2016/02/29, OpenSSH 7.2 がリリースされました.

バグ修正が中心のリリースです. 互換性に影響がありえる変更として, いくつかの暗号方式がデフォルトで無効になっています.

http://www.openssh.com/txt/release-7.2

Future deprecation notice
=========================

将来の廃止する機能の告知

We plan on retiring more legacy cryptography in a near-future
release, specifically:

近い将来 さらなるレガシーな暗号を退役させる予定だ.

具体的には,

 * Refusing all RSA keys smaller than 1024 bits (the current minimum
   is 768 bits)

* 1024 ビットよりも小さいすべての RSA 鍵を拒否する
  (現在の最小値は 768 ビット)

This list reflects our current intentions, but please check the final
release notes for future releases.

このリストは現在の我々の意図を反映している. ただし,
将来のリリースでの最終的なリリースノートをチェックしてほしい

Potentially-incompatible changes
================================

非互換な可能性がある変更

This release disables a number of legacy cryptographic algorithms
by default in ssh:

このリリースでは ssh で多くのレガシーな暗号アルゴリズムを
デフォルトで無効にする.

 * Several ciphers blowfish-cbc, cast128-cbc, all arcfour variants
   and the rijndael-cbc aliases for AES.

   blowfish-cbc, cast128-cbc, arcfour のすべての変種
   AES の rijndael-cbc 別名.

 * MD5-based and truncated HMAC algorithms.

   MD5 ベースの HMAC アルゴリズム

These algorithms are already disabled by default in sshd.

以上のアルゴリズムは sshd では すでに無効になっている.

Changes since OpenSSH 7.1p2
===========================

OpenSSH 7.1p2 からの変更点

This is primarily a bugfix release.

これは主にバグ修正のリリースだ.

Security
--------

セキュリティ

 * ssh(1), sshd(8): remove unfinished and unused roaming code (was
   already forcibly disabled in OpenSSH 7.1p2).

   ssh(1), sshd(8): 完了しておらず利用されてなかった roaming のコード
   を削除する (OpenSSH 7.1p2 ですでに強制的に無効となっている)

 * ssh(1): eliminate fallback from untrusted X11 forwarding to
   trusted forwarding when the X server disables the SECURITY
   extension.

   ssh(1): X サーバが SECURITY 拡張を無効にしている場合に
   信頼されていない X11 転送を 信頼されている転送で
   代替するのを除去する.

 * ssh(1), sshd(8): increase the minimum modulus size supported for
   diffie-hellman-group-exchange to 2048 bits.

   ssh(1), sshd(8): diffie-hellman-group-exchange でサポートする
   最小のモジュラスのサイズを 2048 ビットに増加する.

 * sshd(8): pre-auth sandboxing is now enabled by default (previous
   releases enabled it for new installations via sshd_config).

   sshd(8): 認証前のサンドボックス化がデフォルトで有効になった
   (以前のリリースは, sshd_config を新規にインストールする際に
   有効にしていた).

New Features
------------

新機能

 * all: add support for RSA signatures using SHA-256/512 hash
   algorithms based on draft-rsa-dsa-sha2-256-03.txt and
   draft-ssh-ext-info-04.txt.

   すべて: draft-rsa-dsa-sha2-256-03.txt と draft-ssh-ext-info-04.txt
   に基づく SHA-256/512 を用いる RSA 署名のサポートを追加する

 * ssh(1): Add an AddKeysToAgent client option which can be set to
   'yes', 'no', 'ask', or 'confirm', and defaults to 'no'.  When
   enabled, a private key that is used during authentication will be
   added to ssh-agent if it is running (with confirmation enabled if
   set to 'confirm').

   ssh(1): AddKeysToAgent クライアント設定項目を追加する.
   'yes', 'no', 'ask', 'confirm' が設定でき デフォルトは 'no' だ.
   有効になると, ssh-agent が動いている場合に認証に用いられる秘密鍵が
   ssh-agent に追加される. 'confirm' の場合は確認が行なわれる.

 * sshd(8): add a new authorized_keys option "restrict" that includes
   all current and future key restrictions (no-*-forwarding, etc.).
   Also add permissive versions of the existing restrictions, e.g.
   "no-pty" -> "pty". This simplifies the task of setting up
   restricted keys and ensures they are maximally-restricted,
   regardless of any permissions we might implement in the future.

   sshd(8): authorized_keys のオプションに "restrict" を追加する.
   これは, (no-*-forwarding などの) 現在と将来のすべての制限を含む.
   さらに, 現在の制限の許可バージョンも追加する. つまり,
   "no-pty" -> "pty". これにより, 制限付きの鍵の設定のタスクが
   単純化し, 将来実装するすべての許可に関係なく
   鍵が最大に制限されていることを圃場できる.

 * ssh(1): add ssh_config CertificateFile option to explicitly list
   certificates. bz#2436

   ssh(1): ssh_config に 証明書を明示的に列挙する CertificateFile
   設定項目を追加する. bz#2436

 * ssh-keygen(1): allow ssh-keygen to change the key comment for all
   supported formats.

   ssh-keygen(1): すべてのサポートする形式について ssh-keygen が
   鍵のコメントを変更できるようにする

 * ssh-keygen(1): allow fingerprinting from standard input, e.g.
   "ssh-keygen -lf -"

   ssh-keygen(1): 標準入力からの指紋表示をできるようにする.
   つまり, "ssh-keygen -lf -"

 * ssh-keygen(1): allow fingerprinting multiple public keys in a
   file, e.g. "ssh-keygen -lf ~/.ssh/authorized_keys" bz#1319

   ssh-keygen(1): ファイルに含まれる複数の公開鍵の指紋表示を
   できるようにする. つまり
   "ssh-keygen -lf ~/.ssh/authorized_keys" bz#1319

 * sshd(8): support "none" as an argument for sshd_config
   Foreground and ChrootDirectory. Useful inside Match blocks to
   override a global default. bz#2486

   sshd(8): sshd_config の Foreground と ChrootDirectory の引数に
   "none" をサポートする. グローバルなデフォルトを Match ブロックの中で
   上書きするのに有用. bz#2486

 * ssh-keygen(1): support multiple certificates (one per line) and
   reading from standard input (using "-f -") for "ssh-keygen -L"

   ssh-keygen(1): (行ごとに1つの)複数の証明書と, (using "-f -" を用いる)
   標準入力からの読み込みを "ssh-keygen -L" でサポートする

 * ssh-keyscan(1): add "ssh-keyscan -c ..." flag to allow fetching
   certificates instead of plain keys.

   ssh-keyscan(1): 生の鍵の変わりに証明書を取得する "ssh-keyscan -c ..."
   フラグを追加する

 * ssh(1): better handle anchored FQDNs (e.g. 'cvs.openbsd.org.') in
   hostname canonicalisation - treat them as already canonical and
   remove the trailing '.' before matching ssh_config.

   ssh(1): anchored (訳注: ここでは . が最後に着いているということ?)
   FQDN (例えば 'csv.openbsd.org.') をよりよく扱う.
   すでに正規化済みとして扱い,  ssh_config でマッチする前に 末尾の '.' を取り除く.

Bugfixes
--------

バグ修正

 * sftp(1): existing destination directories should not terminate
   recursive uploads (regression in openssh 6.8) bz#2528

   sftp(1): 送信先のディレクトリ存在しても再帰的なアップロードを
   終了させない (openssh 6.8 で導入された不具合) bz#2528

 * ssh(1), sshd(8): correctly send back SSH2_MSG_UNIMPLEMENTED
   replies to unexpected messages during key exchange. bz#2949

   ssh(1), sshd(8): 鍵交換で予期しないメッセージに対して
   正しく SSH2_MSG_UNIMPLEMENTED を送り返す.
   bz#2949

 * ssh(1): refuse attempts to set ConnectionAttempts=0, which does
   not make sense and would cause ssh to print an uninitialised stack
   variable. bz#2500

   ssh(1): ConnectionAttempts=0 を設定しようという試みを拒否する.
   これは 意味がないし, 初期化してないスタック変数を ssh に印字させよう
   とする. bz#2500

 * ssh(1): fix errors when attempting to connect to scoped IPv6
   addresses with hostname canonicalisation enabled.

   ssh(1): ホスト名の正規化が有効な場合に scoped IPv6 アドレスに
   接続しようとした場合のエラーを修正する

 * sshd_config(5): list a couple more options usable in Match blocks.
   bz#2489

   sshd_config(5): Match ブロックで利用可能ないくつかの設定項目を
   列挙(追加)する.

 * sshd(8): fix "PubkeyAcceptedKeyTypes +..." inside a Match block.

   Match ブロック内の "PubkeyAcceptedKeyTypes +..." を修正する

 * ssh(1): expand tilde characters in filenames passed to -i options
   before checking whether or not the identity file exists. Avoids
   confusion for cases where shell doesn't expand (e.g. "-i ~/file"
   vs. "-i~/file"). bz#2481

   ssh(1): -i オプションで, identity ファイルが存在するかどうかのチェック
   より前に ファイル名のチルダ文字を展開する. シェルが展開しない場合
   (つまり "-i ~/file" と "-i~/file") での混乱を避ける. bz#2481

 * ssh(1): do not prepend "exec" to the shell command run by "Match
   exec" in a config file, which could cause some commands to fail
   in certain environments. bz#2471

   ssh(1): コンフィグファイルで "Match exec" で走るシェルコマンドに
   exec を前に付けない. 特定の環境でコマンドが失敗する. bz#2471

 * ssh-keyscan(1): fix output for multiple hosts/addrs on one line
   when host hashing or a non standard port is in use bz#2479

   ssh-keyscan(1): ホストがハッシュされていたり標準でないポートが
   利用されている場合に, 一行での複数のホスト/アドレスの出力を修正
   bz#2479

 * sshd(8): skip "Could not chdir to home directory" message when
   ChrootDirectory is active. bz#2485

   sshd(8): ChrootDirectory が有効な場合に, 
   "Could not chdir to home directory" メッセージをスキップする.
   bz#2485

 * ssh(1): include PubkeyAcceptedKeyTypes in ssh -G config dump.

   ssh(1): PubkeyAcceptedKeyTypes を ssh -G config dump に含める.

 * sshd(8): avoid changing TunnelForwarding device flags if they are
   already what is needed; makes it possible to use tun/tap
   networking as non-root user if device permissions and interface
   flags are pre-established

   sshd(8): もし必要なものがすでにある場合にトンネル転送のデバイスの
   フラグの変更を避ける. デバイスのパーミッションとインターフェイス
   フラグがすでに確立している場合に, ルートでないユーザが
   tun/tap ネットワークを利用できるようにする.

 * ssh(1), sshd(8): RekeyLimits could be exceeded by one packet.
   bz#2521

   ssh(1), sshd(8): RekeyLimits が 1パケットで超過するようにする.
   bz#2521

 * ssh(1): fix multiplexing master failure to notice client exit.

   ssh(1): クライアントの終了を通知するため, 多重化マスターの
   失敗を修正する.

 * ssh(1), ssh-agent(1): avoid fatal() for PKCS11 tokens that present
   empty key IDs. bz#1773

   ssh(1), ssh-agent(1): 空の鍵の ID を持つ PKCS11 トークンで
   fatal() が起きるのを避ける.

 * sshd(8): avoid printf of NULL argument. bz#2535

   NULl 引数での printf を避ける. bz#2535

 * ssh(1), sshd(8): allow RekeyLimits larger than 4GB. bz#2521

   ssh(1), sshd(8): 4GB より大きい RekeyLimits を許可する. bz#2521

 * ssh-keygen(1): sshd(8): fix several bugs in (unused) KRL signature
   support.

   ssh-keygen(1): sshd(8): (利用していない) KRL 署名サポートの
   複数のバグを修正する.

 * ssh(1), sshd(8): fix connections with peers that use the key
   exchange guess feature of the protocol. bz#2515

   ssh(1), sshd(8): プロトコルの鍵交換推測機能を用いる相手との
   接続を修正する. bz#2515

 * sshd(8): include remote port number in log messages. bz#2503

   sshd(8): ログメッセージにリモートのポート番号を含める. bz#2503

 * ssh(1): don't try to load SSHv1 private key when compiled without
   SSHv1 support. bz#2505

   ssh(1): SSHv1 サポート抜きでコンパイルされた場合に,
   SSHv1 秘密鍵をロードしようとしない. bz#2505

 * ssh-agent(1), ssh(1): fix incorrect error messages during key
   loading and signing errors. bz#2507

   ssh-agent(1), ssh(1): 鍵のロードと署名のエラーでの不正確な
   エラーメッセージを修正する.

 * ssh-keygen(1): don't leave empty temporary files when performing
   known_hosts file edits when known_hosts doesn't exist.

   ssh-keygen(1): known_hosts ファイルが存在しない場合に
   known_hosts ファイルを編集する際に,
   空のテンポラリファイルを削除しない.

 * sshd(8): correct packet format for tcpip-forward replies for
   requests that don't allocate a port bz#2509

   sshd(8): ポートを割り当てていない tcpip-forward 要求への
   応答で パケット形式を修正する.

 * ssh(1), sshd(8): fix possible hang on closed output. bz#2469

   ssh(1), sshd(8): 閉じた出力でハングする場合があるのを修正する.
   bz#2469

 * ssh(1): expand %i in ControlPath to UID. bz#2449

   ssh(1): ControlPath で %i を UID に展開する. bz#2449

 * ssh(1), sshd(8): fix return type of openssh_RSA_verify. bz#2460

   ssh(1), sshd(8): openssh_RSA_verify の返り値の方を修正する. bz#2460

 * ssh(1), sshd(8): fix some option parsing memory leaks. bz#2182

   ssh(1), sshd(8): オプションのパースでのメモリリークを修正する.
   bz#2182

 * ssh(1): add a some debug output before DNS resolution; it's a
   place where ssh could previously silently stall in cases of
   unresponsive DNS servers. bz#2433

   ssh(1): DNS 解決の前にいくつかのデバッグ出力を追加する.
   DNS サーバが応答しない場合に 以前は ssh は 静かに 動かなくなる
   ことがあった場所だ.

 * ssh(1): remove spurious newline in visual hostkey. bz#2686

   ssh(1): バーチャルなホスト鍵中の偽の改行を削除する. bz#2686

 * ssh(1): fix printing (ssh -G ...) of HostKeyAlgorithms=+...

   ssh(1): HostKeyAlgorithms=+... のときの (ssh -G ...) の出力を
   修正する.

 * ssh(1): fix expansion of HostkeyAlgorithms=+...

   HostkeyAlgorithms=+... の展開を修正する.

Documentation
-------------

文書

 * ssh_config(5), sshd_config(5): update default algorithm lists to
   match current reality. bz#2527
   
   ssh_config(5), sshd_config(5): デフォルトのアルゴリズムのリストを
   現状に一致するよう更新する. bz#2527

 * ssh(1): mention -Q key-plain and -Q key-cert query options.
   bz#2455

   ssh(1): -Q key-plain と -Q key-cert について言及する.
   bz#2455

 * sshd_config(8): more clearly describe what AuthorizedKeysFile=none
   does.

   sshd_config(8): AuthorizedKeysFile=none がなにを行なうかについて
   より明確に記述する.

 * ssh_config(5): better document ExitOnForwardFailure. bz#2444

   ssh_config(5): ExitOnForwardFailure についての記述を改善.
   bz#2444

 * sshd(5): mention internal DH-GEX fallback groups in manual.
   bz#2302

   sshd(5): 手動での 内部 DH-GEX フォールバックグループ について
   記述する.

 * sshd_config(5): better description for MaxSessions option.
   bz#2531

   sshd_config(5): MaxSessions 設定項目の記述を改善.
   bz#2531

Portability
-----------

移植性

 * ssh(1), sftp-server(8), ssh-agent(1), sshd(8): Support Illumos/
   Solaris fine-grained privileges. Including a pre-auth privsep
   sandbox and several pledge() emulations. bz#2511

 * ssh(1), sftp-server(8), ssh-agent(1), sshd(8): Illumos/ Solaris
   fine-grained privileges をサポートする. 認証前特権分離の
   sandbox と 複数の pledge() エミュレーションを含んでいる.
   bz#2511

 * Renovate redhat/openssh.spec, removing deprecated options and
   syntax.

   非推奨のオプションや文法を削除して redhat/openssh.spec を刷新する.

 * configure: allow --without-ssl-engine with --without-openssl

   configure: --without-openssl と --without-ssl-engine が共存できる

 * sshd(8): fix multiple authentication using S/Key. bz#2502

   sshd(8): S/Key を用いる複数認証を修正する. bz#2502

 * sshd(8): read back from libcrypto RAND_* before dropping
   privileges.  Avoids sandboxing violations with BoringSSL.

   sshd(8): 特権を落す前に libcrypto の RAND_* から
   読み直す. BoringSSL を利用する場合に サンドボックスの
   破壊を回避する.

 * Fix name collision with system-provided glob(3) functions.
   bz#2463

   system が提供する glob(3) 関数の名前衝突を修正する.
   bz#2463

 * Adapt Makefile to use ssh-keygen -A when generating host keys.
   bz#2459

   ホスト鍵作成の際に ssh-keygen -A を用いるように Makefile を
   変更する. bz#2459

 * configure: correct default value for --with-ssh1 bz#2457

   configure: --with-ssh1 のデフォルト値を修正する. bz#2457

 * configure: better detection of _res symbol bz#2259

   configure: _res シンボルの検出を改善 bz#2259

 * support getrandom() syscall on Linux

   Linux の getrandom() システムコールをサポート
タグ :
#ssh
#openssh