春山 征吾のくけー

http://wiki.livedoor.jp/haruyama_seigo/d/FrontPage @haruyama タイトルが思いつかないときはそのときかかってた曲をタイトルにしています.

OpenSSH 7.3 がリリースされました

2016/08/01, OpenSSH 7.3 がリリースされました.

セキュリティ修正, バグ修正が中心のリリースです.

http://www.openssh.com/txt/release-7.3

Future deprecation notice
=========================

将来の廃止する機能の告知

We plan on retiring more legacy cryptography in a near-future
release, specifically:

近い将来 さらなるレガシーな暗号を退役させる予定だ.

具体的には,

 * Refusing all RSA keys smaller than 1024 bits (the current minimum
   is 768 bits)
 * Removing server-side support for the SSH v.1 protocol (currently
   compile-time disabled).
 * In approximately 1 year, removing all support for the SSH v.1
   protocol (currently compile-time disabled).

 * 1024 ビットよりも小さいすべての RSA 鍵の拒否
   (現在の最小値は 768 ビット)
 * SSH v.1 プロトコルのサーバサイドサポートの除去
   (現在は コンパイル時に無効)
 * 約1年間で, SSH v.1 プロトコルのすべてのサポートの除去
   (現在は コンパイル時に無効)

This list reflects our current intentions, but please check the final
release notes for future releases.

このリストは現在の我々の意図を反映している. ただし,
将来のリリースでの最終的なリリースノートをチェックしてほしい


Changes since OpenSSH 7.2
=========================

OpenSSH 7.2 からの変更点

This is primarily a bugfix release.

これは主にバグ修正のリリースだ.

Security
--------

セキュリティ

 * sshd(8): Mitigate a potential denial-of-service attack against
   the system's crypt(3) function via sshd(8). An attacker could
   send very long passwords that would cause excessive CPU use in
   crypt(3). sshd(8) now refuses to accept password authentication
   requests of length greater than 1024 characters. Independently
   reported by Tomas Kuthan (Oracle), Andres Rojas and Javier Nieto.

   sshd(8): sshd(8) を経由したシステムの crypt(3) 関数に対する
   潜在的なサービス不能攻撃を緩和する. 攻撃者は, crypt(3) で
   過度の CPU 利用を引き起す非常に長いパスワードを送れる.
   sshd(8) は, 1024 文字よりも大きなパスワード認証要求の受諾を
   拒否するようになる. Tomas Kuthan (Oracle) と
   Andres Rojas, Javier Nieto によって報告された.

 * sshd(8): Mitigate timing differences in password authentication
   that could be used to discern valid from invalid account names
   when long passwords were sent and particular password hashing
   algorithms are in use on the server. CVE-2016-6210, reported by
   EddieEzra.Harari at verint.com

   sshd(8): 特定のパスワードハッシュアルゴリズムをサーバが使っている場合に
   長いパスワードを送って有効なアカウント名と無効なものを見分けるのに
   利用できるパスワード認証によるタイミングの差を緩和する.
   CVE-2016-6210, EddieEzra.Harari at verint.com によって報告された.

 * ssh(1), sshd(8): Fix observable timing weakness in the CBC padding
   oracle countermeasures. Reported by Jean Paul Degabriele, Kenny
   Paterson, Torben Hansen and Martin Albrecht. Note that CBC ciphers
   are disabled by default and only included for legacy compatibility.

   ssh(1), sshd(8): CBC パディングオラクルの対抗策における観測可能な
   タイミングの弱点を修正する. Jean Paul Degabriele と Kenny Paterson,
   Torben Hansen, Martin Albrecht によって報告された. CBC を利用する
   暗号方式はデフォルトで無効で, 歴史的な互換性のためだけに含まれている
   ことに注意.

 * ssh(1), sshd(8): Improve operation ordering of MAC verification for
   Encrypt-then-MAC (EtM) mode transport MAC algorithms to verify the
   MAC before decrypting any ciphertext. This removes the possibility
   of timing differences leaking facts about the plaintext, though no
   such leakage has been observed.  Reported by Jean Paul Degabriele,
   Kenny Paterson, Torben Hansen and Martin Albrecht.

   ssh(1), sshd(8): 暗号文を復号する前に MAC を検査する
   Encrypt-then-MAC (EtM) モード トランスポート MAC アルゴリズムで
   MAC 検査の操作の順番を改善する. 平文に対する事実を漏らす
   タイミングの差が生じる可能性を削除する. ただし, そのような漏洩は
   観測されていない. Jean Paul Degabriele と Kenny Paterson,
   Torben Hansen, Martin Albrecht によって報告された.

 * sshd(8): (portable only) Ignore PAM environment vars when
   UseLogin=yes. If PAM is configured to read user-specified
   environment variables and UseLogin=yes in sshd_config, then a
   hostile local user may attack /bin/login via LD_PRELOAD or
   similar environment variables set via PAM. CVE-2015-8325,
   found by Shayan Sadigh.

   sshd(8): (移植版のみ) UseLogin=yes の場合に PAM 環境変数を無視する.
   PAM がユーザ特有の環境変数を読むように設定されていて sshd_config で
   UseLogin=yes となっている場合, 悪意のあるローカルユーザが
   LD_PRELOAD や同様の環境変数を PAM 経由で設定して
   /bin/login に対して攻撃する可能性がある. CVE-2015-8325,
   Shayan Sadigh によって発見された.

New Features
------------

新機能

 * ssh(1): Add a ProxyJump option and corresponding -J command-line
   flag to allow simplified indirection through a one or more SSH
   bastions or "jump hosts".

   ssh(1): ProxyJump 設定項目と対応する -J コマンドラインフラグを追加する.
   1つ異常の SSH の踏み台を経由する間接参照を簡単に指定できる.

 * ssh(1): Add an IdentityAgent option to allow specifying specific
   agent sockets instead of accepting one from the environment.

   ssh(1): IdentityAgent 設定項目を追加する.
   特定のエージェントのソケットを環境変数を使わないでも指定できる.

 * ssh(1): Allow ExitOnForwardFailure and ClearAllForwardings to be
   optionally overridden when using ssh -W. bz#2577

   ssh(1): ssh -W を用いている場合に, ExitOnForwardFailure と
   ClearAllForwardings を自由の上書きできる. bz#2577

 * ssh(1), sshd(8): Implement support for the IUTF8 terminal mode as
   per draft-sgtatham-secsh-iutf8-00.

   ssh(1), sshd(8): draft-sgtatham-secsh-iutf8-00 により
   IUTF8 ターミナルモードのサポートを実装する

 * ssh(1), sshd(8): Add support for additional fixed Diffie-Hellman
   2K, 4K and 8K groups from draft-ietf-curdle-ssh-kex-sha2-03.

   ssh(1), sshd(8): draft-ietf-curdle-ssh-kex-sha2-03 から
   追加の修正された Diffie-Hellman 2K, 4K, 8K 群のサポートを追加する.

 * ssh-keygen(1), ssh(1), sshd(8): support SHA256 and SHA512 RSA
   signatures in certificates;

   ssh-keygen(1), ssh(1), sshd(8): 証明書で SHA256 と SHA512 RSA 署名を
   サポートする.

 * ssh(1): Add an Include directive for ssh_config(5) files.

   ssh(1): sshd_config ファイルで Include 設定項目を追加する

 * ssh(1): Permit UTF-8 characters in pre-authentication banners sent
   from the server. bz#2058

   ssh(1): サーバから認証前に送るバナーで UTF-8 文字を許可する. bz#2058

Bugfixes
--------

バグ修正

 * ssh(1), sshd(8): Reduce the syslog level of some relatively common
   protocol events from LOG_CRIT. bz#2585

   ssh(1), sshd(8): LOG_CRIT からの いくつかの相対的に共通のプロトコルの
   イベントの syslog レベルを落す. bz#2585

 * sshd(8): Refuse AuthenticationMethods="" in configurations and
   accept AuthenticationMethods=any for the default behaviour of not
   requiring multiple authentication. bz#2398

   設定での AuthenticationMethods="" 拒否し,
   複数の認証を要求しない場合のデフォルトの動作として
   AuthenticationMethods=any を受け入れる. bz#2398

 * sshd(8): Remove obsolete and misleading "POSSIBLE BREAK-IN
   ATTEMPT!" message when forward and reverse DNS don't match. bz#2585

   sshd(8): DNS の正引きと逆引きが一致しなかった場合の
   古く誤解を招く "POSSIBLE BREAK-IN ATTEMPT!" メッセージを削除する.

 * ssh(1): Close ControlPersist background process stderr except
   in debug mode or when logging to syslog. bz#1988

   ssh(1): デバッグモードか syslog へのロギングをしている場合以外は
   ControlPersist のバックグラウンドプロセスの stderr を閉じる. bz#1988

 * misc: Make PROTOCOL description for direct-streamlocal@openssh.com
   channel open messages match deployed code. bz#2529

   misc: direct-streamlocal@openssh.com チャンネルオープンメッセージ
   についての PROTOCOL の記述を コードと一致させる. bz#2529

 * ssh(1): Deduplicate LocalForward and RemoteForward entries to fix
   failures when both ExitOnForwardFailure and hostname
   canonicalisation are enabled. bz#2562

   ssh(1): ExitOnForwardFailure と ホスト名正規化の両方が有効な場合に,
   失敗を修正するため LocalForward と RemoteForward のエントリの
   重複を取り除く. bz#2562

 * sshd(8): Remove fallback from moduli to obsolete "primes" file
   that was deprecated in 2001. bz#2559.

   sshd(8): 2001 年に非推奨となった 古い "primes" ファイルへの
   module からのフォールバックを削除する. bz#2559

 * sshd_config(5): Correct description of UseDNS: it affects ssh
   hostname processing for authorized_keys, not known_hosts; bz#2554

   sshd_config(5): UseDNS の記述を修正する: これは authorized_keys に対する
   ssh ホスト名処理に影響する. known_hosts に対してではない; bz#2554

 * ssh(1): Fix authentication using lone certificate keys in an agent
   without corresponding private keys on the filesystem. bz#2550

   ssh(1): ファイルシステムに対応する秘密鍵がないエージェント中の
   孤独な証明書鍵を用いた認証を修正する.

 * sshd(8): Send ClientAliveInterval pings when a time-based
   RekeyLimit is set; previously keepalive packets were not being
   sent. bz#2252

   sshd(8): 時間ベースの RekeyLimit が設定されている場合に
   ClientAliveInterval ピンを送る. 以前は keepalive パケットは
   送られていなかった. bz#2552

Portability
-----------

移植性

 * ssh(1), sshd(8): Fix compilation by automatically disabling ciphers
   not supported by OpenSSL. bz#2466

   ssh(1), sshd(8): OpenSSH でサポートされていない鍵の自動的な無効化による
   コンパイルを修正する. bz#2466

 * misc: Fix compilation failures on some versions of AIX's compiler
   related to the definition of the VA_COPY macro. bz#2589

   misc: VA_COPY マクロの定義に関係するいくつかの AIX のコンパイラのバージョンでの
   コンパイルの失敗を修正する. bz#2589

 * sshd(8): Whitelist more architectures to enable the seccomp-bpf
   sandbox. bz#2590

   sshd(8): seccomp-bpf サンドボックスを有効にするホワイトリストに
   アーキテクチャをさらに追加する. bz#2590

 * ssh-agent(1), sftp-server(8): Disable process tracing on Solaris
   using setpflags(__PROC_PROTECT, ...). bz#2584

   ssh-agent(1), sftp-server(8): setpflags(__PROC_PROTECT, ...) を用いた
   Solaris での プロセス追跡を無効にする. bz#2584

 * sshd(8): On Solaris, don't call Solaris setproject() with
   UsePAM=yes it's PAM's responsibility. bz#2425

   sshd(8): ソラリスで, UsePAM=yes の場合に setproject() を呼ばない.
   これは PAM の責任だ. bz#2425

OpenSSH 7.3 がリリース準備中 / Call for testing: OpenSSH 7.3

OpenSSH 7.3 がリリース準備中です.

'Call for testing: OpenSSH 7.3' - MARC

主にバグ修正のリリースです.

http://marc.info/?l=openssh-unix-dev&m=146916304131079&w=2

Changes since OpenSSH 7.2
=========================

OpenSSH 7.2 からの変更点

This is primarily a bugfix release.

これは主にバグ修正のリリースだ.

Security
--------

セキュリティ

 * sshd(8): Mitigate a potential denial-of-service attack against
   the system's crypt(3) function via sshd(8). An attacker could
   send very long passwords that would cause excessive CPU use in
   crypt(3). sshd(8) now refuses to accept password authentication
   requests of length greater than 1024 characters. Independently
   reported by Tomas Kuthan (Oracle) and curesec via coredump at
   autistici.org.

   sshd(8): sshd(8) を経由したシステムの crypt(3) 関数に対する
   潜在的なサービス不能攻撃を緩和する. 攻撃者は, crypt(3) で
   過度の CPU 利用を引き起す非常に長いパスワードを送れる.
   sshd(8) は, 1024 文字よりも大きなパスワード認証要求の受諾を
   拒否するようになる. Tomas Kuthan (Oracle) と
   curesec via coredump at autistici.org によって独立に報告された.

 * sshd(8): Mitigate timing differences in password authentication
   that could be used to discern valid from invalid account names
   when long passwords were sent and particular password hashing
   algorithms are in use on the server. CVE-2016-6210, reported by
   EddieEzra.Harari at verint.com

   sshd(8): 特定のパスワードハッシュアルゴリズムをサーバが使っている場合に
   長いパスワードを送って有効なアカウント名と無効なものを見分けるのに
   利用できるパスワード認証によるタイミングの差を緩和する.
   CVE-2016-6210, EddieEzra.Harari at verint.com によって報告された.

 * ssh(1), sshd(8): Fix observable timing weakness in the CBC padding
   oracle countermeasures. Reported by Jean Paul Degabriele, Kenny
   Paterson, Torben Hansen and Martin Albrecht. Note that CBC ciphers
   are disabled by default and only included for legacy compatibility.

   ssh(1), sshd(8): CBC パディングオラクルの対抗策における観測可能な
   タイミングの弱点を修正する. Jean Paul Degabriele と Kenny Paterson,
   Torben Hansen, Martin Albrecht によって報告された. CBC を利用する
   暗号方式はデフォルトで無効で, 歴史的な互換性のためだけに含まれている
   ことに注意.

 * ssh(1), sshd(8): Improve ordering ordering of MAC verification for
   Encrypt-then-MAC (EtM) mode transport MAC algorithms to verify the
   MAC before decrypting any ciphertext. This removes the possibility
   of timing differences leaking facts about the plaintext, though no
   such leakage has been observed.  Reported by Jean Paul Degabriele,
   Kenny Paterson, Torben Hansen and Martin Albrecht.

   ssh(1), sshd(8): 暗号文を復号する前に MAC を検査する
   Encrypt-then-MAC (EtM) モード トランスポート MAC アルゴリズムで
   MAC 検査の順番を改善する. 平文に対する事実を漏らす
   タイミングの差が生じる可能性を削除する. ただし, そのような漏洩は
   観測されていない. Jean Paul Degabriele と Kenny Paterson,
   Torben Hansen, Martin Albrecht によって報告された.

 * sshd(8): (portable only) Ignore PAM environment vars when
   UseLogin=yes. If PAM is configured to read user-specified
   environment variables and UseLogin=yes in sshd_config, then a
   hostile local user may attack /bin/login via LD_PRELOAD or
   similar environment variables set via PAM. CVE-2015-8325,
   found by Shayan Sadigh.

   sshd(8): (移植版のみ) UseLogin=yes の場合に PAM 環境変数を無視する.
   PAM がユーザ特有の環境変数を読むように設定されていて sshd_config で
   UseLogin=yes となっている場合, 悪意のあるローカルユーザが
   LD_PRELOAD や同様の環境変数を PAM 経由で設定して
   /bin/login に対して攻撃する可能性がある. CVE-2015-8325,
   Shayan Sadigh によって発見された.

New Features
------------

新機能

 * ssh(1): Add a ProxyJump option and corresponding -J command-line
   flag to allow simplified indirection through a one or more SSH
   bastions or "jump hosts".

   ssh(1): ProxyJump 設定項目と対応する -J コマンドラインフラグを追加する.
   1つ異常の SSH の踏み台を経由する間接参照を簡単に指定できる.

 * ssh(1): Add an IdentityAgent option to allow specifying specific
   agent sockets instead of accepting one from the environment.

   ssh(1): IdentityAgent 設定項目を追加する.
   特定のエージェントのソケットを環境変数を使わないでも指定できる.

 * ssh(1): Allow ExitOnForwardFailure and ClearAllForwardings to be
   optionally overridden when using ssh -W. bz#2577

   ssh(1): ssh -W を用いている場合に, ExitOnForwardFailure と
   ClearAllForwardings を自由の上書きできる. bz#2577

 * ssh(1), sshd(8): Implement support for the IUTF8 terminal mode as
   per draft-sgtatham-secsh-iutf8-00.

   ssh(1), sshd(8): draft-sgtatham-secsh-iutf8-00 により
   IUTF8 ターミナルモードのサポートを実装する

 * ssh(1), sshd(8): Add support for additional fixed Diffie-Hellman
   2K, 4K and 8K groups from draft-ietf-curdle-ssh-kex-sha2-03.

   ssh(1), sshd(8): draft-ietf-curdle-ssh-kex-sha2-03 から
   追加の修正された Diffie-Hellman 2K, 4K, 8K 群のサポートを追加する.

 * ssh-keygen(1), ssh(1), sshd(8): support SHA256 and SHA512 RSA
   signatures in certificates;

   ssh-keygen(1), ssh(1), sshd(8): 証明書で SHA256 と SHA512 RSA 署名を
   サポートする.

 * ssh(1): Add an Include directive for ssh_config(5) files.

   ssh(1): sshd_config ファイルで Include 設定項目を追加する

 * ssh(1): Permit UTF-8 characters in pre-authentication banners sent
   from the server. bz#2058

   ssh(1): サーバから認証前に送るバナーで UTF-8 文字を許可する. bz#2058

Bugfixes
--------

バグ修正

 * ssh(1), sshd(8): Reduce the syslog level of some relatively common
   protocol events from LOG_CRIT. bz#2585

   ssh(1), sshd(8): LOG_CRIT からの いくつかの相対的に共通のプロトコルの
   イベントの syslog レベルを落す. bz#2585

 * sshd(8): Refuse AuthenticationMethods="" in configurations and
   accept AuthenticationMethods=any for the default behaviour of not
   requiring multiple authentication. bz#2398

   設定での AuthenticationMethods="" 拒否し,
   複数の認証を要求しない場合のデフォルトの動作として
   AuthenticationMethods=any を受け入れる. bz#2398

 * sshd(8): Remove obsolete and misleading "POSSIBLE BREAK-IN
   ATTEMPT!" message when forward and reverse DNS don't match. bz#2585

   sshd(8): DNS の正引きと逆引きが一致しなかった場合の
   古く誤解を招く "POSSIBLE BREAK-IN ATTEMPT!" メッセージを削除する.

 * ssh(1): Close ControlPersist background process stderr except
   in debug mode or when logging to syslog. bz#1988

   ssh(1): デバッグモードか syslog へのロギングをしている場合以外は
   ControlPersist のバックグラウンドプロセスの stderr を閉じる. bz#1988

 * misc: Make PROTOCOL description for direct-streamlocal@openssh.com
   channel open messages match deployed code. bz#2529

   misc: direct-streamlocal@openssh.com チャンネルオープンメッセージ
   についての PROTOCOL の記述を コードと一致させる. bz#2529

 * ssh(1): Deduplicate LocalForward and RemoteForward entries to fix
   failures when both ExitOnForwardFailure and hostname
   canonicalisation are enabled. bz#2562

   ssh(1): ExitOnForwardFailure と ホスト名正規化の両方が有効な場合に,
   失敗を修正するため LocalForward と RemoteForward のエントリの
   重複を取り除く. bz#2562

 * sshd(8): Remove fallback from moduli to obsolete "primes" file
   that was deprecated in 2001. bz#2559.

   sshd(8): 2001 年に非推奨となった 古い "primes" ファイルへの
   module からのフォールバックを削除する. bz#2559

 * sshd_config(5): Correct description of UseDNS: it affects ssh
   hostname processing for authorized_keys, not known_hosts; bz#2554

   sshd_config(5): UseDNS の記述を修正する: これは authorized_keys に対する
   ssh ホスト名処理に影響する. known_hosts に対してではない; bz#2554

 * ssh(1): Fix authentication using lone certificate keys in an agent
   without corresponding private keys on the filesystem. bz#2550

   ssh(1): ファイルシステムに対応する秘密鍵がないエージェント中の
   孤独な証明書鍵を用いた認証を修正する.

 * sshd(8): Send ClientAliveInterval pings when a time-based
   RekeyLimit is set; previously keepalive packets were not being
   sent. bz#2252

   sshd(8): 時間ベースの RekeyLimit が設定されている場合に
   ClientAliveInterval ピンを送る. 以前は keepalive パケットは
   送られていなかった. bz#2552

Portability
-----------

移植性

 * ssh(1), sshd(8): Fix compilation by automatically disabling ciphers
   not supported by OpenSSL. bz#2466

   ssh(1), sshd(8): OpenSSH でサポートされていない鍵の自動的な無効化による
   コンパイルを修正する. bz#2466

 * misc: Fix compilation failures on some versions of AIX's compiler
   related to the definition of the VA_COPY macro. bz#2589

   misc: VA_COPY マクロの定義に関係するいくつかの AIX のコンパイラのバージョンでの
   コンパイルの失敗を修正する. bz#2589

 * sshd(8): Whitelist more architectures to enable the seccomp-bpf
   sandbox. bz#2590

   sshd(8): seccomp-bpf サンドボックスを有効にするホワイトリストに
   アーキテクチャをさらに追加する. bz#2590

 * ssh-agent(1), sftp-server(8): Disable process tracing on Solaris
   using setpflags(__PROC_PROTECT, ...). bz#2584

   ssh-agent(1), sftp-server(8): setpflags(__PROC_PROTECT, ...) を用いた
   Solaris での プロセス追跡を無効にする. bz#2584

 * sshd(8): On Solaris, don't call Solaris setproject() with
   UsePAM=yes it's PAM's responsibility. bz#2425

   sshd(8): ソラリスで, UsePAM=yes の場合に setproject() を呼ばない.
   これは PAM の責任だ. bz#2425

2016/07/13 カラオケに行きました

  1. 荒涼たる新世界 - 聖飢魔II
  2. PLANET / THE HELL - 聖飢魔II
  3. 蜜蜜蜜 - あゆみくりかまき
  4. Sole Surviver - Helloween
  5. Fear of The Dark - Iron Maiden
  6. 一度だけの恋なら - ワルキューレ
  7. ジェットクマスター - あゆみくりかまき
  8. 失われた伝説を求めて - Andy
  9. Are You Metal? - Helloween
  10. 呪いのシャ・ナ・ナ・ナ - 聖飢魔II
  11. 精神の黒幕 〜LIBIDO〜 - 聖飢魔II
  12. `39 - Queen
  13. Armed and Ready - The Michael Schenker Group
  14. No Brand Girls - μ's
  15. 鮭鮭鮭 - あゆみくりかまき
  16. Train of Consequencess - Megadeth
  17. The Power - Manowar
  18. Babylon - EDGUY
  19. Too Young to Die, Too Drunk to Live - Alcatraz
  20. Ratsbane - 聖飢魔II
  21. いけないボーダーライン - ワルキューレ
  22. Warrior - Riot
  23. The End of Century - 聖飢魔II

OpenSSH 7.2p2 がリリースされました

2016/03/10, OpenSSH 7.2p2 がリリースされました.

X11転送時のセキュリティ修正が行なわれています.

http://www.openssh.com/txt/release-7.2p2

Changes since OpenSSH 7.2p1
===========================

OpenSSH 7.2p1 からの変更点

This release fixes a security bug:

このリリースはセキュリティバグを修正する. 

 * sshd(8): sanitise X11 authentication credentials to avoid xauth
   command injection when X11Forwarding is enabled.

   sshd(8): X11Forwarding が有効なときに xauth コマンドインジェクションを
   避けるため, X11 認証証明書を無害化する

   Full details of the vulnerability are available at: 
   http://www.openssh.com/txt/x11fwd.adv

   この脆弱性の完全な詳細は以下にある: 
   http://www.openssh.com/txt/x11fwd.adv

OpenSSH 7.2 がリリースされました

2016/02/29, OpenSSH 7.2 がリリースされました.

バグ修正が中心のリリースです. 互換性に影響がありえる変更として, いくつかの暗号方式がデフォルトで無効になっています.

http://www.openssh.com/txt/release-7.2

Future deprecation notice
=========================

将来の廃止する機能の告知

We plan on retiring more legacy cryptography in a near-future
release, specifically:

近い将来 さらなるレガシーな暗号を退役させる予定だ.

具体的には,

 * Refusing all RSA keys smaller than 1024 bits (the current minimum
   is 768 bits)

* 1024 ビットよりも小さいすべての RSA 鍵を拒否する
  (現在の最小値は 768 ビット)

This list reflects our current intentions, but please check the final
release notes for future releases.

このリストは現在の我々の意図を反映している. ただし,
将来のリリースでの最終的なリリースノートをチェックしてほしい

Potentially-incompatible changes
================================

非互換な可能性がある変更

This release disables a number of legacy cryptographic algorithms
by default in ssh:

このリリースでは ssh で多くのレガシーな暗号アルゴリズムを
デフォルトで無効にする.

 * Several ciphers blowfish-cbc, cast128-cbc, all arcfour variants
   and the rijndael-cbc aliases for AES.

   blowfish-cbc, cast128-cbc, arcfour のすべての変種
   AES の rijndael-cbc 別名.

 * MD5-based and truncated HMAC algorithms.

   MD5 ベースの HMAC アルゴリズム

These algorithms are already disabled by default in sshd.

以上のアルゴリズムは sshd では すでに無効になっている.

Changes since OpenSSH 7.1p2
===========================

OpenSSH 7.1p2 からの変更点

This is primarily a bugfix release.

これは主にバグ修正のリリースだ.

Security
--------

セキュリティ

 * ssh(1), sshd(8): remove unfinished and unused roaming code (was
   already forcibly disabled in OpenSSH 7.1p2).

   ssh(1), sshd(8): 完了しておらず利用されてなかった roaming のコード
   を削除する (OpenSSH 7.1p2 ですでに強制的に無効となっている)

 * ssh(1): eliminate fallback from untrusted X11 forwarding to
   trusted forwarding when the X server disables the SECURITY
   extension.

   ssh(1): X サーバが SECURITY 拡張を無効にしている場合に
   信頼されていない X11 転送を 信頼されている転送で
   代替するのを除去する.

 * ssh(1), sshd(8): increase the minimum modulus size supported for
   diffie-hellman-group-exchange to 2048 bits.

   ssh(1), sshd(8): diffie-hellman-group-exchange でサポートする
   最小のモジュラスのサイズを 2048 ビットに増加する.

 * sshd(8): pre-auth sandboxing is now enabled by default (previous
   releases enabled it for new installations via sshd_config).

   sshd(8): 認証前のサンドボックス化がデフォルトで有効になった
   (以前のリリースは, sshd_config を新規にインストールする際に
   有効にしていた).

New Features
------------

新機能

 * all: add support for RSA signatures using SHA-256/512 hash
   algorithms based on draft-rsa-dsa-sha2-256-03.txt and
   draft-ssh-ext-info-04.txt.

   すべて: draft-rsa-dsa-sha2-256-03.txt と draft-ssh-ext-info-04.txt
   に基づく SHA-256/512 を用いる RSA 署名のサポートを追加する

 * ssh(1): Add an AddKeysToAgent client option which can be set to
   'yes', 'no', 'ask', or 'confirm', and defaults to 'no'.  When
   enabled, a private key that is used during authentication will be
   added to ssh-agent if it is running (with confirmation enabled if
   set to 'confirm').

   ssh(1): AddKeysToAgent クライアント設定項目を追加する.
   'yes', 'no', 'ask', 'confirm' が設定でき デフォルトは 'no' だ.
   有効になると, ssh-agent が動いている場合に認証に用いられる秘密鍵が
   ssh-agent に追加される. 'confirm' の場合は確認が行なわれる.

 * sshd(8): add a new authorized_keys option "restrict" that includes
   all current and future key restrictions (no-*-forwarding, etc.).
   Also add permissive versions of the existing restrictions, e.g.
   "no-pty" -> "pty". This simplifies the task of setting up
   restricted keys and ensures they are maximally-restricted,
   regardless of any permissions we might implement in the future.

   sshd(8): authorized_keys のオプションに "restrict" を追加する.
   これは, (no-*-forwarding などの) 現在と将来のすべての制限を含む.
   さらに, 現在の制限の許可バージョンも追加する. つまり,
   "no-pty" -> "pty". これにより, 制限付きの鍵の設定のタスクが
   単純化し, 将来実装するすべての許可に関係なく
   鍵が最大に制限されていることを圃場できる.

 * ssh(1): add ssh_config CertificateFile option to explicitly list
   certificates. bz#2436

   ssh(1): ssh_config に 証明書を明示的に列挙する CertificateFile
   設定項目を追加する. bz#2436

 * ssh-keygen(1): allow ssh-keygen to change the key comment for all
   supported formats.

   ssh-keygen(1): すべてのサポートする形式について ssh-keygen が
   鍵のコメントを変更できるようにする

 * ssh-keygen(1): allow fingerprinting from standard input, e.g.
   "ssh-keygen -lf -"

   ssh-keygen(1): 標準入力からの指紋表示をできるようにする.
   つまり, "ssh-keygen -lf -"

 * ssh-keygen(1): allow fingerprinting multiple public keys in a
   file, e.g. "ssh-keygen -lf ~/.ssh/authorized_keys" bz#1319

   ssh-keygen(1): ファイルに含まれる複数の公開鍵の指紋表示を
   できるようにする. つまり
   "ssh-keygen -lf ~/.ssh/authorized_keys" bz#1319

 * sshd(8): support "none" as an argument for sshd_config
   Foreground and ChrootDirectory. Useful inside Match blocks to
   override a global default. bz#2486

   sshd(8): sshd_config の Foreground と ChrootDirectory の引数に
   "none" をサポートする. グローバルなデフォルトを Match ブロックの中で
   上書きするのに有用. bz#2486

 * ssh-keygen(1): support multiple certificates (one per line) and
   reading from standard input (using "-f -") for "ssh-keygen -L"

   ssh-keygen(1): (行ごとに1つの)複数の証明書と, (using "-f -" を用いる)
   標準入力からの読み込みを "ssh-keygen -L" でサポートする

 * ssh-keyscan(1): add "ssh-keyscan -c ..." flag to allow fetching
   certificates instead of plain keys.

   ssh-keyscan(1): 生の鍵の変わりに証明書を取得する "ssh-keyscan -c ..."
   フラグを追加する

 * ssh(1): better handle anchored FQDNs (e.g. 'cvs.openbsd.org.') in
   hostname canonicalisation - treat them as already canonical and
   remove the trailing '.' before matching ssh_config.

   ssh(1): anchored (訳注: ここでは . が最後に着いているということ?)
   FQDN (例えば 'csv.openbsd.org.') をよりよく扱う.
   すでに正規化済みとして扱い,  ssh_config でマッチする前に 末尾の '.' を取り除く.

Bugfixes
--------

バグ修正

 * sftp(1): existing destination directories should not terminate
   recursive uploads (regression in openssh 6.8) bz#2528

   sftp(1): 送信先のディレクトリ存在しても再帰的なアップロードを
   終了させない (openssh 6.8 で導入された不具合) bz#2528

 * ssh(1), sshd(8): correctly send back SSH2_MSG_UNIMPLEMENTED
   replies to unexpected messages during key exchange. bz#2949

   ssh(1), sshd(8): 鍵交換で予期しないメッセージに対して
   正しく SSH2_MSG_UNIMPLEMENTED を送り返す.
   bz#2949

 * ssh(1): refuse attempts to set ConnectionAttempts=0, which does
   not make sense and would cause ssh to print an uninitialised stack
   variable. bz#2500

   ssh(1): ConnectionAttempts=0 を設定しようという試みを拒否する.
   これは 意味がないし, 初期化してないスタック変数を ssh に印字させよう
   とする. bz#2500

 * ssh(1): fix errors when attempting to connect to scoped IPv6
   addresses with hostname canonicalisation enabled.

   ssh(1): ホスト名の正規化が有効な場合に scoped IPv6 アドレスに
   接続しようとした場合のエラーを修正する

 * sshd_config(5): list a couple more options usable in Match blocks.
   bz#2489

   sshd_config(5): Match ブロックで利用可能ないくつかの設定項目を
   列挙(追加)する.

 * sshd(8): fix "PubkeyAcceptedKeyTypes +..." inside a Match block.

   Match ブロック内の "PubkeyAcceptedKeyTypes +..." を修正する

 * ssh(1): expand tilde characters in filenames passed to -i options
   before checking whether or not the identity file exists. Avoids
   confusion for cases where shell doesn't expand (e.g. "-i ~/file"
   vs. "-i~/file"). bz#2481

   ssh(1): -i オプションで, identity ファイルが存在するかどうかのチェック
   より前に ファイル名のチルダ文字を展開する. シェルが展開しない場合
   (つまり "-i ~/file" と "-i~/file") での混乱を避ける. bz#2481

 * ssh(1): do not prepend "exec" to the shell command run by "Match
   exec" in a config file, which could cause some commands to fail
   in certain environments. bz#2471

   ssh(1): コンフィグファイルで "Match exec" で走るシェルコマンドに
   exec を前に付けない. 特定の環境でコマンドが失敗する. bz#2471

 * ssh-keyscan(1): fix output for multiple hosts/addrs on one line
   when host hashing or a non standard port is in use bz#2479

   ssh-keyscan(1): ホストがハッシュされていたり標準でないポートが
   利用されている場合に, 一行での複数のホスト/アドレスの出力を修正
   bz#2479

 * sshd(8): skip "Could not chdir to home directory" message when
   ChrootDirectory is active. bz#2485

   sshd(8): ChrootDirectory が有効な場合に, 
   "Could not chdir to home directory" メッセージをスキップする.
   bz#2485

 * ssh(1): include PubkeyAcceptedKeyTypes in ssh -G config dump.

   ssh(1): PubkeyAcceptedKeyTypes を ssh -G config dump に含める.

 * sshd(8): avoid changing TunnelForwarding device flags if they are
   already what is needed; makes it possible to use tun/tap
   networking as non-root user if device permissions and interface
   flags are pre-established

   sshd(8): もし必要なものがすでにある場合にトンネル転送のデバイスの
   フラグの変更を避ける. デバイスのパーミッションとインターフェイス
   フラグがすでに確立している場合に, ルートでないユーザが
   tun/tap ネットワークを利用できるようにする.

 * ssh(1), sshd(8): RekeyLimits could be exceeded by one packet.
   bz#2521

   ssh(1), sshd(8): RekeyLimits が 1パケットで超過するようにする.
   bz#2521

 * ssh(1): fix multiplexing master failure to notice client exit.

   ssh(1): クライアントの終了を通知するため, 多重化マスターの
   失敗を修正する.

 * ssh(1), ssh-agent(1): avoid fatal() for PKCS11 tokens that present
   empty key IDs. bz#1773

   ssh(1), ssh-agent(1): 空の鍵の ID を持つ PKCS11 トークンで
   fatal() が起きるのを避ける.

 * sshd(8): avoid printf of NULL argument. bz#2535

   NULl 引数での printf を避ける. bz#2535

 * ssh(1), sshd(8): allow RekeyLimits larger than 4GB. bz#2521

   ssh(1), sshd(8): 4GB より大きい RekeyLimits を許可する. bz#2521

 * ssh-keygen(1): sshd(8): fix several bugs in (unused) KRL signature
   support.

   ssh-keygen(1): sshd(8): (利用していない) KRL 署名サポートの
   複数のバグを修正する.

 * ssh(1), sshd(8): fix connections with peers that use the key
   exchange guess feature of the protocol. bz#2515

   ssh(1), sshd(8): プロトコルの鍵交換推測機能を用いる相手との
   接続を修正する. bz#2515

 * sshd(8): include remote port number in log messages. bz#2503

   sshd(8): ログメッセージにリモートのポート番号を含める. bz#2503

 * ssh(1): don't try to load SSHv1 private key when compiled without
   SSHv1 support. bz#2505

   ssh(1): SSHv1 サポート抜きでコンパイルされた場合に,
   SSHv1 秘密鍵をロードしようとしない. bz#2505

 * ssh-agent(1), ssh(1): fix incorrect error messages during key
   loading and signing errors. bz#2507

   ssh-agent(1), ssh(1): 鍵のロードと署名のエラーでの不正確な
   エラーメッセージを修正する.

 * ssh-keygen(1): don't leave empty temporary files when performing
   known_hosts file edits when known_hosts doesn't exist.

   ssh-keygen(1): known_hosts ファイルが存在しない場合に
   known_hosts ファイルを編集する際に,
   空のテンポラリファイルを削除しない.

 * sshd(8): correct packet format for tcpip-forward replies for
   requests that don't allocate a port bz#2509

   sshd(8): ポートを割り当てていない tcpip-forward 要求への
   応答で パケット形式を修正する.

 * ssh(1), sshd(8): fix possible hang on closed output. bz#2469

   ssh(1), sshd(8): 閉じた出力でハングする場合があるのを修正する.
   bz#2469

 * ssh(1): expand %i in ControlPath to UID. bz#2449

   ssh(1): ControlPath で %i を UID に展開する. bz#2449

 * ssh(1), sshd(8): fix return type of openssh_RSA_verify. bz#2460

   ssh(1), sshd(8): openssh_RSA_verify の返り値の方を修正する. bz#2460

 * ssh(1), sshd(8): fix some option parsing memory leaks. bz#2182

   ssh(1), sshd(8): オプションのパースでのメモリリークを修正する.
   bz#2182

 * ssh(1): add a some debug output before DNS resolution; it's a
   place where ssh could previously silently stall in cases of
   unresponsive DNS servers. bz#2433

   ssh(1): DNS 解決の前にいくつかのデバッグ出力を追加する.
   DNS サーバが応答しない場合に 以前は ssh は 静かに 動かなくなる
   ことがあった場所だ.

 * ssh(1): remove spurious newline in visual hostkey. bz#2686

   ssh(1): バーチャルなホスト鍵中の偽の改行を削除する. bz#2686

 * ssh(1): fix printing (ssh -G ...) of HostKeyAlgorithms=+...

   ssh(1): HostKeyAlgorithms=+... のときの (ssh -G ...) の出力を
   修正する.

 * ssh(1): fix expansion of HostkeyAlgorithms=+...

   HostkeyAlgorithms=+... の展開を修正する.

Documentation
-------------

文書

 * ssh_config(5), sshd_config(5): update default algorithm lists to
   match current reality. bz#2527
   
   ssh_config(5), sshd_config(5): デフォルトのアルゴリズムのリストを
   現状に一致するよう更新する. bz#2527

 * ssh(1): mention -Q key-plain and -Q key-cert query options.
   bz#2455

   ssh(1): -Q key-plain と -Q key-cert について言及する.
   bz#2455

 * sshd_config(8): more clearly describe what AuthorizedKeysFile=none
   does.

   sshd_config(8): AuthorizedKeysFile=none がなにを行なうかについて
   より明確に記述する.

 * ssh_config(5): better document ExitOnForwardFailure. bz#2444

   ssh_config(5): ExitOnForwardFailure についての記述を改善.
   bz#2444

 * sshd(5): mention internal DH-GEX fallback groups in manual.
   bz#2302

   sshd(5): 手動での 内部 DH-GEX フォールバックグループ について
   記述する.

 * sshd_config(5): better description for MaxSessions option.
   bz#2531

   sshd_config(5): MaxSessions 設定項目の記述を改善.
   bz#2531

Portability
-----------

移植性

 * ssh(1), sftp-server(8), ssh-agent(1), sshd(8): Support Illumos/
   Solaris fine-grained privileges. Including a pre-auth privsep
   sandbox and several pledge() emulations. bz#2511

 * ssh(1), sftp-server(8), ssh-agent(1), sshd(8): Illumos/ Solaris
   fine-grained privileges をサポートする. 認証前特権分離の
   sandbox と 複数の pledge() エミュレーションを含んでいる.
   bz#2511

 * Renovate redhat/openssh.spec, removing deprecated options and
   syntax.

   非推奨のオプションや文法を削除して redhat/openssh.spec を刷新する.

 * configure: allow --without-ssl-engine with --without-openssl

   configure: --without-openssl と --without-ssl-engine が共存できる

 * sshd(8): fix multiple authentication using S/Key. bz#2502

   sshd(8): S/Key を用いる複数認証を修正する. bz#2502

 * sshd(8): read back from libcrypto RAND_* before dropping
   privileges.  Avoids sandboxing violations with BoringSSL.

   sshd(8): 特権を落す前に libcrypto の RAND_* から
   読み直す. BoringSSL を利用する場合に サンドボックスの
   破壊を回避する.

 * Fix name collision with system-provided glob(3) functions.
   bz#2463

   system が提供する glob(3) 関数の名前衝突を修正する.
   bz#2463

 * Adapt Makefile to use ssh-keygen -A when generating host keys.
   bz#2459

   ホスト鍵作成の際に ssh-keygen -A を用いるように Makefile を
   変更する. bz#2459

 * configure: correct default value for --with-ssh1 bz#2457

   configure: --with-ssh1 のデフォルト値を修正する. bz#2457

 * configure: better detection of _res symbol bz#2259

   configure: _res シンボルの検出を改善 bz#2259

 * support getrandom() syscall on Linux

   Linux の getrandom() システムコールをサポート

2016/02/23 カラオケに行きました

2/19 に聖飢魔IIのミサに行ったので, 聖飢魔IIの曲だけ歌いました.

  1. アダムの林檎
  2. Winner!
  3. 怪奇植物
  4. The End Of The Century
  5. Demon's Night
  6. 悪魔の讚美歌
  7. Jack The Ripper
  8. 蝋人形の館
  9. Fire After Fire
  10. Go Ahead!
  11. 秘密の花園
  12. BAD AGAIN 〜美しき反逆〜
  13. Brand New Song
  14. EL・DO・RA・DO
  15. 地獄の皇太子
  16. Masquerade
  17. 悪魔組曲作品666番ニ短調
  18. 野獣
  19. 地獄の皇太子は二度死ぬ
  20. 1999 Secret Object
  21. Heavy Metal Is Dead

OpenSSH 7.2 がリリース準備中 / Call for testing: OpenSSH 7.2

OpenSSH 7.2 がリリース準備中です.

主にバグ修正のリリースですが, もりだくさんです.

http://marc.info/?l=openssh-unix-dev&m=145525121407930&w=2

Future deprecation notice
=========================

将来の廃止する機能の告知

We plan on retiring more legacy cryptography in a near-future
release, specifically:

近い将来 さらなるレガシーな暗号を退役させる予定だ.

具体的には,

 * Refusing all RSA keys smaller than 1024 bits (the current minimum
   is 768 bits)

* 1024 ビットよりも小さいすべての RSA 鍵を拒否する
  (現在の最小値は 768 ビット)

This list reflects our current intentions, but please check the final
release notes for future releases.

このリストは現在の我々の意図を反映している. ただし,
将来のリリースでの最終的なリリースノートをチェックしてほしい

Potentially-incompatible changes
================================

非互換な可能性がある変更

This release disables a number of legacy cryptographic algorithms
by default in ssh:

このリリースでは ssh で多くのレガシーな暗号アルゴリズムを
デフォルトで無効にする.

 * Several ciphers blowfish-cbc, cast128-cbc, all arcfour variants
   and the rijndael-cbc aliases for AES.

   blowfish-cbc, cast128-cbc, arcfour のすべての変種
   AES の rijndael-cbc 別名.

 * MD5-based and truncated HMAC algorithms.

   MD5 ベースの HMAC アルゴリズム

These algorithms are already disabled by default in sshd.

以上のアルゴリズムは sshd では すでに無効になっている.

Changes since OpenSSH 7.1p2
===========================

OpenSSH 7.1p2 からの変更点

This is primarily a bugfix release.

これは主にバグ修正のリリースだ.

Security
--------

セキュリティ

 * ssh(1), sshd(8): remove unfinished and unused roaming code (was
   already forcibly disabled in OpenSSH 7.1p2).

   ssh(1), sshd(8): 完了しておらず利用されてなかった roaming のコード
   を削除する (OpenSSH 7.1p2 ですでに強制的に無効となっている)

 * ssh(1): eliminate fallback from untrusted X11 forwarding to
   trusted forwarding when the X server disables the SECURITY
   extension.

   ssh(1): X サーバが SECURITY 拡張を無効にしている場合に
   信頼されていない X11 転送を 信頼されている転送で
   代替するのを除去する.

 * ssh(1), sshd(8): increase the minimum modulus size supported for
   diffie-hellman-group-exchange to 2048 bits.

   ssh(1), sshd(8): diffie-hellman-group-exchange でサポートする
   最小のモジュラスのサイズを 2048 ビットに増加する.

New Features
------------

新機能

 * all: add support for RSA signatures using SHA-256/512 hash
   algorithms based on draft-rsa-dsa-sha2-256-03.txt and
   draft-ssh-ext-info-04.txt.

   すべて: draft-rsa-dsa-sha2-256-03.txt と draft-ssh-ext-info-04.txt
   に基づく SHA-256/512 を用いる RSA 署名のサポートを追加する

 * ssh(1): Add an AddKeysToAgent client option which can be set to
   'yes', 'no', 'ask', or 'confirm', and defaults to 'no'.  When
   enabled, a private key that is used during authentication will be
   added to ssh-agent if it is running (with confirmation enabled if
   set to 'confirm').

   ssh(1): AddKeysToAgent クライアント設定項目を追加する.
   'yes', 'no', 'ask', 'confirm' が設定でき デフォルトは 'no' だ.
   有効になると, ssh-agent が動いている場合に認証に用いられる秘密鍵が
   ssh-agent に追加される. 'confirm' の場合は確認が行なわれる.

 * sshd(8): add a new authorized_keys option "restrict" that includes
   all current and future key restrictions (no-*-forwarding, etc.).
   Also add permissive versions of the existing restrictions, e.g.
   "no-pty" -> "pty". This simplifies the task of setting up
   restricted keys and ensures they are maximally-restricted,
   regardless of any permissions we might implement in the future.

   sshd(8): authorized_keys のオプションに "restrict" を追加する.
   これは, (no-*-forwarding などの) 現在と将来のすべての制限を含む.
   さらに, 現在の制限の許可バージョンも追加する. つまり,
   "no-pty" -> "pty". これにより, 制限付きの鍵の設定のタスクが
   単純化し, 将来実装するすべての許可に関係なく
   鍵が最大に制限されていることを圃場できる.

 * ssh(1): add ssh_config CertificateFile option to explicitly list
   certificates. bz#2436

   ssh(1): ssh_config に 証明書を明示的に列挙する CertificateFile
   設定項目を追加する. bz#2436

 * ssh-keygen(1): allow ssh-keygen to change the key comment for all
   supported formats.

   ssh-keygen(1): すべてのサポートする形式について ssh-keygen が
   鍵のコメントを変更できるようにする

 * ssh-keygen(1): allow fingerprinting from standard input, e.g.
   "ssh-keygen -lf -"

   ssh-keygen(1): 標準入力からの指紋表示をできるようにする.
   つまり, "ssh-keygen -lf -"

 * ssh-keygen(1): allow fingerprinting multiple public keys in a
   file, e.g. "ssh-keygen -lf ~/.ssh/authorized_keys" bz#1319

   ssh-keygen(1): ファイルに含まれる複数の公開鍵の指紋表示を
   できるようにする. つまり
   "ssh-keygen -lf ~/.ssh/authorized_keys" bz#1319

 * sshd(8): support "none" as an argument for sshd_config
   Foreground and ChrootDirectory. Useful inside Match blocks to
   override a global default. bz#2486

   sshd(8): sshd_config の Foreground と ChrootDirectory の引数に
   "none" をサポートする. グローバルなデフォルトを Match ブロックの中で
   上書きするのに有用. bz#2486

 * ssh-keygen(1): support multiple certificates (one per line) and
   reading from standard input (using "-f -") for "ssh-keygen -L"

   ssh-keygen(1): (行ごとに1つの)複数の証明書と, (using "-f -" を用いる)
   標準入力からの読み込みを "ssh-keygen -L" でサポートする

 * ssh-keyscan(1): add "ssh-keyscan -c ..." flag to allow fetching
   certificates instead of plain keys.

   ssh-keyscan(1): 生の鍵の変わりに証明書を取得する "ssh-keyscan -c ..."
   フラグを追加する

 * ssh(1): better handle anchored FQDNs (e.g. 'cvs.openbsd.org.') in
   hostname canonicalisation - treat them as already canonical and
   trailing '.' before matching ssh_config.

   ssh(1): anchored (訳注: ここでは . が最後に着いているということ?)
   FQDN (例えば 'csv.openbsd.org.') をよりよく扱う.
   すでに正規化済みとして扱い,  ssh_config でマッチする前に 末尾の '.' を取り除く.

Bugfixes
--------

バグ修正

 * sftp(1): existing destination directories should not terminate
   recursive uploads (regression in openssh 6.8) bz#2528

   sftp(1): 送信先のディレクトリ存在しても再帰的なアップロードを
   終了させない (openssh 6.8 で導入された不具合) bz#2528

 * ssh(1), sshd(8): correctly send back SSH2_MSG_UNIMPLEMENTED
   replies to unexpected messages during key exchange. bz#2949

   ssh(1), sshd(8): 鍵交換で予期しないメッセージに対して
   正しく SSH2_MSG_UNIMPLEMENTED を送り返す.
   bz#2949

 * ssh(1): refuse attempts to set ConnectionAttempts=0, which does
   not make sense and would cause ssh to print an uninitialised stack
   variable. bz#2500

   ssh(1): ConnectionAttempts=0 を設定しようという試みを拒否する.
   これは 意味がないし, 初期化してないスタック変数を ssh に印字させよう
   とする. bz#2500

 * ssh(1): fix errors when attempting to connect to scoped IPv6
   addresses with hostname canonicalisation enabled.

   ssh(1): ホスト名の正規化が有効な場合に scoped IPv6 アドレスに
   接続しようとした場合のエラーを修正する

 * sshd_config(5): list a couple more options usable in Match blocks.
   bz#2489

   sshd_config(5): Match ブロックで利用可能ないくつかの設定項目を
   列挙(追加)する.

 * sshd(8): fix "PubkeyAcceptedKeyTypes +..." inside a Match block.

   Match ブロック内の "PubkeyAcceptedKeyTypes +..." を修正する

 * ssh(1): expand tilde characters in filenames passed to -i options
   before checking whether or not the identity file exists. Avoids
   confusion for cases where shell doesn't expand (e.g. "-i ~/file"
   vs. "-i~/file"). bz#2481

   ssh(1): -i オプションで, identity ファイルが存在するかどうかのチェック
   より前に ファイル名のチルダ文字を展開する. シェルが展開しない場合
   (つまり "-i ~/file" と "-i~/file") での混乱を避ける. bz#2481

 * ssh(1): do not prepend "exec" to the shell command run by "Match
   exec" in a config file, which could cause some commands to fail
   in certain environments. bz#2471

   ssh(1): コンフィグファイルで "Match exec" で走るシェルコマンドに
   exec を前に付けない. 特定の環境でコマンドが失敗する. bz#2471

 * ssh-keyscan(1): fix output for multiple hosts/addrs on one line
   when host hashing or a non standard port is in use bz#2479

   ssh-keyscan(1): ホストがハッシュされていたり標準でないポートが
   利用されている場合に, 一行での複数のホスト/アドレスの出力を修正
   bz#2479

 * sshd(8): skip "Could not chdir to home directory" message when
   ChrootDirectory is active. bz#2485

   sshd(8): ChrootDirectory が有効な場合に, 
   "Could not chdir to home directory" メッセージをスキップする.
   bz#2485

 * ssh(1): include PubkeyAcceptedKeyTypes in ssh -G config dump.

   ssh(1): PubkeyAcceptedKeyTypes を ssh -G config dump に含める.

 * sshd(8): avoid changing TunnelForwarding device flags if they are
   already what is needed; makes it possible to use tun/tap
   networking as non-root user if device permissions and interface
   flags are pre-established

   sshd(8): もし必要なものがすでにある場合にトンネル転送のデバイスの
   フラグの変更を避ける. デバイスのパーミッションとインターフェイス
   フラグがすでに確立している場合に, ルートでないユーザが
   tun/tap ネットワークを利用できるようにする.

 * ssh(1), sshd(8): RekeyLimits could be exceeded by one packet.
   bz#2521

   ssh(1), sshd(8): RekeyLimits が 1パケットで超過するようにする.
   bz#2521

 * ssh(1): fix multiplexing master failure to notice client exit.

   ssh(1): クライアントの終了を通知するため, 多重化マスターの
   失敗を修正する.

 * ssh(1), ssh-agent(1): avoid fatal() for PKCS11 tokens that present
   empty key IDs. bz#1773

   ssh(1), ssh-agent(1): 空の鍵の ID を持つ PKCS11 トークンで
   fatal() が起きるのを避ける.

 * sshd(8): avoid printf of NULL argument. bz#2535

   NULl 引数での printf を避ける. bz#2535

 * ssh(1), sshd(8): allow RekeyLimits larger than 4GB. bz#2521

   ssh(1), sshd(8): 4GB より大きい RekeyLimits を許可する. bz#2521

 * ssh-keygen(1): sshd(8): fix several bugs in (unused) KRL signature
   support.

   ssh-keygen(1): sshd(8): (利用していない) KRL 署名サポートの
   複数のバグを修正する.

 * ssh(1), sshd(8): fix connections with peers that use the key
   exchange guess feature of the protocol. bz#2515

   ssh(1), sshd(8): プロトコルの鍵交換推測機能を用いる相手との
   接続を修正する. bz#2515

 * sshd(8): include remote port number in log messages. bz#2503

   sshd(8): ログメッセージにリモートのポート番号を含める. bz#2503

 * ssh(1): don't try to load SSHv1 private key when compiled without
   SSHv1 support. bz#2505

   ssh(1): SSHv1 サポート抜きでコンパイルされた場合に,
   SSHv1 秘密鍵をロードしようとしない. bz#2505

 * ssh-agent(1), ssh(1): fix incorrect error messages during key
   loading and signing errors. bz#2507

   ssh-agent(1), ssh(1): 鍵のロードと署名のエラーでの不正確な
   エラーメッセージを修正する.

 * ssh-keygen(1): don't leave empty temporary files when performing
   known_hosts file edits when known_hosts doesn't exist.

   ssh-keygen(1): known_hosts ファイルが存在しない場合に
   known_hosts ファイルを編集する際に,
   空のテンポラリファイルを削除しない.

 * sshd(8): correct packet format for tcpip-forward replies for
   requests that don't allocate a port bz#2509

   sshd(8): ポートを割り当てていない tcpip-forward 要求への
   応答で パケット形式を修正する.

 * ssh(1), sshd(8): fix possible hang on closed output. bz#2469

   ssh(1), sshd(8): 閉じた出力でハングする場合があるのを修正する.
   bz#2469

 * ssh(1): expand %i in ControlPath to UID. bz#2449

   ssh(1): ControlPath で %i を UID に展開する. bz#2449

 * ssh(1), sshd(8): fix return type of openssh_RSA_verify. bz#2460

   ssh(1), sshd(8): openssh_RSA_verify の返り値の方を修正する. bz#2460

 * ssh(1), sshd(8): fix some option parsing memory leaks. bz#2182

   ssh(1), sshd(8): オプションのパースでのメモリリークを修正する.
   bz#2182

 * ssh(1): add a some debug output before DNS resolution; it's a
   place where ssh could previously silently stall in cases of
   unresponsive DNS servers. bz#2433

   ssh(1): DNS 解決の前にいくつかのデバッグ出力を追加する.
   DNS サーバが応答しない場合に 以前は ssh は 静かに 動かなくなる
   ことがあった場所だ.

 * ssh(1): remove spurious newline in visual hostkey. bz#2686

   ssh(1): バーチャルなホスト鍵中の偽の改行を削除する. bz#2686

 * ssh(1): fix printing (ssh -G ...) of HostKeyAlgorithms=+...

   ssh(1): HostKeyAlgorithms=+... のときの (ssh -G ...) の出力を
   修正する.

 * ssh(1): fix expansion of HostkeyAlgorithms=+...

   HostkeyAlgorithms=+... の展開を修正する.

Documentation
-------------

文書

 * ssh_config(5), sshd_config(5): update default algorithm lists to
   match current reality. bz#2527
   
   ssh_config(5), sshd_config(5): デフォルトのアルゴリズムのリストを
   現状に一致するよう更新する. bz#2527

 * ssh(1): mention -Q key-plain and -Q key-cert query options.
   bz#2455

   ssh(1): -Q key-plain と -Q key-cert について言及する.
   bz#2455

 * sshd_config(8): more clearly describe what AuthorizedKeysFile=none
   does.

   sshd_config(8): AuthorizedKeysFile=none がなにを行なうかについて
   より明確に記述する.

 * ssh_config(5): better document ExitOnForwardFailure. bz#2444

   ssh_config(5): ExitOnForwardFailure についての記述を改善.
   bz#2444

 * sshd(5): mention internal DH-GEX fallback groups in manual.
   bz#2302

   sshd(5): 手動での 内部 DH-GEX フォールバックグループ について
   記述する.

 * sshd_config(5): better description for MaxSessions option.
   bz#2531

   sshd_config(5): MaxSessions 設定項目の記述を改善.
   bz#2531

Portability
-----------

移植性

 * ssh(1), sftp-server(8), ssh-agent(1), sshd(8): Support Illumos/
   Solaris fine-grained privileges. Including a pre-auth privsep
   sandbox and several pledge() emulations. bz#2511

 * ssh(1), sftp-server(8), ssh-agent(1), sshd(8): Illumos/ Solaris
   fine-grained privileges をサポートする. 認証前特権分離の
   sandbox と 複数の pledge() エミュレーションを含んでいる.
   bz#2511

 * Renovate redhat/openssh.spec, removing deprecated options and
   syntax.

   非推奨のオプションや文法を削除して redhat/openssh.spec を刷新する.

 * configure: allow --without-ssl-engine with --without-openssl

   configure: --without-openssl と --without-ssl-engine が共存できる

 * sshd(8): fix multiple authentication using S/Key. bz#2502

   sshd(8): S/Key を用いる複数認証を修正する. bz#2502

 * sshd(8): read back from libcrypto RAND_* before dropping
   privileges.  Avoids sandboxing violations with BoringSSL.

   sshd(8): 特権を落す前に libcrypto の RAND_* から
   読み直す. BoringSSL を利用する場合に サンドボックスの
   破壊を回避する.

 * Fix name collision with system-provided glob(3) functions.
   bz#2463

   system が提供する glob(3) 関数の名前衝突を修正する.
   bz#2463

 * Adapt Makefile to use ssh-keygen -A when generating host keys.
   bz#2459

   ホスト鍵作成の際に ssh-keygen -A を用いるように Makefile を
   変更する. bz#2459

 * configure: correct default value for --with-ssh1 bz#2457

   configure: --with-ssh1 のデフォルト値を修正する. bz#2457

 * configure: better detection of _res symbol bz#2259

   configure: _res シンボルの検出を改善 bz#2259

 * support getrandom() syscall on Linux

   Linux の getrandom() システムコールをサポート

アメリカン・エキスプレス・ビジネス・ゴールド・カードの福利厚生プログラム「クラブオフ」のパスワードは数字4ケタ

法人クレジットカードとして作りやすいと言われている

アメリカン・エキスプレス・ビジネス・ゴールド・カード を申し込み入手しました.

クラブオフというリロクラブがやっている福利厚生アウトソーシングをアメックスでも利用することができます.

なんとなく申し込んでみたのですが, パスワードが数字4ケタでしか設定できませんでした. また退会には退会申請用紙を請求し郵送してもらい返送する必要があります.

なお会員ID は 11ケタの数字です. 規則性については不明です.

パスワードポリシーについて問合せましたが, 現状では変更の予定はなさそうでした. 要望として上げておくとのことです.

クラブオフはいろいろな企業で利用されており, パスワードポリシーは様々のようです.

検索して出てくるものでは「6〜8文字の半角数字」「4〜6文字の半角英数字」「4桁〜10桁の英数字」「4桁〜8桁の英数字」などのパターンがありました.

パスワードが脆弱でかつ退会が面倒なので,

アメリカン・エキスプレス ゴールド・コーポレート ないし ビジネス・ゴールド・カードを入手してもクラブオフには登録しないほうがよいでしょう.

OpenSSH 7.1p2 がリリースされました.

2016/01/14, OpenSSH 7.1p2 がリリースされました.

リリースノートにあるように, OpenSSH 7.1p2 への更新か, /etc/ssh/ssh_config ないし ~/.ssh/config での 'UseRoaming no' の追加をしましょう.

http://www.openssh.com/txt/release-7.1p2

Changes since OpenSSH 7.1p1
===========================

OpenSSH 7.1p1 からの変更点

 * SECURITY: ssh(1): The OpenSSH client code between 5.4 and 7.1
   contains experimential support for resuming SSH-connections (roaming).

   セキュリティ: ssh(1): OpenSSH 5.4 から 7.1 のクライアントのコードには
   SSH接続の再開 (roaming) の実験的なサポートが含まれている.

   The matching server code has never been shipped, but the client
   code was enabled by default and could be tricked by a malicious
   server into leaking client memory to the server, including private
   client user keys.

   対応するサーバのコードはリリースされていないが,
   クライアントのコードはデフォルトで有効で,
   クライアントのユーザ秘密鍵を含むクライアントのメモリを
   サーバへ漏らすように悪意のあるサーバがクライアントをだます
   ことが可能だ.

   The authentication of the server host key prevents exploitation
   by a man-in-the-middle, so this information leak is restricted
   to connections to malicious or compromised servers.

   サーバホスト鍵の認証で, 中間者による搾取は防げる. つまり
   悪意があるないし攻撃者にのっとられたサーバへの接続に
   この情報漏洩の発生は制限される.

   MITIGATION: For OpenSSH >= 5.4 the vulnerable code in the client
   can be completely disabled by adding 'UseRoaming no' to the gobal
   ssh_config(5) file, or to user configuration in ~/.ssh/config,
   or by passing -oUseRoaming=no on the command line.

   緩和策: OpenSSH 5.4 以上では,
   グローバルな ssh_config(5) か ユーザの設定 ~/.ssh/config で
   'UseRoaming no' を加える もしくは コマンドラインで -oUseRoaming=no
   を渡すことで, クライアントの脆弱なコードは完全に無効となる.

   PATCH: See below for a patch to disable this feature (Disabling
   Roaming in the Source Code).

   パッチ: 以下のパッチ(訳注: http://www.openssh.com/txt/release-7.1p2 を参照)
   でこの機能が無効となる (ソースコードで Roaming を無効化)

   This problem was reported by the Qualys Security Advisory team.

   この問題は Qualys Security Advisory team によって報告された.

 * SECURITY: Eliminate the fallback from untrusted X11-forwarding
   to trusted forwarding for cases when the X server disables
   the SECURITY extension. Reported by Thomas Hoger.

   訳注: この変更は 7.1p2 には含まれておらず, リリースノートから削除されました. 
   経緯は以下を参照.
   https://lists.mindrot.org/pipermail/openssh-unix-dev/2016-January/034682.html
   https://lists.mindrot.org/pipermail/openssh-unix-dev/2016-January/034684.html

   セキュリティ: X サーバが SECURITY 拡張を無効にしている場合に,
   信頼されていない X11 転送を 信頼されている転送にフォールバック
   しないようにする. Thomas Hoger により報告.

 * SECURITY: Fix an out of-bound read access in the packet handling
   code. Reported by Ben Hawkes.

   セキュリティ: パケットを扱うコードでの,
   境界を超える読み込みアクセスを修正する. Ben Hawkes により報告.

 * PROTOCOL: Correc tly interpret the 'first_kex_follows' option during
   the intial key exchange. Reported by Matt Johnston.

   プロトコル: 最初の鍵交換での 'first_kex_follows' を正しく解釈する.
   Matt Johnston により報告.

 * Further use of explicit_bzero has been added in various buffer
   handling code paths to guard against compilers aggressively
   doing dead-store removal.

   コンパイラが積極的に死んだコードの削除を行なうに対抗するため
   様々なバッファを扱うコードで explicit_bzero の利用を増やした.

コンピュータプログラミングの概念・技法・モデルを読み終わりました

2014年7月からミクシィのエンジニアの方主催の コンピュータプログラミングの概念・技法・モデル(Concepts, Techniques, and Models of Computer Programming CTMCP, ガウディ本)読書会が2015年12月の終わりました.

10章のGUIの部分と13章については読書会では扱いませんでした.

実行環境

コンピュータプログラミングの概念・技法・モデルでは Oz 言語の Mozart Programming System という実装を用います. Mozart には 1系と2系があり, 1系は(すくなくとも GNU/Linux版は)64bit環境では動きません. Windows の場合は 64bit環境にインストール可能なようです.

8章までは 2系でもだいたい大丈夫です. 手続の引数の評価が並列に行なわれない問題があったのは記憶しています. 9, 12 章は 2015年現在の2系では動きません.

幸い今日では 32bitな仮想マシンを構築するのは容易なので, 途中からは仮想マシンを用いました. Debian系の multiarch のような仕組みでもうまくいくかもしれません.

内容

並列性, 状態, 遅延性のすべてを持つ Oz を舞台に, それらをon/offした様々な計算モデルについて学ぶことができます.

Java, Haskell, Erlang, Prolog などの言語との比較も述べられています.

それなりにかけあしなので SICP を先にやっておいたほうがよいでしょう.

演習問題が巻末にまとまっているので, SICPよりも輪講形式で進めていくのが難しかったです. ただし, 1度やったことがある人が適切な助言をしてくれればこの点は解決するでしょう. 我々は全員精読するのは初めてでした.

コード

私のコードは https://github.com/haruyama/CTMCP にあります. 自分用で他の方の参考にならないかもしれませんが.

参考になるものを上げておきます.

今後

今後もミクシィでやれるか, それとも別の場所にするか, リモートでやるかなどまったく未定です. 本も別のものにするかもしれません.

QRコード
QRコード
  • ライブドアブログ