春山征吾のBlog に移転します.
意味があるかもしれない記事もあるので, 既存の記事は残します.
https://www.unixuser.org/~haruyama/blog/ に移転しました http://wiki.livedoor.jp/haruyama_seigo/d/FrontPage @haruyama タイトルが思いつかないときはそのときかかってた曲をタイトルにしています.
春山征吾のBlog に移転します.
意味があるかもしれない記事もあるので, 既存の記事は残します.
2016/12/19, OpenSSH 7.4 がリリースされました.
セキュリティ修正, バグ修正が中心のリリースです.
https://www.openssh.com/txt/release-7.4 Future deprecation notice ========================= 将来廃止される機能の告知 We plan on retiring more legacy cryptography in future releases, specifically: 将来のリリースでさらなるレガシーな暗号を廃止することを計画している. 具体的には: * In approximately August 2017, removing remaining support for the SSH v.1 protocol (client-only and currently compile-time disabled). 2017/08ごろに SSH v.1 プロコロルの残っているサポートを除く (クライアントのみで残っていて現在コンパイル時には無効), * In the same release, removing support for Blowfish and RC4 ciphers and the RIPE-MD160 HMAC. (These are currently run-time disabled). 同じリリースで, Blowfish と RC4 暗号, RIPE-MD160 HMAC のサポートを 除く (現在実行時に無効). * Refusing all RSA keys smaller than 1024 bits (the current minimum is 768 bits) 1024 ビットより小さいすべての RSA 鍵を拒否する (現在の最小値は 768 ビット) * The next release of OpenSSH will remove support for running sshd(8) with privilege separation disabled. OpenSSH の次のリリースで, 特権分離が無効な sshd(8) の実行のサポートを 除く. * The next release of portable OpenSSH will remove support for OpenSSL version prior to 1.0.1. 移植版 OpenSSH の次のリリースで. 1.0.1 より前の OpenSSL のサポートを除く. This list reflects our current intentions, but please check the final release notes for future releases. このリストは我々の現在の意図を反映している. ただし, 将来のリリースでの 最終的なリリースノートをチェックしてほしい. Potentially-incompatible changes ================================ 非互換な可能性のある変更 This release includes a number of changes that may affect existing configurations: このリリースは, 既存の設定に影響する可能性がある変更をいくつか含んでいる. * This release removes server support for the SSH v.1 protocol. このリリースは, SSH v.1 プロトコルのサーバサポートを除く. * ssh(1): Remove 3des-cbc from the client's default proposal. 64-bit block ciphers are not safe in 2016 and we don't want to wait until attacks like SWEET32 are extended to SSH. As 3des-cbc was the only mandatory cipher in the SSH RFCs, this may cause problems connecting to older devices using the default configuration, but it's highly likely that such devices already need explicit configuration for key exchange and hostkey algorithms already anyway. ssh(1): クライアントのデフォルトの提案から 3des-cbc を除く. 2016 年において 64 ビットブロック暗号は安全ではなく, SWEET32 のような攻撃が SSH に拡張されるまで, 我々は待つのを 望んでいない. 3des-cbc は SSH RFC の中で唯一必須の暗号で, デフォルトの設定を用いている古いデバイスに対して接続する際に この除去は問題となるかもしれない. しかし, そのようなサービスは どうせ鍵公館やホスト鍵のアルゴリズムに明確な設定が必要である 可能性が非常に高い. * sshd(8): Remove support for pre-authentication compression. Doing compression early in the protocol probably seemed reasonable in the 1990s, but today it's clearly a bad idea in terms of both cryptography (cf. multiple compression oracle attacks in TLS) and attack surface. Pre-auth compression support has been disabled by default for >10 years. Support remains in the client. sshd(8): 認証前の圧縮のサポートを除く. プロトコルの初期で圧縮を行なうことは, 1990年代には合理的と考えられていた. しかし, 暗号額の面からも (例えば, TLS での複数の圧縮 oracle 攻撃) 攻撃面からも 今日では明確に悪い考えだ. 認証前の圧縮サポートは デフォルトで10年以上前から無効になっていたが, クライアントでサポートは残っていた. * ssh-agent will refuse to load PKCS#11 modules outside a whitelist of trusted paths by default. The path whitelist may be specified at run-time. ssh-agent は デフォルトで信頼されたパスのホワイトリスト以外からの PKCS#11 モジュールのロードを拒否するようになる. パスのホワイトリストは 実行時に指定できる. * sshd(8): When a forced-command appears in both a certificate and an authorized keys/principals command= restriction, sshd will now refuse to accept the certificate unless they are identical. The previous (documented) behaviour of having the certificate forced-command override the other could be a bit confusing and error-prone. sshd(8): 証明書と, authorized keys/principals の command= 制約の両方で force-command が指定されている場合, それらが同一でなければ sshd は 証明書の受け入れを拒否するようになる. 証明書の force-command が 他を上書きする場合の以前の(文書化された) 振舞いは ちょっと混乱していてエラーをおこしがちだった. * sshd(8): Remove the UseLogin configuration directive and support for having /bin/login manage login sessions. sshd(8): UseLogin 設定項目と/bin/login にログインセッションを管理させる仕組みの サポートを除く. Changes since OpenSSH 7.3 ========================= OpenSSH 7.3 からの変更点 This is primarily a bugfix release. これは主にバグ修正のリリースだ. Security -------- セキュリティ * ssh-agent(1): Will now refuse to load PKCS#11 modules from paths outside a trusted whitelist (run-time configurable). Requests to load modules could be passed via agent forwarding and an attacker could attempt to load a hostile PKCS#11 module across the forwarded agent channel: PKCS#11 modules are shared libraries, so this would result in code execution on the system running the ssh-agent if the attacker has control of the forwarded agent-socket (on the host running the sshd server) and the ability to write to the filesystem of the host running ssh-agent (usually the host running the ssh client). Reported by Jann Horn of Project Zero. ssh-agent(1): (実行時に設定可能な) 信頼できるホワイトリスト外の パスからの PKCS#11 モジュールのロードを拒否するようになる. モジュールのロードの要求はエージェントの転送によって渡される可能性があり, 攻撃者は転送されたエージェントチャンネルからの 悪意のあるPKCS#11 モジュール をロードする可能性がある. PKCS#11 モジュールは共有ライブラリで, (sshd サーバが走るホストで) 攻撃者が転送された agent ソケットの制御を持っていると, ssh-agent が走るシステムでコード実行が可能になる. また, ssh-agent が走るホスト (通常 ssh クライアントが走るホスト)の ファイルシステムへの書き込みが可能になる. Project Zero の Jann Horn によって報告された. * sshd(8): When privilege separation is disabled, forwarded Unix- domain sockets would be created by sshd(8) with the privileges of 'root' instead of the authenticated user. This release refuses Unix-domain socket forwarding when privilege separation is disabled (Privilege separation has been enabled by default for 14 years). Reported by Jann Horn of Project Zero. sshd(8): 特権分離が無効な場合, 転送された Unixドメインソケットは 認証されたユーザの権限ではなく 'root' 権限で sshd(8)に作成される. このリリースでは, 特権分離が無効な場合に転送に対するユニックスドメインソケット を拒否する. (特権分離がデフォルトで有効になって14年経つ) Project Zero の Jann Horn によって報告された. * sshd(8): Avoid theoretical leak of host private key material to privilege-separated child processes via realloc() when reading keys. No such leak was observed in practice for normal-sized keys, nor does a leak to the child processes directly expose key material to unprivileged users. Reported by Jann Horn of Project Zero. sshd(8): 理論上ありえる, 漏鍵の再読み込み時の realloc() による 特権分離された子プロセスへのホスト秘密鍵の内容の洩を避ける. このような漏洩は通常のサイズの鍵では実際には観測されないし, 非特権ユーザに対して鍵の内容を子プロセスが直接さらす漏洩ではない. Project Zero の Jann Horn によって報告された. * sshd(8): The shared memory manager used by pre-authentication compression support had a bounds checks that could be elided by some optimising compilers. Additionally, this memory manager was incorrectly accessible when pre-authentication compression was disabled. This could potentially allow attacks against the privileged monitor process from the sandboxed privilege-separation process (a compromise of the latter would be required first). This release removes support for pre-authentication compression from sshd(8). Reported by Guido Vranken using the Stack unstable optimisation identification tool (http://css.csail.mit.edu/stack/) sshd(8): 認証前圧縮サポートで用いていた共有メモリマネージャは 境界チェックがコンパイラの最適化によって除かれてしまうことがある. さらに, このメモリマネージャは認証前圧縮が無効な場合でも 不正にアクセスできる. このため, サンドボックス化された特権分離プロセスから 特権モニタプロセスへの攻撃が潜在的に可能になる (ただし前者の攻撃には後者が必要となるだろう) このリリースで 認証前圧縮を sshd(8) から削除する. スタック不安定 最適化識別ツール (http://css.csail.mit.edu/stack/) を用いて Guido Vranken によって報告された. * sshd(8): Fix denial-of-service condition where an attacker who sends multiple KEXINIT messages may consume up to 128MB per connection. Reported by Shi Lei of Gear Team, Qihoo 360. sshd(8): 攻撃者が複数の KEXINIT メッセージを送り接続ごとに 128MB まで 消費することによって起こるサービス不能状況を修正する. Gear Team, Qihoo 360 の Shi Lei によって報告された. * sshd(8): Validate address ranges for AllowUser and DenyUsers directives at configuration load time and refuse to accept invalid ones. It was previously possible to specify invalid CIDR address ranges (e.g. user@127.1.2.3/55) and these would always match, possibly resulting in granting access where it was not intended. Reported by Laurence Parry. sshd(8): 設定ロード時に AllowUser と DenyUsers 設置項目のアドレスレンジを 検証し, 不正なものを拒否する. 以前は (例えば user@127.1.2.3/55 のような) 不正な CIDR アドレスを指定でき, これらは常にマッチして, 意図していない アクセス許可となる可能性があった. Laurence Parry によって報告された. New Features ------------ 新機能 * ssh(1): Add a proxy multiplexing mode to ssh(1) inspired by the version in PuTTY by Simon Tatham. This allows a multiplexing client to communicate with the master process using a subset of the SSH packet and channels protocol over a Unix-domain socket, with the main process acting as a proxy that translates channel IDs, etc. This allows multiplexing mode to run on systems that lack file- descriptor passing (used by current multiplexing code) and potentially, in conjunction with Unix-domain socket forwarding, with the client and multiplexing master process on different machines. Multiplexing proxy mode may be invoked using "ssh -O proxy ..." ssh(1): ssh(1) にプロキシ多重化モードを追加する. Simon Tatham による PuTTY のバージョンに刺激された. SSH パケット/キャンネルプロトコルの部分集合を Unixドメインソケット上で用いて マスタープロセスと通信するクライアントを多重化する. このときメインプロセスがチャンネルIDなどを翻訳するプロキシとして振舞う. これにより, (現在の多重化コードを用いては)ファイルデスクリプタの転送ができない システムで多重化モードが走らせることができる. また, 可能性としてはUnixドメインソケット転送と合わせたり, 別マシン上のクライアントと多重化されたマスタープロセスで 動かすことができる. 多重化プロキシモードは "ssh -O proxy ..." を用いて 駆動される * sshd(8): Add a sshd_config DisableForwarding option that disables X11, agent, TCP, tunnel and Unix domain socket forwarding, as well as anything else we might implement in the future. Like the 'restrict' authorized_keys flag, this is intended to be a simple and future-proof way of restricting an account. sshd(8): sshd_config に DisableForwarding 設定項目を追加する. これは X11, エージェント, TCP, トンネル, Unixドメインソケットの 転送を無効にする. また将来実装される他の転送も無効にする. authorized_keys の 'restrict' フラグと同様, DisableForwaring の意図は, アカウントを制限する 単純で将来でも有効な方法を提供することだ. * sshd(8), ssh(1): Support the "curve25519-sha256" key exchange method. This is identical to the currently-supported method named "curve25519-sha256@libssh.org". sshd(8), ssh(1): "curve25519-sha256" 鍵交換法をサポートする. 現在サポートされている "curve25519-sha256@libssh.org" という方法と 同じものだ. * sshd(8): Improve handling of SIGHUP by checking to see if sshd is already daemonised at startup and skipping the call to daemon(3) if it is. This ensures that a SIGHUP restart of sshd(8) will retain the same process-ID as the initial execution. sshd(8) will also now unlink the PidFile prior to SIGHUP restart and re-create it after a successful restart, rather than leaving a stale file in the case of a configuration error. bz#2641 sshd(8): SIGHUP の扱いを改善する. sshd がすでに開始時にデーモン化しているか そうならば daemon(3) の呼出しをスキップしているか をチェックするようになる. これで, sshd(8) の SIGHUP 再起動が 最初の実行と同じプロセスIDを維持する のを保証する. sshd(8) は SIGHUP 再起動の前に PidFile を削除し 再起動が成功したら再作成する. 設定エラーの場合に古いファイルが残らないようになる bz#2641 * sshd(8): Allow ClientAliveInterval and ClientAliveCountMax directives to appear in sshd_config Match blocks. sshd(8): sshd_config の Match ブロック内で ClientAliveInterval と ClientAliveCountMax 設定項目が利用可能に * sshd(8): Add %-escapes to AuthorizedPrincipalsCommand to match those supported by AuthorizedKeysCommand (key, key type, fingerprint, etc.) and a few more to provide access to the contents of the certificate being offered. sshd(8): AuthorizedPrincipalsCommand に % エスケープを追加する. AuthorizedKeysCommand でサポートされているエスケープ(鍵, 鍵の種類, 指紋など)と, さらに提供されている証明書の内容へのアクセスを提供する マッチをする. * Added regression tests for string matching, address matching and string sanitisation functions. 文字列マッチ, アドレスマッチ, 文字列無害化関数への回帰テストを追加した. * Improved the key exchange fuzzer harness. 鍵交換の fuzz テスト用ハーネスを改善した. Bugfixes -------- バグ修正 * ssh(1): Allow IdentityFile to successfully load and use certificates that have no corresponding bare public key. bz#2617 certificate id_rsa-cert.pub (and no id_rsa.pub). ssh(1): 対応する生の公開鍵がない証明書を IdentityFile で ロードし利用できる. bz#2617 (例えば id_rsa.pub がない id_rsa-cert.pub 証明書) * ssh(1): Fix public key authentication when multiple authentication is in use and publickey is not just the first method attempted. bz#2642 ssh(1): 複数の認証法が利用されて, 公開鍵認証が最初に試行される 方式でない場合の公開鍵認証を修正する. bz#2642 * regress: Allow the PuTTY interop tests to run unattended. bz#2639 回帰テスト: PuTTY 相互運用性テストが手入力なしで動くようにする. bz#2639 * ssh-agent(1), ssh(1): improve reporting when attempting to load keys from PKCS#11 tokens with fewer useless log messages and more detail in debug messages. bz#2610 ssh-agent(1), ssh(1): PKCS#11 トークンから鍵を読み込む場合に 少しの無用なログとより詳細なデバッグメッセージが出ていたので リポーティングを改善する. bz#2610 * ssh(1): When tearing down ControlMaster connections, don't pollute stderr when LogLevel=quiet. ssh(1): ControlMaster 接続を落す場合に, LogLevel=quiet なら stderr を汚染しない. * sftp(1): On ^Z wait for underlying ssh(1) to suspend before suspending sftp(1) to ensure that ssh(1) restores the terminal mode correctly if suspended during a password prompt. sftp(1): sftp(1) を中断する前に ^Z で 基底の ssh(1) が 中断された場合に パスワードプロンプト表示中に中断されていても ssh(1) が 正しく ターミナルモードを復元するのを保証する. * ssh(1): Avoid busy-wait when ssh(1) is suspended during a password prompt. ssh(1): パスワードプロンプト表示中に ssh(1) が中断された場合の busy-wait を回避する. * ssh(1), sshd(8): Correctly report errors during sending of ext- info messages. ssh(1), sshd(8): ext-info メッセージを送る際に正しくエラーを レポートする. * sshd(8): fix NULL-deref crash if sshd(8) received an out-of- sequence NEWKEYS message. sshd(8): sshd(8) が シーケンスから外れた NEWKEYS メッセージを 受け取った際に NULL を逆参照してクラッシュするのを修正する. * sshd(8): Correct list of supported signature algorithms sent in the server-sig-algs extension. bz#2547 sshd(8): server-sig-algs 拡張で サポートされている署名 アルゴリズムのリストを修正する. bz#2547 * sshd(8): Fix sending ext_info message if privsep is disabled. sshd(8): 特権分離が無効な場合に ext_info メッセージの送信を修正する. * sshd(8): more strictly enforce the expected ordering of privilege separation monitor calls used for authentication and allow them only when their respective authentication methods are enabled in the configuration sshd(8): 認証に用いられる特権分離モニター呼出しの期待される順序を より厳密に強制する. これにより, モニター呼出しを設定で それぞれの認証法でのみ有効にできる. * sshd(8): Fix uninitialised optlen in getsockopt() call; harmless on Unix/BSD but potentially crashy on Cygwin. sshd(8): getsockopt() 呼出しで初期化していない optlen を修正する. Unix/BSD では無害だが, Cygwin ではクラッシュする可能性がある. * Fix false positive reports caused by explicit_bzero(3) not being recognised as a memory initialiser when compiled with -fsanitize-memory. -fsanitize-memory を付けてコンパイルされた場合に explicit_bzero(3) が メモリ初期化子を認識しないことに 起因する false positive なレポートを修正する * sshd_config(5): Use 2001:db8::/32, the official IPv6 subnet for configuration examples. sshd_config(5): 2001:db8::/32 を用いる. 設定例のための 公式な IPv6 サブネット Portability ----------- 移植性 * On environments configured with Turkish locales, fall back to the C/POSIX locale to avoid errors in configuration parsing caused by that locale's unique handling of the letters 'i' and 'I'. bz#2643 Turkish ロケールで設定された環境で, ロケールな独特な文字 'i' と 'I' の扱いによる設定ファイルのパースエラーを回避するために C/POSIX ロケールに フォールバックする. * sftp-server(8), ssh-agent(1): Deny ptrace on OS X using ptrace(PT_DENY_ATTACH, ..) sftp-server(8), ssh-agent(1): ptrace(PT_DENY_ATTACH, ..) を用いて OS X 上で ptrace を無効にする * ssh(1), sshd(8): Unbreak AES-CTR ciphers on old (~0.9.8) OpenSSL. ssh(1), sshd(8): 古い (~0.9.8) OpenSSL の AES-CTR 暗号を直す * Fix compilation for libcrypto compiled without RIPEMD160 support. RIPEMD160 サポートなしでコンパイルされた libcrypto のコンパイルを修正する * contrib: Add a gnome-ssh-askpass3 with GTK+3 support. bz#2640 contrib: GTK+3 サポートされた gnome-ssh-askpass3 を追加する. bz#2640 * sshd(8): Improve PRNG reseeding across privilege separation and force libcrypto to obtain a high-quality seed before chroot or sandboxing. sshd(8): 特権分離越しのPRNG の再シードを改善し, chroot や サンドボックス化の前に 高品質のシードを libcrypto が得るのを強制する. * All: Explicitly test for broken strnvis. NetBSD added an strnvis and unfortunately made it incompatible with the existing one in OpenBSD and Linux's libbsd (the former having existed for over ten years). Try to detect this mess, and assume the only safe option if we're cross compiling. すべて: 壊れた strnvis に対する明示的なテスト. NetBSD は strnvis を追加して 不幸なことに, これは OpenBSD や Linux の libbsd の既存のものと非互換になっている (OpenBSDのものは 10年以上前から存在している). この混乱を検出しようと試み, クロスコンパイル時に唯一の安全な選択をとる.
OpenSSH 7.4 がリリース準備中です.
主にバグ修正のリリースです.
http://lists.mindrot.org/pipermail/openssh-unix-dev/2016-December/035537.html Potentially-incompatible changes ================================ 非互換な可能性のある変更 This release includes a number of changes that may affect existing configurations: このリリースは, 既存の設定に影響する可能性がある変更をいくつか含んでいる. * This release removes server support for the SSH v.1 protocol. このリリースは, SSH v.1 プロトコルのサーバサポートを除く. * ssh(1): Remove 3des-cbc from the client's default proposal. 64-bit block ciphers are not safe in 2016 and we don't want to wait until attacks like SWEET32 are extended to SSH. As 3des-cbc was the only mandatory cipher in the SSH RFCs, this may cause problems connecting to older devices using the default configuration, but it's highly likely that such devices already need explicit configuration for key exchange and hostkey algorithms already anyway. ssh(1): クライアントのデフォルトの提案から 3des-cbc を除く. 2016 年において 64 ビットブロック暗号は安全ではなく, SWEET32 のような攻撃が SSH に拡張されるまで, 我々は待つのを 望んでいない. 3des-cbc は SSH RFC の中で唯一必須の暗号で, デフォルトの設定を用いている古いデバイスに対して接続する際に この除去は問題となるかもしれない. しかし, そのようなサービスは どうせ鍵公館やホスト鍵のアルゴリズムに明確な設定が必要である 可能性が非常に高い. * sshd(8): Remove support for pre-authentication compression. Doing compression early in the protocol probably seemed reasonable in the 1990s, but today it's clearly a bad idea in terms of both cryptography (cf. multiple compression oracle attacks in TLS) and attack surface. Pre-auth compression support has been disabled by default for >10 years. Support remains in the client. sshd(8): 認証前の圧縮のサポートを除く. プロトコルの初期で圧縮を行なうことは, 1990年代には合理的と考えられていた. しかし, 暗号額の面からも (例えば, TLS での複数の圧縮 oracle 攻撃) 攻撃面からも 今日では明確に悪い考えだ. 認証前の圧縮サポートは デフォルトで10年以上前から無効になっていたが, クライアントでサポートは残っていた. * ssh-agent will refuse to load PKCS#11 modules outside a whitelist of trusted paths by default. The path whitelist may be specified at run-time. ssh-agent は デフォルトで信頼されたパスのホワイトリスト以外からの PKCS#11 モジュールのロードを拒否するようになる. パスのホワイトリストは 実行時に指定できる. * sshd(8): When a forced-command appears in both a certificate and an authorized keys/principals command= restriction, sshd will now refuse to accept the certificate unless they are identical. The previous (documented) behaviour of having the certificate forced-command override the other could be a bit confusing and error-prone. sshd(8): 証明書と, authorized keys/principals の command= 制約の両方で force-command が指定されている場合, それらが同一でなければ sshd は 証明書の受け入れを拒否するようになる. 証明書の force-command が 他を上書きする場合の以前の(文書化された) 振舞いは ちょっと混乱していてエラーをおこしがちだった. * sshd(8): Remove the UseLogin configuration directive and support for having /bin/login manage login sessions. sshd(8): UseLogin 設定項目と/bin/login にログインセッションを管理させる仕組みの サポートを除く. Changes since OpenSSH 7.3 ========================= OpenSSH 7.3 からの変更点 This is primarily a bugfix release. これは主にバグ修正のリリースだ. New Features ------------ 新機能 * ssh(1): Add a proxy multiplexing mode to ssh(1) inspired by the version in PuTTY by Simon Tatham. This allows a multiplexing client to communicate with the master process using a subset of the SSH packet and channels protocol over a Unix-domain socket, with the main process acting as a proxy that translates channel IDs, etc. This allows multiplexing mode to run on systems that lack file- descriptor passing (used by current multiplexing code) and potentially, in conjunction with Unix-domain socket forwarding, with the client and multiplexing master process on different machines. Multiplexing proxy mode may be invoked using "ssh -O proxy ..." ssh(1): ssh(1) にプロキシ多重化モードを追加する. Simon Tatham による PuTTY のバージョンに刺激された. SSH パケット/キャンネルプロトコルの部分集合を Unixドメインソケット上で用いて マスタープロセスと通信するクライアントを多重化する. このときメインプロセスがチャンネルIDなどを翻訳するプロキシとして振舞う. これにより, (現在の多重化コードを用いては)ファイルデスクリプタの転送ができない システムで多重化モードが走らせることができる. また, 可能性としてはUnixドメインソケット転送と合わせたり, 別マシン上のクライアントと多重化されたマスタープロセスで 動かすことができる. 多重化プロキシモードは "ssh -O proxy ..." を用いて 駆動される * sshd(8): Add a sshd_config DisableForwaring option that disables X11, agent, TCP, tunnel and Unix domain socket forwarding, as well as anything else we might implement in the future. Like the 'restrict' authorized_keys flag, this is intended to be a simple and future-proof way of restricting an account. sshd(8): sshd_config に DisableForwaring 設定項目を追加する. これは X11, エージェント, TCP, トンネル, Unixドメインソケットの 転送を無効にする. また将来実装される他の転送も無効にする. authorized_keys の 'restrict' フラグと同様, DisableForwaring の意図は, アカウントを制限する 単純で将来でも有効な方法を提供することだ. * sshd(8), ssh(1): Support the "curve25519-sha256" key exchange method. This is identical to the currently-support method named "curve25519-sha256@libssh.org". sshd(8), ssh(1): "curve25519-sha256" 鍵交換法をサポートする. 現在サポートされている "curve25519-sha256@libssh.org" という方法と 同じものだ. * sshd(8): Improve handling of SIGHUP by checking to see if sshd is already daemonised at startup and skipping the call to daemon(3) if it is. This ensures that a SIGHUP restart of sshd(8) will retain the same process-ID as the initial execution. sshd(8) will also now unlink the PidFile prior to SIGHUP restart and re-create it after a successful restart, rather than leaving a stale file in the case of a configuration error. bz#2641 sshd(8): SIGHUP の扱いを改善する. sshd がすでに開始時にデーモン化しているか そうならば daemon(3) の呼出しをスキップしているか をチェックするようになる. これで, sshd(8) の SIGHUP 再起動が 最初の実行と同じプロセスIDを維持する のを保証する. sshd(8) は SIGHUP 再起動の前に PidFile を削除し 再起動が成功したら再作成する. 設定エラーの場合に古いファイルが残らないようになる bz#2641 * sshd(8): Allow ClientAliveInterval and ClientAliveCountMax directives to appear in sshd_config Match blocks. sshd(8): sshd_config の Match ブロック内で ClientAliveInterval と ClientAliveCountMax 設定項目が利用可能に * sshd(8): Add %-escapes to AuthorizedPrincipalsCommand to match those supported by AuthorizedKeysCommand (key, key type, fingerprint, etc.) and a few more to provide access to the contents of the certificate being offered. sshd(8): AuthorizedPrincipalsCommand に % エスケープを追加する. AuthorizedKeysCommand でサポートされているエスケープ(鍵, 鍵の種類, 指紋など)と, さらに提供されている証明書の内容へのアクセスを提供する マッチをする. * Added regression tests for string matching, address matching and string sanitisation functions. 文字列マッチ, アドレスマッチ, 文字列無害化関数への回帰テストを追加した. * Improved the key exchange fuzzer harness. 鍵交換の fuzz テスト用ハーネスを改善した. Bugfixes -------- バグ修正 * ssh(1): Allow IdentityFile to successfully load and use certificates that have no corresponding bare public key. bz#2617 certificate id_rsa-cert.pub (and no id_rsa.pub). ssh(1): 対応する生の公開鍵がない証明書を IdentityFile で ロードし利用できる. bz#2617 * ssh(1): Fix public key authentication when multiple authentication is in use and publickey is not just the first method attempted. bz#2642 ssh(1): 複数の認証法が利用されて, 公開鍵認証が最初に試行される 方式でない場合の公開鍵認証を修正する. bz#2642 * regress: Allow the PuTTY interop tests to run unattended. bz#2639 回帰テスト: PuTTY 相互運用性テストが手入力なしで動くようにする. bz#2639 * ssh-agent(1), ssh(1): improve reporting when attempting to load keys from PKCS#11 tokens with fewer useless log messages and more detail in debug messages. bz#2610 ssh-agent(1), ssh(1): PKCS#11 トークンから鍵を読み込む場合に 少しの無用なログとより詳細なデバッグメッセージが出ていたので リポーティングを改善する. bz#2610 * ssh(1): When tearing down ControlMaster connections, don't pollute stderr when LogLevel=quiet. ssh(1): ControlMaster 接続を落す場合に, LogLevel=quiet なら stderr を汚染しない. * sftp(1): On ^Z wait for underlying ssh(1) to suspend before suspending sftp(1) to ensure that ssh(1) restores the terminal mode correctly if suspended during a password prompt. sftp(1): sftp(1) を中断する前に ^Z で 基底の ssh(1) が 中断された場合に パスワードプロンプト表示中に中断されていても ssh(1) が 正しく ターミナルモードを復元するのを保証する. * ssh(1): Avoid busy-wait when ssh(1) is suspended during a password prompt. ssh(1): パスワードプロンプト表示中に ssh(1) が中断された場合の busy-wait を回避する. * ssh(1), sshd(8): Correctly report errors during sending of ext- info messages. ssh(1), sshd(8): ext-info メッセージを送る際に正しくエラーを レポートする. * sshd(8): fix NULL-deref crash if sshd(8) received an out-of- sequence NEWKEYS message. sshd(8): sshd(8) が シーケンスから外れた NEWKEYS メッセージを 受け取った際に NULL を逆参照してクラッシュするのを修正する. * sshd(8): Correct list of supported signature algorithms sent in the server-sig-algs extension. bz#2547 sshd(8): server-sig-algs 拡張で サポートされている署名 アルゴリズムのリストを修正する. bz#2547 * sshd(8): Fix sending ext_info message if privsep is disabled. sshd(8): 特権分離が無効な場合に ext_info メッセージの送信を修正する. * sshd(8): more strictly enforce the expected ordering of privilege separation monitor calls used for authentication and allow them only when their respective authentication methods are enabled in the configuration sshd(8): 認証に用いられる特権分離モニター呼出しの期待される順序を より厳密に強制する. これにより, モニター呼出しを設定で それぞれの認証法でのみ有効にできる. * sshd(8): Fix uninitialised optlen in getsockopt() call; harmless on Unix/BSD but potentially crashy on Cygwin. sshd(8): getsockopt() 呼出しで初期化していない optlen を修正する. Unix/BSD では無害だが, Cygwin ではクラッシュする可能性がある. * Fix false positive reports caused by explicit_bzero(3) not being recognised as a memory initialiser when compiled with -fsanitize-memory. -fsanitize-memory を付けてコンパイルされた場合に explicit_bzero(3) が メモリ初期化子を認識しないことに 起因する false positive なレポートを修正する * sshd_config(5): Use 2001:db8::/32, the official IPv6 subnet for configuration examples. sshd_config(5): 2001:db8::/32 を用いる. 設定例のための 公式な IPv6 サブネット Portability ----------- 移植性 * On environments configured with Turkish locales, fall back to the C/POSIX locale to avoid errors in configuration parsing caused by that locale's unique handling of the letters 'i' and 'I'. bz#2643 Turkish ロケールで設定された環境で, ロケールな独特な文字 'i' と 'I' の扱いによる設定ファイルのパースエラーを回避するために C/POSIX ロケールに フォールバックする. * sftp-server(8), ssh-agent(1): Deny ptrace on OS X using ptrace(PT_DENY_ATTACH, ..) sftp-server(8), ssh-agent(1): ptrace(PT_DENY_ATTACH, ..) を用いて OS X 上で ptrace を無効にする * ssh(1), sshd(8): Unbreak AES-CTR ciphers on old (~0.9.8) OpenSSL. ssh(1), sshd(8): 古い (~0.9.8) OpenSSL の AES-CTR 暗号を直す * Fix compilation for libcrypto compiled without RIPEMD160 support. RIPEMD160 サポートなしでコンパイルされた libcrypto のコンパイルを修正する * contrib: Add a gnome-ssh-askpass3 with GTK+3 support. bz#2640 contrib: GTK+3 サポートされた gnome-ssh-askpass3 を追加する. bz#2640 * sshd(8): Improve PRNG reseeding across privilege separation and force libcrypto to obtain a high-quality seed before chroot or sandboxing. sshd(8): 特権分離越しのPRNG の再シードを改善し, chroot や サンドボックス化の前に 高品質のシードを libcrypto が得るのを強制する. * All: Explicitly test for broken strnvis. NetBSD added an strnvis and unfortunately made it incompatible with the existing one in OpenBSD and Linux's libbsd (the former having existed for over ten years). Try to detect this mess, and assume the only safe option if we're cross compiling. すべて: 壊れた strnvis に対する明示的なテスト. NetBSD は strnvis を追加して 不幸なことに, これは OpenBSD や Linux の libbsd の既存のものと非互換になっている (OpenBSDのものは 10年以上前から存在している). この混乱を検出しようと試み, クロスコンパイル時に唯一の安全な選択をとる.
2016/08/01, OpenSSH 7.3 がリリースされました.
セキュリティ修正, バグ修正が中心のリリースです.
http://www.openssh.com/txt/release-7.3 Future deprecation notice ========================= 将来の廃止する機能の告知 We plan on retiring more legacy cryptography in a near-future release, specifically: 近い将来 さらなるレガシーな暗号を退役させる予定だ. 具体的には, * Refusing all RSA keys smaller than 1024 bits (the current minimum is 768 bits) * Removing server-side support for the SSH v.1 protocol (currently compile-time disabled). * In approximately 1 year, removing all support for the SSH v.1 protocol (currently compile-time disabled). * 1024 ビットよりも小さいすべての RSA 鍵の拒否 (現在の最小値は 768 ビット) * SSH v.1 プロトコルのサーバサイドサポートの除去 (現在は コンパイル時に無効) * 約1年間で, SSH v.1 プロトコルのすべてのサポートの除去 (現在は コンパイル時に無効) This list reflects our current intentions, but please check the final release notes for future releases. このリストは現在の我々の意図を反映している. ただし, 将来のリリースでの最終的なリリースノートをチェックしてほしい Changes since OpenSSH 7.2 ========================= OpenSSH 7.2 からの変更点 This is primarily a bugfix release. これは主にバグ修正のリリースだ. Security -------- セキュリティ * sshd(8): Mitigate a potential denial-of-service attack against the system's crypt(3) function via sshd(8). An attacker could send very long passwords that would cause excessive CPU use in crypt(3). sshd(8) now refuses to accept password authentication requests of length greater than 1024 characters. Independently reported by Tomas Kuthan (Oracle), Andres Rojas and Javier Nieto. sshd(8): sshd(8) を経由したシステムの crypt(3) 関数に対する 潜在的なサービス不能攻撃を緩和する. 攻撃者は, crypt(3) で 過度の CPU 利用を引き起す非常に長いパスワードを送れる. sshd(8) は, 1024 文字よりも大きなパスワード認証要求の受諾を 拒否するようになる. Tomas Kuthan (Oracle) と Andres Rojas, Javier Nieto によって報告された. * sshd(8): Mitigate timing differences in password authentication that could be used to discern valid from invalid account names when long passwords were sent and particular password hashing algorithms are in use on the server. CVE-2016-6210, reported by EddieEzra.Harari at verint.com sshd(8): 特定のパスワードハッシュアルゴリズムをサーバが使っている場合に 長いパスワードを送って有効なアカウント名と無効なものを見分けるのに 利用できるパスワード認証によるタイミングの差を緩和する. CVE-2016-6210, EddieEzra.Harari at verint.com によって報告された. * ssh(1), sshd(8): Fix observable timing weakness in the CBC padding oracle countermeasures. Reported by Jean Paul Degabriele, Kenny Paterson, Torben Hansen and Martin Albrecht. Note that CBC ciphers are disabled by default and only included for legacy compatibility. ssh(1), sshd(8): CBC パディングオラクルの対抗策における観測可能な タイミングの弱点を修正する. Jean Paul Degabriele と Kenny Paterson, Torben Hansen, Martin Albrecht によって報告された. CBC を利用する 暗号方式はデフォルトで無効で, 歴史的な互換性のためだけに含まれている ことに注意. * ssh(1), sshd(8): Improve operation ordering of MAC verification for Encrypt-then-MAC (EtM) mode transport MAC algorithms to verify the MAC before decrypting any ciphertext. This removes the possibility of timing differences leaking facts about the plaintext, though no such leakage has been observed. Reported by Jean Paul Degabriele, Kenny Paterson, Torben Hansen and Martin Albrecht. ssh(1), sshd(8): 暗号文を復号する前に MAC を検査する Encrypt-then-MAC (EtM) モード トランスポート MAC アルゴリズムで MAC 検査の操作の順番を改善する. 平文に対する事実を漏らす タイミングの差が生じる可能性を削除する. ただし, そのような漏洩は 観測されていない. Jean Paul Degabriele と Kenny Paterson, Torben Hansen, Martin Albrecht によって報告された. * sshd(8): (portable only) Ignore PAM environment vars when UseLogin=yes. If PAM is configured to read user-specified environment variables and UseLogin=yes in sshd_config, then a hostile local user may attack /bin/login via LD_PRELOAD or similar environment variables set via PAM. CVE-2015-8325, found by Shayan Sadigh. sshd(8): (移植版のみ) UseLogin=yes の場合に PAM 環境変数を無視する. PAM がユーザ特有の環境変数を読むように設定されていて sshd_config で UseLogin=yes となっている場合, 悪意のあるローカルユーザが LD_PRELOAD や同様の環境変数を PAM 経由で設定して /bin/login に対して攻撃する可能性がある. CVE-2015-8325, Shayan Sadigh によって発見された. New Features ------------ 新機能 * ssh(1): Add a ProxyJump option and corresponding -J command-line flag to allow simplified indirection through a one or more SSH bastions or "jump hosts". ssh(1): ProxyJump 設定項目と対応する -J コマンドラインフラグを追加する. 1つ異常の SSH の踏み台を経由する間接参照を簡単に指定できる. * ssh(1): Add an IdentityAgent option to allow specifying specific agent sockets instead of accepting one from the environment. ssh(1): IdentityAgent 設定項目を追加する. 特定のエージェントのソケットを環境変数を使わないでも指定できる. * ssh(1): Allow ExitOnForwardFailure and ClearAllForwardings to be optionally overridden when using ssh -W. bz#2577 ssh(1): ssh -W を用いている場合に, ExitOnForwardFailure と ClearAllForwardings を自由の上書きできる. bz#2577 * ssh(1), sshd(8): Implement support for the IUTF8 terminal mode as per draft-sgtatham-secsh-iutf8-00. ssh(1), sshd(8): draft-sgtatham-secsh-iutf8-00 により IUTF8 ターミナルモードのサポートを実装する * ssh(1), sshd(8): Add support for additional fixed Diffie-Hellman 2K, 4K and 8K groups from draft-ietf-curdle-ssh-kex-sha2-03. ssh(1), sshd(8): draft-ietf-curdle-ssh-kex-sha2-03 から 追加の修正された Diffie-Hellman 2K, 4K, 8K 群のサポートを追加する. * ssh-keygen(1), ssh(1), sshd(8): support SHA256 and SHA512 RSA signatures in certificates; ssh-keygen(1), ssh(1), sshd(8): 証明書で SHA256 と SHA512 RSA 署名を サポートする. * ssh(1): Add an Include directive for ssh_config(5) files. ssh(1): sshd_config ファイルで Include 設定項目を追加する * ssh(1): Permit UTF-8 characters in pre-authentication banners sent from the server. bz#2058 ssh(1): サーバから認証前に送るバナーで UTF-8 文字を許可する. bz#2058 Bugfixes -------- バグ修正 * ssh(1), sshd(8): Reduce the syslog level of some relatively common protocol events from LOG_CRIT. bz#2585 ssh(1), sshd(8): LOG_CRIT からの いくつかの相対的に共通のプロトコルの イベントの syslog レベルを落す. bz#2585 * sshd(8): Refuse AuthenticationMethods="" in configurations and accept AuthenticationMethods=any for the default behaviour of not requiring multiple authentication. bz#2398 設定での AuthenticationMethods="" 拒否し, 複数の認証を要求しない場合のデフォルトの動作として AuthenticationMethods=any を受け入れる. bz#2398 * sshd(8): Remove obsolete and misleading "POSSIBLE BREAK-IN ATTEMPT!" message when forward and reverse DNS don't match. bz#2585 sshd(8): DNS の正引きと逆引きが一致しなかった場合の 古く誤解を招く "POSSIBLE BREAK-IN ATTEMPT!" メッセージを削除する. * ssh(1): Close ControlPersist background process stderr except in debug mode or when logging to syslog. bz#1988 ssh(1): デバッグモードか syslog へのロギングをしている場合以外は ControlPersist のバックグラウンドプロセスの stderr を閉じる. bz#1988 * misc: Make PROTOCOL description for direct-streamlocal@openssh.com channel open messages match deployed code. bz#2529 misc: direct-streamlocal@openssh.com チャンネルオープンメッセージ についての PROTOCOL の記述を コードと一致させる. bz#2529 * ssh(1): Deduplicate LocalForward and RemoteForward entries to fix failures when both ExitOnForwardFailure and hostname canonicalisation are enabled. bz#2562 ssh(1): ExitOnForwardFailure と ホスト名正規化の両方が有効な場合に, 失敗を修正するため LocalForward と RemoteForward のエントリの 重複を取り除く. bz#2562 * sshd(8): Remove fallback from moduli to obsolete "primes" file that was deprecated in 2001. bz#2559. sshd(8): 2001 年に非推奨となった 古い "primes" ファイルへの module からのフォールバックを削除する. bz#2559 * sshd_config(5): Correct description of UseDNS: it affects ssh hostname processing for authorized_keys, not known_hosts; bz#2554 sshd_config(5): UseDNS の記述を修正する: これは authorized_keys に対する ssh ホスト名処理に影響する. known_hosts に対してではない; bz#2554 * ssh(1): Fix authentication using lone certificate keys in an agent without corresponding private keys on the filesystem. bz#2550 ssh(1): ファイルシステムに対応する秘密鍵がないエージェント中の 孤独な証明書鍵を用いた認証を修正する. * sshd(8): Send ClientAliveInterval pings when a time-based RekeyLimit is set; previously keepalive packets were not being sent. bz#2252 sshd(8): 時間ベースの RekeyLimit が設定されている場合に ClientAliveInterval ピンを送る. 以前は keepalive パケットは 送られていなかった. bz#2552 Portability ----------- 移植性 * ssh(1), sshd(8): Fix compilation by automatically disabling ciphers not supported by OpenSSL. bz#2466 ssh(1), sshd(8): OpenSSH でサポートされていない鍵の自動的な無効化による コンパイルを修正する. bz#2466 * misc: Fix compilation failures on some versions of AIX's compiler related to the definition of the VA_COPY macro. bz#2589 misc: VA_COPY マクロの定義に関係するいくつかの AIX のコンパイラのバージョンでの コンパイルの失敗を修正する. bz#2589 * sshd(8): Whitelist more architectures to enable the seccomp-bpf sandbox. bz#2590 sshd(8): seccomp-bpf サンドボックスを有効にするホワイトリストに アーキテクチャをさらに追加する. bz#2590 * ssh-agent(1), sftp-server(8): Disable process tracing on Solaris using setpflags(__PROC_PROTECT, ...). bz#2584 ssh-agent(1), sftp-server(8): setpflags(__PROC_PROTECT, ...) を用いた Solaris での プロセス追跡を無効にする. bz#2584 * sshd(8): On Solaris, don't call Solaris setproject() with UsePAM=yes it's PAM's responsibility. bz#2425 sshd(8): ソラリスで, UsePAM=yes の場合に setproject() を呼ばない. これは PAM の責任だ. bz#2425
OpenSSH 7.3 がリリース準備中です.
'Call for testing: OpenSSH 7.3' - MARC
主にバグ修正のリリースです.
http://marc.info/?l=openssh-unix-dev&m=146916304131079&w=2 Changes since OpenSSH 7.2 ========================= OpenSSH 7.2 からの変更点 This is primarily a bugfix release. これは主にバグ修正のリリースだ. Security -------- セキュリティ * sshd(8): Mitigate a potential denial-of-service attack against the system's crypt(3) function via sshd(8). An attacker could send very long passwords that would cause excessive CPU use in crypt(3). sshd(8) now refuses to accept password authentication requests of length greater than 1024 characters. Independently reported by Tomas Kuthan (Oracle) and curesec via coredump at autistici.org. sshd(8): sshd(8) を経由したシステムの crypt(3) 関数に対する 潜在的なサービス不能攻撃を緩和する. 攻撃者は, crypt(3) で 過度の CPU 利用を引き起す非常に長いパスワードを送れる. sshd(8) は, 1024 文字よりも大きなパスワード認証要求の受諾を 拒否するようになる. Tomas Kuthan (Oracle) と curesec via coredump at autistici.org によって独立に報告された. * sshd(8): Mitigate timing differences in password authentication that could be used to discern valid from invalid account names when long passwords were sent and particular password hashing algorithms are in use on the server. CVE-2016-6210, reported by EddieEzra.Harari at verint.com sshd(8): 特定のパスワードハッシュアルゴリズムをサーバが使っている場合に 長いパスワードを送って有効なアカウント名と無効なものを見分けるのに 利用できるパスワード認証によるタイミングの差を緩和する. CVE-2016-6210, EddieEzra.Harari at verint.com によって報告された. * ssh(1), sshd(8): Fix observable timing weakness in the CBC padding oracle countermeasures. Reported by Jean Paul Degabriele, Kenny Paterson, Torben Hansen and Martin Albrecht. Note that CBC ciphers are disabled by default and only included for legacy compatibility. ssh(1), sshd(8): CBC パディングオラクルの対抗策における観測可能な タイミングの弱点を修正する. Jean Paul Degabriele と Kenny Paterson, Torben Hansen, Martin Albrecht によって報告された. CBC を利用する 暗号方式はデフォルトで無効で, 歴史的な互換性のためだけに含まれている ことに注意. * ssh(1), sshd(8): Improve ordering ordering of MAC verification for Encrypt-then-MAC (EtM) mode transport MAC algorithms to verify the MAC before decrypting any ciphertext. This removes the possibility of timing differences leaking facts about the plaintext, though no such leakage has been observed. Reported by Jean Paul Degabriele, Kenny Paterson, Torben Hansen and Martin Albrecht. ssh(1), sshd(8): 暗号文を復号する前に MAC を検査する Encrypt-then-MAC (EtM) モード トランスポート MAC アルゴリズムで MAC 検査の順番を改善する. 平文に対する事実を漏らす タイミングの差が生じる可能性を削除する. ただし, そのような漏洩は 観測されていない. Jean Paul Degabriele と Kenny Paterson, Torben Hansen, Martin Albrecht によって報告された. * sshd(8): (portable only) Ignore PAM environment vars when UseLogin=yes. If PAM is configured to read user-specified environment variables and UseLogin=yes in sshd_config, then a hostile local user may attack /bin/login via LD_PRELOAD or similar environment variables set via PAM. CVE-2015-8325, found by Shayan Sadigh. sshd(8): (移植版のみ) UseLogin=yes の場合に PAM 環境変数を無視する. PAM がユーザ特有の環境変数を読むように設定されていて sshd_config で UseLogin=yes となっている場合, 悪意のあるローカルユーザが LD_PRELOAD や同様の環境変数を PAM 経由で設定して /bin/login に対して攻撃する可能性がある. CVE-2015-8325, Shayan Sadigh によって発見された. New Features ------------ 新機能 * ssh(1): Add a ProxyJump option and corresponding -J command-line flag to allow simplified indirection through a one or more SSH bastions or "jump hosts". ssh(1): ProxyJump 設定項目と対応する -J コマンドラインフラグを追加する. 1つ異常の SSH の踏み台を経由する間接参照を簡単に指定できる. * ssh(1): Add an IdentityAgent option to allow specifying specific agent sockets instead of accepting one from the environment. ssh(1): IdentityAgent 設定項目を追加する. 特定のエージェントのソケットを環境変数を使わないでも指定できる. * ssh(1): Allow ExitOnForwardFailure and ClearAllForwardings to be optionally overridden when using ssh -W. bz#2577 ssh(1): ssh -W を用いている場合に, ExitOnForwardFailure と ClearAllForwardings を自由の上書きできる. bz#2577 * ssh(1), sshd(8): Implement support for the IUTF8 terminal mode as per draft-sgtatham-secsh-iutf8-00. ssh(1), sshd(8): draft-sgtatham-secsh-iutf8-00 により IUTF8 ターミナルモードのサポートを実装する * ssh(1), sshd(8): Add support for additional fixed Diffie-Hellman 2K, 4K and 8K groups from draft-ietf-curdle-ssh-kex-sha2-03. ssh(1), sshd(8): draft-ietf-curdle-ssh-kex-sha2-03 から 追加の修正された Diffie-Hellman 2K, 4K, 8K 群のサポートを追加する. * ssh-keygen(1), ssh(1), sshd(8): support SHA256 and SHA512 RSA signatures in certificates; ssh-keygen(1), ssh(1), sshd(8): 証明書で SHA256 と SHA512 RSA 署名を サポートする. * ssh(1): Add an Include directive for ssh_config(5) files. ssh(1): sshd_config ファイルで Include 設定項目を追加する * ssh(1): Permit UTF-8 characters in pre-authentication banners sent from the server. bz#2058 ssh(1): サーバから認証前に送るバナーで UTF-8 文字を許可する. bz#2058 Bugfixes -------- バグ修正 * ssh(1), sshd(8): Reduce the syslog level of some relatively common protocol events from LOG_CRIT. bz#2585 ssh(1), sshd(8): LOG_CRIT からの いくつかの相対的に共通のプロトコルの イベントの syslog レベルを落す. bz#2585 * sshd(8): Refuse AuthenticationMethods="" in configurations and accept AuthenticationMethods=any for the default behaviour of not requiring multiple authentication. bz#2398 設定での AuthenticationMethods="" 拒否し, 複数の認証を要求しない場合のデフォルトの動作として AuthenticationMethods=any を受け入れる. bz#2398 * sshd(8): Remove obsolete and misleading "POSSIBLE BREAK-IN ATTEMPT!" message when forward and reverse DNS don't match. bz#2585 sshd(8): DNS の正引きと逆引きが一致しなかった場合の 古く誤解を招く "POSSIBLE BREAK-IN ATTEMPT!" メッセージを削除する. * ssh(1): Close ControlPersist background process stderr except in debug mode or when logging to syslog. bz#1988 ssh(1): デバッグモードか syslog へのロギングをしている場合以外は ControlPersist のバックグラウンドプロセスの stderr を閉じる. bz#1988 * misc: Make PROTOCOL description for direct-streamlocal@openssh.com channel open messages match deployed code. bz#2529 misc: direct-streamlocal@openssh.com チャンネルオープンメッセージ についての PROTOCOL の記述を コードと一致させる. bz#2529 * ssh(1): Deduplicate LocalForward and RemoteForward entries to fix failures when both ExitOnForwardFailure and hostname canonicalisation are enabled. bz#2562 ssh(1): ExitOnForwardFailure と ホスト名正規化の両方が有効な場合に, 失敗を修正するため LocalForward と RemoteForward のエントリの 重複を取り除く. bz#2562 * sshd(8): Remove fallback from moduli to obsolete "primes" file that was deprecated in 2001. bz#2559. sshd(8): 2001 年に非推奨となった 古い "primes" ファイルへの module からのフォールバックを削除する. bz#2559 * sshd_config(5): Correct description of UseDNS: it affects ssh hostname processing for authorized_keys, not known_hosts; bz#2554 sshd_config(5): UseDNS の記述を修正する: これは authorized_keys に対する ssh ホスト名処理に影響する. known_hosts に対してではない; bz#2554 * ssh(1): Fix authentication using lone certificate keys in an agent without corresponding private keys on the filesystem. bz#2550 ssh(1): ファイルシステムに対応する秘密鍵がないエージェント中の 孤独な証明書鍵を用いた認証を修正する. * sshd(8): Send ClientAliveInterval pings when a time-based RekeyLimit is set; previously keepalive packets were not being sent. bz#2252 sshd(8): 時間ベースの RekeyLimit が設定されている場合に ClientAliveInterval ピンを送る. 以前は keepalive パケットは 送られていなかった. bz#2552 Portability ----------- 移植性 * ssh(1), sshd(8): Fix compilation by automatically disabling ciphers not supported by OpenSSL. bz#2466 ssh(1), sshd(8): OpenSSH でサポートされていない鍵の自動的な無効化による コンパイルを修正する. bz#2466 * misc: Fix compilation failures on some versions of AIX's compiler related to the definition of the VA_COPY macro. bz#2589 misc: VA_COPY マクロの定義に関係するいくつかの AIX のコンパイラのバージョンでの コンパイルの失敗を修正する. bz#2589 * sshd(8): Whitelist more architectures to enable the seccomp-bpf sandbox. bz#2590 sshd(8): seccomp-bpf サンドボックスを有効にするホワイトリストに アーキテクチャをさらに追加する. bz#2590 * ssh-agent(1), sftp-server(8): Disable process tracing on Solaris using setpflags(__PROC_PROTECT, ...). bz#2584 ssh-agent(1), sftp-server(8): setpflags(__PROC_PROTECT, ...) を用いた Solaris での プロセス追跡を無効にする. bz#2584 * sshd(8): On Solaris, don't call Solaris setproject() with UsePAM=yes it's PAM's responsibility. bz#2425 sshd(8): ソラリスで, UsePAM=yes の場合に setproject() を呼ばない. これは PAM の責任だ. bz#2425
2016/03/10, OpenSSH 7.2p2 がリリースされました.
X11転送時のセキュリティ修正が行なわれています.
http://www.openssh.com/txt/release-7.2p2 Changes since OpenSSH 7.2p1 =========================== OpenSSH 7.2p1 からの変更点 This release fixes a security bug: このリリースはセキュリティバグを修正する. * sshd(8): sanitise X11 authentication credentials to avoid xauth command injection when X11Forwarding is enabled. sshd(8): X11Forwarding が有効なときに xauth コマンドインジェクションを 避けるため, X11 認証証明書を無害化する Full details of the vulnerability are available at: http://www.openssh.com/txt/x11fwd.adv この脆弱性の完全な詳細は以下にある: http://www.openssh.com/txt/x11fwd.adv
2016/02/29, OpenSSH 7.2 がリリースされました.
バグ修正が中心のリリースです. 互換性に影響がありえる変更として, いくつかの暗号方式がデフォルトで無効になっています.
http://www.openssh.com/txt/release-7.2 Future deprecation notice ========================= 将来の廃止する機能の告知 We plan on retiring more legacy cryptography in a near-future release, specifically: 近い将来 さらなるレガシーな暗号を退役させる予定だ. 具体的には, * Refusing all RSA keys smaller than 1024 bits (the current minimum is 768 bits) * 1024 ビットよりも小さいすべての RSA 鍵を拒否する (現在の最小値は 768 ビット) This list reflects our current intentions, but please check the final release notes for future releases. このリストは現在の我々の意図を反映している. ただし, 将来のリリースでの最終的なリリースノートをチェックしてほしい Potentially-incompatible changes ================================ 非互換な可能性がある変更 This release disables a number of legacy cryptographic algorithms by default in ssh: このリリースでは ssh で多くのレガシーな暗号アルゴリズムを デフォルトで無効にする. * Several ciphers blowfish-cbc, cast128-cbc, all arcfour variants and the rijndael-cbc aliases for AES. blowfish-cbc, cast128-cbc, arcfour のすべての変種 AES の rijndael-cbc 別名. * MD5-based and truncated HMAC algorithms. MD5 ベースの HMAC アルゴリズム These algorithms are already disabled by default in sshd. 以上のアルゴリズムは sshd では すでに無効になっている. Changes since OpenSSH 7.1p2 =========================== OpenSSH 7.1p2 からの変更点 This is primarily a bugfix release. これは主にバグ修正のリリースだ. Security -------- セキュリティ * ssh(1), sshd(8): remove unfinished and unused roaming code (was already forcibly disabled in OpenSSH 7.1p2). ssh(1), sshd(8): 完了しておらず利用されてなかった roaming のコード を削除する (OpenSSH 7.1p2 ですでに強制的に無効となっている) * ssh(1): eliminate fallback from untrusted X11 forwarding to trusted forwarding when the X server disables the SECURITY extension. ssh(1): X サーバが SECURITY 拡張を無効にしている場合に 信頼されていない X11 転送を 信頼されている転送で 代替するのを除去する. * ssh(1), sshd(8): increase the minimum modulus size supported for diffie-hellman-group-exchange to 2048 bits. ssh(1), sshd(8): diffie-hellman-group-exchange でサポートする 最小のモジュラスのサイズを 2048 ビットに増加する. * sshd(8): pre-auth sandboxing is now enabled by default (previous releases enabled it for new installations via sshd_config). sshd(8): 認証前のサンドボックス化がデフォルトで有効になった (以前のリリースは, sshd_config を新規にインストールする際に 有効にしていた). New Features ------------ 新機能 * all: add support for RSA signatures using SHA-256/512 hash algorithms based on draft-rsa-dsa-sha2-256-03.txt and draft-ssh-ext-info-04.txt. すべて: draft-rsa-dsa-sha2-256-03.txt と draft-ssh-ext-info-04.txt に基づく SHA-256/512 を用いる RSA 署名のサポートを追加する * ssh(1): Add an AddKeysToAgent client option which can be set to 'yes', 'no', 'ask', or 'confirm', and defaults to 'no'. When enabled, a private key that is used during authentication will be added to ssh-agent if it is running (with confirmation enabled if set to 'confirm'). ssh(1): AddKeysToAgent クライアント設定項目を追加する. 'yes', 'no', 'ask', 'confirm' が設定でき デフォルトは 'no' だ. 有効になると, ssh-agent が動いている場合に認証に用いられる秘密鍵が ssh-agent に追加される. 'confirm' の場合は確認が行なわれる. * sshd(8): add a new authorized_keys option "restrict" that includes all current and future key restrictions (no-*-forwarding, etc.). Also add permissive versions of the existing restrictions, e.g. "no-pty" -> "pty". This simplifies the task of setting up restricted keys and ensures they are maximally-restricted, regardless of any permissions we might implement in the future. sshd(8): authorized_keys のオプションに "restrict" を追加する. これは, (no-*-forwarding などの) 現在と将来のすべての制限を含む. さらに, 現在の制限の許可バージョンも追加する. つまり, "no-pty" -> "pty". これにより, 制限付きの鍵の設定のタスクが 単純化し, 将来実装するすべての許可に関係なく 鍵が最大に制限されていることを圃場できる. * ssh(1): add ssh_config CertificateFile option to explicitly list certificates. bz#2436 ssh(1): ssh_config に 証明書を明示的に列挙する CertificateFile 設定項目を追加する. bz#2436 * ssh-keygen(1): allow ssh-keygen to change the key comment for all supported formats. ssh-keygen(1): すべてのサポートする形式について ssh-keygen が 鍵のコメントを変更できるようにする * ssh-keygen(1): allow fingerprinting from standard input, e.g. "ssh-keygen -lf -" ssh-keygen(1): 標準入力からの指紋表示をできるようにする. つまり, "ssh-keygen -lf -" * ssh-keygen(1): allow fingerprinting multiple public keys in a file, e.g. "ssh-keygen -lf ~/.ssh/authorized_keys" bz#1319 ssh-keygen(1): ファイルに含まれる複数の公開鍵の指紋表示を できるようにする. つまり "ssh-keygen -lf ~/.ssh/authorized_keys" bz#1319 * sshd(8): support "none" as an argument for sshd_config Foreground and ChrootDirectory. Useful inside Match blocks to override a global default. bz#2486 sshd(8): sshd_config の Foreground と ChrootDirectory の引数に "none" をサポートする. グローバルなデフォルトを Match ブロックの中で 上書きするのに有用. bz#2486 * ssh-keygen(1): support multiple certificates (one per line) and reading from standard input (using "-f -") for "ssh-keygen -L" ssh-keygen(1): (行ごとに1つの)複数の証明書と, (using "-f -" を用いる) 標準入力からの読み込みを "ssh-keygen -L" でサポートする * ssh-keyscan(1): add "ssh-keyscan -c ..." flag to allow fetching certificates instead of plain keys. ssh-keyscan(1): 生の鍵の変わりに証明書を取得する "ssh-keyscan -c ..." フラグを追加する * ssh(1): better handle anchored FQDNs (e.g. 'cvs.openbsd.org.') in hostname canonicalisation - treat them as already canonical and remove the trailing '.' before matching ssh_config. ssh(1): anchored (訳注: ここでは . が最後に着いているということ?) FQDN (例えば 'csv.openbsd.org.') をよりよく扱う. すでに正規化済みとして扱い, ssh_config でマッチする前に 末尾の '.' を取り除く. Bugfixes -------- バグ修正 * sftp(1): existing destination directories should not terminate recursive uploads (regression in openssh 6.8) bz#2528 sftp(1): 送信先のディレクトリ存在しても再帰的なアップロードを 終了させない (openssh 6.8 で導入された不具合) bz#2528 * ssh(1), sshd(8): correctly send back SSH2_MSG_UNIMPLEMENTED replies to unexpected messages during key exchange. bz#2949 ssh(1), sshd(8): 鍵交換で予期しないメッセージに対して 正しく SSH2_MSG_UNIMPLEMENTED を送り返す. bz#2949 * ssh(1): refuse attempts to set ConnectionAttempts=0, which does not make sense and would cause ssh to print an uninitialised stack variable. bz#2500 ssh(1): ConnectionAttempts=0 を設定しようという試みを拒否する. これは 意味がないし, 初期化してないスタック変数を ssh に印字させよう とする. bz#2500 * ssh(1): fix errors when attempting to connect to scoped IPv6 addresses with hostname canonicalisation enabled. ssh(1): ホスト名の正規化が有効な場合に scoped IPv6 アドレスに 接続しようとした場合のエラーを修正する * sshd_config(5): list a couple more options usable in Match blocks. bz#2489 sshd_config(5): Match ブロックで利用可能ないくつかの設定項目を 列挙(追加)する. * sshd(8): fix "PubkeyAcceptedKeyTypes +..." inside a Match block. Match ブロック内の "PubkeyAcceptedKeyTypes +..." を修正する * ssh(1): expand tilde characters in filenames passed to -i options before checking whether or not the identity file exists. Avoids confusion for cases where shell doesn't expand (e.g. "-i ~/file" vs. "-i~/file"). bz#2481 ssh(1): -i オプションで, identity ファイルが存在するかどうかのチェック より前に ファイル名のチルダ文字を展開する. シェルが展開しない場合 (つまり "-i ~/file" と "-i~/file") での混乱を避ける. bz#2481 * ssh(1): do not prepend "exec" to the shell command run by "Match exec" in a config file, which could cause some commands to fail in certain environments. bz#2471 ssh(1): コンフィグファイルで "Match exec" で走るシェルコマンドに exec を前に付けない. 特定の環境でコマンドが失敗する. bz#2471 * ssh-keyscan(1): fix output for multiple hosts/addrs on one line when host hashing or a non standard port is in use bz#2479 ssh-keyscan(1): ホストがハッシュされていたり標準でないポートが 利用されている場合に, 一行での複数のホスト/アドレスの出力を修正 bz#2479 * sshd(8): skip "Could not chdir to home directory" message when ChrootDirectory is active. bz#2485 sshd(8): ChrootDirectory が有効な場合に, "Could not chdir to home directory" メッセージをスキップする. bz#2485 * ssh(1): include PubkeyAcceptedKeyTypes in ssh -G config dump. ssh(1): PubkeyAcceptedKeyTypes を ssh -G config dump に含める. * sshd(8): avoid changing TunnelForwarding device flags if they are already what is needed; makes it possible to use tun/tap networking as non-root user if device permissions and interface flags are pre-established sshd(8): もし必要なものがすでにある場合にトンネル転送のデバイスの フラグの変更を避ける. デバイスのパーミッションとインターフェイス フラグがすでに確立している場合に, ルートでないユーザが tun/tap ネットワークを利用できるようにする. * ssh(1), sshd(8): RekeyLimits could be exceeded by one packet. bz#2521 ssh(1), sshd(8): RekeyLimits が 1パケットで超過するようにする. bz#2521 * ssh(1): fix multiplexing master failure to notice client exit. ssh(1): クライアントの終了を通知するため, 多重化マスターの 失敗を修正する. * ssh(1), ssh-agent(1): avoid fatal() for PKCS11 tokens that present empty key IDs. bz#1773 ssh(1), ssh-agent(1): 空の鍵の ID を持つ PKCS11 トークンで fatal() が起きるのを避ける. * sshd(8): avoid printf of NULL argument. bz#2535 NULl 引数での printf を避ける. bz#2535 * ssh(1), sshd(8): allow RekeyLimits larger than 4GB. bz#2521 ssh(1), sshd(8): 4GB より大きい RekeyLimits を許可する. bz#2521 * ssh-keygen(1): sshd(8): fix several bugs in (unused) KRL signature support. ssh-keygen(1): sshd(8): (利用していない) KRL 署名サポートの 複数のバグを修正する. * ssh(1), sshd(8): fix connections with peers that use the key exchange guess feature of the protocol. bz#2515 ssh(1), sshd(8): プロトコルの鍵交換推測機能を用いる相手との 接続を修正する. bz#2515 * sshd(8): include remote port number in log messages. bz#2503 sshd(8): ログメッセージにリモートのポート番号を含める. bz#2503 * ssh(1): don't try to load SSHv1 private key when compiled without SSHv1 support. bz#2505 ssh(1): SSHv1 サポート抜きでコンパイルされた場合に, SSHv1 秘密鍵をロードしようとしない. bz#2505 * ssh-agent(1), ssh(1): fix incorrect error messages during key loading and signing errors. bz#2507 ssh-agent(1), ssh(1): 鍵のロードと署名のエラーでの不正確な エラーメッセージを修正する. * ssh-keygen(1): don't leave empty temporary files when performing known_hosts file edits when known_hosts doesn't exist. ssh-keygen(1): known_hosts ファイルが存在しない場合に known_hosts ファイルを編集する際に, 空のテンポラリファイルを削除しない. * sshd(8): correct packet format for tcpip-forward replies for requests that don't allocate a port bz#2509 sshd(8): ポートを割り当てていない tcpip-forward 要求への 応答で パケット形式を修正する. * ssh(1), sshd(8): fix possible hang on closed output. bz#2469 ssh(1), sshd(8): 閉じた出力でハングする場合があるのを修正する. bz#2469 * ssh(1): expand %i in ControlPath to UID. bz#2449 ssh(1): ControlPath で %i を UID に展開する. bz#2449 * ssh(1), sshd(8): fix return type of openssh_RSA_verify. bz#2460 ssh(1), sshd(8): openssh_RSA_verify の返り値の方を修正する. bz#2460 * ssh(1), sshd(8): fix some option parsing memory leaks. bz#2182 ssh(1), sshd(8): オプションのパースでのメモリリークを修正する. bz#2182 * ssh(1): add a some debug output before DNS resolution; it's a place where ssh could previously silently stall in cases of unresponsive DNS servers. bz#2433 ssh(1): DNS 解決の前にいくつかのデバッグ出力を追加する. DNS サーバが応答しない場合に 以前は ssh は 静かに 動かなくなる ことがあった場所だ. * ssh(1): remove spurious newline in visual hostkey. bz#2686 ssh(1): バーチャルなホスト鍵中の偽の改行を削除する. bz#2686 * ssh(1): fix printing (ssh -G ...) of HostKeyAlgorithms=+... ssh(1): HostKeyAlgorithms=+... のときの (ssh -G ...) の出力を 修正する. * ssh(1): fix expansion of HostkeyAlgorithms=+... HostkeyAlgorithms=+... の展開を修正する. Documentation ------------- 文書 * ssh_config(5), sshd_config(5): update default algorithm lists to match current reality. bz#2527 ssh_config(5), sshd_config(5): デフォルトのアルゴリズムのリストを 現状に一致するよう更新する. bz#2527 * ssh(1): mention -Q key-plain and -Q key-cert query options. bz#2455 ssh(1): -Q key-plain と -Q key-cert について言及する. bz#2455 * sshd_config(8): more clearly describe what AuthorizedKeysFile=none does. sshd_config(8): AuthorizedKeysFile=none がなにを行なうかについて より明確に記述する. * ssh_config(5): better document ExitOnForwardFailure. bz#2444 ssh_config(5): ExitOnForwardFailure についての記述を改善. bz#2444 * sshd(5): mention internal DH-GEX fallback groups in manual. bz#2302 sshd(5): 手動での 内部 DH-GEX フォールバックグループ について 記述する. * sshd_config(5): better description for MaxSessions option. bz#2531 sshd_config(5): MaxSessions 設定項目の記述を改善. bz#2531 Portability ----------- 移植性 * ssh(1), sftp-server(8), ssh-agent(1), sshd(8): Support Illumos/ Solaris fine-grained privileges. Including a pre-auth privsep sandbox and several pledge() emulations. bz#2511 * ssh(1), sftp-server(8), ssh-agent(1), sshd(8): Illumos/ Solaris fine-grained privileges をサポートする. 認証前特権分離の sandbox と 複数の pledge() エミュレーションを含んでいる. bz#2511 * Renovate redhat/openssh.spec, removing deprecated options and syntax. 非推奨のオプションや文法を削除して redhat/openssh.spec を刷新する. * configure: allow --without-ssl-engine with --without-openssl configure: --without-openssl と --without-ssl-engine が共存できる * sshd(8): fix multiple authentication using S/Key. bz#2502 sshd(8): S/Key を用いる複数認証を修正する. bz#2502 * sshd(8): read back from libcrypto RAND_* before dropping privileges. Avoids sandboxing violations with BoringSSL. sshd(8): 特権を落す前に libcrypto の RAND_* から 読み直す. BoringSSL を利用する場合に サンドボックスの 破壊を回避する. * Fix name collision with system-provided glob(3) functions. bz#2463 system が提供する glob(3) 関数の名前衝突を修正する. bz#2463 * Adapt Makefile to use ssh-keygen -A when generating host keys. bz#2459 ホスト鍵作成の際に ssh-keygen -A を用いるように Makefile を 変更する. bz#2459 * configure: correct default value for --with-ssh1 bz#2457 configure: --with-ssh1 のデフォルト値を修正する. bz#2457 * configure: better detection of _res symbol bz#2259 configure: _res シンボルの検出を改善 bz#2259 * support getrandom() syscall on Linux Linux の getrandom() システムコールをサポート
2/19 に聖飢魔IIのミサに行ったので, 聖飢魔IIの曲だけ歌いました.
OpenSSH 7.2 がリリース準備中です.
主にバグ修正のリリースですが, もりだくさんです.
http://marc.info/?l=openssh-unix-dev&m=145525121407930&w=2 Future deprecation notice ========================= 将来の廃止する機能の告知 We plan on retiring more legacy cryptography in a near-future release, specifically: 近い将来 さらなるレガシーな暗号を退役させる予定だ. 具体的には, * Refusing all RSA keys smaller than 1024 bits (the current minimum is 768 bits) * 1024 ビットよりも小さいすべての RSA 鍵を拒否する (現在の最小値は 768 ビット) This list reflects our current intentions, but please check the final release notes for future releases. このリストは現在の我々の意図を反映している. ただし, 将来のリリースでの最終的なリリースノートをチェックしてほしい Potentially-incompatible changes ================================ 非互換な可能性がある変更 This release disables a number of legacy cryptographic algorithms by default in ssh: このリリースでは ssh で多くのレガシーな暗号アルゴリズムを デフォルトで無効にする. * Several ciphers blowfish-cbc, cast128-cbc, all arcfour variants and the rijndael-cbc aliases for AES. blowfish-cbc, cast128-cbc, arcfour のすべての変種 AES の rijndael-cbc 別名. * MD5-based and truncated HMAC algorithms. MD5 ベースの HMAC アルゴリズム These algorithms are already disabled by default in sshd. 以上のアルゴリズムは sshd では すでに無効になっている. Changes since OpenSSH 7.1p2 =========================== OpenSSH 7.1p2 からの変更点 This is primarily a bugfix release. これは主にバグ修正のリリースだ. Security -------- セキュリティ * ssh(1), sshd(8): remove unfinished and unused roaming code (was already forcibly disabled in OpenSSH 7.1p2). ssh(1), sshd(8): 完了しておらず利用されてなかった roaming のコード を削除する (OpenSSH 7.1p2 ですでに強制的に無効となっている) * ssh(1): eliminate fallback from untrusted X11 forwarding to trusted forwarding when the X server disables the SECURITY extension. ssh(1): X サーバが SECURITY 拡張を無効にしている場合に 信頼されていない X11 転送を 信頼されている転送で 代替するのを除去する. * ssh(1), sshd(8): increase the minimum modulus size supported for diffie-hellman-group-exchange to 2048 bits. ssh(1), sshd(8): diffie-hellman-group-exchange でサポートする 最小のモジュラスのサイズを 2048 ビットに増加する. New Features ------------ 新機能 * all: add support for RSA signatures using SHA-256/512 hash algorithms based on draft-rsa-dsa-sha2-256-03.txt and draft-ssh-ext-info-04.txt. すべて: draft-rsa-dsa-sha2-256-03.txt と draft-ssh-ext-info-04.txt に基づく SHA-256/512 を用いる RSA 署名のサポートを追加する * ssh(1): Add an AddKeysToAgent client option which can be set to 'yes', 'no', 'ask', or 'confirm', and defaults to 'no'. When enabled, a private key that is used during authentication will be added to ssh-agent if it is running (with confirmation enabled if set to 'confirm'). ssh(1): AddKeysToAgent クライアント設定項目を追加する. 'yes', 'no', 'ask', 'confirm' が設定でき デフォルトは 'no' だ. 有効になると, ssh-agent が動いている場合に認証に用いられる秘密鍵が ssh-agent に追加される. 'confirm' の場合は確認が行なわれる. * sshd(8): add a new authorized_keys option "restrict" that includes all current and future key restrictions (no-*-forwarding, etc.). Also add permissive versions of the existing restrictions, e.g. "no-pty" -> "pty". This simplifies the task of setting up restricted keys and ensures they are maximally-restricted, regardless of any permissions we might implement in the future. sshd(8): authorized_keys のオプションに "restrict" を追加する. これは, (no-*-forwarding などの) 現在と将来のすべての制限を含む. さらに, 現在の制限の許可バージョンも追加する. つまり, "no-pty" -> "pty". これにより, 制限付きの鍵の設定のタスクが 単純化し, 将来実装するすべての許可に関係なく 鍵が最大に制限されていることを圃場できる. * ssh(1): add ssh_config CertificateFile option to explicitly list certificates. bz#2436 ssh(1): ssh_config に 証明書を明示的に列挙する CertificateFile 設定項目を追加する. bz#2436 * ssh-keygen(1): allow ssh-keygen to change the key comment for all supported formats. ssh-keygen(1): すべてのサポートする形式について ssh-keygen が 鍵のコメントを変更できるようにする * ssh-keygen(1): allow fingerprinting from standard input, e.g. "ssh-keygen -lf -" ssh-keygen(1): 標準入力からの指紋表示をできるようにする. つまり, "ssh-keygen -lf -" * ssh-keygen(1): allow fingerprinting multiple public keys in a file, e.g. "ssh-keygen -lf ~/.ssh/authorized_keys" bz#1319 ssh-keygen(1): ファイルに含まれる複数の公開鍵の指紋表示を できるようにする. つまり "ssh-keygen -lf ~/.ssh/authorized_keys" bz#1319 * sshd(8): support "none" as an argument for sshd_config Foreground and ChrootDirectory. Useful inside Match blocks to override a global default. bz#2486 sshd(8): sshd_config の Foreground と ChrootDirectory の引数に "none" をサポートする. グローバルなデフォルトを Match ブロックの中で 上書きするのに有用. bz#2486 * ssh-keygen(1): support multiple certificates (one per line) and reading from standard input (using "-f -") for "ssh-keygen -L" ssh-keygen(1): (行ごとに1つの)複数の証明書と, (using "-f -" を用いる) 標準入力からの読み込みを "ssh-keygen -L" でサポートする * ssh-keyscan(1): add "ssh-keyscan -c ..." flag to allow fetching certificates instead of plain keys. ssh-keyscan(1): 生の鍵の変わりに証明書を取得する "ssh-keyscan -c ..." フラグを追加する * ssh(1): better handle anchored FQDNs (e.g. 'cvs.openbsd.org.') in hostname canonicalisation - treat them as already canonical and trailing '.' before matching ssh_config. ssh(1): anchored (訳注: ここでは . が最後に着いているということ?) FQDN (例えば 'csv.openbsd.org.') をよりよく扱う. すでに正規化済みとして扱い, ssh_config でマッチする前に 末尾の '.' を取り除く. Bugfixes -------- バグ修正 * sftp(1): existing destination directories should not terminate recursive uploads (regression in openssh 6.8) bz#2528 sftp(1): 送信先のディレクトリ存在しても再帰的なアップロードを 終了させない (openssh 6.8 で導入された不具合) bz#2528 * ssh(1), sshd(8): correctly send back SSH2_MSG_UNIMPLEMENTED replies to unexpected messages during key exchange. bz#2949 ssh(1), sshd(8): 鍵交換で予期しないメッセージに対して 正しく SSH2_MSG_UNIMPLEMENTED を送り返す. bz#2949 * ssh(1): refuse attempts to set ConnectionAttempts=0, which does not make sense and would cause ssh to print an uninitialised stack variable. bz#2500 ssh(1): ConnectionAttempts=0 を設定しようという試みを拒否する. これは 意味がないし, 初期化してないスタック変数を ssh に印字させよう とする. bz#2500 * ssh(1): fix errors when attempting to connect to scoped IPv6 addresses with hostname canonicalisation enabled. ssh(1): ホスト名の正規化が有効な場合に scoped IPv6 アドレスに 接続しようとした場合のエラーを修正する * sshd_config(5): list a couple more options usable in Match blocks. bz#2489 sshd_config(5): Match ブロックで利用可能ないくつかの設定項目を 列挙(追加)する. * sshd(8): fix "PubkeyAcceptedKeyTypes +..." inside a Match block. Match ブロック内の "PubkeyAcceptedKeyTypes +..." を修正する * ssh(1): expand tilde characters in filenames passed to -i options before checking whether or not the identity file exists. Avoids confusion for cases where shell doesn't expand (e.g. "-i ~/file" vs. "-i~/file"). bz#2481 ssh(1): -i オプションで, identity ファイルが存在するかどうかのチェック より前に ファイル名のチルダ文字を展開する. シェルが展開しない場合 (つまり "-i ~/file" と "-i~/file") での混乱を避ける. bz#2481 * ssh(1): do not prepend "exec" to the shell command run by "Match exec" in a config file, which could cause some commands to fail in certain environments. bz#2471 ssh(1): コンフィグファイルで "Match exec" で走るシェルコマンドに exec を前に付けない. 特定の環境でコマンドが失敗する. bz#2471 * ssh-keyscan(1): fix output for multiple hosts/addrs on one line when host hashing or a non standard port is in use bz#2479 ssh-keyscan(1): ホストがハッシュされていたり標準でないポートが 利用されている場合に, 一行での複数のホスト/アドレスの出力を修正 bz#2479 * sshd(8): skip "Could not chdir to home directory" message when ChrootDirectory is active. bz#2485 sshd(8): ChrootDirectory が有効な場合に, "Could not chdir to home directory" メッセージをスキップする. bz#2485 * ssh(1): include PubkeyAcceptedKeyTypes in ssh -G config dump. ssh(1): PubkeyAcceptedKeyTypes を ssh -G config dump に含める. * sshd(8): avoid changing TunnelForwarding device flags if they are already what is needed; makes it possible to use tun/tap networking as non-root user if device permissions and interface flags are pre-established sshd(8): もし必要なものがすでにある場合にトンネル転送のデバイスの フラグの変更を避ける. デバイスのパーミッションとインターフェイス フラグがすでに確立している場合に, ルートでないユーザが tun/tap ネットワークを利用できるようにする. * ssh(1), sshd(8): RekeyLimits could be exceeded by one packet. bz#2521 ssh(1), sshd(8): RekeyLimits が 1パケットで超過するようにする. bz#2521 * ssh(1): fix multiplexing master failure to notice client exit. ssh(1): クライアントの終了を通知するため, 多重化マスターの 失敗を修正する. * ssh(1), ssh-agent(1): avoid fatal() for PKCS11 tokens that present empty key IDs. bz#1773 ssh(1), ssh-agent(1): 空の鍵の ID を持つ PKCS11 トークンで fatal() が起きるのを避ける. * sshd(8): avoid printf of NULL argument. bz#2535 NULl 引数での printf を避ける. bz#2535 * ssh(1), sshd(8): allow RekeyLimits larger than 4GB. bz#2521 ssh(1), sshd(8): 4GB より大きい RekeyLimits を許可する. bz#2521 * ssh-keygen(1): sshd(8): fix several bugs in (unused) KRL signature support. ssh-keygen(1): sshd(8): (利用していない) KRL 署名サポートの 複数のバグを修正する. * ssh(1), sshd(8): fix connections with peers that use the key exchange guess feature of the protocol. bz#2515 ssh(1), sshd(8): プロトコルの鍵交換推測機能を用いる相手との 接続を修正する. bz#2515 * sshd(8): include remote port number in log messages. bz#2503 sshd(8): ログメッセージにリモートのポート番号を含める. bz#2503 * ssh(1): don't try to load SSHv1 private key when compiled without SSHv1 support. bz#2505 ssh(1): SSHv1 サポート抜きでコンパイルされた場合に, SSHv1 秘密鍵をロードしようとしない. bz#2505 * ssh-agent(1), ssh(1): fix incorrect error messages during key loading and signing errors. bz#2507 ssh-agent(1), ssh(1): 鍵のロードと署名のエラーでの不正確な エラーメッセージを修正する. * ssh-keygen(1): don't leave empty temporary files when performing known_hosts file edits when known_hosts doesn't exist. ssh-keygen(1): known_hosts ファイルが存在しない場合に known_hosts ファイルを編集する際に, 空のテンポラリファイルを削除しない. * sshd(8): correct packet format for tcpip-forward replies for requests that don't allocate a port bz#2509 sshd(8): ポートを割り当てていない tcpip-forward 要求への 応答で パケット形式を修正する. * ssh(1), sshd(8): fix possible hang on closed output. bz#2469 ssh(1), sshd(8): 閉じた出力でハングする場合があるのを修正する. bz#2469 * ssh(1): expand %i in ControlPath to UID. bz#2449 ssh(1): ControlPath で %i を UID に展開する. bz#2449 * ssh(1), sshd(8): fix return type of openssh_RSA_verify. bz#2460 ssh(1), sshd(8): openssh_RSA_verify の返り値の方を修正する. bz#2460 * ssh(1), sshd(8): fix some option parsing memory leaks. bz#2182 ssh(1), sshd(8): オプションのパースでのメモリリークを修正する. bz#2182 * ssh(1): add a some debug output before DNS resolution; it's a place where ssh could previously silently stall in cases of unresponsive DNS servers. bz#2433 ssh(1): DNS 解決の前にいくつかのデバッグ出力を追加する. DNS サーバが応答しない場合に 以前は ssh は 静かに 動かなくなる ことがあった場所だ. * ssh(1): remove spurious newline in visual hostkey. bz#2686 ssh(1): バーチャルなホスト鍵中の偽の改行を削除する. bz#2686 * ssh(1): fix printing (ssh -G ...) of HostKeyAlgorithms=+... ssh(1): HostKeyAlgorithms=+... のときの (ssh -G ...) の出力を 修正する. * ssh(1): fix expansion of HostkeyAlgorithms=+... HostkeyAlgorithms=+... の展開を修正する. Documentation ------------- 文書 * ssh_config(5), sshd_config(5): update default algorithm lists to match current reality. bz#2527 ssh_config(5), sshd_config(5): デフォルトのアルゴリズムのリストを 現状に一致するよう更新する. bz#2527 * ssh(1): mention -Q key-plain and -Q key-cert query options. bz#2455 ssh(1): -Q key-plain と -Q key-cert について言及する. bz#2455 * sshd_config(8): more clearly describe what AuthorizedKeysFile=none does. sshd_config(8): AuthorizedKeysFile=none がなにを行なうかについて より明確に記述する. * ssh_config(5): better document ExitOnForwardFailure. bz#2444 ssh_config(5): ExitOnForwardFailure についての記述を改善. bz#2444 * sshd(5): mention internal DH-GEX fallback groups in manual. bz#2302 sshd(5): 手動での 内部 DH-GEX フォールバックグループ について 記述する. * sshd_config(5): better description for MaxSessions option. bz#2531 sshd_config(5): MaxSessions 設定項目の記述を改善. bz#2531 Portability ----------- 移植性 * ssh(1), sftp-server(8), ssh-agent(1), sshd(8): Support Illumos/ Solaris fine-grained privileges. Including a pre-auth privsep sandbox and several pledge() emulations. bz#2511 * ssh(1), sftp-server(8), ssh-agent(1), sshd(8): Illumos/ Solaris fine-grained privileges をサポートする. 認証前特権分離の sandbox と 複数の pledge() エミュレーションを含んでいる. bz#2511 * Renovate redhat/openssh.spec, removing deprecated options and syntax. 非推奨のオプションや文法を削除して redhat/openssh.spec を刷新する. * configure: allow --without-ssl-engine with --without-openssl configure: --without-openssl と --without-ssl-engine が共存できる * sshd(8): fix multiple authentication using S/Key. bz#2502 sshd(8): S/Key を用いる複数認証を修正する. bz#2502 * sshd(8): read back from libcrypto RAND_* before dropping privileges. Avoids sandboxing violations with BoringSSL. sshd(8): 特権を落す前に libcrypto の RAND_* から 読み直す. BoringSSL を利用する場合に サンドボックスの 破壊を回避する. * Fix name collision with system-provided glob(3) functions. bz#2463 system が提供する glob(3) 関数の名前衝突を修正する. bz#2463 * Adapt Makefile to use ssh-keygen -A when generating host keys. bz#2459 ホスト鍵作成の際に ssh-keygen -A を用いるように Makefile を 変更する. bz#2459 * configure: correct default value for --with-ssh1 bz#2457 configure: --with-ssh1 のデフォルト値を修正する. bz#2457 * configure: better detection of _res symbol bz#2259 configure: _res シンボルの検出を改善 bz#2259 * support getrandom() syscall on Linux Linux の getrandom() システムコールをサポート