春山 征吾のくけー

https://www.unixuser.org/~haruyama/blog/ に移転しました http://wiki.livedoor.jp/haruyama_seigo/d/FrontPage @haruyama タイトルが思いつかないときはそのときかかってた曲をタイトルにしています.

2015年08月

OpenSSH 7.1/7.1p1 がリリースされました.

2015/08/21, OpenSSH 7.1/7.1p1 がリリースされました.

http://www.openssh.com/txt/release-7.1

Future deprecation notice
=========================

訳注: 7.0 と一緒です

We plan on retiring more legacy cryptography in the next release
including:

将来の廃止する機能の告知

 * Refusing all RSA keys smaller than 1024 bits (the current minimum
   is 768 bits)

   1024 ビットよりも小さなすべての RSA 鍵の拒否
   (現在の最小値は 768 ビット)

 * Several ciphers will be disabled by default: blowfish-cbc,
   cast128-cbc, all arcfour variants and the rijndael-cbc aliases
   for AES.

   いくつかの暗号をデフォルトで無効に:
   blowfish-cbc, cast128-cbc, すべての arcfour の変種,
   AES の rijndael-cbc 別名.

 * MD5-based HMAC algorithms will be disabled by default.

   MD5 ベースの HMAC アルゴリズムをデフォルトで無効に

This list reflects our current intentions, but please check the final
release notes for OpenSSH 7.1 when it is released.

このリストは我々の現在の意図を反映している. リリース時に OpenSSH 7.1 の
最終的なリリースノートを確認してほしい.

訳注: 7.1 は上記のようにママです.

Changes since OpenSSH 7.0
=========================

OpenSSH 7.0 からの変更点

This is a bugfix release.

バグ修正のリリース.

Security
--------

セキュリティ

 * sshd(8): OpenSSH 7.0 contained a logic error in PermitRootLogin=
   prohibit-password/without-password that could, depending on
   compile-time configuration, permit password authentication to
   root while preventing other forms of authentication. This problem
   was reported by Mantas Mikulenas.

   sshd(8): OpenSSH 7.0 は 
   PermitRootLogin=prohibit-password/without-password
   での論理的なエラーが含まれていた. コンパイル時の設定に依存して,
   他の認証方式を禁止し root へのパスワード認証を許可する場合がある.
   この問題は Mantas Mikulenas によって報告された.

Bugfixes
--------

バグ修正

 * ssh(1), sshd(8): add compatability workarounds for FuTTY

   ssh(1), sshd(8): FuTTY への互換性対策を追加する

 * ssh(1), sshd(8): refine compatability workarounds for WinSCP

   ssh(1), sshd(8): WinSCP への互換性対策を洗練する

 * Fix a number of memory faults (double-free, free of uninitialised
   memory, etc) in ssh(1) and ssh-keygen(1). Reported by Mateusz
   Kocielski.

   ssh(1) と ssh-keygen(1) にあったメモリ管理の多数の間違い
   (dobule-free, 初期化していないメモリの free など)
   修正する. Mateusz Kocielski によって報告.

2015/08/19 カラオケに行きました

  1. Ride Hard Live Free - Riot
  2. トゥッティ - 北宇治カルテット
  3. START:DASH - μ's
  4. she-wolf - Megadeth
  5. ドスコイ人生 - 松平健/日野美歌
  6. Miracle Man - Ozzy Osbourne
  7. 乙女の心理学 - モーニング娘。
  8. Shake Hip! - 米米クラブ
  9. Road Racin' - Riot
  10. Goodbye To Romance - Ozzy Osbourne
  11. Revolution Has Come - 聖飢魔II
  12. Don't Stop Me Now - Queen
  13. ふ・れ・ん・ど・し・た・い - 学園生活部
  14. あなたのお耳にプラグイン! - イヤホンズ
  15. Heartwork - Carcass
  16. Soldier Of Fortune - Loudness
  17. Ring Ring Rainbow - ゆいかおり
  18. Heats - 影山ヒロノブ
  19. Kill With Power - Manowar
  20. Riot - Riot
  21. Wings Are For Angels - Riot
  22. Warrior - Riot
  23. Thundersteel - Riot

9,10,11月に Riot, Loudpark, Ozzfest に行く予定です.

OpenSSH 7.0/7.0p1 がリリースされました.

2015/08/11, OpenSSH 7.0/7.0p1 がリリースされました.

Future deprecation notice
=========================

将来の廃止する機能の告知

We plan on retiring more legacy cryptography in the next release
including:

次のリリースで, 以下を含むさらなるレガシーな暗号方式を引退させる計画
がある.

 * Refusing all RSA keys smaller than 1024 bits (the current minimum
   is 768 bits)

   1024 ビットよりも小さなすべての RSA 鍵の拒否
   (現在の最小値は 768 ビット)

 * Several ciphers will be disabled by default: blowfish-cbc,
   cast128-cbc, all arcfour variants and the rijndael-cbc aliases
   for AES.

   いくつかの暗号をデフォルトで無効に:
   blowfish-cbc, cast128-cbc, すべての arcfour の変種,
   AES の rijndael-cbc 別名.

 * MD5-based HMAC algorithms will be disabled by default.

   MD5 ベースの HMAC アルゴリズムをデフォルトで無効に

This list reflects our current intentions, but please check the final
release notes for OpenSSH 7.1 when it is released.

このリストは我々の現在の意図を反映している. リリース時に OpenSSH 7.1 の
最終的なリリースノートを確認してほしい.

Changes since OpenSSH 6.9
=========================

OpenSSH 6.9 からの変更点

This focus of this release is primarily to deprecate weak, legacy
and/or unsafe cryptography.

このリリースの焦点は, 主として 弱く, レガシー かつ/ないし 安全でない
暗号の廃止だ.

Security
--------

セキュリティ

 * sshd(8): OpenSSH 6.8 and 6.9 incorrectly set TTYs to be world-
   writable. Local attackers may be able to write arbitrary messages
   to logged-in users, including terminal escape sequences.
   Reported by Nikolay Edigaryev.

   sshd(8): OpneSSH 6.8 と 6.9 は, TTY を world-writable に
   間違って設定する. ローカルの攻撃者が, ログインしているユーザに
   ターミナルのエスケープシーケンスを含む, 任意のメッセージを
   書くことができる. Nikolay Edigaryev によって報告.

 * sshd(8): Portable OpenSSH only: Fixed a privilege separation
   weakness related to PAM support. Attackers who could successfully
   compromise the pre-authentication process for remote code
   execution and who had valid credentials on the host could
   impersonate other users.  Reported by Moritz Jodeit.

   sshd(8): 移植版 OpenSSH のみ: PAM サポートに関連する特権分離の
   弱点の修正. リモートコード実行のための認証前のプロセスの攻撃に
   成功しホストの有効な認証情報を取得した攻撃者が,
   他のユーザになりすますことができる. Moritz Jodeit により報告.

 * sshd(8): Portable OpenSSH only: Fixed a use-after-free bug
   related to PAM support that was reachable by attackers who could
   compromise the pre-authentication process for remote code
   execution. Also reported by Moritz Jodeit.

   sshd(8): 移植版 OpenSSH のみ: PAM サポートに関連する
   use-after-free バグの修正. これは, リモートコード実行のための
   認証前プロセスを攻撃する攻撃者に到達可能だ.

 * sshd(8): fix circumvention of MaxAuthTries using keyboard-
   interactive authentication. By specifying a long, repeating
   keyboard-interactive "devices" string, an attacker could request
   the same authentication method be tried thousands of times in
   a single pass. The LoginGraceTime timeout in sshd(8) and any
   authentication failure delays implemented by the authentication
   mechanism itself were still applied. Found by Kingcope.

   sshd(8): keyboard-interactive 認証を用いる MaxAuthTries の迂回の修正.
   長く, リピートする keyboard-interactive "device" 文字列を指定して,
   攻撃者が同じ認証法を1つのパスで何千回も試すことができる.
   sshd(8) の LoginGraceTime タイムアウトや認証メカニズム自体に
   実装された認証の失敗の遅延は, それでも適用されていた. 
   Kingcope により発見

Potentially-incompatible Changes
--------------------------------

非互換な可能性のある先行

 * Support for the legacy SSH version 1 protocol is disabled by
   default at compile time.

   コンパイル時にデフォルトで レガシーな SSH version 1 プロトコルの
   サポートを無効にする

 * Support for the 1024-bit diffie-hellman-group1-sha1 key exchange
   is disabled by default at run-time. It may be re-enabled using
   the instructions at http://www.openssh.com/legacy.html

   実行時にデフォルトで 1024 ビットの diffie-hellman-group1-sha1 
   鍵交換のサポートを無効にする. 
   http://www.openssh.com/legacy.html の指示に従えば再び有効にできる.

 * Support for ssh-dss, ssh-dss-cert-* host and user keys is disabled
   by default at run-time. These may be re-enabled using the
   instructions at http://www.openssh.com/legacy.html

   実行時にデフォルトで, ssh-dss, ssh-dss-cert-*
   ホスト/ユーザ鍵のサポートを無効にする.
   http://www.openssh.com/legacy.html の指示に従えば再び有効にできる.

 * Support for the legacy v00 cert format has been removed.

   レガシーな v00 証明書フォーマットのサポートが取り除かれた.

 * The default for the sshd_config(5) PermitRootLogin option has
   changed from "yes" to "prohibit-password".

   ssh_config(5) での PermitRootLogin 設定項目のデフォルトが
   "yes" から "prohibit-password" に変更された.

 * PermitRootLogin=without-password/prohibit-password now bans all
   interactive authentication methods, allowing only public-key,
   hostbased and GSSAPI authentication (previously it permitted
   keyboard-interactive and password-less authentication if those
   were enabled).

   PermitRootLogin=without-password/prohibit-password は, すべての
   インタラクティブな認証法を今や禁止する. 公開鍵とホストベース,
   GSSAPI 認証のみが許可される. (以前は, keyboard-interactive と
   パスワードなしの認証が それが有効なら許可されていた.)

New Features
------------

新機能

 * ssh_config(5): add PubkeyAcceptedKeyTypes option to control which
   public key types are available for user authentication.

   ssh_config(5): PubkeyAcceptedKeyTypes 設定項目を追加.
   ユーザ認証に利用できる公開鍵の種類を制御する.

 * sshd_config(5): add HostKeyAlgorithms option to control which
   public key types are offered for host authentications.

   sshd_config(5): HostKeyAlgorithms 設定項目を追加.
   ホスト認証に提供する公開鍵の種類を制御する.

 * ssh(1), sshd(8): extend Ciphers, MACs, KexAlgorithms,
   HostKeyAlgorithms, PubkeyAcceptedKeyTypes and HostbasedKeyTypes
   options to allow appending to the default set of algorithms
   instead of replacing it. Options may now be prefixed with a '+'
   to append to the default, e.g. "HostKeyAlgorithms=+ssh-dss".

   ssh(1), sshd(8): Ciphers と MACs, KexAlgorithms, HostKeyAlgorithms,
   PubkeyAcceptedKeyTypes, HostbasedKeyTypes 設定項目を,
   デフォルトのアルゴリズムのセットを置換する代わりに
   追加できるように拡張する. 設定項目をデフォルトに追加するには
   "HostKeyAlgorithms=+ssh-dss" のように '+' を前につける.

 * sshd_config(5): PermitRootLogin now accepts an argument of
   'prohibit-password' as a less-ambiguous synonym of 'without-
   password'.

   sshd_config(5): PermitRootLogin は, 'prohibit-password' 引数を
   受けつける. これは 'without-password' と同義で, よりあいまいでない.

Bugfixes
--------

バグ修正

 * ssh(1), sshd(8): add compatability workarounds for Cisco and more
   PuTTY versions. bz#2424

   ssh(1), sshd(8): Cisco や PuTTY のより多くのバージョンについて
   互換性に関する回避策を追加する. bz#2424

 * Fix some omissions and errors in the PROTOCOL and PROTOCOL.mux
   documentation relating to Unix domain socket forwarding;
   bz#2421 bz#2422

   Unix ドメインソケットの転送に関する PROTOCOL と PROTOCOL.mux 文書
   の抜けやエラーを修正する; bz#2421 bz#2422

 * ssh(1): Improve the ssh(1) manual page to include a better
   description of Unix domain socket forwarding; bz#2423

   ssh(1): Unix ドメインソケットの転送のよりより記述を含む
   ssh(1) マニュアルページの改善; bz#2423

 * ssh(1), ssh-agent(1): skip uninitialised PKCS#11 slots, fixing
   failures to load keys when they are present. bz#2427

   ssh(1), ssh-agent(1): 初期化されてない PKCS#11 スロットをスキップし,
   これらが存在する鍵をロードする際の失敗を修正する. bz#2427

 * ssh(1), ssh-agent(1): do not ignore PKCS#11 hosted keys that wth
   empty CKA_ID; bz#2429

   ssh(1), ssh-agent(1): 空の CKA_ID を持つ PKCS#11 ホスト鍵を
   無視しない.

 * sshd(8): clarify documentation for UseDNS option; bz#2045

   sshd(8): UseDNS 設定項目の記述を明確にする; bz#2045

Portable OpenSSH
----------------

移植版 OpenSSH

 * Check realpath(3) behaviour matches what sftp-server requires and
   use a replacement if necessary.

   realpath(3) の動作が sftp-server の要求と一致するかチェックし,
   必要ならば代替を用いる.
 
QRコード
QRコード
  • ライブドアブログ