春山 征吾のくけー

https://www.unixuser.org/~haruyama/blog/ に移転しました http://wiki.livedoor.jp/haruyama_seigo/d/FrontPage @haruyama タイトルが思いつかないときはそのときかかってた曲をタイトルにしています.

2016年02月

OpenSSH 7.2 がリリースされました

2016/02/29, OpenSSH 7.2 がリリースされました.

バグ修正が中心のリリースです. 互換性に影響がありえる変更として, いくつかの暗号方式がデフォルトで無効になっています.

http://www.openssh.com/txt/release-7.2

Future deprecation notice
=========================

将来の廃止する機能の告知

We plan on retiring more legacy cryptography in a near-future
release, specifically:

近い将来 さらなるレガシーな暗号を退役させる予定だ.

具体的には,

 * Refusing all RSA keys smaller than 1024 bits (the current minimum
   is 768 bits)

* 1024 ビットよりも小さいすべての RSA 鍵を拒否する
  (現在の最小値は 768 ビット)

This list reflects our current intentions, but please check the final
release notes for future releases.

このリストは現在の我々の意図を反映している. ただし,
将来のリリースでの最終的なリリースノートをチェックしてほしい

Potentially-incompatible changes
================================

非互換な可能性がある変更

This release disables a number of legacy cryptographic algorithms
by default in ssh:

このリリースでは ssh で多くのレガシーな暗号アルゴリズムを
デフォルトで無効にする.

 * Several ciphers blowfish-cbc, cast128-cbc, all arcfour variants
   and the rijndael-cbc aliases for AES.

   blowfish-cbc, cast128-cbc, arcfour のすべての変種
   AES の rijndael-cbc 別名.

 * MD5-based and truncated HMAC algorithms.

   MD5 ベースの HMAC アルゴリズム

These algorithms are already disabled by default in sshd.

以上のアルゴリズムは sshd では すでに無効になっている.

Changes since OpenSSH 7.1p2
===========================

OpenSSH 7.1p2 からの変更点

This is primarily a bugfix release.

これは主にバグ修正のリリースだ.

Security
--------

セキュリティ

 * ssh(1), sshd(8): remove unfinished and unused roaming code (was
   already forcibly disabled in OpenSSH 7.1p2).

   ssh(1), sshd(8): 完了しておらず利用されてなかった roaming のコード
   を削除する (OpenSSH 7.1p2 ですでに強制的に無効となっている)

 * ssh(1): eliminate fallback from untrusted X11 forwarding to
   trusted forwarding when the X server disables the SECURITY
   extension.

   ssh(1): X サーバが SECURITY 拡張を無効にしている場合に
   信頼されていない X11 転送を 信頼されている転送で
   代替するのを除去する.

 * ssh(1), sshd(8): increase the minimum modulus size supported for
   diffie-hellman-group-exchange to 2048 bits.

   ssh(1), sshd(8): diffie-hellman-group-exchange でサポートする
   最小のモジュラスのサイズを 2048 ビットに増加する.

 * sshd(8): pre-auth sandboxing is now enabled by default (previous
   releases enabled it for new installations via sshd_config).

   sshd(8): 認証前のサンドボックス化がデフォルトで有効になった
   (以前のリリースは, sshd_config を新規にインストールする際に
   有効にしていた).

New Features
------------

新機能

 * all: add support for RSA signatures using SHA-256/512 hash
   algorithms based on draft-rsa-dsa-sha2-256-03.txt and
   draft-ssh-ext-info-04.txt.

   すべて: draft-rsa-dsa-sha2-256-03.txt と draft-ssh-ext-info-04.txt
   に基づく SHA-256/512 を用いる RSA 署名のサポートを追加する

 * ssh(1): Add an AddKeysToAgent client option which can be set to
   'yes', 'no', 'ask', or 'confirm', and defaults to 'no'.  When
   enabled, a private key that is used during authentication will be
   added to ssh-agent if it is running (with confirmation enabled if
   set to 'confirm').

   ssh(1): AddKeysToAgent クライアント設定項目を追加する.
   'yes', 'no', 'ask', 'confirm' が設定でき デフォルトは 'no' だ.
   有効になると, ssh-agent が動いている場合に認証に用いられる秘密鍵が
   ssh-agent に追加される. 'confirm' の場合は確認が行なわれる.

 * sshd(8): add a new authorized_keys option "restrict" that includes
   all current and future key restrictions (no-*-forwarding, etc.).
   Also add permissive versions of the existing restrictions, e.g.
   "no-pty" -> "pty". This simplifies the task of setting up
   restricted keys and ensures they are maximally-restricted,
   regardless of any permissions we might implement in the future.

   sshd(8): authorized_keys のオプションに "restrict" を追加する.
   これは, (no-*-forwarding などの) 現在と将来のすべての制限を含む.
   さらに, 現在の制限の許可バージョンも追加する. つまり,
   "no-pty" -> "pty". これにより, 制限付きの鍵の設定のタスクが
   単純化し, 将来実装するすべての許可に関係なく
   鍵が最大に制限されていることを圃場できる.

 * ssh(1): add ssh_config CertificateFile option to explicitly list
   certificates. bz#2436

   ssh(1): ssh_config に 証明書を明示的に列挙する CertificateFile
   設定項目を追加する. bz#2436

 * ssh-keygen(1): allow ssh-keygen to change the key comment for all
   supported formats.

   ssh-keygen(1): すべてのサポートする形式について ssh-keygen が
   鍵のコメントを変更できるようにする

 * ssh-keygen(1): allow fingerprinting from standard input, e.g.
   "ssh-keygen -lf -"

   ssh-keygen(1): 標準入力からの指紋表示をできるようにする.
   つまり, "ssh-keygen -lf -"

 * ssh-keygen(1): allow fingerprinting multiple public keys in a
   file, e.g. "ssh-keygen -lf ~/.ssh/authorized_keys" bz#1319

   ssh-keygen(1): ファイルに含まれる複数の公開鍵の指紋表示を
   できるようにする. つまり
   "ssh-keygen -lf ~/.ssh/authorized_keys" bz#1319

 * sshd(8): support "none" as an argument for sshd_config
   Foreground and ChrootDirectory. Useful inside Match blocks to
   override a global default. bz#2486

   sshd(8): sshd_config の Foreground と ChrootDirectory の引数に
   "none" をサポートする. グローバルなデフォルトを Match ブロックの中で
   上書きするのに有用. bz#2486

 * ssh-keygen(1): support multiple certificates (one per line) and
   reading from standard input (using "-f -") for "ssh-keygen -L"

   ssh-keygen(1): (行ごとに1つの)複数の証明書と, (using "-f -" を用いる)
   標準入力からの読み込みを "ssh-keygen -L" でサポートする

 * ssh-keyscan(1): add "ssh-keyscan -c ..." flag to allow fetching
   certificates instead of plain keys.

   ssh-keyscan(1): 生の鍵の変わりに証明書を取得する "ssh-keyscan -c ..."
   フラグを追加する

 * ssh(1): better handle anchored FQDNs (e.g. 'cvs.openbsd.org.') in
   hostname canonicalisation - treat them as already canonical and
   remove the trailing '.' before matching ssh_config.

   ssh(1): anchored (訳注: ここでは . が最後に着いているということ?)
   FQDN (例えば 'csv.openbsd.org.') をよりよく扱う.
   すでに正規化済みとして扱い,  ssh_config でマッチする前に 末尾の '.' を取り除く.

Bugfixes
--------

バグ修正

 * sftp(1): existing destination directories should not terminate
   recursive uploads (regression in openssh 6.8) bz#2528

   sftp(1): 送信先のディレクトリ存在しても再帰的なアップロードを
   終了させない (openssh 6.8 で導入された不具合) bz#2528

 * ssh(1), sshd(8): correctly send back SSH2_MSG_UNIMPLEMENTED
   replies to unexpected messages during key exchange. bz#2949

   ssh(1), sshd(8): 鍵交換で予期しないメッセージに対して
   正しく SSH2_MSG_UNIMPLEMENTED を送り返す.
   bz#2949

 * ssh(1): refuse attempts to set ConnectionAttempts=0, which does
   not make sense and would cause ssh to print an uninitialised stack
   variable. bz#2500

   ssh(1): ConnectionAttempts=0 を設定しようという試みを拒否する.
   これは 意味がないし, 初期化してないスタック変数を ssh に印字させよう
   とする. bz#2500

 * ssh(1): fix errors when attempting to connect to scoped IPv6
   addresses with hostname canonicalisation enabled.

   ssh(1): ホスト名の正規化が有効な場合に scoped IPv6 アドレスに
   接続しようとした場合のエラーを修正する

 * sshd_config(5): list a couple more options usable in Match blocks.
   bz#2489

   sshd_config(5): Match ブロックで利用可能ないくつかの設定項目を
   列挙(追加)する.

 * sshd(8): fix "PubkeyAcceptedKeyTypes +..." inside a Match block.

   Match ブロック内の "PubkeyAcceptedKeyTypes +..." を修正する

 * ssh(1): expand tilde characters in filenames passed to -i options
   before checking whether or not the identity file exists. Avoids
   confusion for cases where shell doesn't expand (e.g. "-i ~/file"
   vs. "-i~/file"). bz#2481

   ssh(1): -i オプションで, identity ファイルが存在するかどうかのチェック
   より前に ファイル名のチルダ文字を展開する. シェルが展開しない場合
   (つまり "-i ~/file" と "-i~/file") での混乱を避ける. bz#2481

 * ssh(1): do not prepend "exec" to the shell command run by "Match
   exec" in a config file, which could cause some commands to fail
   in certain environments. bz#2471

   ssh(1): コンフィグファイルで "Match exec" で走るシェルコマンドに
   exec を前に付けない. 特定の環境でコマンドが失敗する. bz#2471

 * ssh-keyscan(1): fix output for multiple hosts/addrs on one line
   when host hashing or a non standard port is in use bz#2479

   ssh-keyscan(1): ホストがハッシュされていたり標準でないポートが
   利用されている場合に, 一行での複数のホスト/アドレスの出力を修正
   bz#2479

 * sshd(8): skip "Could not chdir to home directory" message when
   ChrootDirectory is active. bz#2485

   sshd(8): ChrootDirectory が有効な場合に, 
   "Could not chdir to home directory" メッセージをスキップする.
   bz#2485

 * ssh(1): include PubkeyAcceptedKeyTypes in ssh -G config dump.

   ssh(1): PubkeyAcceptedKeyTypes を ssh -G config dump に含める.

 * sshd(8): avoid changing TunnelForwarding device flags if they are
   already what is needed; makes it possible to use tun/tap
   networking as non-root user if device permissions and interface
   flags are pre-established

   sshd(8): もし必要なものがすでにある場合にトンネル転送のデバイスの
   フラグの変更を避ける. デバイスのパーミッションとインターフェイス
   フラグがすでに確立している場合に, ルートでないユーザが
   tun/tap ネットワークを利用できるようにする.

 * ssh(1), sshd(8): RekeyLimits could be exceeded by one packet.
   bz#2521

   ssh(1), sshd(8): RekeyLimits が 1パケットで超過するようにする.
   bz#2521

 * ssh(1): fix multiplexing master failure to notice client exit.

   ssh(1): クライアントの終了を通知するため, 多重化マスターの
   失敗を修正する.

 * ssh(1), ssh-agent(1): avoid fatal() for PKCS11 tokens that present
   empty key IDs. bz#1773

   ssh(1), ssh-agent(1): 空の鍵の ID を持つ PKCS11 トークンで
   fatal() が起きるのを避ける.

 * sshd(8): avoid printf of NULL argument. bz#2535

   NULl 引数での printf を避ける. bz#2535

 * ssh(1), sshd(8): allow RekeyLimits larger than 4GB. bz#2521

   ssh(1), sshd(8): 4GB より大きい RekeyLimits を許可する. bz#2521

 * ssh-keygen(1): sshd(8): fix several bugs in (unused) KRL signature
   support.

   ssh-keygen(1): sshd(8): (利用していない) KRL 署名サポートの
   複数のバグを修正する.

 * ssh(1), sshd(8): fix connections with peers that use the key
   exchange guess feature of the protocol. bz#2515

   ssh(1), sshd(8): プロトコルの鍵交換推測機能を用いる相手との
   接続を修正する. bz#2515

 * sshd(8): include remote port number in log messages. bz#2503

   sshd(8): ログメッセージにリモートのポート番号を含める. bz#2503

 * ssh(1): don't try to load SSHv1 private key when compiled without
   SSHv1 support. bz#2505

   ssh(1): SSHv1 サポート抜きでコンパイルされた場合に,
   SSHv1 秘密鍵をロードしようとしない. bz#2505

 * ssh-agent(1), ssh(1): fix incorrect error messages during key
   loading and signing errors. bz#2507

   ssh-agent(1), ssh(1): 鍵のロードと署名のエラーでの不正確な
   エラーメッセージを修正する.

 * ssh-keygen(1): don't leave empty temporary files when performing
   known_hosts file edits when known_hosts doesn't exist.

   ssh-keygen(1): known_hosts ファイルが存在しない場合に
   known_hosts ファイルを編集する際に,
   空のテンポラリファイルを削除しない.

 * sshd(8): correct packet format for tcpip-forward replies for
   requests that don't allocate a port bz#2509

   sshd(8): ポートを割り当てていない tcpip-forward 要求への
   応答で パケット形式を修正する.

 * ssh(1), sshd(8): fix possible hang on closed output. bz#2469

   ssh(1), sshd(8): 閉じた出力でハングする場合があるのを修正する.
   bz#2469

 * ssh(1): expand %i in ControlPath to UID. bz#2449

   ssh(1): ControlPath で %i を UID に展開する. bz#2449

 * ssh(1), sshd(8): fix return type of openssh_RSA_verify. bz#2460

   ssh(1), sshd(8): openssh_RSA_verify の返り値の方を修正する. bz#2460

 * ssh(1), sshd(8): fix some option parsing memory leaks. bz#2182

   ssh(1), sshd(8): オプションのパースでのメモリリークを修正する.
   bz#2182

 * ssh(1): add a some debug output before DNS resolution; it's a
   place where ssh could previously silently stall in cases of
   unresponsive DNS servers. bz#2433

   ssh(1): DNS 解決の前にいくつかのデバッグ出力を追加する.
   DNS サーバが応答しない場合に 以前は ssh は 静かに 動かなくなる
   ことがあった場所だ.

 * ssh(1): remove spurious newline in visual hostkey. bz#2686

   ssh(1): バーチャルなホスト鍵中の偽の改行を削除する. bz#2686

 * ssh(1): fix printing (ssh -G ...) of HostKeyAlgorithms=+...

   ssh(1): HostKeyAlgorithms=+... のときの (ssh -G ...) の出力を
   修正する.

 * ssh(1): fix expansion of HostkeyAlgorithms=+...

   HostkeyAlgorithms=+... の展開を修正する.

Documentation
-------------

文書

 * ssh_config(5), sshd_config(5): update default algorithm lists to
   match current reality. bz#2527
   
   ssh_config(5), sshd_config(5): デフォルトのアルゴリズムのリストを
   現状に一致するよう更新する. bz#2527

 * ssh(1): mention -Q key-plain and -Q key-cert query options.
   bz#2455

   ssh(1): -Q key-plain と -Q key-cert について言及する.
   bz#2455

 * sshd_config(8): more clearly describe what AuthorizedKeysFile=none
   does.

   sshd_config(8): AuthorizedKeysFile=none がなにを行なうかについて
   より明確に記述する.

 * ssh_config(5): better document ExitOnForwardFailure. bz#2444

   ssh_config(5): ExitOnForwardFailure についての記述を改善.
   bz#2444

 * sshd(5): mention internal DH-GEX fallback groups in manual.
   bz#2302

   sshd(5): 手動での 内部 DH-GEX フォールバックグループ について
   記述する.

 * sshd_config(5): better description for MaxSessions option.
   bz#2531

   sshd_config(5): MaxSessions 設定項目の記述を改善.
   bz#2531

Portability
-----------

移植性

 * ssh(1), sftp-server(8), ssh-agent(1), sshd(8): Support Illumos/
   Solaris fine-grained privileges. Including a pre-auth privsep
   sandbox and several pledge() emulations. bz#2511

 * ssh(1), sftp-server(8), ssh-agent(1), sshd(8): Illumos/ Solaris
   fine-grained privileges をサポートする. 認証前特権分離の
   sandbox と 複数の pledge() エミュレーションを含んでいる.
   bz#2511

 * Renovate redhat/openssh.spec, removing deprecated options and
   syntax.

   非推奨のオプションや文法を削除して redhat/openssh.spec を刷新する.

 * configure: allow --without-ssl-engine with --without-openssl

   configure: --without-openssl と --without-ssl-engine が共存できる

 * sshd(8): fix multiple authentication using S/Key. bz#2502

   sshd(8): S/Key を用いる複数認証を修正する. bz#2502

 * sshd(8): read back from libcrypto RAND_* before dropping
   privileges.  Avoids sandboxing violations with BoringSSL.

   sshd(8): 特権を落す前に libcrypto の RAND_* から
   読み直す. BoringSSL を利用する場合に サンドボックスの
   破壊を回避する.

 * Fix name collision with system-provided glob(3) functions.
   bz#2463

   system が提供する glob(3) 関数の名前衝突を修正する.
   bz#2463

 * Adapt Makefile to use ssh-keygen -A when generating host keys.
   bz#2459

   ホスト鍵作成の際に ssh-keygen -A を用いるように Makefile を
   変更する. bz#2459

 * configure: correct default value for --with-ssh1 bz#2457

   configure: --with-ssh1 のデフォルト値を修正する. bz#2457

 * configure: better detection of _res symbol bz#2259

   configure: _res シンボルの検出を改善 bz#2259

 * support getrandom() syscall on Linux

   Linux の getrandom() システムコールをサポート

2016/02/23 カラオケに行きました

2/19 に聖飢魔IIのミサに行ったので, 聖飢魔IIの曲だけ歌いました.

  1. アダムの林檎
  2. Winner!
  3. 怪奇植物
  4. The End Of The Century
  5. Demon's Night
  6. 悪魔の讚美歌
  7. Jack The Ripper
  8. 蝋人形の館
  9. Fire After Fire
  10. Go Ahead!
  11. 秘密の花園
  12. BAD AGAIN 〜美しき反逆〜
  13. Brand New Song
  14. EL・DO・RA・DO
  15. 地獄の皇太子
  16. Masquerade
  17. 悪魔組曲作品666番ニ短調
  18. 野獣
  19. 地獄の皇太子は二度死ぬ
  20. 1999 Secret Object
  21. Heavy Metal Is Dead

OpenSSH 7.2 がリリース準備中 / Call for testing: OpenSSH 7.2

OpenSSH 7.2 がリリース準備中です.

主にバグ修正のリリースですが, もりだくさんです.

http://marc.info/?l=openssh-unix-dev&m=145525121407930&w=2

Future deprecation notice
=========================

将来の廃止する機能の告知

We plan on retiring more legacy cryptography in a near-future
release, specifically:

近い将来 さらなるレガシーな暗号を退役させる予定だ.

具体的には,

 * Refusing all RSA keys smaller than 1024 bits (the current minimum
   is 768 bits)

* 1024 ビットよりも小さいすべての RSA 鍵を拒否する
  (現在の最小値は 768 ビット)

This list reflects our current intentions, but please check the final
release notes for future releases.

このリストは現在の我々の意図を反映している. ただし,
将来のリリースでの最終的なリリースノートをチェックしてほしい

Potentially-incompatible changes
================================

非互換な可能性がある変更

This release disables a number of legacy cryptographic algorithms
by default in ssh:

このリリースでは ssh で多くのレガシーな暗号アルゴリズムを
デフォルトで無効にする.

 * Several ciphers blowfish-cbc, cast128-cbc, all arcfour variants
   and the rijndael-cbc aliases for AES.

   blowfish-cbc, cast128-cbc, arcfour のすべての変種
   AES の rijndael-cbc 別名.

 * MD5-based and truncated HMAC algorithms.

   MD5 ベースの HMAC アルゴリズム

These algorithms are already disabled by default in sshd.

以上のアルゴリズムは sshd では すでに無効になっている.

Changes since OpenSSH 7.1p2
===========================

OpenSSH 7.1p2 からの変更点

This is primarily a bugfix release.

これは主にバグ修正のリリースだ.

Security
--------

セキュリティ

 * ssh(1), sshd(8): remove unfinished and unused roaming code (was
   already forcibly disabled in OpenSSH 7.1p2).

   ssh(1), sshd(8): 完了しておらず利用されてなかった roaming のコード
   を削除する (OpenSSH 7.1p2 ですでに強制的に無効となっている)

 * ssh(1): eliminate fallback from untrusted X11 forwarding to
   trusted forwarding when the X server disables the SECURITY
   extension.

   ssh(1): X サーバが SECURITY 拡張を無効にしている場合に
   信頼されていない X11 転送を 信頼されている転送で
   代替するのを除去する.

 * ssh(1), sshd(8): increase the minimum modulus size supported for
   diffie-hellman-group-exchange to 2048 bits.

   ssh(1), sshd(8): diffie-hellman-group-exchange でサポートする
   最小のモジュラスのサイズを 2048 ビットに増加する.

New Features
------------

新機能

 * all: add support for RSA signatures using SHA-256/512 hash
   algorithms based on draft-rsa-dsa-sha2-256-03.txt and
   draft-ssh-ext-info-04.txt.

   すべて: draft-rsa-dsa-sha2-256-03.txt と draft-ssh-ext-info-04.txt
   に基づく SHA-256/512 を用いる RSA 署名のサポートを追加する

 * ssh(1): Add an AddKeysToAgent client option which can be set to
   'yes', 'no', 'ask', or 'confirm', and defaults to 'no'.  When
   enabled, a private key that is used during authentication will be
   added to ssh-agent if it is running (with confirmation enabled if
   set to 'confirm').

   ssh(1): AddKeysToAgent クライアント設定項目を追加する.
   'yes', 'no', 'ask', 'confirm' が設定でき デフォルトは 'no' だ.
   有効になると, ssh-agent が動いている場合に認証に用いられる秘密鍵が
   ssh-agent に追加される. 'confirm' の場合は確認が行なわれる.

 * sshd(8): add a new authorized_keys option "restrict" that includes
   all current and future key restrictions (no-*-forwarding, etc.).
   Also add permissive versions of the existing restrictions, e.g.
   "no-pty" -> "pty". This simplifies the task of setting up
   restricted keys and ensures they are maximally-restricted,
   regardless of any permissions we might implement in the future.

   sshd(8): authorized_keys のオプションに "restrict" を追加する.
   これは, (no-*-forwarding などの) 現在と将来のすべての制限を含む.
   さらに, 現在の制限の許可バージョンも追加する. つまり,
   "no-pty" -> "pty". これにより, 制限付きの鍵の設定のタスクが
   単純化し, 将来実装するすべての許可に関係なく
   鍵が最大に制限されていることを圃場できる.

 * ssh(1): add ssh_config CertificateFile option to explicitly list
   certificates. bz#2436

   ssh(1): ssh_config に 証明書を明示的に列挙する CertificateFile
   設定項目を追加する. bz#2436

 * ssh-keygen(1): allow ssh-keygen to change the key comment for all
   supported formats.

   ssh-keygen(1): すべてのサポートする形式について ssh-keygen が
   鍵のコメントを変更できるようにする

 * ssh-keygen(1): allow fingerprinting from standard input, e.g.
   "ssh-keygen -lf -"

   ssh-keygen(1): 標準入力からの指紋表示をできるようにする.
   つまり, "ssh-keygen -lf -"

 * ssh-keygen(1): allow fingerprinting multiple public keys in a
   file, e.g. "ssh-keygen -lf ~/.ssh/authorized_keys" bz#1319

   ssh-keygen(1): ファイルに含まれる複数の公開鍵の指紋表示を
   できるようにする. つまり
   "ssh-keygen -lf ~/.ssh/authorized_keys" bz#1319

 * sshd(8): support "none" as an argument for sshd_config
   Foreground and ChrootDirectory. Useful inside Match blocks to
   override a global default. bz#2486

   sshd(8): sshd_config の Foreground と ChrootDirectory の引数に
   "none" をサポートする. グローバルなデフォルトを Match ブロックの中で
   上書きするのに有用. bz#2486

 * ssh-keygen(1): support multiple certificates (one per line) and
   reading from standard input (using "-f -") for "ssh-keygen -L"

   ssh-keygen(1): (行ごとに1つの)複数の証明書と, (using "-f -" を用いる)
   標準入力からの読み込みを "ssh-keygen -L" でサポートする

 * ssh-keyscan(1): add "ssh-keyscan -c ..." flag to allow fetching
   certificates instead of plain keys.

   ssh-keyscan(1): 生の鍵の変わりに証明書を取得する "ssh-keyscan -c ..."
   フラグを追加する

 * ssh(1): better handle anchored FQDNs (e.g. 'cvs.openbsd.org.') in
   hostname canonicalisation - treat them as already canonical and
   trailing '.' before matching ssh_config.

   ssh(1): anchored (訳注: ここでは . が最後に着いているということ?)
   FQDN (例えば 'csv.openbsd.org.') をよりよく扱う.
   すでに正規化済みとして扱い,  ssh_config でマッチする前に 末尾の '.' を取り除く.

Bugfixes
--------

バグ修正

 * sftp(1): existing destination directories should not terminate
   recursive uploads (regression in openssh 6.8) bz#2528

   sftp(1): 送信先のディレクトリ存在しても再帰的なアップロードを
   終了させない (openssh 6.8 で導入された不具合) bz#2528

 * ssh(1), sshd(8): correctly send back SSH2_MSG_UNIMPLEMENTED
   replies to unexpected messages during key exchange. bz#2949

   ssh(1), sshd(8): 鍵交換で予期しないメッセージに対して
   正しく SSH2_MSG_UNIMPLEMENTED を送り返す.
   bz#2949

 * ssh(1): refuse attempts to set ConnectionAttempts=0, which does
   not make sense and would cause ssh to print an uninitialised stack
   variable. bz#2500

   ssh(1): ConnectionAttempts=0 を設定しようという試みを拒否する.
   これは 意味がないし, 初期化してないスタック変数を ssh に印字させよう
   とする. bz#2500

 * ssh(1): fix errors when attempting to connect to scoped IPv6
   addresses with hostname canonicalisation enabled.

   ssh(1): ホスト名の正規化が有効な場合に scoped IPv6 アドレスに
   接続しようとした場合のエラーを修正する

 * sshd_config(5): list a couple more options usable in Match blocks.
   bz#2489

   sshd_config(5): Match ブロックで利用可能ないくつかの設定項目を
   列挙(追加)する.

 * sshd(8): fix "PubkeyAcceptedKeyTypes +..." inside a Match block.

   Match ブロック内の "PubkeyAcceptedKeyTypes +..." を修正する

 * ssh(1): expand tilde characters in filenames passed to -i options
   before checking whether or not the identity file exists. Avoids
   confusion for cases where shell doesn't expand (e.g. "-i ~/file"
   vs. "-i~/file"). bz#2481

   ssh(1): -i オプションで, identity ファイルが存在するかどうかのチェック
   より前に ファイル名のチルダ文字を展開する. シェルが展開しない場合
   (つまり "-i ~/file" と "-i~/file") での混乱を避ける. bz#2481

 * ssh(1): do not prepend "exec" to the shell command run by "Match
   exec" in a config file, which could cause some commands to fail
   in certain environments. bz#2471

   ssh(1): コンフィグファイルで "Match exec" で走るシェルコマンドに
   exec を前に付けない. 特定の環境でコマンドが失敗する. bz#2471

 * ssh-keyscan(1): fix output for multiple hosts/addrs on one line
   when host hashing or a non standard port is in use bz#2479

   ssh-keyscan(1): ホストがハッシュされていたり標準でないポートが
   利用されている場合に, 一行での複数のホスト/アドレスの出力を修正
   bz#2479

 * sshd(8): skip "Could not chdir to home directory" message when
   ChrootDirectory is active. bz#2485

   sshd(8): ChrootDirectory が有効な場合に, 
   "Could not chdir to home directory" メッセージをスキップする.
   bz#2485

 * ssh(1): include PubkeyAcceptedKeyTypes in ssh -G config dump.

   ssh(1): PubkeyAcceptedKeyTypes を ssh -G config dump に含める.

 * sshd(8): avoid changing TunnelForwarding device flags if they are
   already what is needed; makes it possible to use tun/tap
   networking as non-root user if device permissions and interface
   flags are pre-established

   sshd(8): もし必要なものがすでにある場合にトンネル転送のデバイスの
   フラグの変更を避ける. デバイスのパーミッションとインターフェイス
   フラグがすでに確立している場合に, ルートでないユーザが
   tun/tap ネットワークを利用できるようにする.

 * ssh(1), sshd(8): RekeyLimits could be exceeded by one packet.
   bz#2521

   ssh(1), sshd(8): RekeyLimits が 1パケットで超過するようにする.
   bz#2521

 * ssh(1): fix multiplexing master failure to notice client exit.

   ssh(1): クライアントの終了を通知するため, 多重化マスターの
   失敗を修正する.

 * ssh(1), ssh-agent(1): avoid fatal() for PKCS11 tokens that present
   empty key IDs. bz#1773

   ssh(1), ssh-agent(1): 空の鍵の ID を持つ PKCS11 トークンで
   fatal() が起きるのを避ける.

 * sshd(8): avoid printf of NULL argument. bz#2535

   NULl 引数での printf を避ける. bz#2535

 * ssh(1), sshd(8): allow RekeyLimits larger than 4GB. bz#2521

   ssh(1), sshd(8): 4GB より大きい RekeyLimits を許可する. bz#2521

 * ssh-keygen(1): sshd(8): fix several bugs in (unused) KRL signature
   support.

   ssh-keygen(1): sshd(8): (利用していない) KRL 署名サポートの
   複数のバグを修正する.

 * ssh(1), sshd(8): fix connections with peers that use the key
   exchange guess feature of the protocol. bz#2515

   ssh(1), sshd(8): プロトコルの鍵交換推測機能を用いる相手との
   接続を修正する. bz#2515

 * sshd(8): include remote port number in log messages. bz#2503

   sshd(8): ログメッセージにリモートのポート番号を含める. bz#2503

 * ssh(1): don't try to load SSHv1 private key when compiled without
   SSHv1 support. bz#2505

   ssh(1): SSHv1 サポート抜きでコンパイルされた場合に,
   SSHv1 秘密鍵をロードしようとしない. bz#2505

 * ssh-agent(1), ssh(1): fix incorrect error messages during key
   loading and signing errors. bz#2507

   ssh-agent(1), ssh(1): 鍵のロードと署名のエラーでの不正確な
   エラーメッセージを修正する.

 * ssh-keygen(1): don't leave empty temporary files when performing
   known_hosts file edits when known_hosts doesn't exist.

   ssh-keygen(1): known_hosts ファイルが存在しない場合に
   known_hosts ファイルを編集する際に,
   空のテンポラリファイルを削除しない.

 * sshd(8): correct packet format for tcpip-forward replies for
   requests that don't allocate a port bz#2509

   sshd(8): ポートを割り当てていない tcpip-forward 要求への
   応答で パケット形式を修正する.

 * ssh(1), sshd(8): fix possible hang on closed output. bz#2469

   ssh(1), sshd(8): 閉じた出力でハングする場合があるのを修正する.
   bz#2469

 * ssh(1): expand %i in ControlPath to UID. bz#2449

   ssh(1): ControlPath で %i を UID に展開する. bz#2449

 * ssh(1), sshd(8): fix return type of openssh_RSA_verify. bz#2460

   ssh(1), sshd(8): openssh_RSA_verify の返り値の方を修正する. bz#2460

 * ssh(1), sshd(8): fix some option parsing memory leaks. bz#2182

   ssh(1), sshd(8): オプションのパースでのメモリリークを修正する.
   bz#2182

 * ssh(1): add a some debug output before DNS resolution; it's a
   place where ssh could previously silently stall in cases of
   unresponsive DNS servers. bz#2433

   ssh(1): DNS 解決の前にいくつかのデバッグ出力を追加する.
   DNS サーバが応答しない場合に 以前は ssh は 静かに 動かなくなる
   ことがあった場所だ.

 * ssh(1): remove spurious newline in visual hostkey. bz#2686

   ssh(1): バーチャルなホスト鍵中の偽の改行を削除する. bz#2686

 * ssh(1): fix printing (ssh -G ...) of HostKeyAlgorithms=+...

   ssh(1): HostKeyAlgorithms=+... のときの (ssh -G ...) の出力を
   修正する.

 * ssh(1): fix expansion of HostkeyAlgorithms=+...

   HostkeyAlgorithms=+... の展開を修正する.

Documentation
-------------

文書

 * ssh_config(5), sshd_config(5): update default algorithm lists to
   match current reality. bz#2527
   
   ssh_config(5), sshd_config(5): デフォルトのアルゴリズムのリストを
   現状に一致するよう更新する. bz#2527

 * ssh(1): mention -Q key-plain and -Q key-cert query options.
   bz#2455

   ssh(1): -Q key-plain と -Q key-cert について言及する.
   bz#2455

 * sshd_config(8): more clearly describe what AuthorizedKeysFile=none
   does.

   sshd_config(8): AuthorizedKeysFile=none がなにを行なうかについて
   より明確に記述する.

 * ssh_config(5): better document ExitOnForwardFailure. bz#2444

   ssh_config(5): ExitOnForwardFailure についての記述を改善.
   bz#2444

 * sshd(5): mention internal DH-GEX fallback groups in manual.
   bz#2302

   sshd(5): 手動での 内部 DH-GEX フォールバックグループ について
   記述する.

 * sshd_config(5): better description for MaxSessions option.
   bz#2531

   sshd_config(5): MaxSessions 設定項目の記述を改善.
   bz#2531

Portability
-----------

移植性

 * ssh(1), sftp-server(8), ssh-agent(1), sshd(8): Support Illumos/
   Solaris fine-grained privileges. Including a pre-auth privsep
   sandbox and several pledge() emulations. bz#2511

 * ssh(1), sftp-server(8), ssh-agent(1), sshd(8): Illumos/ Solaris
   fine-grained privileges をサポートする. 認証前特権分離の
   sandbox と 複数の pledge() エミュレーションを含んでいる.
   bz#2511

 * Renovate redhat/openssh.spec, removing deprecated options and
   syntax.

   非推奨のオプションや文法を削除して redhat/openssh.spec を刷新する.

 * configure: allow --without-ssl-engine with --without-openssl

   configure: --without-openssl と --without-ssl-engine が共存できる

 * sshd(8): fix multiple authentication using S/Key. bz#2502

   sshd(8): S/Key を用いる複数認証を修正する. bz#2502

 * sshd(8): read back from libcrypto RAND_* before dropping
   privileges.  Avoids sandboxing violations with BoringSSL.

   sshd(8): 特権を落す前に libcrypto の RAND_* から
   読み直す. BoringSSL を利用する場合に サンドボックスの
   破壊を回避する.

 * Fix name collision with system-provided glob(3) functions.
   bz#2463

   system が提供する glob(3) 関数の名前衝突を修正する.
   bz#2463

 * Adapt Makefile to use ssh-keygen -A when generating host keys.
   bz#2459

   ホスト鍵作成の際に ssh-keygen -A を用いるように Makefile を
   変更する. bz#2459

 * configure: correct default value for --with-ssh1 bz#2457

   configure: --with-ssh1 のデフォルト値を修正する. bz#2457

 * configure: better detection of _res symbol bz#2259

   configure: _res シンボルの検出を改善 bz#2259

 * support getrandom() syscall on Linux

   Linux の getrandom() システムコールをサポート

アメリカン・エキスプレス・ビジネス・ゴールド・カードの福利厚生プログラム「クラブオフ」のパスワードは数字4ケタ

法人クレジットカードとして作りやすいと言われている

アメリカン・エキスプレス・ビジネス・ゴールド・カード を申し込み入手しました.

クラブオフというリロクラブがやっている福利厚生アウトソーシングをアメックスでも利用することができます.

なんとなく申し込んでみたのですが, パスワードが数字4ケタでしか設定できませんでした. また退会には退会申請用紙を請求し郵送してもらい返送する必要があります.

なお会員ID は 11ケタの数字です. 規則性については不明です.

パスワードポリシーについて問合せましたが, 現状では変更の予定はなさそうでした. 要望として上げておくとのことです.

クラブオフはいろいろな企業で利用されており, パスワードポリシーは様々のようです.

検索して出てくるものでは「6〜8文字の半角数字」「4〜6文字の半角英数字」「4桁〜10桁の英数字」「4桁〜8桁の英数字」などのパターンがありました.

パスワードが脆弱でかつ退会が面倒なので,

アメリカン・エキスプレス ゴールド・コーポレート ないし ビジネス・ゴールド・カードを入手してもクラブオフには登録しないほうがよいでしょう.

 
QRコード
QRコード
  • ライブドアブログ