- up to 7.1p2; fixes CVE-2016-0777 (client side problem)

- openssl 1.0.2d rebuild
- release 9 (by relup.sh)

fix broken patch from 00b8e87

see http://lists.pld-linux.org/mailman/pipermail/pld-devel-en/2015-December/024591.html

- rel 6; fix start check

- reorder so oldest/worst ones are last

- rel 6; disable rsa1 host key generation (it's used with ssh1 which is disabled in openssh >= 7.0p1 by default)

- HostkeyAlgorithms - to allow connection with older systems

enable in server, disable in client

http://lists.pld-linux.org/mailman/pipermail/pld-devel-en/2015-October/024509.html

allow dsa keys also client side, enable by default

add sample how to enable dsa keys

- updated to 7.1p1

no macro for trigger epoch

- rel 2; DSA keys warning

- up to 7.0p1

- release 2 (by relup.sh)

- added tests-reuseport (fixes regression tests failure due to missing SO_REUSEPORT feature in pre-3.9 Linux)

- up to 6.9p1

- release 12 (by relup.sh)

do not force 3.5 kernel on non-x32

3.5 kernel is needed in server, not client

really modify files (witekfl)

fix sshd-keygen in sshd initscript

- rel 7

- safecatch on x32

- do not parallelize tests

- don't pass sandbox to configure on ac

- sandbox macro is always defined

- fix sandbox macro
- rel 6

restore lost BR 3.5 kernel from cebd27d

prevent upstream provided aclocal.m4 being overwritten

add libseccomp bcond, building with it requires 3.5 kernel

with 3.4.92 kernel you get such error:
sshd[4604]: fatal: ssh_sandbox_child:libseccomp unable to load filter -22 [preauth]

drop all Upstart hacks

Release: 4

more accudate status check

sshd initscript: do not rely only on lock file

OpenSSH service is already running.
daemon sshd dead but subsys (sshd) locked

basically main pid is down, but lockfile exists.
making exception to sshd (being important service) to not to rely only
on lockfile.

fix

hack: require openssh-server only if sshd user does not exist

refs 163b394

ensure --with-privsep-user param

add missing backslash

post fix files on condition

simplify ssh key gen, reuse code

- openssl rebuild
- release 3 (by relup.sh)

- tests require kernel with NO_NEW_PRIVS prctl support (the same for default configuration)

- removed accidental CFLAGS change

- default seccomp sandbox is broken, use patch by Steven Noonan adding libseccomp-sandbox to unbreak it
- rel2

- up to 6.8p1

- rebuild with openssl 1.0.2
- release 6 (by relup.sh)

- x32 rebuild
- release 5 (by relup.sh)

- rebuild with openssl-1.0.1k
- release 4 (by relup.sh)

- rel 3; use postlogin pam config

- release 2 (by relup.sh)

- up to 6.7p1

- release 4 (by relup.sh)

- release 3 (by relup.sh)

use -std=gnu99

add limits.h hack for ac in openbsd-compat

update x11.pc hack for ac

sane patch order

include limits.h

autodetect sandbox on ac. currently detects as rlimit

- release 2 (by relup.sh)

 -up to 6.6p1

fix the --without ldap bcond

- rel 2; generate ed25519 server key

Update to 6.5p1. krb patch dropped since its dead code when used with
heimdal. Drop blacklist patch (it's ancient version) and we don't
really care that much about blacklisting debian bad keys.

- updated kuserok patch

- up to 6.5p1 but blacklist/krb patches need decision

use pidfile in status

- release 3 (by relup.sh)

-server-ldap requires openldap-nss-config for /etc/ldap.conf

- up 6.4p1; fixes SECURITY issue http://www.openssh.com/txt/gcmrekey.adv (affects installations with restricted users/commands)

rel 2

ignore SIGPIPE from ldap-helper. ssh server does not read whole input if matching key is found

remove server depending on -ldap. long overdue

pass/sendenv: send XMODIFIERS

updated rebased ldap patch from fedora (adds AccountClass ldap.conf param)

rename ldap patch unversioned

sshd_config: add sample for CheckHostIP no in Host *.local

- up to 6.3p1; heimdal patch dropped (krb users please verify this)

pass only some GIT_ variables

Passing GIT_* variables can break some packages like gitolite (see
gitolite-env.patch) and gitolite3. Therefore pass only the ones which
are used by some developers and should be safe.

noarch openldap schema package

move sshd startup to 22

same problem with server too:

$ ssh builderth32
ssh_exchange_identification: Connection closed by remote host

May 30 12:01:42 builderth32 sshd[3001]: fatal: OpenSSL version mismatch.  Built against 1000007f, you have 1000105f

lock down to openssl version used at compile time to avoid fatal error

$ ssh localhost
OpenSSL version mismatch. Built against 1000008f, you have 1000105f

$ rpm -q --blink openssl openssh-clients
openssl-1.0.1e-1.x86_64.rpm
        <= openssl-1.0.0j-1.x86_64.rpm
openssh-clients-5.9p1-9.x86_64.rpm
        <= openssh-clients-5.9p1-8.x86_64.rpm

similar to neon fix:
http://git.pld-linux.org/?p=packages/neon.git;a=commitdiff;h=00c6dbc2309d9d93db6a6f469fc8516981bdb405

openssh-6.2p2/entropy.c reads:

 void
 seed_rng(void)
 {
 #ifndef OPENSSL_PRNG_ONLY
     unsigned char buf[RANDOM_SEED_SIZE];
 #endif
     /*
      * OpenSSL version numbers: MNNFFPPS: major minor fix patch status
      * We match major, minor, fix and status (not patch) for <1.0.0.
      * After that, we acceptable compatible fix versions (so we
      * allow 1.0.1 to work with 1.0.0). Going backwards is only allowed
      * within a patch series.
      */
     u_long version_mask = SSLeay() >= 0x1000000f ?  ~0xffff0L : ~0xff0L;
     if (((SSLeay() ^ OPENSSL_VERSION_NUMBER) & version_mask) ||
         (SSLeay() >> 12) < (OPENSSL_VERSION_NUMBER >> 12))
         fatal("OpenSSL version mismatch. Built against %lx, you "
             "have %lx", (u_long)OPENSSL_VERSION_NUMBER, SSLeay());

- up to 6.2p2

- add support for recording user's login uid to the process attribute

- up to 6.2p1

suggest xauth in server package as well

Apply -disable_ldap.patch only when building without ldap

one more 'ldap' bcond fix

without_ldap bcond fixed

--with-ldap=no is not enough any more :-(

- remove passwd.conf manipulation from post, passwd does not have
  support for changing pam service suffix for a long time now
- rel 2

- require non-buggy zlib

- up to 6.1p1

omg, somebody put spaces/tabs before Lpk directives; workaround

- tests need sshd user, require server package for that

Changed files:
    openssh.spec -> 1.386

- package systemd socket activation files (do not enable)

Changed files:
    openssh.spec -> 1.385

- move systemd banner to trigger

Changed files:
    openssh.spec -> 1.384

- up to 6.0p1

Changed files:
    openssh.spec -> 1.383

- rel 9
- better systemd deps

Changed files:
    openssh.spec -> 1.382

- run test suite

Changed files:
    openssh.spec -> 1.381