OpenSSH 6.7 がリリース準備中です.


「tcpwrappers/libwrap のサポートを削除する.」の影響は大きいですね. DenyHosts などがそのままでは動作しなくなるでしょう.

Changes since OpenSSH 6.6

OpenSSH 6.6 からの変更点

Potentially-incompatible changes


 * sshd(8): The default set of ciphers and MACs has been altered to
   remove unsafe algorithms. In particular, CBC ciphers and arcfour*
   are disabled by default.

   sshd(8): 暗号とMACのデフォルトセットから安全でないアルゴリズムを
   削除する変更を行なう. 具体的には, CBC モードを利用する暗号と
   arcfour* がデフォルトで無効になる.

   The full set of algorithms remains available if configured
   explicitly via the Ciphers and MACs sshd_config options.

   sshd_config の Ciphers/MACs 設定項目で明示的に設定すれば,

 * sshd(8): Support for tcpwrappers/libwrap has been removed.

   sshd(8): tcpwrappers/libwrap のサポートを削除する.

 * OpenSSH 6.5 and 6.6 have a bug that causes ~0.2% of connections
   using the KEX exchange method to fail
   when connecting with something that implements the specification
   correctly. OpenSSH 6.7 disables this KEX method when speaking to
   one of the affected versions.

   OpenSSH 6.5/6.6 には, 鍵交換法を利用して
   仕様を正しく実装している相手と接続しようとすると 0.2% ほどの確率で
   失敗するバグがある. OpenSSH 6.7 は, 影響のあるバージョンとのやりとりで

New Features


 * Major internal refactoring to begin to make part of OpenSSH usable
   as a library. So far the wire parsing, key handling and KRL code
   has been refactored. Please note that we do not consider the API
   stable yet, nor do we offer the library in separable form.

   OpenSSH をライブラリとして利用可能にする大きな内部リファクタリングを
   始める. 現在 通信のパースと鍵の扱い, KRL のコードがリファクタリング
   された. API を不変にしようと考えているわけではないし, 別の形で

 * ssh(1), sshd(8): Add support for Unix domain socket forwarding.
   A remote TCP port may be forwarded to a local Unix domain socket
   and vice versa or both ends may be a Unix domain socket.

   ssh(1), sshd(8): Unix ドメインソケットの転送をサポートする.
   リモートのTCPポートをローカルの Unix ドメインソケットに転送できるし,
   逆も可能. また Unix ドメインソケット同士でもよい.

 * ssh(1), ssh-keygen(1): Add support for SSHFP DNS records for
   ED25519 key types.

   ssh(1), ssh-keygen(1): SSHFP DNS レコードで ED25519 鍵タイプを

 * sftp(1): Allow resumption of interrupted uploads.

   sftp(1): 中断されたアップロードの復帰を可能にする.

 * ssh(1): When rekeying, skip file/DNS lookups of the hostkey if it
   is the same as the one sent during initial key exchange; bz#2154

   ssh(1): 鍵の再交換の際に, 最初の鍵交換の時に送られたものと同じであれば

 * sshd(8): Allow explicit ::1 and forwarding bind
   addresses when GatewayPorts=no; allows client to choose address
   family; bz#2222

   sshd(8): GatewayPorts=no の場合に, ::1 / を束縛アドレス
   として明示的に指定した転送を許可する. クライアントが
   アドレスファミリを選択できる. bz#2222

 * sshd(8): Add a sshd_config PermitUserRC option to control whether
   ~/.ssh/rc is executed, mirroring the no-user-rc authorized_keys
   option; bz#2160

   sshd(8): sshd_config に PermitUserRC 設定項目を追加する.
   これは, ~/.ssh/rc を実行するかを制御する. authorized_keys の
   no-user-rc オプションをコピーした. bz#2160

 * ssh(1): Add a %C escape sequence for LocalCommand and ControlPath
   that expands to a unique identifer based on a hash of the tuple of
   (local host, remote user, hostname, port). Helps avoid exceeding
   miserly pathname limits for Unix domain sockets in multiplexing
   control paths; bz#2220

   LocalCommand と ControlPath に %C エスケープシーケンスを追加する.
   このシーケンスは (ローカルホスト, リモートユーザ, ホスト名, ポート)
   多重化のコントロールパスで, Unix ドメインソケットのしみったれた

 * sshd(8): Make the "Too many authentication failures" message
   include the user, source address, port and protocol in a format
   similar to the authentication success / failure messages; bz#2199

   sshd(8): 認証の成功/失敗メッセージに似た形式で,
   "Too many authentication failures" メッセージに ユーザとソースアドレス
   ポート, プロトコルを含めるようにする.

 * Added unit and fuzz tests for refactored code. These are run
   automatically in portable OpenSSH via the "make tests" target.

   移植版 OpenSSH で "make tests" すると自動的に実行される.



 * sshd(8): Fix remote fwding with same listen port but different
   listen address.

   sshd(8): 同じリッスンポートで異なるリッスンアドレスのリモート転送

 * ssh(1): Fix inverted test that caused PKCS#11 keys that were
   explicitly listed in ssh_config or on the commandline not to be

   PKCS#11 keys が ssh_config で明示的に指定されるかコマンドラインで

 * ssh-keygen(1): Fix bug in KRL generation: multiple consecutive
   revoked certificate serial number ranges could be serialised to an
   invalid format. Readers of a broken KRL caused by this bug will
   fail closed, so no should-have-been-revoked key will be accepted.

   ssh-keygen(1): KRL 生成でのバグを修正: 複数の連続した
   無効証明書シリアルナンバーの範囲が, 不正な形式にシリアライズされる
   場合があった. このバグで壊れた KRL のリーダは, クロージに失敗し,

 * ssh(1): Reflect stdio-forward ("ssh -W host:port ...") failures in
   exit status. Previously we were always returning 0; bz#2255

   ssh(1): 標準入力の転送 ("ssh -W host:port ...") の失敗を終了ステータス
   に反映する. 以前は常に0を返していた. bz#2255

 * ssh(1), ssh-keygen(1): Make Ed25519 keys' title fit properly in the
   randomart border; bz#2247

   ssh(1), ssh-keygen(1): Ed25519 鍵のタイトルをランダムアートのきっちり

 * ssh-agent(1): Only cleanup agent socket in the main agent process
   and not in any subprocesses it may have started (e.g. forked
   askpass). Fixes agent sockets being zapped when askpass processes
   fatal(); bz#2236

   ssh-agent(1): メインのエージェントのプロセスのエージェントソケットのみ
   をクリーンアップし, (フォークされた askpass のような) 開始された
   サブプロセスのものはクリーンアップしない. askpass のプロセスが
   fatal() する際に, エージェントソケットが殺されるのを修正する.

 * ssh-add(1): Make stdout line-buffered; saves partial output getting
   lost when ssh-add fatal()s part-way through (e.g. when listing keys
   from an agent that supports key types that ssh-add doesn't);

   ssh-add(1): 標準出力を行でバッファする. ssh-add が 途中で fatal()
   する場合 (例えば エージェントから挙げられた鍵のタイプを ssh-add が
   サポートしていない場合) に 部分的な出力が失なわれるのを防ぐ.

 * ssh-keygen(1): When hashing or removing hosts, don't choke on
   @revoked markers and don't remove @cert-authority markers; bz#2241

   ssh-keygen(1): ホストをハッシュしたり削除する際に, @revoked
   マーカや @cert-authority マーカを削除しない.

 * ssh(1): Don't fatal when hostname canonicalisation fails and a
   ProxyCommand is in use; continue and allow the ProxyCommand to
   connect anyway (e.g. to a host with a name outside the DNS behind
   a bastion)

   ProxyCommand を利用している際にホスト名の正規化が失敗する場合に 
   fatal しない. とにかく ProxyCommand に(例えば, 壁の裏にあるDNSで
   名前を持つホストへ) 接続を続けさせる

 * scp(1): When copying local->remote fails during read, don't send
   uninitialised heap to the remote end.

   scp(1): ローカル->リモートでのコピー中に読み込みに失敗した場合に

 * sftp(1): Fix fatal "el_insertstr failed" errors when tab-completing
   filenames with  a single quote char somewhere in the string;

   sftp(1): シングルクオート文字を含むファイル名をタブ補完する際の
   致命的な "el_insertstr failed" エラーを修正. bz#2238

 * ssh-keyscan(1): Scan for Ed25519 keys by default.

   ssh-keyscan(1): Ed25519 鍵をデフォルトでスキャン.

 * ssh(1): When using VerifyHostKeyDNS with a DNSSEC resolver, down-
   convert any certificate keys to plain keys and attempt SSHFP
   resolution.  Prevents a server from skipping SSHFP lookup and
   forcing a new-hostkey dialog by offering only certificate keys.

   ssh(1): DNSSEC リゾルバと VerifyHostKeyDNS を用いる際に,
   証明書の鍵をプレーンな鍵に変換して SSHFP の解決を試す.
   サーバがSSHFP の検索をスキップして証明書鍵のみを提供する

 * sshd(8): Avoid crash at exit via NULL pointer reference; bz#2225

   sshd(8): NULL ポインタ参照による exit 時のクラッシュを避ける

 * Fix some strict-alignment errors.


Portable OpenSSH

移植版 OpenSSH

 * Portable OpenSSH now supports building against libressl-portable.

   移植版 OpenSSH は libressl-portable に対してのビルドをサポートする.

 * Portable OpenSSH now requires openssl 0.9.8f or greater. Older
   versions are no longer supported.

   移植版 OpenSSH は openssl 0.9.8f 以上を要求する.

 * In the OpenSSL version check, allow fix version upgrades (but not
   downgrades. Debian bug #748150.

   OpenSSL のバージョンチェックで, 修正バージョンのアップグレードを
   許容する (しかしダウングレードは許容しない. Debian bug #748150)

 * sshd(8): On Cygwin, determine privilege separation user at runtime,
   since it may need to be a domain account.

   sshd(8): Cygwin で, ドメインのアカウントが必要となるかもしれないので,

 * sshd(8): Don't attempt to use vhangup on Linux. It doens't work for
   non-root users, and for them it just messes up the tty settings.

   sshd(8): Linux で vhangup を利用しようとしない. これは root でない
   ユーザでは動作しないし, rootではないユーザでは 
   tty 設定をメチャクチャにする.

 * Use CLOCK_BOOTTIME in preference to CLOCK_MONOTONIC when it is
   available. It takes into account time spent suspended, thereby
   ensuring timeouts (e.g. for expiring agent keys) fire correctly.

   CLOCK_BOOTTIME はサスペンドしている時間も考慮するので, 
   タイムアウト (たとえばエージェント鍵の期限切れ) が正しく行なわれるのを

 * Add support for ed25519 to opensshd.init init script.

   opensshd.init スクリプトで ed25519 のサポートを追加する.

 * sftp-server(8): On platforms that support it, use prctl() to
   prevent sftp-server from accessing /proc/self/{mem,maps}

   sftp-server(8): サポートするプラットフォームでは
   prctl() を用いて sftp-server が /proc/self/{mem,maps} に