    auth_log.
925 20060517
926  - (dtucker) [ssh-rand-helper.c] Check return code of mkdir and fix file
927    pointer leak.  From kjhall at us.ibm.com, found by coverity.
929 20060515
930  - (dtucker) [openbsd-compat/getrrsetbyname.c] Use _compat_res instead of
931    _res, prevents problems on some platforms that have _res as a global but
932    don't have getrrsetbyname(), eg IRIX 5.3.  Found and tested by
933    georg.schwarz at freenet.de, ok djm@.
934  - (dtucker) [defines.h] Find a value for IOV_MAX or use a conservative
935    default.  Patch originally from tim@, ok djm
936  - (dtucker) [auth-pam.c] Bug #1188: pass result of do_pam_account back and
937    do not allow kbdint again after the PAM account check fails.  ok djm@
939 20060506
940  - (dtucker) OpenBSD CVS Sync
941    - dtucker@cvs.openbsd.org 2006/04/25 08:02:27
942      [authfile.c authfile.h sshconnect2.c ssh.c sshconnect1.c]
943      Prevent ssh from trying to open private keys with bad permissions more than
944      once or prompting for their passphrases (which it subsequently ignores
945      anyway), similar to a previous change in ssh-add.  bz #1186, ok djm@
946    - djm@cvs.openbsd.org 2006/05/04 14:55:23
947      [dh.c]
948      tighter DH exponent checks here too; feedback and ok markus@
949    - djm@cvs.openbsd.org 2006/04/01 05:37:46
950      [OVERVIEW]
951      $OpenBSD$ in here too
952    - dtucker@cvs.openbsd.org 2006/05/06 08:35:40
953      [auth-krb5.c]
954      Add $OpenBSD$ in comment here too
956 20060504
957  - (dtucker) [auth-pam.c groupaccess.c monitor.c monitor_wrap.c scard-opensc.c
958    session.c ssh-rand-helper.c sshd.c openbsd-compat/bsd-cygwin_util.c
959    openbsd-compat/setproctitle.c] Convert malloc(foo*bar) -> calloc(foo,bar)
960    in Portable-only code; since calloc zeros, remove now-redundant memsets.
961    Also add a couple of sanity checks.  With & ok djm@
963 20060503
964  - (dtucker) [packet.c] Remove in_systm.h since it's also in includes.h
965    and double including it on IRIX 5.3 causes problems.  From Georg Schwarz,
966    "no objections" tim@
968 20060423
969  - (djm) OpenBSD CVS Sync
970    - deraadt@cvs.openbsd.org 2006/04/01 05:42:20
971      [scp.c]
972      minimal lint cleanup (unused crud, and some size_t); ok djm
973    - djm@cvs.openbsd.org 2006/04/01 05:50:29
974      [scp.c]
975      xasprintification; ok deraadt@
976    - djm@cvs.openbsd.org 2006/04/01 05:51:34
977      [atomicio.c]
978      ANSIfy; requested deraadt@
979    - dtucker@cvs.openbsd.org 2006/04/02 08:34:52
980      [ssh-keysign.c]
981      sessionid can be 32 bytes now too when sha256 kex is used; ok djm@
982    - djm@cvs.openbsd.org 2006/04/03 07:10:38
983      [gss-genr.c]
984      GSSAPI buffers shouldn't be nul-terminated, spotted in bugzilla #1066
985      by dleonard AT vintela.com. use xasprintf() to simplify code while in
986      there; "looks right" deraadt@
987    - djm@cvs.openbsd.org 2006/04/16 00:48:52
988      [buffer.c buffer.h channels.c]
989      Fix condition where we could exit with a fatal error when an input
990      buffer became too large and the remote end had advertised a big window.
991      The problem was a mismatch in the backoff math between the channels code
992      and the buffer code, so make a buffer_check_alloc() function that the
993      channels code can use to propsectivly check whether an incremental
994      allocation will succeed.  bz #1131, debugged with the assistance of
995      cove AT wildpackets.com; ok dtucker@ deraadt@
996    - djm@cvs.openbsd.org 2006/04/16 00:52:55
997      [atomicio.c atomicio.h]
998      introduce atomiciov() function that wraps readv/writev to retry
999      interrupted transfers like atomicio() does for read/write;
1000      feedback deraadt@ dtucker@ stevesk@ ok deraadt@
1001    - djm@cvs.openbsd.org 2006/04/16 00:54:10
1002      [sftp-client.c]
1003      avoid making a tiny 4-byte write to send the packet length of sftp
1004      commands, which would result in a separate tiny packet on the wire by
1005      using atomiciov(writev, ...) to write the length and the command in one
1006      pass; ok deraadt@
1007    - djm@cvs.openbsd.org 2006/04/16 07:59:00
1008      [atomicio.c]
1009      reorder sanity test so that it cannot dereference past the end of the
1010      iov array; well spotted canacar@!
1011    - dtucker@cvs.openbsd.org 2006/04/18 10:44:28
1012      [bufaux.c bufbn.c Makefile.in]
1013      Move Buffer bignum functions into their own file, bufbn.c. This means
1014      that sftp and sftp-server (which use the Buffer functions in bufaux.c 
1015      but not the bignum ones) no longer need to be linked with libcrypto.
1016      ok markus@
1017    - djm@cvs.openbsd.org 2006/04/20 09:27:09
1018      [auth.h clientloop.c dispatch.c dispatch.h kex.h]
1019      replace the last non-sig_atomic_t flag used in a signal handler with a
1020      sig_atomic_t, unfortunately with some knock-on effects in other (non-
1021      signal) contexts in which it is used; ok markus@
1022    - markus@cvs.openbsd.org 2006/04/20 09:47:59
1023      [sshconnect.c]
1024      simplify; ok djm@
1025    - djm@cvs.openbsd.org 2006/04/20 21:53:44
1026      [includes.h session.c sftp.c]
1027      Switch from using pipes to socketpairs for communication between
1028      sftp/scp and ssh, and between sshd and its subprocesses. This saves
1029      a file descriptor per session and apparently makes userland ppp over
1030      ssh work; ok markus@ deraadt@ (ID Sync only - portable makes this
1031      decision on a per-platform basis)
1032    - djm@cvs.openbsd.org 2006/04/22 04:06:51
1033      [uidswap.c]
1034      use setres[ug]id() to permanently revoke privileges; ok deraadt@
1035      (ID Sync only - portable already uses setres[ug]id() whenever possible)
1036    - stevesk@cvs.openbsd.org 2006/04/22 18:29:33
1037      [crc32.c]
1038      remove extra spaces
1039  - (djm) [auth.h dispatch.h kex.h] sprinkle in signal.h to get
1040    sig_atomic_t
1042 20060421
1043  - (djm) [Makefile.in configure.ac session.c sshpty.c]
1044    [contrib/redhat/sshd.init openbsd-compat/Makefile.in]
1045    [openbsd-compat/openbsd-compat.h openbsd-compat/port-linux.c]
1046    [openbsd-compat/port-linux.h] Add support for SELinux, setting 
1047    the execution and TTY contexts. based on patch from Daniel Walsh,
1048    bz #880; ok dtucker@
1050 20060418
1051  - (djm) [canohost.c] Reorder IP options check so that it isn't broken
1052    by mapped addresses; bz #1179 reported by markw wtech-llc.com;
1053    ok dtucker@
1055 20060331
1056  - OpenBSD CVS Sync
1057    - deraadt@cvs.openbsd.org 2006/03/27 01:21:18
1058      [xmalloc.c]
1059      we can do the size & nmemb check before the integer overflow check; 
1060      evol
1061    - deraadt@cvs.openbsd.org 2006/03/27 13:03:54
1062      [dh.c]
1063      use strtonum() instead of atoi(), limit dhg size to 64k; ok djm
1064    - djm@cvs.openbsd.org 2006/03/27 23:15:46
1065      [sftp.c]
1066      always use a format string for addargs; spotted by mouring@
1067    - deraadt@cvs.openbsd.org 2006/03/28 00:12:31
1068      [README.tun ssh.c]
1069      spacing
1070    - deraadt@cvs.openbsd.org 2006/03/28 01:52:28
1071      [channels.c]
1072      do not accept unreasonable X ports numbers; ok djm
1073    - deraadt@cvs.openbsd.org 2006/03/28 01:53:43
1074      [ssh-agent.c]
1075      use strtonum() to parse the pid from the file, and range check it
1076      better; ok djm
1077    - djm@cvs.openbsd.org 2006/03/30 09:41:25
1078      [channels.c]
1079      ARGSUSED for dispatch table-driven functions
1080    - djm@cvs.openbsd.org 2006/03/30 09:58:16
1081      [authfd.c bufaux.c deattack.c gss-serv.c mac.c misc.c misc.h]
1082      [monitor_wrap.c msg.c packet.c sftp-client.c sftp-server.c ssh-agent.c]
1083      replace {GET,PUT}_XXBIT macros with functionally similar functions,
1084      silencing a heap of lint warnings. also allows them to use
1085      __bounded__ checking which can't be applied to macros; requested
1086      by and feedback from deraadt@
1087    - djm@cvs.openbsd.org 2006/03/30 10:41:25
1088      [ssh.c ssh_config.5]
1089      add percent escape chars to the IdentityFile option, bz #1159 based
1090      on a patch by imaging AT math.ualberta.ca; feedback and ok dtucker@
1091    - dtucker@cvs.openbsd.org 2006/03/30 11:05:17
1092      [ssh-keygen.c]
1093      Correctly handle truncated files while converting keys; ok djm@
1094    - dtucker@cvs.openbsd.org 2006/03/30 11:40:21
1095      [auth.c monitor.c]
1096      Prevent duplicate log messages when privsep=yes; ok djm@
1097    - jmc@cvs.openbsd.org 2006/03/31 09:09:30
1098      [ssh_config.5]
1099      kill trailing whitespace;
1100    - djm@cvs.openbsd.org 2006/03/31 09:13:56
1101      [ssh_config.5]
1102      remote user escape is %r not %h; spotted by jmc@
1104 20060326
1105  - OpenBSD CVS Sync
1106    - jakob@cvs.openbsd.org 2006/03/15 08:46:44
1107      [ssh-keygen.c]
1108      if no key file are given when printing the DNS host record, use the
1109      host key file(s) as default. ok djm@
1110    - biorn@cvs.openbsd.org 2006/03/16 10:31:45
1111      [scp.c]
1112      Try to display errormessage even if remout == -1
1113      ok djm@, markus@
1114    - djm@cvs.openbsd.org 2006/03/17 22:31:50
1115      [authfd.c]
1116      another unreachable found by lint
1117    - djm@cvs.openbsd.org 2006/03/17 22:31:11
1118      [authfd.c]
1119      unreachanble statement, found by lint
1120    - djm@cvs.openbsd.org 2006/03/19 02:22:32
1121      [serverloop.c]
1122      memory leaks detected by Coverity via elad AT netbsd.org;
1123      ok deraadt@ dtucker@
1124    - djm@cvs.openbsd.org 2006/03/19 02:22:56
1125      [sftp.c]
1126      more memory leaks detected by Coverity via elad AT netbsd.org;
1127      deraadt@ ok
1128    - djm@cvs.openbsd.org 2006/03/19 02:23:26
1129      [hostfile.c]
1130      FILE* leak detected by Coverity via elad AT netbsd.org;
1131      ok deraadt@
1132    - djm@cvs.openbsd.org 2006/03/19 02:24:05
1133      [dh.c readconf.c servconf.c]
1134      potential NULL pointer dereferences detected by Coverity
1135      via elad AT netbsd.org; ok deraadt@
1136    - djm@cvs.openbsd.org 2006/03/19 07:41:30
1137      [sshconnect2.c]
1138      memory leaks detected by Coverity via elad AT netbsd.org;
1139      deraadt@ ok
1140    - dtucker@cvs.openbsd.org 2006/03/19 11:51:52
1141      [servconf.c]
1142      Correct strdelim null test; ok djm@
1143    - deraadt@cvs.openbsd.org 2006/03/19 18:52:11
1144      [auth1.c authfd.c channels.c]
1145      spacing
1146    - deraadt@cvs.openbsd.org 2006/03/19 18:53:12
1147      [kex.c kex.h monitor.c myproposal.h session.c]
1148      spacing
1149    - deraadt@cvs.openbsd.org 2006/03/19 18:56:41
1150      [clientloop.c progressmeter.c serverloop.c sshd.c]
1151      ARGSUSED for signal handlers
1152    - deraadt@cvs.openbsd.org 2006/03/19 18:59:49
1153      [ssh-keyscan.c]
1154      please lint
1155    - deraadt@cvs.openbsd.org 2006/03/19 18:59:30
1156      [ssh.c]
1157      spacing
1158    - deraadt@cvs.openbsd.org 2006/03/19 18:59:09
1159      [authfile.c]
1160      whoever thought that break after return was a good idea needs to
1161      get their head examimed
1162    - djm@cvs.openbsd.org 2006/03/20 04:09:44
1163      [monitor.c]
1164      memory leaks detected by Coverity via elad AT netbsd.org;
1165      deraadt@ ok
1166      that should be all of them now
1167    - djm@cvs.openbsd.org 2006/03/20 11:38:46
1168      [key.c]
1169      (really) last of the Coverity diffs: avoid possible NULL deref in
1170      key_free. via elad AT netbsd.org; markus@ ok
1171    - deraadt@cvs.openbsd.org 2006/03/20 17:10:19
1172      [auth.c key.c misc.c packet.c ssh-add.c]
1173      in a switch (), break after return or goto is stupid
1174    - deraadt@cvs.openbsd.org 2006/03/20 17:13:16
1175      [key.c]
1176      djm did a typo
1177    - deraadt@cvs.openbsd.org 2006/03/20 17:17:23
1178      [ssh-rsa.c]
1179      in a switch (), break after return or goto is stupid
1180    - deraadt@cvs.openbsd.org 2006/03/20 18:14:02
1181      [channels.c clientloop.c monitor_wrap.c monitor_wrap.h serverloop.c]
1182      [ssh.c sshpty.c sshpty.h]
1183      sprinkle u_int throughout pty subsystem, ok markus
1184    - deraadt@cvs.openbsd.org 2006/03/20 18:17:20
1185      [auth1.c auth2.c sshd.c]
1186      sprinkle some ARGSUSED for table driven functions (which sometimes 
1187      must ignore their args)
1188    - deraadt@cvs.openbsd.org 2006/03/20 18:26:55
1189      [channels.c monitor.c session.c session.h ssh-agent.c ssh-keygen.c]
1190      [ssh-rsa.c ssh.c sshlogin.c]
1191      annoying spacing fixes getting in the way of real diffs
1192    - deraadt@cvs.openbsd.org 2006/03/20 18:27:50
1193      [monitor.c]
1194      spacing
1195    - deraadt@cvs.openbsd.org 2006/03/20 18:35:12
1196      [channels.c]
1197      x11_fake_data is only ever used as u_char *
1198    - deraadt@cvs.openbsd.org 2006/03/20 18:41:43
1199      [dns.c]
1200      cast xstrdup to propert u_char *
1201    - deraadt@cvs.openbsd.org 2006/03/20 18:42:27
1202      [canohost.c match.c ssh.c sshconnect.c]
1203      be strict with tolower() casting
1204    - deraadt@cvs.openbsd.org 2006/03/20 18:48:34
1205      [channels.c fatal.c kex.c packet.c serverloop.c]
1206      spacing
1207    - deraadt@cvs.openbsd.org 2006/03/20 21:11:53
1208      [ttymodes.c]
1209      spacing
1210    - djm@cvs.openbsd.org 2006/03/25 00:05:41
1211      [auth-bsdauth.c auth-skey.c auth.c auth2-chall.c channels.c]
1212      [clientloop.c deattack.c gss-genr.c kex.c key.c misc.c moduli.c]
1213      [monitor.c monitor_wrap.c packet.c scard.c sftp-server.c ssh-agent.c]
1214      [ssh-keyscan.c ssh.c sshconnect.c sshconnect2.c sshd.c uuencode.c]
1215      [xmalloc.c xmalloc.h]
1216      introduce xcalloc() and xasprintf() failure-checked allocations 
1217      functions and use them throughout openssh
1219      xcalloc is particularly important because malloc(nmemb * size) is a
1220      dangerous idiom (subject to integer overflow) and it is time for it 
1221      to die
1223      feedback and ok deraadt@
1224    - djm@cvs.openbsd.org 2006/03/25 01:13:23
1225      [buffer.c channels.c deattack.c misc.c scp.c session.c sftp-client.c]
1226      [sftp-server.c ssh-agent.c ssh-rsa.c xmalloc.c xmalloc.h auth-pam.c]
1227      [uidswap.c]
1228      change OpenSSH's xrealloc() function from being xrealloc(p, new_size)
1229      to xrealloc(p, new_nmemb, new_itemsize).
1231      realloc is particularly prone to integer overflows because it is
1232      almost always allocating "n * size" bytes, so this is a far safer 
1233      API; ok deraadt@
1234    - djm@cvs.openbsd.org 2006/03/25 01:30:23
1235      [sftp.c]
1236      "abormally" is a perfectly cromulent word, but "abnormally" is better
1237    - djm@cvs.openbsd.org 2006/03/25 13:17:03
1238      [atomicio.c auth-bsdauth.c auth-chall.c auth-options.c auth-passwd.c]
1239      [auth-rh-rsa.c auth-rhosts.c auth-rsa.c auth-skey.c auth.c auth1.c]
1240      [auth2-chall.c auth2-hostbased.c auth2-kbdint.c auth2-none.c]
1241      [auth2-passwd.c auth2-pubkey.c auth2.c authfd.c authfile.c bufaux.c]
1242      [buffer.c canohost.c channels.c cipher-3des1.c cipher-bf1.c]
1243      [cipher-ctr.c cipher.c cleanup.c clientloop.c compat.c compress.c]
1244      [deattack.c dh.c dispatch.c fatal.c groupaccess.c hostfile.c kex.c]
1245      [kexdh.c kexdhc.c kexdhs.c kexgex.c kexgexc.c kexgexs.c key.c log.c]
1246      [mac.c match.c md-sha256.c misc.c monitor.c monitor_fdpass.c]
1247      [monitor_mm.c monitor_wrap.c msg.c nchan.c packet.c progressmeter.c]
1248      [readconf.c readpass.c rsa.c scard.c scp.c servconf.c serverloop.c]
1249      [session.c sftp-client.c sftp-common.c sftp-glob.c sftp-server.c]
1250      [sftp.c ssh-add.c ssh-agent.c ssh-dss.c ssh-keygen.c ssh-keyscan.c]
1251      [ssh-keysign.c ssh-rsa.c ssh.c sshconnect.c sshconnect1.c]
1252      [sshconnect2.c sshd.c sshlogin.c sshpty.c sshtty.c ttymodes.c]
1253      [uidswap.c uuencode.c xmalloc.c]
1254      Put $OpenBSD$ tags back (as comments) to replace the RCSID()s that
1255      Theo nuked - our scripts to sync -portable need them in the files
1256    - deraadt@cvs.openbsd.org 2006/03/25 18:29:35
1257      [auth-rsa.c authfd.c packet.c]
1258      needed casts (always will be needed)
1259    - deraadt@cvs.openbsd.org 2006/03/25 18:30:55
1260      [clientloop.c serverloop.c]
1261      spacing
1262    - deraadt@cvs.openbsd.org 2006/03/25 18:36:15
1263      [sshlogin.c sshlogin.h]
1264      nicer size_t and time_t types
1265    - deraadt@cvs.openbsd.org 2006/03/25 18:40:14
1266      [ssh-keygen.c]
1267      cast strtonum() result to right type
1268    - deraadt@cvs.openbsd.org 2006/03/25 18:41:45
1269      [ssh-agent.c]
1270      mark two more signal handlers ARGSUSED
1271    - deraadt@cvs.openbsd.org 2006/03/25 18:43:30
1272      [channels.c]
1273      use strtonum() instead of atoi() [limit X screens to 400, sorry]
1274    - deraadt@cvs.openbsd.org 2006/03/25 18:56:55
1275      [bufaux.c channels.c packet.c]
1276      remove (char *) casts to a function that accepts void * for the arg
1277    - deraadt@cvs.openbsd.org 2006/03/25 18:58:10
1278      [channels.c]
1279      delete cast not required
1280    - djm@cvs.openbsd.org 2006/03/25 22:22:43
1281      [atomicio.h auth-options.h auth.h auth2-gss.c authfd.h authfile.h]
1282      [bufaux.h buffer.h canohost.h channels.h cipher.h clientloop.h]
1283      [compat.h compress.h crc32.c crc32.h deattack.h dh.h dispatch.h]
1284      [dns.c dns.h getput.h groupaccess.h gss-genr.c gss-serv-krb5.c]
1285      [gss-serv.c hostfile.h includes.h kex.h key.h log.h mac.h match.h]
1286      [misc.h monitor.h monitor_fdpass.h monitor_mm.h monitor_wrap.h msg.h]
1287      [myproposal.h packet.h pathnames.h progressmeter.h readconf.h rsa.h]
1288      [scard.h servconf.h serverloop.h session.h sftp-common.h sftp.h]
1289      [ssh-gss.h ssh.h ssh1.h ssh2.h sshconnect.h sshlogin.h sshpty.h]
1290      [ttymodes.h uidswap.h uuencode.h xmalloc.h]
1291      standardise spacing in $OpenBSD$ tags; requested by deraadt@
1292    - deraadt@cvs.openbsd.org 2006/03/26 01:31:48
1293      [uuencode.c]
1294      typo
1296 20060325
1297  - OpenBSD CVS Sync
1298    - djm@cvs.openbsd.org 2006/03/16 04:24:42
1299      [ssh.1]
1300      Add RFC4419 (Diffie-Hellman group exchange KEX) to the list of SSH RFCs
1301      that OpenSSH supports
1302    - deraadt@cvs.openbsd.org 2006/03/19 18:51:18
1303      [atomicio.c auth-bsdauth.c auth-chall.c auth-krb5.c auth-options.c]
1304      [auth-pam.c auth-passwd.c auth-rh-rsa.c auth-rhosts.c auth-rsa.c]
1305      [auth-shadow.c auth-skey.c auth.c auth1.c auth2-chall.c]
1306      [auth2-hostbased.c auth2-kbdint.c auth2-none.c auth2-passwd.c]
1307      [auth2-pubkey.c auth2.c authfd.c authfile.c bufaux.c buffer.c]
1308      [canohost.c channels.c cipher-3des1.c cipher-acss.c cipher-aes.c]
1309      [cipher-bf1.c cipher-ctr.c cipher.c cleanup.c clientloop.c compat.c]
1310      [compress.c deattack.c dh.c dispatch.c dns.c entropy.c fatal.c]
1311      [groupaccess.c hostfile.c includes.h kex.c kexdh.c kexdhc.c]
1312      [kexdhs.c kexgex.c kexgexc.c kexgexs.c key.c log.c loginrec.c]
1313      [loginrec.h logintest.c mac.c match.c md-sha256.c md5crypt.c misc.c]
1314      [monitor.c monitor_fdpass.c monitor_mm.c monitor_wrap.c msg.c]
1315      [nchan.c packet.c progressmeter.c readconf.c readpass.c rsa.c]
1316      [scard.c scp.c servconf.c serverloop.c session.c sftp-client.c]
1317      [sftp-common.c sftp-glob.c sftp-server.c sftp.c ssh-add.c]
1318      [ssh-agent.c ssh-dss.c ssh-keygen.c ssh-keyscan.c ssh-keysign.c]
1319      [ssh-rand-helper.c ssh-rsa.c ssh.c sshconnect.c sshconnect1.c]
1320      [sshconnect2.c sshd.c sshlogin.c sshpty.c sshtty.c ttymodes.c]
1321      [uidswap.c uuencode.c xmalloc.c openbsd-compat/bsd-arc4random.c]
1322      [openbsd-compat/bsd-closefrom.c openbsd-compat/bsd-cygwin_util.c]
1323      [openbsd-compat/bsd-getpeereid.c openbsd-compat/bsd-misc.c]
1324      [openbsd-compat/bsd-nextstep.c openbsd-compat/bsd-snprintf.c]
1325      [openbsd-compat/bsd-waitpid.c openbsd-compat/fake-rfc2553.c]
1326      RCSID() can die
1327    - deraadt@cvs.openbsd.org 2006/03/19 18:53:12
1328      [kex.h myproposal.h]
1329      spacing
1330    - djm@cvs.openbsd.org 2006/03/20 04:07:22
1331      [auth2-gss.c]
1332      GSSAPI related leaks detected by Coverity via elad AT netbsd.org;
1333      reviewed by simon AT sxw.org.uk; deraadt@ ok
1334    - djm@cvs.openbsd.org 2006/03/20 04:07:49
1335      [gss-genr.c]
1336      more GSSAPI related leaks detected by Coverity via elad AT netbsd.org;
1337      reviewed by simon AT sxw.org.uk; deraadt@ ok
1338    - djm@cvs.openbsd.org 2006/03/20 04:08:18
1339      [gss-serv.c]
1340      last lot of GSSAPI related leaks detected by Coverity via
1341      elad AT netbsd.org; reviewed by simon AT sxw.org.uk; deraadt@ ok
1342    - deraadt@cvs.openbsd.org 2006/03/20 18:14:02
1343      [monitor_wrap.h sshpty.h]
1344      sprinkle u_int throughout pty subsystem, ok markus
1345    - deraadt@cvs.openbsd.org 2006/03/20 18:26:55
1346      [session.h]
1347      annoying spacing fixes getting in the way of real diffs
1348    - deraadt@cvs.openbsd.org 2006/03/20 18:41:43
1349      [dns.c]
1350      cast xstrdup to propert u_char *
1351    - jakob@cvs.openbsd.org 2006/03/22 21:16:24
1352      [ssh.1]
1353      simplify SSHFP example; ok jmc@
1354    - djm@cvs.openbsd.org 2006/03/22 21:27:15
1355      [deattack.c deattack.h]
1356      remove IV support from the CRC attack detector, OpenSSH has never used
1357      it - it only applied to IDEA-CFB, which we don't support.
1358      prompted by NetBSD Coverity report via elad AT netbsd.org;
1359      feedback markus@ "nuke it" deraadt@
1361 20060318
1362  - (djm) [auth-pam.c] Fix memleak in error path, from Coverity via
1363    elad AT NetBSD.org
1364  - (dtucker) [openbsd-compat/bsd-snprintf.c] Bug #1173: make fmtint() take
1365    a LLONG rather than a long.  Fixes scp'ing of large files on platforms
1366    with missing/broken snprintfs.  Patch from e.borovac at bom.gov.au.
1368 20060316
1369  - (dtucker) [entropy.c] Add headers for WIFEXITED and friends.
1370  - (dtucker) [configure.ac md-sha256.c] NetBSD has sha2.h in
1371    /usr/include/crypto.  Hint from djm@.
1372  - (tim) [kex.c myproposal.h md-sha256.c openbsd-compat/sha2.c,h]
1373    Disable sha256 when openssl < 0.9.7. Patch from djm@.
1374  - (djm) [kex.c] Slightly more clean deactivation of dhgex-sha256 on old
1375    OpenSSL; ok tim
1377 20060315
1378  - (djm) OpenBSD CVS Sync:
1379    - msf@cvs.openbsd.org 2006/02/06 15:54:07
1380      [ssh.1]
1381      - typo fix
1382      ok jmc@
1383    - jmc@cvs.openbsd.org 2006/02/06 21:44:47
1384      [ssh.1]
1385      make this a little less ambiguous...
1386    - stevesk@cvs.openbsd.org 2006/02/07 01:08:04
1387      [auth-rhosts.c includes.h]
1388      move #include <netgroup.h> out of includes.h; ok markus@
1389    - stevesk@cvs.openbsd.org 2006/02/07 01:18:09
1390      [includes.h ssh-agent.c ssh-keyscan.c sshconnect2.c]
1391      move #include <sys/queue.h> out of includes.h; ok markus@
1392    - stevesk@cvs.openbsd.org 2006/02/07 01:42:00
1393      [channels.c clientloop.c clientloop.h includes.h packet.h]
1394      [serverloop.c sshpty.c sshpty.h sshtty.c ttymodes.c]
1395      move #include <termios.h> out of includes.h; ok markus@
1396    - stevesk@cvs.openbsd.org 2006/02/07 01:52:50
1397      [sshtty.c]
1398      "log.h" not needed
1399    - stevesk@cvs.openbsd.org 2006/02/07 03:47:05
1400      [hostfile.c]
1401      "packet.h" not needed
1402    - stevesk@cvs.openbsd.org 2006/02/07 03:59:20
1403      [deattack.c]
1404      duplicate #include
1405    - stevesk@cvs.openbsd.org 2006/02/08 12:15:27
1406      [auth.c clientloop.c includes.h misc.c monitor.c readpass.c]
1407      [session.c sftp.c ssh-agent.c ssh-keysign.c ssh.c sshconnect.c]
1408      [sshd.c sshpty.c]
1409      move #include <paths.h> out of includes.h; ok markus@
1410    - stevesk@cvs.openbsd.org 2006/02/08 12:32:49
1411      [includes.h misc.c]
1412      move #include <netinet/tcp.h> out of includes.h; ok markus@
1413    - stevesk@cvs.openbsd.org 2006/02/08 13:15:44
1414      [gss-serv.c monitor.c]
1415      small KNF
1416    - stevesk@cvs.openbsd.org 2006/02/08 14:16:59
1417      [sshconnect.c]
1418      <openssl/bn.h> not needed
1419    - stevesk@cvs.openbsd.org 2006/02/08 14:31:30
1420      [includes.h ssh-agent.c ssh-keyscan.c ssh.c]
1421      move #include <sys/resource.h> out of includes.h; ok markus@
1422    - stevesk@cvs.openbsd.org 2006/02/08 14:38:18
1423      [includes.h packet.c]
1424      move #include <netinet/in_systm.h> and <netinet/ip.h> out of
1425      includes.h; ok markus@
1426    - stevesk@cvs.openbsd.org 2006/02/08 23:51:24
1427      [includes.h scp.c sftp-glob.c sftp-server.c]
1428      move #include <dirent.h> out of includes.h; ok markus@
1429    - stevesk@cvs.openbsd.org 2006/02/09 00:32:07
1430      [includes.h]
1431      #include <sys/endian.h> not needed; ok djm@
1432      NB. ID Sync only - we still need this (but it may move later)
1433    - jmc@cvs.openbsd.org 2006/02/09 10:10:47
1434      [sshd.8]
1435      - move some text into a CAVEATS section
1436      - merge the COMMAND EXECUTION... section into AUTHENTICATION
1437    - stevesk@cvs.openbsd.org 2006/02/10 00:27:13
1438      [channels.c clientloop.c includes.h misc.c progressmeter.c sftp.c]
1439      [ssh.c sshd.c sshpty.c]
1440      move #include <sys/ioctl.h> out of includes.h; ok markus@
1441    - stevesk@cvs.openbsd.org 2006/02/10 01:44:27
1442      [includes.h monitor.c readpass.c scp.c serverloop.c session.c\x7f]
1443      [sftp.c sshconnect.c sshconnect2.c sshd.c]
1444      move #include <sys/wait.h> out of includes.h; ok markus@
1445    - otto@cvs.openbsd.org 2006/02/11 19:31:18
1446      [atomicio.c]
1447      type correctness; from Ray Lai in PR 5011; ok millert@
1448    - djm@cvs.openbsd.org 2006/02/12 06:45:34
1449      [ssh.c ssh_config.5]
1450      add a %l expansion code to the ControlPath, which is filled in with the
1451      local hostname at runtime. Requested by henning@ to avoid some problems
1452      with /home on NFS; ok dtucker@
1453    - djm@cvs.openbsd.org 2006/02/12 10:44:18
1454      [readconf.c]
1455      raise error when the user specifies a RekeyLimit that is smaller than 16
1456      (the smallest of our cipher's blocksize) or big enough to cause integer
1457      wraparound; ok & feedback dtucker@
1458    - jmc@cvs.openbsd.org 2006/02/12 10:49:44
1459      [ssh_config.5]
1460      slight rewording; ok djm
1461    - jmc@cvs.openbsd.org 2006/02/12 10:52:41
1462      [sshd.8]
1463      rework the description of authorized_keys a little;
1464    - jmc@cvs.openbsd.org 2006/02/12 17:57:19
1465      [sshd.8]
1466      sort the list of options permissable w/ authorized_keys;
1467      ok djm dtucker
1468    - jmc@cvs.openbsd.org 2006/02/13 10:16:39
1469      [sshd.8]
1470      no need to subsection the authorized_keys examples - instead, convert
1471      this to look like an actual file. also use proto 2 keys, and use IETF
1472      example addresses;
1473    - jmc@cvs.openbsd.org 2006/02/13 10:21:25
1474      [sshd.8]
1475      small tweaks for the ssh_known_hosts section;
1476    - jmc@cvs.openbsd.org 2006/02/13 11:02:26
1477      [sshd.8]
1478      turn this into an example ssh_known_hosts file; ok djm
1479    - jmc@cvs.openbsd.org 2006/02/13 11:08:43
1480      [sshd.8]
1481      - avoid nasty line split
1482      - `*' does not need to be escaped
1483    - jmc@cvs.openbsd.org 2006/02/13 11:27:25
1484      [sshd.8]
1485      sort FILES and use a -compact list;
1486    - david@cvs.openbsd.org 2006/02/15 05:08:24
1487      [sftp-client.c]
1488      typo in comment; ok djm@
1489    - jmc@cvs.openbsd.org 2006/02/15 16:53:20
1490      [ssh.1]
1491      remove the IETF draft references and replace them with some updated RFCs;
1492    - jmc@cvs.openbsd.org 2006/02/15 16:55:33
1493      [sshd.8]
1494      remove ietf draft references; RFC list now maintained in ssh.1;
1495    - jmc@cvs.openbsd.org 2006/02/16 09:05:34
1496      [sshd.8]
1497      sync some of the FILES entries w/ ssh.1;
1498    - jmc@cvs.openbsd.org 2006/02/19 19:52:10
1499      [sshd.8]
1500      move the sshrc stuff out of FILES, and into its own section:
1501      FILES is not a good place to document how stuff works;
1502    - jmc@cvs.openbsd.org 2006/02/19 20:02:17
1503      [sshd.8]
1504      sync the (s)hosts.equiv FILES entries w/ those from ssh.1;
1505    - jmc@cvs.openbsd.org 2006/02/19 20:05:00
1506      [sshd.8]
1507      grammar;
1508    - jmc@cvs.openbsd.org 2006/02/19 20:12:25
1509      [ssh_config.5]
1510      add some vertical space;
1511    - stevesk@cvs.openbsd.org 2006/02/20 16:36:15
1512      [authfd.c channels.c includes.h session.c ssh-agent.c ssh.c]
1513      move #include <sys/un.h> out of includes.h; ok djm@
1514    - stevesk@cvs.openbsd.org 2006/02/20 17:02:44
1515      [clientloop.c includes.h monitor.c progressmeter.c scp.c]
1516      [serverloop.c session.c sftp.c ssh-agent.c ssh.c sshd.c]
1517      move #include <signal.h> out of includes.h; ok markus@
1518    - stevesk@cvs.openbsd.org 2006/02/20 17:19:54
1519      [auth-rhosts.c auth-rsa.c auth.c auth2-none.c auth2-pubkey.c]
1520      [authfile.c clientloop.c includes.h readconf.c scp.c session.c]
1521      [sftp-client.c sftp-common.c sftp-common.h sftp-glob.c]
1522      [sftp-server.c sftp.c ssh-add.c ssh-keygen.c ssh.c sshconnect.c]
1523      [sshconnect2.c sshd.c sshpty.c]
1524      move #include <sys/stat.h> out of includes.h; ok markus@
1525    - stevesk@cvs.openbsd.org 2006/02/22 00:04:45
1526      [canohost.c clientloop.c includes.h match.c readconf.c scp.c ssh.c]
1527      [sshconnect.c]
1528      move #include <ctype.h> out of includes.h; ok djm@
1529    - jmc@cvs.openbsd.org 2006/02/24 10:25:14
1530      [ssh_config.5]
1531      add section on patterns;
1532      from dtucker + myself
1533    - jmc@cvs.openbsd.org 2006/02/24 10:33:54
1534      [sshd_config.5]
1535      signpost to PATTERNS;
1536    - jmc@cvs.openbsd.org 2006/02/24 10:37:07
1537      [ssh_config.5]
1538      tidy up the refs to PATTERNS;
1539    - jmc@cvs.openbsd.org 2006/02/24 10:39:52
1540      [sshd.8]
1541      signpost to PATTERNS section;
1542    - jmc@cvs.openbsd.org 2006/02/24 20:22:16
1543      [ssh-keysign.8 ssh_config.5 sshd_config.5]
1544      some consistency fixes;
1545    - jmc@cvs.openbsd.org 2006/02/24 20:31:31
1546      [ssh.1 ssh_config.5 sshd.8 sshd_config.5]
1547      more consistency fixes;
1548    - jmc@cvs.openbsd.org 2006/02/24 23:20:07
1549      [ssh_config.5]
1550      some grammar/wording fixes;
1551    - jmc@cvs.openbsd.org 2006/02/24 23:43:57
1552      [sshd_config.5]
1553      some grammar/wording fixes;
1554    - jmc@cvs.openbsd.org 2006/02/24 23:51:17
1555      [sshd_config.5]
1556      oops - bits i missed;
1557    - jmc@cvs.openbsd.org 2006/02/25 12:26:17
1558      [ssh_config.5]
1559      document the possible values for KbdInteractiveDevices;
1560      help/ok dtucker
1561    - jmc@cvs.openbsd.org 2006/02/25 12:28:34
1562      [sshd_config.5]
1563      document the order in which allow/deny directives are processed;
1564      help/ok dtucker
1565    - jmc@cvs.openbsd.org 2006/02/26 17:17:18
1566      [ssh_config.5]
1567      move PATTERNS to the end of the main body; requested by dtucker
1568    - jmc@cvs.openbsd.org 2006/02/26 18:01:13
1569      [sshd_config.5]
1570      subsection is pointless here;
1571    - jmc@cvs.openbsd.org 2006/02/26 18:03:10
1572      [ssh_config.5]
1573      comma;
1574    - djm@cvs.openbsd.org 2006/02/28 01:10:21
1575      [session.c]
1576      fix logout recording when privilege separation is disabled, analysis and
1577      patch from vinschen at redhat.com; tested by dtucker@ ok deraadt@
1578      NB. ID sync only - patch already in portable
1579    - djm@cvs.openbsd.org 2006/03/04 04:12:58
1580      [serverloop.c]
1581      move a debug() outside of a signal handler; ok markus@ a little while back
1582    - djm@cvs.openbsd.org 2006/03/12 04:23:07
1583      [ssh.c]
1584      knf nit
1585    - djm@cvs.openbsd.org 2006/03/13 08:16:00
1586      [sshd.c]
1587      don't log that we are listening on a socket before the listen() call
1588      actually succeeds, bz #1162 reported by Senthil Kumar; ok dtucker@
1589    - dtucker@cvs.openbsd.org 2006/03/13 08:33:00
1590      [packet.c]
1591      Set TCP_NODELAY for all connections not just "interactive" ones.  Fixes
1592      poor performance and protocol stalls under some network conditions (mindrot
1593      bugs #556 and #981). Patch originally from markus@, ok djm@
1594    - dtucker@cvs.openbsd.org 2006/03/13 08:43:16
1595      [ssh-keygen.c]
1596      Make ssh-keygen handle CR and CRLF line termination when converting IETF
1597      format keys, in adition to vanilla LF.  mindrot #1157, tested by Chris
1598      Pepper, ok djm@
1599    - dtucker@cvs.openbsd.org 2006/03/13 10:14:29
1600      [misc.c ssh_config.5 sshd_config.5]
1601      Allow config directives to contain whitespace by surrounding them by double
1602      quotes.  mindrot #482, man page help from jmc@, ok djm@
1603    - dtucker@cvs.openbsd.org 2006/03/13 10:26:52
1604      [authfile.c authfile.h ssh-add.c]
1605      Make ssh-add check file permissions before attempting to load private
1606      key files multiple times; it will fail anyway and this prevents confusing
1607      multiple prompts and warnings.  mindrot #1138, ok djm@
1608    - djm@cvs.openbsd.org 2006/03/14 00:15:39
1609      [canohost.c]
1610      log the originating address and not just the name when a reverse
1611      mapping check fails, requested by linux AT linuon.com
1612    - markus@cvs.openbsd.org 2006/03/14 16:32:48
1613      [ssh_config.5 sshd_config.5]
1614      *AliveCountMax applies to protcol v2 only; ok dtucker, djm
1615    - djm@cvs.openbsd.org 2006/03/07 09:07:40
1616      [kex.c kex.h monitor.c myproposal.h ssh-keyscan.c sshconnect2.c sshd.c]
1617      Implement the diffie-hellman-group-exchange-sha256 key exchange method
1618      using the SHA256 code in libc (and wrapper to make it into an OpenSSL
1619      EVP), interop tested against CVS PuTTY
1620      NB. no portability bits committed yet
1621  - (djm) [configure.ac defines.h kex.c md-sha256.c]
1622    [openbsd-compat/sha2.h openbsd-compat/openbsd-compat.h]
1623    [openbsd-compat/sha2.c] First stab at portability glue for SHA256
1624    KEX support, should work with libc SHA256 support or OpenSSL
1625    EVP_sha256 if present
1626  - (djm) [includes.h] Restore accidentally dropped netinet/in.h
1627  - (djm) [Makefile.in openbsd-compat/Makefile.in] Add added files
1628  - (djm) [md-sha256.c configure.ac] md-sha256.c needs sha2.h if present
1629  - (djm) [regress/.cvsignore] Ignore Makefile here
1630  - (djm) [loginrec.c] Need stat.h
1631  - (djm) [openbsd-compat/sha2.h] Avoid include macro clash with
1632    system sha2.h
1633  - (djm) [ssh-rand-helper.c] Needs a bunch of headers
1634  - (djm) [ssh-agent.c] Restore dropped stat.h
1635  - (djm) [openbsd-compat/sha2.h openbsd-compat/sha2.c] Comment out 
1636    SHA384, which we don't need and doesn't compile without tweaks
1637  - (djm) [auth-pam.c clientloop.c includes.h monitor.c session.c]
1638    [sftp-client.c ssh-keysign.c ssh.c sshconnect.c sshconnect2.c]
1639    [sshd.c openbsd-compat/bsd-misc.c openbsd-compat/bsd-openpty.c]
1640    [openbsd-compat/glob.c openbsd-compat/mktemp.c]
1641    [openbsd-compat/readpassphrase.c] Lots of include fixes for
1642    OpenSolaris
1643  - (tim) [includes.h] put sys/stat.h back in to quiet some "macro redefined:"
1644  - (tim) [openssh/sshpty.c openssh/openbsd-compat/port-tun.c] put in some
1645    includes removed from includes.h
1646  - (dtucker) [configure.ac] Fix glob test conversion to AC_TRY_COMPILE
1647  - (djm) [includes.h] Put back paths.h, it is needed in defines.h
1648  - (dtucker) [openbsd-compat/openbsd-compat.h] AIX (at least) needs
1649    sys/ioctl.h for struct winsize.
1650  - (dtucker) [configure.ac] login_cap.h requires sys/types.h on NetBSD.
1652 20060313
1653  - (dtucker) [configure.ac] Bug #1171: Don't use printf("%lld", longlong)
1654    since not all platforms support it.  Instead, use internal equivalent while
1655    computing LLONG_MIN and LLONG_MAX.  Remove special case for alpha-dec-osf*
1656    as it's no longer required.  Tested by Bernhard Simon, ok djm@
1658 20060304
1659  - (dtucker) [contrib/cygwin/ssh-host-config] Require use of lastlog as a
1660    file rather than directory, required as Cygwin will be importing lastlog(1).
1661    Also tightens up permissions on the file.  Patch from vinschen@redhat.com.
1662  - (dtucker) [gss-serv-krb5.c] Bug #1166: Correct #ifdefs for gssapi_krb5.h
1663    includes.  Patch from gentoo.riverrat at gmail.com.
1665 20060226
1666  - (dtucker) [configure.ac] Bug #1156: QNX apparently needs SSHD_ACQUIRES_CTTY
1667    patch from kraai at ftbfs.org.
1669 20060223
1670  - (dtucker) [sshd_config sshd_config.5] Update UsePAM to reflect current
1671    reality.  Pointed out by tryponraj at gmail.com.
1673 20060222
1674  - (dtucker) [openbsd-compat/openssl-compat.{c,h}] Minor tidy up: only
1675    compile in compat code if required.
1677 20060221
1678  - (dtucker) [openbsd-compat/openssl-compat.h] Prevent warning about
1679    redefinition of SSLeay_add_all_algorithms.
1681 20060220
1682  - (dtucker) [INSTALL configure.ac openbsd-compat/openssl-compat.{c,h}]
1683    Add optional enabling of OpenSSL's (hardware) Engine support, via
1684    configure --with-ssl-engine.  Based in part on a diff by michal at
1685    logix.cz.
1687 20060219
1688  - (dtucker) [Makefile.in configure.ac, added openbsd-compat/regress/]
1689    Add first attempt at regress tests for compat library.  ok djm@
1691 20060214
1692  - (tim) [buildpkg.sh.in] Make the names consistent.
1693    s/pkg_post_make_install_fixes.sh/pkg-post-make-install-fixes.sh/ OK dtucker@
1695 20060212
1696  - (dtucker) [openbsd-compat/bsd-cygwin_util.c] Make loop counter unsigned
1697    to silence compiler warning, from vinschen at redhat.com.
1698  - (tim) [configure.ac] Bug #1149. Disable /etc/default/login check for QNX.
1699  - (dtucker) [README version.h contrib/caldera/openssh.spec
1700    contrib/redhat/openssh.spec contrib/suse/openssh.spec] Bump version
1701    strings to match 4.3p2 release.
1703 20060208
1704  - (tim) [session.c] Logout records were not updated on systems with
1705    post auth privsep disabled due to bug 1086 changes. Analysis and patch
1706    by vinschen at redhat.com. OK tim@, dtucker@.
1707  - (dtucker) [configure.ac] Typo in Ultrix and NewsOS sections (NEED_SETPRGP
1708    -> NEED_SETPGRP), reported by Bernhard Simon.  ok tim@
1710 20060206
1711  - (tim) [configure.ac] Remove unnecessary tests for net/if.h and 
1712    netinet/in_systm.h. OK dtucker@.
1714 20060205
1715  - (tim) [configure.ac] Add AC_REVISION. Add sys/time.h to lastlog.h test
1716    for Solaris. OK dtucker@.
1717  - (tim) [configure.ac] Bug #1149. Changes in QNX section only. Patch by
1718    kraai at ftbfs.org.
1720 20060203
1721  - (tim) [configure.ac] test for egrep (AC_PROG_EGREP) before first
1722    AC_CHECK_HEADERS test. Without it, if AC_CHECK_HEADERS is first run
1723    by a platform specific check, builtin standard includes tests will be
1724    skipped on the other platforms.
1725    Analysis and suggestion by vinschen at redhat.com, patch by dtucker@.
1726    OK tim@, djm@.
1728 20060202
1729  - (dtucker) [configure.ac] Bug #1148: Fix "crippled AES" test so that it
1730    works with picky compilers.  Patch from alex.kiernan at thus.net.
1732 20060201
1733  - (djm) [regress/test-exec.sh] Try 'logname' as well as 'whoami' to 
1734    determine the user's login name - needed for regress tests on Solaris 
1735    10 and OpenSolaris
1736  - (djm) OpenBSD CVS Sync
1737    - jmc@cvs.openbsd.org 2006/02/01 09:06:50
1738      [sshd.8]
1739      - merge sections on protocols 1 and 2 into a single section
1740      - remove configuration file section
1741      ok markus
1742    - jmc@cvs.openbsd.org 2006/02/01 09:11:41
1743      [sshd.8]
1744      small tweak;
1745  - (djm) [contrib/caldera/openssh.spec contrib/redhat/openssh.spec]
1746    [contrib/suse/openssh.spec] Update versions ahead of release
1747    - markus@cvs.openbsd.org 2006/02/01 11:27:22
1748      [version.h]
1749      openssh 4.3
1750  - (djm) Release OpenSSH 4.3p1
1752 20060131
1753  - (djm) OpenBSD CVS Sync
1754    - jmc@cvs.openbsd.org 2006/01/20 11:21:45
1755      [ssh_config.5]
1756      - word change, agreed w/ markus
1757      - consistency fixes
1758    - jmc@cvs.openbsd.org 2006/01/25 09:04:34
1759      [sshd.8]
1760      move the options description up the page, and a few additional tweaks
1761      whilst in here;
1762      ok markus
1763    - jmc@cvs.openbsd.org 2006/01/25 09:07:22
1764      [sshd.8]
1765      move subsections to full sections;
1766    - jmc@cvs.openbsd.org 2006/01/26 08:47:56
1767      [ssh.1]
1768      add a section on verifying host keys in dns;
1769      written with a lot of help from jakob;
1770      feedback dtucker/markus;
1771      ok markus
1772    - reyk@cvs.openbsd.org 2006/01/30 12:22:22
1773      [channels.c]
1774      mark channel as write failed or dead instead of read failed on error
1775      of the channel output filter.
1776      ok markus@
1777    - jmc@cvs.openbsd.org 2006/01/30 13:37:49
1778      [ssh.1]
1779      remove an incorrect sentence;
1780      reported by roumen petrov;
1781      ok djm markus
1782    - djm@cvs.openbsd.org 2006/01/31 10:19:02
1783      [misc.c misc.h scp.c sftp.c]
1784      fix local arbitrary command execution vulnerability on local/local and
1785      remote/remote copies (CVE-2006-0225, bz #1094), patch by
1786      t8m AT centrum.cz, polished by dtucker@ and myself; ok markus@
1787    - djm@cvs.openbsd.org 2006/01/31 10:35:43
1788      [scp.c]
1789      "scp a b c" shouldn't clobber "c" when it is not a directory, report and
1790      fix from biorn@; ok markus@
1791  - (djm) Sync regress tests to OpenBSD:
1792    - dtucker@cvs.openbsd.org 2005/03/10 10:20:39
1793      [regress/forwarding.sh]
1794      Regress test for ClearAllForwardings (bz #994); ok markus@
1795    - dtucker@cvs.openbsd.org 2005/04/25 09:54:09
1796      [regress/multiplex.sh]
1797      Don't call cleanup in multiplex as test-exec will cleanup anyway
1798      found by tim@, ok djm@
1799      NB. ID sync only, we already had this
1800    - djm@cvs.openbsd.org 2005/05/20 23:14:15
1801      [regress/test-exec.sh]
1802      force addressfamily=inet for tests, unbreaking dynamic-forward regress for
1803      recently committed nc SOCKS5 changes
1804    - djm@cvs.openbsd.org 2005/05/24 04:10:54
1805      [regress/try-ciphers.sh]
1806      oops, new arcfour modes here too
1807    - markus@cvs.openbsd.org 2005/06/30 11:02:37
1808      [regress/scp.sh]
1809      allow SUDO=sudo; from Alexander Bluhm
1810    - grunk@cvs.openbsd.org 2005/11/14 21:25:56
1811      [regress/agent-getpeereid.sh]
1812      all other scripts in this dir use $SUDO, not 'sudo', so pull this even
1813      ok markus@
1814    - dtucker@cvs.openbsd.org 2005/12/14 04:36:39
1815      [regress/scp-ssh-wrapper.sh]
1816      Fix assumption about how many args scp will pass; ok djm@
1817      NB. ID sync only, we already had this
1818    - djm@cvs.openbsd.org 2006/01/27 06:49:21
1819      [scp.sh]
1820      regress test for local to local scp copies; ok dtucker@
1821    - djm@cvs.openbsd.org 2006/01/31 10:23:23
1822      [scp.sh]
1823      regression test for CVE-2006-0225 written by dtucker@
1824    - djm@cvs.openbsd.org 2006/01/31 10:36:33
1825      [scp.sh]
1826      regress test for "scp a b c" where "c" is not a directory
1828 20060129
1829  - (dtucker) [configure.ac opensshd.init.in] Bug #1144: Use /bin/sh for the
1830    opensshd.init script interpretter if /sbin/sh does not exist.  ok tim@
1832 20060120
1833  - (dtucker) OpenBSD CVS Sync
1834    - jmc@cvs.openbsd.org 2006/01/15 17:37:05
1835      [ssh.1]
1836      correction from deraadt
1837    - jmc@cvs.openbsd.org 2006/01/18 10:53:29
1838      [ssh.1]
1839      add a section on ssh-based vpn, based on reyk's README.tun;
1840    - dtucker@cvs.openbsd.org 2006/01/20 00:14:55
1841      [scp.1 ssh.1 ssh_config.5 sftp.1]
1842      Document RekeyLimit.  Based on patch from jan.iven at cern.ch from mindrot
1843      #1056 with feedback from jmc, djm and markus; ok jmc@ djm@
1845 20060114
1846  - (djm) OpenBSD CVS Sync
1847    - jmc@cvs.openbsd.org 2006/01/06 13:27:32
1848      [ssh.1]
1849      weed out some duplicate info in the known_hosts FILES entries;
1850      ok djm
1851    - jmc@cvs.openbsd.org 2006/01/06 13:29:10
1852      [ssh.1]
1853      final round of whacking FILES for duplicate info, and some consistency
1854      fixes;
1855      ok djm
1856    - jmc@cvs.openbsd.org 2006/01/12 14:44:12
1857      [ssh.1]
1858      split sections on tcp and x11 forwarding into two sections.
1859      add an example in the tcp section, based on sth i wrote for ssh faq;
1860      help + ok: djm markus dtucker
1861    - jmc@cvs.openbsd.org 2006/01/12 18:48:48
1862      [ssh.1]
1863      refer to `TCP' rather than `TCP/IP' in the context of connection
1864      forwarding;
1865      ok markus
1866    - jmc@cvs.openbsd.org 2006/01/12 22:20:00
1867      [sshd.8]
1868      refer to TCP forwarding, rather than TCP/IP forwarding;
1869    - jmc@cvs.openbsd.org 2006/01/12 22:26:02
1870      [ssh_config.5]
1871      refer to TCP forwarding, rather than TCP/IP forwarding;
1872    - jmc@cvs.openbsd.org 2006/01/12 22:34:12
1873      [ssh.1]
1874      back out a sentence - AUTHENTICATION already documents this;
1876 20060109
1877  - (dtucker) [contrib/cygwin/ssh-host-config] Make sshd service depend on
1878    tcpip service so it's always started after IP is up.  Patch from
1879    vinschen at redhat.com.
1881 20060106
1882  - (djm) OpenBSD CVS Sync
1883    - jmc@cvs.openbsd.org 2006/01/03 16:31:10
1884      [ssh.1]
1885      move FILES to a -compact list, and make each files an item in that list.
1886      this avoids nastly line wrap when we have long pathnames, and treats
1887      each file as a separate item;
1888      remove the .Pa too, since it is useless.
1889    - jmc@cvs.openbsd.org 2006/01/03 16:35:30
1890      [ssh.1]
1891      use a larger width for the ENVIRONMENT list;
1892    - jmc@cvs.openbsd.org 2006/01/03 16:52:36
1893      [ssh.1]
1894      put FILES in some sort of order: sort by pathname
1895    - jmc@cvs.openbsd.org 2006/01/03 16:55:18
1896      [ssh.1]
1897      tweak the description of ~/.ssh/environment
1898    - jmc@cvs.openbsd.org 2006/01/04 18:42:46
1899      [ssh.1]
1900      chop out some duplication in the .{r,s}hosts/{h,sh}osts.equiv FILES
1901      entries;
1902      ok markus
1903    - jmc@cvs.openbsd.org 2006/01/04 18:45:01
1904      [ssh.1]
1905      remove .Xr's to rsh(1) and telnet(1): they are hardly needed;
1906    - jmc@cvs.openbsd.org 2006/01/04 19:40:24
1907      [ssh.1]
1908      +.Xr ssh-keyscan 1 ,
1909    - jmc@cvs.openbsd.org 2006/01/04 19:50:09
1910      [ssh.1]
1911      -.Xr gzip 1 ,
1912    - djm@cvs.openbsd.org 2006/01/05 23:43:53
1913      [misc.c]
1914      check that stdio file descriptors are actually closed before clobbering
1915      them in sanitise_stdfd(). problems occurred when a lower numbered fd was
1916      closed, but higher ones weren't. spotted by, and patch tested by
1917      Frédéric Olivié
1919 20060103
1920  - (djm) [channels.c] clean up harmless merge error, from reyk@
1922 20060103
1923  - (djm) OpenBSD CVS Sync
1924    - jmc@cvs.openbsd.org 2006/01/02 17:09:49
1925      [ssh_config.5 sshd_config.5]
1926      some corrections from michael knudsen;
1928 20060102
1929  - (djm) [README.tun] Add README.tun, missed during sync of tun(4) support
1930  - (djm) OpenBSD CVS Sync
1931    - jmc@cvs.openbsd.org 2005/12/31 10:46:17
1932      [ssh.1]
1933      merge the "LOGIN SESSION AND REMOTE EXECUTION" and "SERVER
1934      AUTHENTICATION" sections into "AUTHENTICATION";
1935      some rewording done to make the text read better, plus some
1936      improvements from djm;
1937      ok djm
1938    - jmc@cvs.openbsd.org 2005/12/31 13:44:04
1939      [ssh.1]
1940      clean up ENVIRONMENT a little;
1941    - jmc@cvs.openbsd.org 2005/12/31 13:45:19
1942      [ssh.1]
1943      .Nm does not require an argument;
1944    - stevesk@cvs.openbsd.org 2006/01/01 08:59:27
1945      [includes.h misc.c]
1946      move <net/if.h>; ok djm@
1947    - stevesk@cvs.openbsd.org 2006/01/01 10:08:48
1948      [misc.c]
1949      no trailing "\n" for debug()
1950    - djm@cvs.openbsd.org 2006/01/02 01:20:31
1951      [sftp-client.c sftp-common.h sftp-server.c]
1952      use a common max. packet length, no binary change
1953    - reyk@cvs.openbsd.org 2006/01/02 07:53:44
1954      [misc.c]
1955      clarify tun(4) opening - set the mode and bring the interface up. also
1956      (re)sets the tun(4) layer 2 LINK0 flag for existing tunnel interfaces.
1957      suggested and ok by djm@
1958    - jmc@cvs.openbsd.org 2006/01/02 12:31:06
1959      [ssh.1]
1960      start to cut some duplicate info from FILES;
1961      help/ok djm
1963 20060101
1964  - (djm) [Makefile.in configure.ac includes.h misc.c]
1965          [openbsd-compat/port-tun.c openbsd-compat/port-tun.h] Add support
1966          for tunnel forwarding for FreeBSD and NetBSD. NetBSD's support is
1967          limited to IPv4 tunnels only, and most versions don't support the
1968          tap(4) device at all.
1969  - (djm) [configure.ac] Fix linux/if_tun.h test
1970  - (djm) [openbsd-compat/port-tun.c] Linux needs linux/if.h too
1972 20051229
1973  - (djm) OpenBSD CVS Sync
1974    - stevesk@cvs.openbsd.org 2005/12/28 22:46:06
1975      [canohost.c channels.c clientloop.c]
1976      use 'break-in' for consistency; ok deraadt@ ok and input jmc@
1977    - reyk@cvs.openbsd.org 2005/12/30 15:56:37
1978      [channels.c channels.h clientloop.c]
1979      add channel output filter interface.
1980      ok djm@, suggested by markus@
1981    - jmc@cvs.openbsd.org 2005/12/30 16:59:00
1982      [sftp.1]
1983      do not suggest that interactive authentication will work
1984      with the -b flag;
1985      based on a diff from john l. scarfone;
1986      ok djm
1987    - stevesk@cvs.openbsd.org 2005/12/31 01:38:45
1988      [ssh.1]
1989      document -MM; ok djm@
1990  - (djm) [openbsd-compat/port-tun.c openbsd-compat/port-tun.h configure.ac]
1991    [serverloop.c ssh.c openbsd-compat/Makefile.in]
1992    [openbsd-compat/openbsd-compat.h] Implement tun(4) forwarding 
1993    compatability support for Linux, diff from reyk@
1994  - (djm) [configure.ac] Disable Linux tun(4) compat code if linux/tun.h does
1995    not exist
1996  - (djm) [configure.ac] oops, make that linux/if_tun.h
1998 20051229
1999  - (tim) [buildpkg.sh.in] grep for $SSHDUID instead of $SSHDGID on /etc/passwd
2001 20051224
2002  - (djm) OpenBSD CVS Sync
2003    - jmc@cvs.openbsd.org 2005/12/20 21:59:43
2004      [ssh.1]
2005      merge the sections on protocols 1 and 2 into one section on
2006      authentication;
2007      feedback djm dtucker
2008      ok deraadt markus dtucker
2009    - jmc@cvs.openbsd.org 2005/12/20 22:02:50
2010      [ssh.1]
2011      .Ss -> .Sh: subsections have not made this page more readable
2012    - jmc@cvs.openbsd.org 2005/12/20 22:09:41
2013      [ssh.1]
2014      move info on ssh return values and config files up into the main
2015      description;
2016    - jmc@cvs.openbsd.org 2005/12/21 11:48:16
2017      [ssh.1]
2018      -L and -R descriptions are now above, not below, ~C description;
2019    - jmc@cvs.openbsd.org 2005/12/21 11:57:25
2020      [ssh.1]
2021      options now described `above', rather than `later';
2022    - jmc@cvs.openbsd.org 2005/12/21 12:53:31
2023      [ssh.1]
2024      -Y does X11 forwarding too;
2025      ok markus
2026    - stevesk@cvs.openbsd.org 2005/12/21 22:44:26
2027      [sshd.8]
2028      clarify precedence of -p, Port, ListenAddress; ok and help jmc@
2029    - jmc@cvs.openbsd.org 2005/12/22 10:31:40
2030      [ssh_config.5]
2031      put the description of "UsePrivilegedPort" in the correct place;
2032    - jmc@cvs.openbsd.org 2005/12/22 11:23:42
2033      [ssh.1]
2034      expand the description of -w somewhat;
2035      help/ok reyk
2036    - jmc@cvs.openbsd.org 2005/12/23 14:55:53
2037      [ssh.1]
2038      - sync the description of -e w/ synopsis
2039      - simplify the description of -I
2040      - note that -I is only available if support compiled in, and that it
2041      isn't by default
2042      feedback/ok djm@
2043    - jmc@cvs.openbsd.org 2005/12/23 23:46:23
2044      [ssh.1]
2045      less mark up for -c;
2046    - djm@cvs.openbsd.org 2005/12/24 02:27:41
2047      [session.c sshd.c]
2048      eliminate some code duplicated in privsep and non-privsep paths, and
2049      explicitly clear SIGALRM handler; "groovy" deraadt@
2051 20051220
2052  - (dtucker) OpenBSD CVS Sync
2053    - reyk@cvs.openbsd.org 2005/12/13 15:03:02
2054      [serverloop.c]
2055      if forced_tun_device is not set, it is -1 and not SSH_TUNID_ANY
2056    - jmc@cvs.openbsd.org 2005/12/16 18:07:08
2057      [ssh.1]
2058      move the option descriptions up the page: start of a restructure;
2059      ok markus deraadt
2060    - jmc@cvs.openbsd.org 2005/12/16 18:08:53
2061      [ssh.1]
2062      simplify a sentence;
2063    - jmc@cvs.openbsd.org 2005/12/16 18:12:22
2064      [ssh.1]
2065      make the description of -c a little nicer;
2066    - jmc@cvs.openbsd.org 2005/12/16 18:14:40
2067      [ssh.1]
2068      signpost the protocol sections;
2069    - stevesk@cvs.openbsd.org 2005/12/17 21:13:05
2070      [ssh_config.5 session.c]
2071      spelling: fowarding, fowarded
2072    - stevesk@cvs.openbsd.org 2005/12/17 21:36:42
2073      [ssh_config.5]
2074      spelling: intented -> intended
2075    - dtucker@cvs.openbsd.org 2005/12/20 04:41:07
2076      [ssh.c]
2077      exit(255) on error to match description in ssh(1); bz #1137; ok deraadt@
2079 20051219
2080  - (dtucker) [cipher-aes.c cipher-ctr.c cipher.c configure.ac
2081    openbsd-compat/openssl-compat.h] Check for and work around broken AES
2082    ciphers >128bit on (some) Solaris 10 systems.  ok djm@
2084 20051217
2085  - (dtucker) [defines.h] HP-UX system headers define "YES" and "NO" which
2086    scp.c also uses, so undef them here.
2087  - (dtucker) [configure.ac openbsd-compat/bsd-snprintf.c] Bug #1133: Our
2088    snprintf replacement can have a conflicting declaration in HP-UX's system
2089    headers (const vs. no const) so we now check for and work around it.  Patch
2090    from the dynamic duo of David Leonard and Ted Percival.
2092 20051214
2093  - (dtucker) OpenBSD CVS Sync (regress/)
2094    - dtucker@cvs.openbsd.org 2005/12/30 04:36:39
2095      [regress/scp-ssh-wrapper.sh]
2096      Fix assumption about how many args scp will pass; ok djm@
2098 20051213
2099  - (djm) OpenBSD CVS Sync
2100    - jmc@cvs.openbsd.org 2005/11/30 11:18:27
2101      [ssh.1]
2102      timezone -> time zone
2103    - jmc@cvs.openbsd.org 2005/11/30 11:45:20
2104      [ssh.1]
2105      avoid ambiguities in describing TZ;
2106      ok djm@
2107    - reyk@cvs.openbsd.org 2005/12/06 22:38:28
2108      [auth-options.c auth-options.h channels.c channels.h clientloop.c]
2109      [misc.c misc.h readconf.c readconf.h scp.c servconf.c servconf.h]
2110      [serverloop.c sftp.c ssh.1 ssh.c ssh_config ssh_config.5 sshconnect.c]
2111      [sshconnect.h sshd.8 sshd_config sshd_config.5]
2112      Add support for tun(4) forwarding over OpenSSH, based on an idea and
2113      initial channel code bits by markus@. This is a simple and easy way to
2114      use OpenSSH for ad hoc virtual private network connections, e.g.
2115      administrative tunnels or secure wireless access. It's based on a new
2116      ssh channel and works similar to the existing TCP forwarding support,
2117      except that it depends on the tun(4) network interface on both ends of
2118      the connection for layer 2 or layer 3 tunneling. This diff also adds
2119      support for LocalCommand in the ssh(1) client.
2120      ok djm@, markus@, jmc@ (manpages), tested and discussed with others
2121    - djm@cvs.openbsd.org 2005/12/07 03:52:22
2122      [clientloop.c]
2123      reyk forgot to compile with -Werror (missing header)
2124    - jmc@cvs.openbsd.org 2005/12/07 10:52:13
2125      [ssh.1]
2126      - avoid line split in SYNOPSIS
2127      - add args to -w
2128      - kill trailing whitespace
2129    - jmc@cvs.openbsd.org 2005/12/08 14:59:44
2130      [ssh.1 ssh_config.5]
2131      make `!command' a little clearer;
2132      ok reyk
2133    - jmc@cvs.openbsd.org 2005/12/08 15:06:29
2134      [ssh_config.5]
2135      keep options in order;
2136    - reyk@cvs.openbsd.org 2005/12/08 18:34:11
2137      [auth-options.c includes.h misc.c misc.h readconf.c servconf.c]
2138      [serverloop.c ssh.c ssh_config.5 sshd_config.5 configure.ac]
2139      two changes to the new ssh tunnel support. this breaks compatibility
2140      with the initial commit but is required for a portable approach.
2141      - make the tunnel id u_int and platform friendly, use predefined types.
2142      - support configuration of layer 2 (ethernet) or layer 3
2143      (point-to-point, default) modes. configuration is done using the
2144      Tunnel (yes|point-to-point|ethernet|no) option is ssh_config(5) and
2145      restricted by the PermitTunnel (yes|point-to-point|ethernet|no) option
2146      in sshd_config(5).
2147      ok djm@, man page bits by jmc@
2148    - jmc@cvs.openbsd.org 2005/12/08 21:37:50
2149      [ssh_config.5]
2150      new sentence, new line;
2151    - markus@cvs.openbsd.org 2005/12/12 13:46:18
2152      [channels.c channels.h session.c]
2153      make sure protocol messages for internal channels are ignored.
2154      allow adjust messages for non-open channels; with and ok djm@
2155  - (djm) [misc.c] Disable tunnel code for non-OpenBSD (for now), enable
2156    again by providing a sys_tun_open() function for your platform and 
2157    setting the CUSTOM_SYS_TUN_OPEN define. More work is required to match 
2158    OpenBSD's tunnel protocol, which prepends the address family to the 
2159    packet
2161 20051201
2162  - (djm) [envpass.sh] Remove regress script that was accidentally committed 
2163    in top level directory and not noticed for over a year :)
2165 20051129
2166  - (tim) [ssh-keygen.c] Move DSA length test after setting default when
2167    bits == 0.
2168  - (dtucker) OpenBSD CVS Sync
2169    - dtucker@cvs.openbsd.org 2005/11/29 02:04:55
2170      [ssh-keygen.c]
2171      Populate default key sizes before checking them; from & ok tim@
2172  - (tim) [configure.ac sshd.8] Enable locked account check (a "*LK*" string)
2173    for UnixWare.
2175 20051128
2176  - (dtucker) [regress/yes-head.sh] Work around breakage caused by some
2177    versions of GNU head.  Based on patch from zappaman at buraphalinux.org
2178  - (dtucker) [includes.h] Bug #1122: __USE_GNU is a glibc internal macro, use
2179    _GNU_SOURCE instead.  Patch from t8m at centrum.cz.
2180  - (dtucker) OpenBSD CVS Sync
2181    - dtucker@cvs.openbsd.org 2005/11/28 05:16:53
2182      [ssh-keygen.1 ssh-keygen.c]
2183      Enforce DSA key length of exactly 1024 bits to comply with FIPS-186-2,
2184      increase minumum RSA key size to 768 bits and update man page to reflect
2185      these.  Patch originally bz#1119 (senthilkumar_sen at hotpop.com),
2186      ok djm@, grudging ok deraadt@.
2187    - dtucker@cvs.openbsd.org 2005/11/28 06:02:56
2188      [ssh-agent.1]
2189      Update agent socket path templates to reflect reality, correct xref for
2190      time formats.  bz#1121, patch from openssh at roumenpetrov.info, ok djm@
2192 20051126
2193  - (dtucker) [configure.ac] Bug #1126: AIX 5.2 and 5.3 (and presumably newer,
2194    when they're available) need the real UID set otherwise pam_chauthtok will
2195    set ADMCHG after changing the password, forcing the user to change it
2196    again immediately.
2198 20051125
2199  - (dtucker) [configure.ac] Apply tim's fix for older systems where the
2200    resolver state in resolv.h is "state" not "__res_state".  With slight
2201    modification by me to also work on old AIXes.  ok djm@
2202  - (dtucker) [progressmeter.c scp.c sftp-server.c] Use correct casts for
2203    snprintf formats, fixes warnings on some 64 bit platforms.  Patch from
2204    shaw at vranix.com, ok djm@
2206 20051124
2207  - (djm) [configure.ac openbsd-compat/Makefile.in openbsd-compat/bsd-asprintf.c 
2208    openbsd-compat/bsd-snprintf.c openbsd-compat/openbsd-compat.h] Add an 
2209    asprintf() implementation, after syncing our {v,}snprintf() implementation
2210    with some extra fixes from Samba's version. With help and debugging from 
2211    dtucker and tim; ok dtucker@
2212  - (dtucker) [configure.ac] Fix typos in comments and AC_SEARCH_LIB argument
2213    order in Reliant Unix block.  Patch from johane at lysator.liu.se.
2214  - (dtucker) [regress/test-exec.sh] Use 1024 bit keys since we generate so
2215    many and use them only once.  Speeds up testing on older/slower hardware.
2217 20051122
2218  - (dtucker) OpenBSD CVS Sync
2219    - deraadt@cvs.openbsd.org 2005/11/12 18:37:59
2220      [ssh-add.c]
2221      space
2222    - deraadt@cvs.openbsd.org 2005/11/12 18:38:15
2223      [scp.c]
2224      avoid close(-1), as in rcp; ok cloder
2225    - millert@cvs.openbsd.org 2005/11/15 11:59:54
2226      [includes.h]
2227      Include sys/queue.h explicitly instead of assuming some other header
2228      will pull it in.  At the moment it gets pulled in by sys/select.h
2229      (which ssh has no business including) via event.h.  OK markus@
2230      (ID sync only in -portable)
2231    - dtucker@cvs.openbsd.org 2005/11/21 09:42:10
2232      [auth-krb5.c]
2233      Perform Kerberos calls even for invalid users to prevent leaking
2234      information about account validity.  bz #975, patch originally from
2235      Senthil Kumar, sanity checked by Simon Wilkinson, tested by djm@, biorn@,
2236      ok markus@
2237    - dtucker@cvs.openbsd.org 2005/11/22 03:36:03
2238      [hostfile.c]
2239      Correct format/arguments to debug call; spotted by shaw at vranix.com
2240      ok djm@
2241  - (dtucker) [loginrec.c] Add casts to prevent compiler warnings, patch
2242    from shaw at vranix.com.
2244 20051120
2245  - (dtucker) [openbsd-compat/openssl-compat.h] Add comment explaining what
2246    is going on.
2248 20051112
2249  - (dtucker) [openbsd-compat/getrrsetbyname.c] Restore Portable-specific
2250    ifdef lost during sync.  Spotted by tim@.
2251  - (dtucker) [openbsd-compat/{realpath.c,stroll.c,rresvport.c}] $OpenBSD tag.
2252  - (dtucker) [configure.ac] Use "$AWK" instead of "awk" in gcc version test.
2253  - (dtucker) [configure.ac] Remove duplicate utimes() check.  ok djm@
2254  - (dtucker) [regress/reconfigure.sh] Fix potential race in the reconfigure
2255    test: if sshd takes too long to reconfigure the subsequent connection will
2256    fail.  Zap pidfile before HUPing sshd which will rewrite it when it's ready.
2258 20051110
2259  - (dtucker) [openbsd-compat/setenv.c] Merge changes for __findenv from
2260    OpenBSD getenv.c revs 1.4 - 1.8 (ANSIfication of arguments, removal of
2261    "register").
2262  - (dtucker) [openbsd-compat/setenv.c] Make __findenv static, remove
2263    unnecessary prototype.
2264  - (dtucker) [openbsd-compat/setenv.c] Sync changes from OpenBSD setenv.c
2265    revs 1.7 - 1.9.
2266  - (dtucker) [auth-krb5.c] Fix -Wsign-compare warning in non-Heimdal path.
2267    Patch from djm@.
2268  - (dtucker) [configure.ac] Disable pointer-sign warnings on gcc 4.0+
2269    since they're not useful right now.  Patch from djm@.
2270  - (dtucker) [openbsd-compat/getgrouplist.c] Sync OpenBSD revs 1.10 - 1.2 (ANSI
2271    prototypes, removal of "register").
2272  - (dtucker) [openbsd-compat/strlcat.c] Sync OpenBSD revs 1.11 - 1.12 (removal
2273    of "register").
2274  - (dtucker) [openbsd-compat/{LOTS}] Move the "OPENBSD ORIGINAL" markers to
2275    after the copyright notices.  Having them at the top next to the CVSIDs
2276    guarantees a conflict for each and every sync.
2277  - (dtucker) [openbsd-compat/strlcpy.c] Update from OpenBSD 1.8 -> 1.10.
2278  - (dtucker) [openbsd-compat/sigact.h] Add "OPENBSD ORIGINAL" marker.
2279  - (dtucker) [openbsd-compat/strmode.c] Update from OpenBSD 1.5 -> 1.7.
2280    Removal of rcsid, "whiteout" inode type.
2281  - (dtucker) [openbsd-compat/basename.c] Update from OpenBSD 1.11 -> 1.14.
2282    Removal of rcsid, will no longer strlcpy parts of the string.
2283  - (dtucker) [openbsd-compat/strtoll.c] Update from OpenBSD 1.4 -> 1.5.
2284  - (dtucker) [openbsd-compat/strtoul.c] Update from OpenBSD 1.5 -> 1.7.
2285  - (dtucker) [openbsd-compat/readpassphrase.c] Update from OpenBSD 1.16 -> 1.18.
2286  - (dtucker) [openbsd-compat/readpassphrase.h] Update from OpenBSD 1.3 -> 1.5.
2287  - (dtucker) [openbsd-compat/glob.c] Update from OpenBSD 1.22 -> 1.25.
2288  - (dtucker) [openbsd-compat/glob.h] Update from OpenBSD 1.8 -> 1.9.
2289  - (dtucker) [openbsd-compat/getcwd.c] Update from OpenBSD 1.9 -> 1.14.
2290  - (dtucker) [openbsd-compat/getcwd.c] Replace lstat with fstat to match up
2291    with OpenBSD code since we don't support platforms without fstat any more.
2292  - (dtucker) [openbsd-compat/inet_aton.c] Update from OpenBSD 1.7 -> 1.9.
2293  - (dtucker) [openbsd-compat/inet_ntoa.c] Update from OpenBSD 1.4 -> 1.6.
2294  - (dtucker) [openbsd-compat/inet_ntop.c] Update from OpenBSD 1.5 -> 1.7.
2295  - (dtucker) [openbsd-compat/daemon.c] Update from OpenBSD 1.5 -> 1.6.
2296  - (dtucker) [openbsd-compat/strsep.c] Update from OpenBSD 1.5 -> 1.6.
2297  - (dtucker) [openbsd-compat/daemon.c] Update from OpenBSD 1.10 -> 1.13.
2298  - (dtucker) [openbsd-compat/mktemp.c] Update from OpenBSD 1.17 -> 1.19.
2299  - (dtucker) [openbsd-compat/rresvport.c] Update from OpenBSD 1.6 -> 1.8.
2300  - (dtucker) [openbsd-compat/bindresvport.c] Add "OPENBSD ORIGINAL" marker.
2301  - (dtucker) [openbsd-compat/bindresvport.c] Update from OpenBSD 1.16 -> 1.17.
2302  - (dtucker) [openbsd-compat/sigact.c] Update from OpenBSD 1.3 -> 1.4.
2303    Id and copyright sync only, there were no substantial changes we need.
2304  - (dtucker) [openbsd-compat/bsd-closefrom.c openbsd-compat/base64.c]
2305    -Wsign-compare fixes from djm.
2306  - (dtucker) [openbsd-compat/sigact.h] Update from OpenBSD 1.2 -> 1.3.
2307    Id and copyright sync only, there were no substantial changes we need.
2308  - (dtucker) [configure.ac] Try to get the gcc version number in a way that
2309    doesn't change between versions, and use a safer default.
2311 20051105
2312  - (djm) OpenBSD CVS Sync
2313    - markus@cvs.openbsd.org 2005/10/07 11:13:57
2314      [ssh-keygen.c]
2315      change DSA default back to 1024, as it's defined for 1024 bits only
2316      and this causes interop problems with other clients.  moreover,
2317      in order to improve the security of DSA you need to change more
2318      components of DSA key generation (e.g. the internal SHA1 hash);
2319      ok deraadt
2320    - djm@cvs.openbsd.org 2005/10/10 10:23:08
2321      [channels.c channels.h clientloop.c serverloop.c session.c]
2322      fix regression I introduced in 4.2: X11 forwardings initiated after
2323      a session has exited (e.g. "(sleep 5; xterm) &") would not start.
2324      bz #1086 reported by t8m AT centrum.cz; ok markus@ dtucker@
2325    - djm@cvs.openbsd.org 2005/10/11 23:37:37
2326      [channels.c]
2327      bz #1076 set SO_REUSEADDR on X11 forwarding listner sockets, preventing
2328      bind() failure when a previous connection's listeners are in TIME_WAIT,
2329      reported by plattner AT inf.ethz.ch; ok dtucker@
2330    - stevesk@cvs.openbsd.org 2005/10/13 14:03:01
2331      [auth2-gss.c gss-genr.c gss-serv.c]
2332      remove unneeded #includes; ok markus@
2333    - stevesk@cvs.openbsd.org 2005/10/13 14:20:37
2334      [gss-serv.c]
2335      spelling in comments
2336    - stevesk@cvs.openbsd.org 2005/10/13 19:08:08
2337      [gss-serv-krb5.c gss-serv.c]
2338      unused declarations; ok deraadt@
2339      (id sync only for gss-serv-krb5.c)
2340    - stevesk@cvs.openbsd.org 2005/10/13 19:13:41
2341      [dns.c]
2342      unneeded #include, unused declaration, little knf; ok deraadt@
2343    - stevesk@cvs.openbsd.org 2005/10/13 22:24:31
2344      [auth2-gss.c gss-genr.c gss-serv.c monitor.c]
2345      KNF; ok djm@
2346    - stevesk@cvs.openbsd.org 2005/10/14 02:17:59
2347      [ssh-keygen.c ssh.c sshconnect2.c]
2348      no trailing "\n" for log functions; ok djm@
2349    - stevesk@cvs.openbsd.org 2005/10/14 02:29:37
2350      [channels.c clientloop.c]
2351      free()->xfree(); ok djm@
2352    - stevesk@cvs.openbsd.org 2005/10/15 15:28:12
2353      [sshconnect.c]
2354      make external definition static; ok deraadt@
2355    - stevesk@cvs.openbsd.org 2005/10/17 13:45:05
2356      [dns.c]
2357      fix memory leaks from 2 sources:
2358          1) key_fingerprint_raw()
2359          2) malloc in dns_read_rdata()
2360      ok jakob@
2361    - stevesk@cvs.openbsd.org 2005/10/17 14:01:28
2362      [dns.c]
2363      remove #ifdef LWRES; ok jakob@
2364    - stevesk@cvs.openbsd.org 2005/10/17 14:13:35
2365      [dns.c dns.h]
2366      more cleanups; ok jakob@
2367    - djm@cvs.openbsd.org 2005/10/30 01:23:19
2368      [ssh_config.5]
2369      mention control socket fallback behaviour, reported by 
2370      tryponraj AT gmail.com
2371    - djm@cvs.openbsd.org 2005/10/30 04:01:03
2372      [ssh-keyscan.c]
2373      make ssh-keygen discard junk from server before SSH- ident, spotted by
2374      dave AT cirt.net; ok dtucker@
2375    - djm@cvs.openbsd.org 2005/10/30 04:03:24
2376      [ssh.c]
2377      fix misleading debug message; ok dtucker@
2378    - dtucker@cvs.openbsd.org 2005/10/30 08:29:29
2379      [canohost.c sshd.c]
2380      Check for connections with IP options earlier and drop silently.  ok djm@
2381    - jmc@cvs.openbsd.org 2005/10/30 08:43:47
2382      [ssh_config.5]
2383      remove trailing whitespace;
2384    - djm@cvs.openbsd.org 2005/10/30 08:52:18
2385      [clientloop.c packet.c serverloop.c session.c ssh-agent.c ssh-keygen.c]
2386      [ssh.c sshconnect.c sshconnect1.c sshd.c]
2387      no need to escape single quotes in comments, no binary change
2388    - dtucker@cvs.openbsd.org 2005/10/31 06:15:04
2389      [sftp.c]
2390      Fix sorting with "ls -1" command. From Robert Tsai, "looks right" deraadt@
2391    - djm@cvs.openbsd.org 2005/10/31 11:12:49
2392      [ssh-keygen.1 ssh-keygen.c]
2393      generate a protocol 2 RSA key by default
2394    - djm@cvs.openbsd.org 2005/10/31 11:48:29
2395      [serverloop.c]
2396      make sure we clean up wtmp, etc. file when we receive a SIGTERM,
2397      SIGINT or SIGQUIT when running without privilege separation (the
2398      normal privsep case is already OK). Patch mainly by dtucker@ and
2399      senthilkumar_sen AT hotpop.com; ok dtucker@
2400    - jmc@cvs.openbsd.org 2005/10/31 19:55:25
2401      [ssh-keygen.1]
2402      grammar;
2403    - dtucker@cvs.openbsd.org 2005/11/03 13:38:29
2404      [canohost.c]
2405      Cache reverse lookups with and without DNS separately; ok markus@
2406    - djm@cvs.openbsd.org 2005/11/04 05:15:59
2407      [kex.c kex.h kexdh.c kexdhc.c kexdhs.c kexgex.c kexgexc.c kexgexs.c]
2408      remove hardcoded hash lengths in key exchange code, allowing
2409      implementation of KEX methods with different hashes (e.g. SHA-256);
2410      ok markus@ dtucker@ stevesk@
2411    - djm@cvs.openbsd.org 2005/11/05 05:01:15
2412      [bufaux.c]
2413      Fix leaks in error paths, bz #1109 and #1110 reported by kremenek AT
2414      cs.stanford.edu; ok dtucker@
2415  - (dtucker) [README.platform] Add PAM section.
2416  - (djm) [openbsd-compat/getrrsetbyname.c] Sync to latest OpenBSD version,
2417    resolving memory leak bz#1111 reported by kremenek AT cs.stanford.edu;
2418    ok dtucker@
2420 20051102
2421  - (dtucker) [openbsd-compat/bsd-misc.c] Bug #1108: fix broken strdup().
2422    Reported by olavi at ipunplugged.com and antoine.brodin at laposte.net
2423    via FreeBSD.
2425 20051030
2426  - (djm) [contrib/suse/openssh.spec contrib/suse/rc.
2427    sshd contrib/suse/sysconfig.ssh] Bug #1106: Updated SuSE spec and init 
2428    files from imorgan AT nas.nasa.gov
2429  - (dtucker) [session.c] Bug #1045do not check /etc/nologin when PAM is
2430    enabled, instead allow PAM to handle it.  Note that on platforms using PAM,
2431    the pam_nologin module should be added to sshd's session stack in order to
2432    maintain exising behaviour.  Based on patch and discussion from t8m at
2433    centrum.cz, ok djm@
2435 20051025
2436  - (dtucker) [configure.ac] Relocate LLONG_MAX calculation to after the
2437    sizeof(long long) checks, to make fixing bug #1104 easier (no changes
2438    yet).
2439  - (dtucker) [configure.ac] Bug #1104: Tru64's printf family doesn't
2440    understand "%lld", even though the compiler has "long long", so handle
2441    it as a special case.  Patch tested by mcaskill.scott at epa.gov.
2442  - (dtucker) [contrib/cygwin/ssh-user-config] Remove duplicate yes/no
2443    prompt.  Patch from vinschen at redhat.com.
2445 20051017
2446  - (dtucker) [configure.ac] Bug #1097: Fix configure for cross-compiling.
2447    /etc/default/login report and testing from aabaker at iee.org, corrections
2448    from tim@.
2450 20051009
2451  - (dtucker) [configure.ac defines.h openbsd-compat/vis.{c,h}] Sync current
2452    versions from OpenBSD.  ok djm@
2454 20051008
2455  - (dtucker) [configure.ac] Bug #1098: define $MAIL for HP-UX; report from
2456    brian.smith at agilent com.
2457  - (djm) [configure.ac] missing 'test' call for -with-Werror test
2459 20051005
2460  - (dtucker) [configure.ac sshd.8] Enable locked account check (a prepended
2461    "*LOCKED*" string) for FreeBSD.  Patch jeremie at le-hen.org and
2462    senthilkumar_sen at hotpop.com.
2464 20051003
2465  - (dtucker) OpenBSD CVS Sync
2466    - markus@cvs.openbsd.org 2005/09/07 08:53:53
2467      [channels.c]
2468      enforce chanid != NULL; ok djm
2469    - markus@cvs.openbsd.org 2005/09/09 19:18:05
2470      [clientloop.c]
2471      typo; from mark at mcs.vuw.ac.nz, bug #1082
2472    - djm@cvs.openbsd.org 2005/09/13 23:40:07
2473      [sshd.c ssh.c misc.h sftp.c ssh-keygen.c ssh-keysign.c sftp-server.c
2474      scp.c misc.c ssh-keyscan.c ssh-add.c ssh-agent.c]
2475      ensure that stdio fds are attached; ok deraadt@
2476    - djm@cvs.openbsd.org 2005/09/19 11:37:34
2477      [ssh_config.5 ssh.1]
2478      mention ability to specify bind_address for DynamicForward and -D options;
2479      bz#1077 spotted by Haruyama Seigo
2480    - djm@cvs.openbsd.org 2005/09/19 11:47:09
2481      [sshd.c]
2482      stop connection abort on rekey with delayed compression enabled when
2483      post-auth privsep is disabled (e.g. when root is logged in); ok dtucker@
2484    - djm@cvs.openbsd.org 2005/09/19 11:48:10
2485      [gss-serv.c]
2486      typo
2487    - jmc@cvs.openbsd.org 2005/09/19 15:38:27
2488      [ssh.1]
2489      some more .Bk/.Ek to avoid ugly line split;
2490    - jmc@cvs.openbsd.org 2005/09/19 15:42:44
2491      [ssh.c]
2492      update -D usage here too;
2493    - djm@cvs.openbsd.org 2005/09/19 23:31:31
2494      [ssh.1]
2495      spelling nit from stevesk@
2496    - djm@cvs.openbsd.org 2005/09/21 23:36:54
2497      [sshd_config.5]
2498      aquire -> acquire, from stevesk@
2499    - djm@cvs.openbsd.org 2005/09/21 23:37:11
2500      [sshd.c]
2501      change label at markus@'s request
2502    - jaredy@cvs.openbsd.org 2005/09/30 20:34:26
2503      [ssh-keyscan.1]
2504      deploy .An -nosplit; ok jmc
2505    - dtucker@cvs.openbsd.org 2005/10/03 07:44:42
2506      [canohost.c]
2507      Relocate check_ip_options call to prevent logging of garbage for
2508      connections with IP options set.  bz#1092 from David Leonard,
2509      "looks good" deraadt@
2510  - (dtucker) [regress/README.regress] Bug #989: Document limitation that scp
2511    is required in the system path for the multiplex test to work.
2513 20050930
2514  - (dtucker) [openbsd-compat/openbsd-compat.h] Bug #1096: Add prototype
2515    for strtoll.  Patch from o.flebbe at science-computing.de.
2516  - (dtucker) [monitor.c] Bug #1087: Send loginmsg to preauth privsep
2517    child during PAM account check without clearing it.  This restores the
2518    post-login warnings such as LDAP password expiry.  Patch from Tomas Mraz
2519    with help from several others.
2521 20050929
2522  - (dtucker) [monitor_wrap.c] Remove duplicate definition of loginmsg
2523    introduced during sync.
2525 20050928
2526  - (dtucker) [entropy.c] Use u_char for receiving RNG seed for consistency.
2527  - (dtucker) [auth-pam.c] Bug #1028: send final non-query messages from
2528    PAM via keyboard-interactive.  Patch tested by the folks at Vintela.
2530 20050927
2531  - (dtucker) [entropy.c] Remove unnecessary tests for getuid and geteuid
2532    calls, since they can't possibly fail.  ok djm@
2533  - (dtucker) [entropy.c entropy.h sshd.c] Pass RNG seed to the reexec'ed
2534    process when sshd relies on ssh-random-helper.  Should result in faster
2535    logins on systems without a real random device or prngd.  ok djm@
2537 20050924
2538  - (dtucker) [auth2.c] Move start_pam() calls out of if-else block to remove
2539    duplicate call.  ok djm@
2541 20050922
2542  - (dtucker) [configure.ac] Use -R linker flag for libedit too; patch from
2543    skeleten at shillest.net.
2544  - (dtucker) [configure.ac] Fix help for --with-opensc; patch from skeleten at
2545    shillest.net.
2547 20050919
2548  - (tim) [aclocal.m4 configure.ac] Delete acconfig.h and add templates to
2549    AC_DEFINE and AC_DEFINE_UNQUOTED to quiet autoconf 2.59 warning messages.
2550    ok dtucker@
2552 20050912
2553  - (tim) [configure.ac] Bug 1078. Fix --without-kerberos5. Reported by
2554    Mike Frysinger.
2556 20050908
2557  - (tim) [defines.h openbsd-compat/port-uw.c] Add long password support to
2558    OpenServer 6 and add osr5bigcrypt support so when someone migrates
2559    passwords between UnixWare and OpenServer they will still work. OK dtucker@
2561 $Id: ChangeLog,v 1.4576 2006/10/23 17:02:23 djm Exp $