2014/01/30, OpenSSH 6.5/6.5p1 がリリースされました.


Changes since OpenSSH 6.4
OpenSSH 6.4 からの変更点

This is a feature-focused release.


New features:


 * ssh(1), sshd(8): Add support for key exchange using elliptic-curve
   Diffie Hellman in Daniel Bernstein's Curve25519. This key exchange
   method is the default when both the client and server support it.

   ssh(1), sshd(8): Daniel Bernstein の Curve25519 による
   楕円曲線 Diffee Hellman を用いた鍵交換のサポートを加える.

 * ssh(1), sshd(8): Add support for Ed25519 as a public key type.
   Ed25519 is a elliptic curve signature scheme that offers
   better security than ECDSA and DSA and good performance. It may be
   used for both user and host keys.

   ssh(1), sshd(8): 公開鍵のタイプとして Ed25519 のサポートを加える.
   Ed25519 は 楕円曲線の署名方式で, ECDSA と DSA よりもよいセキュリティを
   提供する. またパフォーマンスもよい. ユーザ鍵にもホスト鍵にも利用できる.

 * Add a new private key format that uses a bcrypt KDF to better
   protect keys at rest. This format is used unconditionally for
   Ed25519 keys, but may be requested when generating or saving
   existing keys of other types via the -o ssh-keygen(1) option.
   We intend to make the new format the default in the near future.
   Details of the new format are in the PROTOCOL.key file.

   (オフライン攻撃から)鍵をよりよく保護するために bcrypt KDF を用いる
   新しい鍵フォーマットを加える. この形式は無条件に Ed25519 鍵に用いられる.
   ただし, ssh-keygen(1) の -o オプションによって, 鍵の生成時や
   他のタイプの既存の鍵の保存で要求できる. 近い将来この新しい形式を
   デフォルトにするつもりだ. 新しいフォーマットの詳細は,
   PROTOCOL.key ファイルにある.

 * ssh(1), sshd(8): Add a new transport cipher
   "chacha20-poly1305@openssh.com" that combines Daniel Bernstein's
   ChaCha20 stream cipher and Poly1305 MAC to build an authenticated
   encryption mode. Details are in the PROTOCOL.chacha20poly1305 file.

   ssh(1), sshd(8): 新しいトランスポート暗号 "chacha20-poly1305@openssh.com"
   を加える.  認証された暗号モードを作成するために Daniel Bernstein の
   ChaCha20 ストリーム暗号とPoly1305 MAC を組合せたものだ.
   詳細は PROTOCOL.chacha20poly1305 ファイルにある.

 * ssh(1), sshd(8): Refuse RSA keys from old proprietary clients and
   servers that use the obsolete RSA+MD5 signature scheme. It will
   still be possible to connect with these clients/servers but only
   DSA keys will be accepted, and OpenSSH will refuse connection
   entirely in a future release.

   ssh(1), sshd(8): 時代遅れの RSA+MD5 署名方式を用いる古い
   プロプリエタリなクライアントとサーバからの RSA 鍵を拒否する.
   これらのクライアント/サーバとの接続はまだ可能だが, DSA 鍵のみが
   受けつけられる. また, OpenSSH は近い将来接続を完全に拒否するだろう.

 * ssh(1), sshd(8): Refuse old proprietary clients and servers that
   use a weaker key exchange hash calculation.

   ssh(1), sshd(8): より弱い鍵交換ハッシュ計算をする古いプロプリエタリ

 * ssh(1): Increase the size of the Diffie-Hellman groups requested
   for each symmetric key size. New values from NIST Special
   Publication 800-57 with the upper limit specified by RFC4419.

   ssh(1): それぞれの対称鍵のサイズのために求められる
   複数の Diffee-Hellman 群のサイズを増やす.
   新しい値は NIST Special Publication 800-57 からの もので,
   RFC4419 で指定された上限がある.

 * ssh(1), ssh-agent(1): Support pkcs#11 tokes that only provide
   X.509 certs instead of raw public keys (requested as bz#1908).

   ssh(1), ssh-agent(1): 生の公開鍵の代わりに X.509 証明書を提供する
   場合にのみ pkcs#11 をサポートする (bz#1908 で依頼された).

 * ssh(1): Add a ssh_config(5) "Match" keyword that allows
   conditional configuration to be applied by matching on hostname,
   user and result of arbitrary commands.

   ssh(1): ssh_config(5) の "Match" キーワードで, ホスト名やユーザ

 * ssh(1): Add support for client-side hostname canonicalisation
   using a set of DNS suffixes and rules in ssh_config(5). This
   allows unqualified names to be canonicalised to fully-qualified
   domain names to eliminate ambiguity when looking up keys in
   known_hosts or checking host certificate names.

   ssh(1): ssh_config(5) の DNS 拡張子の集合とルールを用いた
   修飾されていない名前を 完全修飾パス名(FQDN)に正規化することで,
   known_hosts 中の鍵を検索する場合やホストの証明書名をチェックする際の

 * sftp-server(8): Add the ability to whitelist and/or blacklist sftp
   protocol requests by name.

   sftp-server(8): sftp プロトコル要求を名前でホワイトリスト化
   かつ/ないし ブラックリスト化する機能を加える.

 * sftp-server(8): Add a sftp "fsync@openssh.com" to support calling
   fsync(2) on an open file handle.

   sftp-server(8): open中のファイルハンドルに fsync(2) を呼び出すのを
   サポートする sftp の "fsync@openssh.com" を加える.

 * sshd(8): Add a ssh_config(5) PermitTTY to disallow TTY allocation,
   mirroring the longstanding no-pty authorized_keys option.

   sshd(8): TY の割り当てを 却下する PermitTTY を ssh_config(5) に 加える.
   昔からある no-pty authorized_keys のオプションの代わりになる.

 * ssh(1): Add a ssh_config ProxyUseFDPass option that supports the
   use of ProxyCommands that establish a connection and then pass a
   connected file descriptor back to ssh(1). This allows the
   ProxyCommand to exit rather than staying around to transfer data.

   ssh(1): ssh_config に ProxyUseFDPass 設定項目を加える.
   接続を確率し接続されたファイルデスクリプタを ssh(1) に戻す
   ProxyCommand の利用をサポートする.
   ProxyCommand が終了しても データの転送をし続けることが可能になる.



 * ssh(1), sshd(8): Fix potential stack exhaustion caused by nested

   ssh(1), sshd(8): ネストされた証明書による 潜在的なスタック枯渇を

 * ssh(1): bz#1211: make BindAddress work with UsePrivilegedPort.

   ssh(1): bz#1211: BindAddress が UsePrivilegedPort と共に動くようにする.

 * sftp(1): bz#2137: fix the progress meter for resumed transfer.

   sftp(1): bz#2137: 中断された転送でのプログレスメータを修正.

 * ssh-add(1): bz#2187: do not request smartcard PIN when removing
   keys from ssh-agent.

   ssh-add(1): bz#2187: ssh-agent から鍵を削除する際に スマートカードの
   PIN を要求しない.

 * sshd(8): bz#2139: fix re-exec fallback when original sshd binary
   cannot be executed.

   sshd(8): bz#2139: オリジナルの sshd バイナリが実行できない場合に

 * ssh-keygen(1): Make relative-specified certificate expiry times
   relative to current time and not the validity start time.

   ssh-keygen(1): 相対指定された証明書の有効期限を 妥当性検証の開始時間
   ではなく 現在時刻に対応させる.

 * sshd(8): bz#2161: fix AuthorizedKeysCommand inside a Match block.

   sshd(8): bz#2161: Match ブロック中の AuthorizedKeysCommand を修正.

 * sftp(1): bz#2129: symlinking a file would incorrectly canonicalise
   the target path.

   sftp(1): bz#2129: ファイルのシンボリックリックが

 * ssh-agent(1): bz#2175: fix a use-after-free in the PKCS#11 agent
   helper executable.

   ssh-agent(1): bz#2175: PKCS#11 エージェントヘルパの実行での

 * sshd(8): Improve logging of sessions to include the user name,
   remote host and port, the session type (shell, command, etc.) and
   allocated TTY (if any).

   sshd(8): ユーザ名やリモートホスト/ポート, セッションの種類
   (シェル, コマンド など), 割り当てられた TTY(あれば)を含む

 * sshd(8): bz#1297: tell the client (via a debug message) when
   their preferred listen address has been overridden by the
   server's GatewayPorts setting.

   sshd(8): bz#1297: サーバの GatewayPorts の設定によって
   クライアントが好む listen アドレスが上書きされた場合に
   (デバッグメッセージで) クライアントに通知する.

 * sshd(8): bz#2162: include report port in bad protocol banner

   sshd(8): bz#2162: 不正なプロトコルバナーメッセージ中で

 * sftp(1): bz#2163: fix memory leak in error path in do_readdir().

   sftp(1): bz#2163: do_readdir() でのエラーパスのメモリリークを修正.

 * sftp(1): bz#2171: don't leak file descriptor on error.

   sftp(1): bz#2171: エラー時にファイルデスクリプタをリークしない.

 * sshd(8): Include the local address and port in "Connection from
   ..." message (only shown at loglevel>=verbose)

   sshd(8): "Connection from .." メッセージで ローカルアドレスとポートも
   含める(loglevel>=verbose のときのみ表示)

Portable OpenSSH:

移植版 OpenSSH:

 * Please note that this is the last version of Portable OpenSSH that
   will support versions of OpenSSL prior to 0.9.6. Support (i.e.
   SSH_OLD_EVP) will be removed following the 6.5p1 release.

   注意: OpenSSL 0.9.6 より前のバージョンをサポートする最後の移植版
   OpenSSH になる. 6.5p1 以降のリリースでは サポート(SSH_OLD_EVP) は

 * Portable OpenSSH will attempt compile and link as a Position
   Independent Executable on Linux, OS X and OpenBSD on recent gcc-
   like compilers. Other platforms and older/other compilers may
   request this using the --with-pie configure flag.

   移植版 OpenSSH は, Linux や OS X, OpenBSD で 最近の gcc のような
   コンパイラを利用している場合に, Position Independent Executable として
   コンパイルしリンクしようとする. 他のプラットフォームや
   より古い/他のコンパイラでは, --with-pie configure フラグを作って

 * A number of other toolchain-related hardening options are used
   automatically if available, including -ftrapv to abort on signed
   integer overflow and options to write-protect dynamic linking
   information.  The use of these options may be disabled using the
   --without-hardening configure flag.

   利用可能であれば, 多数の toolchain 関係の堅牢化オプションが
   自動的に利用される. 符号付き整数オーバーフローで停止する -ftrapv
   や ダイナミックリンク情報を書き込み保護するオプションが含まれる.
   --without-hardening configure フラグで これらのオプションの利用を

 * If the toolchain supports it, one of the -fstack-protector-strong,
   -fstack-protector-all or -fstack-protector compilation flag are
   used to add guards to mitigate attacks based on stack overflows.
   The use of these options may be disabled using the
   --without-stackprotect configure option.

   toolchain がサポートしているならば, -fstack-protector-strong ないし
   -fstack-protector-all, -fstack-protector コンパイルフラグのうちの
   1つが, スタックオーバーフローに基づく攻撃を緩和するガードを
   --without-stackprotect configure フラグで これらのオプションの利用を

 * sshd(8): Add support for pre-authentication sandboxing using the
   Capsicum API introduced in FreeBSD 10.

   sshd(8): FreeBSD 10 で導入された Capsicum API を利用する

 * Switch to a ChaCha20-based arc4random() PRNG for platforms that do
   not provide their own.

   PRNG を提供しないプラットホームで ChaCha20 ベースの arc4random() PRNG

 * sshd(8): bz#2156: restore Linux oom_adj setting when handling
   SIGHUP to maintain behaviour over retart.

   sshd(8): bz#2156: リスタート時に振舞いを保持するために
   SIGHUP の処理時に Linux の oom_adj 設定を復元する.

 * sshd(8): bz#2032: use local username in krb5_kuserok check rather
   than full client name which may be of form user@REALM.

   sshd(8): bz#2032: krb5_kuserok で user@REALM のような形式の完全な

 * ssh(1), sshd(8): Test for both the presence of ECC NID numbers in
   OpenSSL and that they actually work. Fedora (at least) has
   NID_secp521r1 that doesn't work.

   ssh(1), sshd(8): OpenSSH の ECC NID ナンバーの存在とそれが実際に
   機能するかをテストする: (少なくとも) Fedora に動作しない
   NID_secp521r1 がある.

 * bz#2173: use pkg-config --libs to include correct -L location for

   bz#2173: libedit について 正しい -L の場所を含めるために pkg-config --libs