2015/03/18, OpenSSH 6.8/6.8p1 がリリースされました.

Changes since OpenSSH 6.7

OpenSSH 6.7 からの変更点

This is a major release, containing a number of new features as
well as a large internal re-factoring.

多くの新機能と大きな内部リファクタリングを含む, 大規模なリリースだ.

Potentially-incompatible changes


 * sshd(8): UseDNS now defaults to 'no'. Configurations that match
   against the client host name (via sshd_config or authorized_keys)
   may need to re-enable it or convert to matching against addresses.

   sshd(8): UseDNS はデフォルトで 'no' になる.
   (sshd_config や authorized_keys のよる)クライアントホスト名
   に対するマッチの設定は, UseDNS を再度有効にするか, アドレスに対して

New Features


 * Much of OpenSSH's internal code has been re-factored to be more
   library-like. These changes are mostly not user-visible, but
   have greatly improved OpenSSH's testability and internal layout.

   OpenSSH の内部コードの多くを, よりライブラリ風にリファクタリングした.
   これらの変更は, ほとんどユーザから見えないが, OpenSSH のテスト可能性と

 * Add FingerprintHash option to ssh(1) and sshd(8), and equivalent
   command-line flags to the other tools to control algorithm used
   for key fingerprints. The default changes from MD5 to SHA256 and
   format from hex to base64.

   FingerprintHash オプションを ssh(1) と sshd(8) に追加する. また,
   同様の指定をするコマンドラインフラグも追加する. デフォルトが
   MD5 から SHA256 に, 形式が hex から base64 になる.

   Fingerprints now have the hash algorithm prepended. An example of
   the new format: SHA256:mVPwvezndPv/ARoIadVY98vAC0g+P/5633yTC4d/wXE
   Please note that visual host keys will also be different.

   指紋は, ハッシュアルゴリズムが前に付く形式になる. 新しい形式の例:
   the new format: SHA256:mVPwvezndPv/ARoIadVY98vAC0g+P/5633yTC4d/wXE

 * ssh(1), sshd(8): Experimental host key rotation support. Add a
   protocol extension for a server to inform a client of all its
   available host keys after authentication has completed. The client
   may record the keys in known_hosts, allowing it to upgrade to better
   host key algorithms and a server to gracefully rotate its keys.

   ssh(1), sshd(8): 実験的なホスト鍵のローテーションをサポート. 
   すべてを通知するためのプロトコル拡張を追加する. クライアントは
   known_host に鍵を記録できる. これにより, クライアントが
   サーバがホスト鍵を graceful にローテートできるようになる.

   The client side of this is controlled by a UpdateHostkeys config
   option (default off).

   UpdateHostkeys 設定項目(デフォルト無効) で制御できる.
   (訳注: Call for testing の際はデフォルト有効でした)

訳中: OpenSSH、次期「OpenSSH 6.8」で「Ed25519オートコレクトキー」をサポート | スラッシュドット・ジャパン セキュリティ - http://security.slashdot.jp/story/15/02/04/101203/

 * ssh(1): Add a ssh_config HostbasedKeyType option to control which
   host public key types are tried during host-based authentication.

   ssh(1): ssh_config に HostbasedKeyType 設定項目を追加する.

 * ssh(1), sshd(8): fix connection-killing host key mismatch errors
   when sshd offers multiple ECDSA keys of different lengths.

   ssh(1), sshd(8): 異なる長さの複数の ECDSA 鍵を sshd が提供する
   場合の, 接続を切るホスト鍵不一致エラーを修正する.

 * ssh(1): when host name canonicalisation is enabled, try to
   parse host names as addresses before looking them up for
   canonicalisation. fixes bz#2074 and avoiding needless DNS
   lookups in some cases.

   ssh(1): ホスト名の正規化が有効な場合, 正規化のためにホスト名を
   bz#2074 を修正し, いくつかの場合で不必要な DNS の検索を避けるため.

 * ssh-keygen(1), sshd(8): Key Revocation Lists (KRLs) no longer
   require OpenSSH to be compiled with OpenSSL support.

   ssh-keygen(1), sshd(8): 鍵失効リスト(KRLs) が, OpenSSL サポート付きで
   コンパイルされた OpenSSH を必要としなくなった.

 * ssh(1), ssh-keysign(8): Make ed25519 keys work for host based

   ssh(1), ssh-keysign(8): ed25519 鍵がホストベース認証で動作する.

 * sshd(8): SSH protocol v.1 workaround for the Meyer, et al,
   Bleichenbacher Side Channel Attack. Fake up a bignum key before
   RSA decryption.

   sshd(8): Meyer, et al の Bleichenbacher サイドチャンネル攻撃
   に対する SSH プロトコル v.1 の緩和策を追加. RSA の復号の前に

 * sshd(8): Remember which public keys have been used for
   authentication and refuse to accept previously-used keys.
   This allows AuthenticationMethods=publickey,publickey to require
   that users authenticate using two _different_ public keys.

   sshd(8): 認証に利用した公開鍵を記録し, 先に利用された鍵の利用を拒否する.
   これにより, AuthenticationMethods=publickey,publickey という設定で,
   2つの *異なる* 公開鍵を利用するようにユーザに要求できる.

 * sshd(8): add sshd_config HostbasedAcceptedKeyTypes and
   PubkeyAcceptedKeyTypes options to allow sshd to control what
   public key types will be accepted. Currently defaults to all.

   sshd(8): sshd_config の HostbasedAcceptedKeyTypes と PubkeyAcceptedKeyTypes
   設定項目を追加する. 受けつける公開鍵の種類を sshd が制御できる.
   現在のデフォルトは all.

 * sshd(8): Don't count partial authentication success as a failure
   against MaxAuthTries.

   sshd(8): 部分的な認証の成功を MaxAuthTries での失敗にカウントしない.

 * ssh(1): Add RevokedHostKeys option for the client to allow
   text-file or KRL-based revocation of host keys.

   ssh(1): RevokedHostKeys 設定項目を追加する. クライアントが
   ホスト鍵の テキストファイルや KRLベースの失効を行なえるようになる.

 * ssh-keygen(1), sshd(8): Permit KRLs that revoke certificates by
   serial number or key ID without scoping to a particular CA.

   ssh-keygen(1), sshd(8): KRL で, 特定の CA を詳しく調べることなしに

 * ssh(1): Add a "Match canonical" criteria that allows ssh_config
   Match blocks to trigger only in the second config pass.

   ssh(1): "Match canonical" 条件を追加する. ssh_config の Match
   ブロックで, 2回目の(ホスト名の正規化の後の)

 * ssh(1): Add a -G option to ssh that causes it to parse its
   configuration and dump the result to stdout, similar to "sshd -T".

   ssh(1): -G オプションを追加, "sshd -T" と同様に,

 * ssh(1): Allow Match criteria to be negated. E.g. "Match !host".

   ssh(1): Match の条件に否定を許す. 例えば "Match !host"

 * The regression test suite has been extended to cover more OpenSSH
   features. The unit tests have been expanded and now cover key

   回帰テストスートが, より広範囲の OpenSSH の機能をカバーするよう拡張
   された. ユニットテストは拡張され, 鍵効果もカバーする



 * ssh-keyscan(1): ssh-keyscan has been made much more robust again
   servers that hang or violate the SSH protocol.

   ssh-keyscan(1): ssh-keyscan は ハングしたり SSH プロトコルを破っている

 * ssh(1), ssh-keygen(1): Fix regression bz#2306: Key path names were
   being lost as comment fields.

   ssh(1), ssh-keygen(1): bz#2306 の再発を修正. 鍵のパス名が

 * ssh(1): Allow ssh_config Port options set in the second config
   parse phase to be applied (they were being ignored). bz#2286

   ssh(1): ssh_config の Port 設定項目が, 2回目の設定のパースの
   段階でも有効になる(いままでは無視されていた). bz#2286

 * ssh(1): Tweak config re-parsing with host canonicalisation - make
   the second pass through the config files always run when host name
   canonicalisation is enabled (and not whenever the host name
   changes) bz#2267

   ssh(1): ホスト正規化の後で設定をもう1度パースするように調整した.
   ホスト名の正規化が有効で(ホスト名が変わらない場合)に 設定ファイルの

 * ssh(1): Fix passing of wildcard forward bind addresses when
   connection multiplexing is in use; bz#2324;

   ssh(1): 接続の多重化を利用している場合の ワイルドカードが先に付く
   バインドアドレスのパースを修正する. bz#2324

 * ssh-keygen(1): Fix broken private key conversion from non-OpenSSH
   formats; bz#2345.

   ssh-keygen OpenSSH ではない形式からの壊れた秘密鍵変換を修正. bz#2345

 * ssh-keygen(1): Fix KRL generation bug when multiple CAs are in

   ssh-keygen(1): 複数の CA を利用している場合の KRL 生成バグを修正.

 * Various fixes to manual pages: bz#2288, bz#2316, bz#2273

   マニュアルページの多数の修正: bz#2288, bz#2316, bz#2273

Portable OpenSSH

移植版 OpenSSH

 * Support --without-openssl at configure time

   configure 時の --without-openssl をサポート

   Disables and removes dependency on OpenSSL. Many features,
   including SSH protocol 1 are not supported and the set of crypto
   options is greatly restricted. This will only work on systems
   with native arc4random or /dev/urandom.

   OpenSSL への依存を無効化し削除する. SSH プロトコル1を含む多くの特徴
   がサポートされなくなり, 暗号のオプションが非常に制限される.
   システムが ネイティブな arc4random か /dev/urandom を持っている

   Considered highly experimental for now.


 * Support --without-ssh1 option at configure time

   configure 時の --without-ssh1 をサポート

   Allows disabling support for SSH protocol 1.

   SSH プロトコル 1 のサポートを無効にできる.

 * sshd(8): Fix compilation on systems with IPv6 support in utmpx; bz#2296

   sshd(8): utmpx で IPv6 サポートを持つシステムでのコンパイルを修正; bz#2296

 * Allow custom service name for sshd on Cygwin. Permits the use of
   multiple sshd running with different service names.

   Cygwin の sshd でカスタムサービス名を許す. 異なるサービス名で
   複数の sshd を利用できるようになる.