- (dtucker) [openbsd-compat/bsd-misc.c] Bug #1108: fix broken strdup().
   Reported by olavi at ipunplugged.com and antoine.brodin at laposte.net
   via FreeBSD.

 - (dtucker) [configure.ac] Bug #1104: Tru64's printf family doesn't
   understand "%lld", even though the compiler has "long long", so handle
   it as a special case.  Patch tested by mcaskill.scott at epa.gov.

(actually, was included in previous commit)

 - (dtucker) [configure.ac] Relocate LLONG_MAX calculation to after the
   sizeof(long long) checks, to make fixing bug #1104 easier (no changes
   yet).

 - (dtucker) [configure.ac] Bug #1097: Fix configure for cross-compiling.
   /etc/default/login report and testing from aabaker at iee.org, corrections
   from tim@.

 - (dtucker) [configure.ac] Bug #1098: define $MAIL for HP-UX; report from
   brian.smith at agilent com.

typo

typo

 - (dtucker) [configure.ac sshd.8] Enable locked account check (a prepended
   "*LOCKED*" string) for FreeBSD.  Patch jeremie at le-hen.org and
   senthilkumar_sen at hotpop.com.

   - dtucker@cvs.openbsd.org 2005/10/03 07:44:42
     [canohost.c]
     Relocate check_ip_options call to prevent logging of garbage for
     connections with IP options set.  bz#1092 from David Leonard,
     "looks good" deraadt@

   - djm@cvs.openbsd.org 2005/09/19 11:47:09
     [sshd.c]
     stop connection abort on rekey with delayed compression enabled when
     post-auth privsep is disabled (e.g. when root is logged in); ok dtucker@

   - djm@cvs.openbsd.org 2005/09/19 11:37:34
     [ssh_config.5 ssh.1]
     mention ability to specify bind_address for DynamicForward and -D options;
     bz#1077 spotted by Haruyama Seigo

   - markus@cvs.openbsd.org 2005/09/09 19:18:05
     [clientloop.c]
     typo; from mark at mcs.vuw.ac.nz, bug #1082

   - markus@cvs.openbsd.org 2005/09/07 08:53:53
     [channels.c]
     enforce chanid != NULL; ok djm

 - (dtucker) [auth-pam.c] Bug #1028: send final non-query messages from
   PAM via keyboard-interactive.  Patch tested by the folks at Vintela.

 - (dtucker) [monitor.c] Bug #1087: Send loginmsg to preauth privsep
   child during PAM account check without clearing it.  This restores the
   post-login warnings such as LDAP password expiry.  Patch from Tomas Mraz
   with help from several others.

 - (dtucker) [openbsd-compat/openbsd-compat.h] Bug #1096: Add prototype
   for strtoll.  Patch from o.flebbe at science-computing.de.

 - (dtucker) [configure.ac] Use -R linker flag for libedit too; patch from
   skeleten at shillest.net.

remove acconfig.h

 - (tim) [aclocal.m4 configure.ac] Delete acconfig.h and add templates to
   AC_DEFINE and AC_DEFINE_UNQUOTED to quiet autoconf 2.59 warning messages.

 - (tim) [configure.ac] Bug 1078. Fix --without-kerberos5. Reported by
   Mike Frysinger.

Last commit skipped defines.h
 - (tim) [defines.h openbsd-compat/port-uw.c] Add long password support to
   OpenServer 6 and add osr5bigcrypt support so when someone migrates
   passwords between UnixWare and OpenServer they will still work. OK dtucker@

 - (tim) [defines.h openbsd-compat/port-uw.c] Add long password support to
   OpenServer 6 and add osr5bigcrypt support so when someone migrates
   passwords between UnixWare and OpenServer they will still work. OK dtucker@

 - (djm) Update RPM spec file versions

 - (tim) [configure.ac auth.c defines.h session.c openbsd-compat/port-uw.c
   openbsd-compat/port-uw.h openbsd-compat/xcrypt.c] libiaf cleanup. Disable
   libiaf bits for OpenServer6. Free memory allocated by ia_get_logpwd().
   Feedback and OK dtucker@

 - (dtucker) [README] Update release note URL to 4.2

   - markus@cvs.openbsd.org 2005/08/31 09:28:42
     [version.h]
     4.2

 - (djm) OpenBSD CVS Sync
   - djm@cvs.openbsd.org 2005/08/30 22:08:05
     [gss-serv.c sshconnect2.c]
     destroy credentials if krb5_kuserok() call fails. Stops credentials being
     delegated to users who are not authorised for GSSAPIAuthentication when
     GSSAPIDeletegateCredentials=yes and another authentication mechanism
     succeeds; bz#1073 reported by paul.moore AT centrify.com, fix by
     simon AT sxw.org.uk, tested todd@ biorn@ jakob@; ok deraadt@

correct bug number

 - (tim) [configure.ac] Back out last change. It needs to be done differently.

 - (tim) [configure.ac] ia_openinfo() seems broken on OSR6. Limit UW long
   password support to 7.x for now.

 - (tim) [CREDITS LICENCE auth.c configure.ac defines.h includes.h session.c
   openbsd-compat/Makefile.in openbsd-compat/openbsd-compat.h
   openbsd-compat/xcrypt.c] New files [openssh/openbsd-compat/port-uw.c
   openssh/openbsd-compat/port-uw.h] Support long passwords (> 8-char)
   on UnixWare 7 from Dhiraj Gulati and Ahsan Rashid. Cleanup and testing
   by tim@. Feedback and OK dtucker@

 - (tim) [defines.h] PATH_MAX bits for OpenServer OK dtucker@

 - (tim) [configure.ac ] Not all gcc's support -Wsign-compare

 - (dtucker) [regress/test-exec.sh] Do not prepend an extra "/" to a fully-
   qualified sshd pathname since some systems (eg Cygwin) may consider "/foo"
   and "//foo" to be different.  Spotted by vinschen at redhat.com.

 - (dtucker) [configure.ac defines.h includes.h sftp.c] Add support for
   LynxOS, patch from Olli Savia (ops at iki.fi).  ok djm@

 - (djm) [ttymodes.c] bugzilla #1054: Fix encoding of _POSIX_VDISABLE,
   from Jacob Nevins; ok dtucker@

 - (tim) [configure.ac] corrections to libedit tests. Report and patches
   by skeleten AT shillest.net

 - (tim) wrap el_end() in #ifdef USE_LIBEDIT

   - jaredy@cvs.openbsd.org 2005/08/08 13:22:48
     [sftp.c]
     sftp prompt enhancements:
     - in non-interactive mode, do not print an empty prompt at the end
       before finishing
     - print newline after EOF in editline mode
     - call el_end() in editline mode
     ok dtucker djm

oops, that last commit was:

     Report from Janusz Mucka; ok djm@

   - dtucker@cvs.openbsd.org 2005/08/06 10:03:12
     [servconf.c]
     Unbreak sshd ListenAddress for bare IPv6 addresses.

   - djm@cvs.openbsd.org 2005/07/30 02:03:47
     [readconf.c]
     listen_hosts initialisation here too; spotted greg AT y2005.nest.cx

   - djm@cvs.openbsd.org 2005/07/30 01:26:16
     [ssh.c]
     fix -D listen_host initialisation, so it picks up gateway_ports setting
     correctly

   - markus@cvs.openbsd.org 2005/07/28 17:36:22
     [packet.c]
     missing packet_init_compression(); from solar

 - (dtucker) [LICENCE configure.ac defines.h openbsd-compat/realpath.c]
   Sync current (thread-safe) version of realpath.c from OpenBSD (which is
   in turn based on FreeBSD's).  ok djm@

 - (dtucker) [configure.ac] Test libedit library and headers for compatibility.
   Report from skeleten AT shillest.net, ok djm@

 - (tim) [configure.ac] Allow --with-audit=no. OK dtucker@
   Report by skeleten AT shillest.net

 - (dtucker) [openbsd-compat/fake-rfc2553.h] MAX_INT -> INT_MAX since the
   latter is specified in the standard.

 - (dtucker) [openbsd-compat/fake-rfc2553.h] Check for EAI_* defines
   individually and use a value less likely to collide with real values from
   netdb.h.  Fixes compile warnings on FreeBSD 5.3.  ok djm@

 - (dtucker) [configure.ac] Add a --with-Werror option to configure for
   adding -Werror to CFLAGS when all of the configure tests are done. ok djm@

 - (dtucker) [configure.ac] Enable -Wuninitialized by default when compiling
   with gcc.  ok djm@

   - dtucker@cvs.openbsd.org 2005/07/27 10:39:03
     [scp.c hostfile.c sftp-client.c]
     Silence bogus -Wuninitialized warnings; ok djm@

   - markus@cvs.openbsd.org 2005/07/25 11:59:40
     [kex.c kex.h myproposal.h packet.c packet.h servconf.c session.c]
     [sshconnect2.c sshd.c sshd_config sshd_config.5]
     add a new compression method that delays compression until the user
     has been authenticated successfully and set compression to 'delayed'
     for sshd.
     this breaks older openssh clients (< 3.5) if they insist on
     compression, so you have to re-enable compression in sshd_config.
     ok djm@

 - (djm) OpenBSD CVS Sync
   - otto@cvs.openbsd.org 2005/07/19 15:32:26
     [auth-passwd.c]
     auth_usercheck(3) can return NULL, so check for that. Report from
     mpech@. ok markus@

 - (dtucker) [configure.ac] Update zlib warning message too, pointed out by
   tim@.

 - (dtucker) [configure.ac] Update zlib version check for CAN-2005-2096.

 - (djm) [monitor.c monitor_wrap.c] -Wsign-compare for PAM monitor calls

 -(djm) [audit.c auth1.c auth2.c entropy.c loginrec.c serverloop.c]
  [ssh-rand-helper.c] fix portable 2nd level indents at 4 spaces too

   - djm@cvs.openbsd.org 2005/07/17 07:17:55
     [auth-rh-rsa.c auth-rhosts.c auth2-chall.c auth2-gss.c channels.c]
     [cipher-ctr.c gss-genr.c gss-serv.c kex.c moduli.c readconf.c]
     [serverloop.c session.c sftp-client.c sftp.c ssh-add.c ssh-keygen.c]
     [sshconnect.c sshconnect2.c]
     knf says that a 2nd level indent is four (not three or five) spaces

 - (djm) [auth-pam.c sftp.c] spaces vs. tabs at start of line
   - djm@cvs.openbsd.org 2005/07/17 06:49:04
     [channels.c channels.h session.c session.h]
     Fix a number of X11 forwarding channel leaks:
     1. Refuse multiple X11 forwarding requests on the same session
     2. Clean up all listeners after a single_connection X11 forward, not just
        the one that made the single connection
     3. Destroy X11 listeners when the session owning them goes away
     testing and ok dtucker@

 - (djm) [auth-pam.c sftp.c] spaces vs. tabs at start of line

 - (djm) [acss.c auth-pam.c auth-shadow.c auth-skey.c auth1.c canohost.c]
   [cipher-acss.c loginrec.c ssh-rand-helper.c sshd.c] Fix whitespace at EOL
   in portable too ("perl -p -i -e 's/\s+$/\n/' *.[ch]")

   - djm@cvs.openbsd.org 2005/07/16 01:35:24
     [auth1.c channels.c cipher.c clientloop.c kex.c session.c ssh.c]
     [sshconnect.c]
     spacing

 - (dtucker) [auth-pam.c] Ensure that only one side of the authentication
   socketpair stays open on in both the monitor and PAM process.  Patch from
   Joerg Sonnenberger.

 - (dtucker) [configure.ac defines.h] Define __sentinel__ to nothing if the
   compiler doesn't understand it to prevent warnings.  If any mainstream
   compiler versions acquire it we can test for those versions.  Based on
   discussion with djm@.

   - dtucker@cvs.openbsd.org 2005/07/14 04:00:43
     [misc.h]
     use __sentinel__ attribute; ok deraadt@ djm@ markus@

   - jmc@cvs.openbsd.org 2005/07/08 12:53:10
     [ssh_config.5]
     new sentence, new line;

   - dtucker@cvs.openbsd.org 2005/07/08 10:20:41
     [ssh_config.5]
     change BindAddress to match recent ssh -b change; prompted by markus@

   - markus@cvs.openbsd.org 2005/07/08 09:41:33
     [channels.h]
     race when efd gets closed while there is still buffered data:
     change CHANNEL_EFD_OUTPUT_ACTIVE()
        1) c->efd must always be valid AND
        2a) no EOF has been seen OR
        2b) there is buffered data
     report, initial fix and testing Chuck Cranor

   - dtucker@cvs.openbsd.org 2005/07/08 09:26:18
     [misc.c]
     Make comment match code; ok djm@

   - dtucker@cvs.openbsd.org 2005/07/06 09:33:05
     [ssh.1]
     clarify meaning of ssh -b ; with & ok jmc@

 - (dtucker) [acconfig.h auth-krb5.c configure.ac gss-serv-krb5.c] Remove
   calls to krb5_init_ets, which has not been required since krb-1.1.x and
   most Kerberos versions no longer export in their public API.  From sxw
   at inf.ed.ac.uk, ok djm@

 - (dtucker) [auth-krb5.c] There's no guarantee that snprintf will set errno
   in the case where the buffer is insufficient, so always return ENOMEM.
   Also pointed out by sxw at inf.ed.ac.uk.

 - [auth-krb5.c auth.h gss-serv-krb5.c] Move KRB5CCNAME generation for the MIT
   Kerberos code path into a common function and expand mkstemp template to be
   consistent with the rest of OpenSSH.  From sxw at inf.ed.ac.uk, ok djm@

   - markus@cvs.openbsd.org 2005/07/04 14:04:11
     [channels.c]
     don't forget to set x11_saved_display

   - jmc@cvs.openbsd.org 2005/07/04 11:29:51
     [ssh_config.5]
     fix Xr and a little grammar;

   - djm@cvs.openbsd.org 2005/07/04 00:58:43
     [channels.c clientloop.c clientloop.h misc.c misc.h ssh.c ssh_config.5]
     implement support for X11 and agent forwarding over multiplex slave
     connections. Because of protocol limitations, the slave connections inherit
     the master's DISPLAY and SSH_AUTH_SOCK rather than distinctly forwarding
     their own.
     ok dtucker@ "put it in" deraadt@

   - markus@cvs.openbsd.org 2005/07/01 13:19:47
     [channels.c]
     don't free() if getaddrinfo() fails; report mpech@

wrap

   - djm@cvs.openbsd.org 2005/06/25 22:47:49
     [ssh.c]
     do the default port filling code a few lines earlier, so it really
     does fix %p

   - djm@cvs.openbsd.org 2005/06/18 04:30:36
     [ssh.c ssh_config.5]
     allow ControlPath=none, patch from dwmw2 AT infradead.org; ok dtucker@

 - (djm) OpenBSD CVS Sync
   - djm@cvs.openbsd.org 2005/06/17 22:53:47
     [ssh.c sshconnect.c]
     Fix ControlPath's %p expanding to "0" for a default port,
     spotted dwmw2 AT infradead.org; ok markus@

 - (djm) [loginrec.c ssh-rand-helper.c] Fix -Wsign-compare for portable,
   tested and fixes tim@

+opensshd.init

   - djm@cvs.openbsd.org 2005/06/17 02:44:33
   [auth1.c] make this -Wsign-compare clean; ok avsm@ markus@

   - djm@cvs.openbsd.org 2005/05/20 12:57:01;
   [auth1.c] split protocol 1 auth methods into separate functions, makes
   authloop much more readable; fixes and ok markus@ (portable ok &
   polish dtucker@)

 - (dtucker) [cipher.c openbsd-compat/openbsd-compat.h
   openbsd-compat/openssl-compat.c] only include openssl compat stuff where
   it's needed as it can cause conflicts elsewhere (eg xcrypt.c).  Found by
   and ok tim@
----------------------------------------------------------------------
automatically CVS: CVS: Committing in .  CVS: CVS: Modified Files:
----------------------------------------------------------------------

   - djm@cvs.openbsd.org 2005/06/17 02:44:33
     [auth-rsa.c auth.c auth1.c auth2-chall.c auth2-gss.c authfd.c authfile.c]
     [bufaux.c canohost.c channels.c cipher.c clientloop.c dns.c gss-serv.c]
     [kex.c kex.h key.c mac.c match.c misc.c packet.c packet.h scp.c]
     [servconf.c session.c session.h sftp-client.c sftp-server.c sftp.c]
     [ssh-keyscan.c ssh-rsa.c sshconnect.c sshconnect1.c sshconnect2.c sshd.c]
     make this -Wsign-compare clean; ok avsm@ markus@
     NB. auth1.c changes not committed yet (conflicts with uncommitted sync)
     NB2. more work may be needed to make portable Wsign-compare clean

   - markus@cvs.openbsd.org 2005/06/16 08:00:00
     [canohost.c channels.c sshd.c]
     don't exit if getpeername fails for forwarded ports; bugzilla #1054;
     ok djm

 - (djm) OpenBSD CVS Sync
   - djm@cvs.openbsd.org 2005/06/16 03:38:36
     [channels.c channels.h clientloop.c clientloop.h ssh.c]
     move x11_get_proto from ssh.c to clientloop.c, to make muliplexed xfwd
     easier later; ok deraadt@

   - dtucker@cvs.openbsd.org 2005/06/09 13:43:49
     [cipher.c]
     Correctly initialize end of array sentinel; ok djm@
     (Id sync only, change already in portable)

   - djm@cvs.openbsd.org 2005/06/08 11:25:09
     [clientloop.c readconf.c readconf.h ssh.c ssh_config.5]
     add ControlMaster=auto/autoask options to support opportunistic
     multiplexing; tested avsm@ and jakob@, ok markus@

   - djm@cvs.openbsd.org 2005/06/08 03:50:00
     [ssh-keygen.1 ssh-keygen.c sshd.8]
     increase default rsa/dsa key length from 1024 to 2048 bits;
     ok markus@ deraadt@

   - djm@cvs.openbsd.org 2005/06/06 11:20:36
     [auth.c auth.h misc.c misc.h ssh.c ssh_config.5 sshconnect.c]
     introduce a generic %foo expansion function. replace existing % expansion
     and add expansion to ControlPath; ok markus@

 - (djm) OpenBSD CVS Sync
   - jaredy@cvs.openbsd.org 2005/06/07 13:25:23
     [progressmeter.c]
     catch SIGWINCH and resize progress meter accordingly; ok markus dtucker

typo

 - (dtucker) [cipher.c openbsd-compat/Makefile.in
   openbsd-compat/openbsd-compat.{c,h} openbsd-compat/openssl-compat.h]
   Move compatibility code for supporting older OpenSSL versions to the
   compat layer.  Suggested by and "no objection" djm@

 - (dtucker) [configure.ac] Continue the hunt for LLONG_MIN and LLONG_MAX:
   in today's episode we attempt to coax it from limits.h where it may be
   hiding, failing that we take the DIY approach.  Tested by tim@

 - (djm) [README README.privsep] Mention FreeBSD and NetBSD as being
   supported by privsep. Requested by des AT des.no

 - (dtucker) [configure.ac] Point configure's reporting address at the
   openssh-unix-dev list.  ok tim@ djm@