春山 征吾のくけー

https://www.unixuser.org/~haruyama/blog/ に移転しました http://wiki.livedoor.jp/haruyama_seigo/d/FrontPage @haruyama タイトルが思いつかないときはそのときかかってた曲をタイトルにしています.

セキュリティ

OpenSSH 7.4 がリリースされました

2016/12/19, OpenSSH 7.4 がリリースされました.

セキュリティ修正, バグ修正が中心のリリースです.

https://www.openssh.com/txt/release-7.4

Future deprecation notice
=========================

将来廃止される機能の告知

We plan on retiring more legacy cryptography in future releases,
specifically:

将来のリリースでさらなるレガシーな暗号を廃止することを計画している.
具体的には:

 * In approximately August 2017, removing remaining support for the
   SSH v.1 protocol (client-only and currently compile-time disabled).

   2017/08ごろに SSH v.1 プロコロルの残っているサポートを除く
   (クライアントのみで残っていて現在コンパイル時には無効),

 * In the same release, removing support for Blowfish and RC4 ciphers
   and the RIPE-MD160 HMAC. (These are currently run-time disabled).

   同じリリースで, Blowfish と RC4 暗号, RIPE-MD160 HMAC のサポートを
   除く (現在実行時に無効).

 * Refusing all RSA keys smaller than 1024 bits (the current minimum
   is 768 bits)

   1024 ビットより小さいすべての RSA 鍵を拒否する (現在の最小値は 768 ビット)

 * The next release of OpenSSH will remove support for running sshd(8)
   with privilege separation disabled.

   OpenSSH の次のリリースで, 特権分離が無効な sshd(8) の実行のサポートを
   除く.

 * The next release of portable OpenSSH will remove support for
   OpenSSL version prior to 1.0.1.

   移植版 OpenSSH の次のリリースで. 1.0.1 より前の OpenSSL のサポートを除く.

This list reflects our current intentions, but please check the final
release notes for future releases.

このリストは我々の現在の意図を反映している. ただし, 将来のリリースでの
最終的なリリースノートをチェックしてほしい.

Potentially-incompatible changes
================================

非互換な可能性のある変更

This release includes a number of changes that may affect existing
configurations:

このリリースは, 既存の設定に影響する可能性がある変更をいくつか含んでいる.

 * This release removes server support for the SSH v.1 protocol.

   このリリースは, SSH v.1 プロトコルのサーバサポートを除く.

 * ssh(1): Remove 3des-cbc from the client's default proposal. 64-bit
   block ciphers are not safe in 2016 and we don't want to wait until
   attacks like SWEET32 are extended to SSH. As 3des-cbc was the
   only mandatory cipher in the SSH RFCs, this may cause problems
   connecting to older devices using the default configuration,
   but it's highly likely that such devices already need explicit
   configuration for key exchange and hostkey algorithms already
   anyway.

   ssh(1): クライアントのデフォルトの提案から 3des-cbc を除く.
   2016 年において 64 ビットブロック暗号は安全ではなく,
   SWEET32 のような攻撃が SSH に拡張されるまで, 我々は待つのを
   望んでいない. 3des-cbc は SSH RFC の中で唯一必須の暗号で,
   デフォルトの設定を用いている古いデバイスに対して接続する際に
   この除去は問題となるかもしれない. しかし, そのようなサービスは
   どうせ鍵公館やホスト鍵のアルゴリズムに明確な設定が必要である
   可能性が非常に高い.

 * sshd(8): Remove support for pre-authentication compression.
   Doing compression early in the protocol probably seemed reasonable
   in the 1990s, but today it's clearly a bad idea in terms of both
   cryptography (cf. multiple compression oracle attacks in TLS) and
   attack surface. Pre-auth compression support has been disabled by
   default for >10 years. Support remains in the client.

   sshd(8): 認証前の圧縮のサポートを除く.
   プロトコルの初期で圧縮を行なうことは, 1990年代には合理的と考えられていた.
   しかし, 暗号額の面からも (例えば, TLS での複数の圧縮 oracle 攻撃)
   攻撃面からも 今日では明確に悪い考えだ.
   認証前の圧縮サポートは デフォルトで10年以上前から無効になっていたが,
   クライアントでサポートは残っていた.

 * ssh-agent will refuse to load PKCS#11 modules outside a whitelist
   of trusted paths by default. The path whitelist may be specified
   at run-time.

   ssh-agent は デフォルトで信頼されたパスのホワイトリスト以外からの
   PKCS#11 モジュールのロードを拒否するようになる. パスのホワイトリストは
   実行時に指定できる.

 * sshd(8): When a forced-command appears in both a certificate and
   an authorized keys/principals command= restriction, sshd will now
   refuse to accept the certificate unless they are identical.
   The previous (documented) behaviour of having the certificate
   forced-command override the other could be a bit confusing and
   error-prone.

   sshd(8): 証明書と, authorized keys/principals の command= 制約の両方で
   force-command が指定されている場合, それらが同一でなければ sshd は
   証明書の受け入れを拒否するようになる.
   証明書の force-command が 他を上書きする場合の以前の(文書化された) 振舞いは
   ちょっと混乱していてエラーをおこしがちだった.

 * sshd(8): Remove the UseLogin configuration directive and support
   for having /bin/login manage login sessions.

   sshd(8): UseLogin 設定項目と/bin/login にログインセッションを管理させる仕組みの
   サポートを除く.


Changes since OpenSSH 7.3
=========================

OpenSSH 7.3 からの変更点

This is primarily a bugfix release.

これは主にバグ修正のリリースだ.

Security
--------

セキュリティ

 * ssh-agent(1): Will now refuse to load PKCS#11 modules from paths
   outside a trusted whitelist (run-time configurable). Requests to
   load modules could be passed via agent forwarding and an attacker
   could attempt to load a hostile PKCS#11 module across the forwarded
   agent channel: PKCS#11 modules are shared libraries, so this would
   result in code execution on the system running the ssh-agent if the
   attacker has control of the forwarded agent-socket (on the host
   running the sshd server) and the ability to write to the filesystem
   of the host running ssh-agent (usually the host running the ssh
   client). Reported by Jann Horn of Project Zero.

   ssh-agent(1): (実行時に設定可能な) 信頼できるホワイトリスト外の
   パスからの PKCS#11 モジュールのロードを拒否するようになる.
   モジュールのロードの要求はエージェントの転送によって渡される可能性があり,
   攻撃者は転送されたエージェントチャンネルからの 悪意のあるPKCS#11 モジュール
   をロードする可能性がある. PKCS#11 モジュールは共有ライブラリで,
   (sshd サーバが走るホストで) 攻撃者が転送された agent ソケットの制御を持っていると,
   ssh-agent が走るシステムでコード実行が可能になる. また,
   ssh-agent が走るホスト (通常 ssh クライアントが走るホスト)の
   ファイルシステムへの書き込みが可能になる. Project Zero の
   Jann Horn によって報告された.

 * sshd(8): When privilege separation is disabled, forwarded Unix-
   domain sockets would be created by sshd(8) with the privileges of
   'root' instead of the authenticated user. This release refuses
   Unix-domain socket forwarding when privilege separation is disabled
   (Privilege separation has been enabled by default for 14 years).
   Reported by Jann Horn of Project Zero.

   sshd(8): 特権分離が無効な場合, 転送された Unixドメインソケットは
   認証されたユーザの権限ではなく 'root' 権限で sshd(8)に作成される.
   このリリースでは, 特権分離が無効な場合に転送に対するユニックスドメインソケット
   を拒否する.  (特権分離がデフォルトで有効になって14年経つ)
   Project Zero の Jann Horn によって報告された.

 * sshd(8): Avoid theoretical leak of host private key material to
   privilege-separated child processes via realloc() when reading
   keys. No such leak was observed in practice for normal-sized keys,
   nor does a leak to the child processes directly expose key material
   to unprivileged users. Reported by Jann Horn of Project Zero.

   sshd(8): 理論上ありえる, 漏鍵の再読み込み時の realloc() による
   特権分離された子プロセスへのホスト秘密鍵の内容の洩を避ける.
   このような漏洩は通常のサイズの鍵では実際には観測されないし,
   非特権ユーザに対して鍵の内容を子プロセスが直接さらす漏洩ではない.
   Project Zero の Jann Horn によって報告された.

 * sshd(8): The shared memory manager used by pre-authentication
   compression support had a bounds checks that could be elided by
   some optimising compilers. Additionally, this memory manager was
   incorrectly accessible when pre-authentication compression was
   disabled. This could potentially allow attacks against the
   privileged monitor process from the sandboxed privilege-separation
   process (a compromise of the latter would be required first).
   This release removes support for pre-authentication compression
   from sshd(8). Reported by Guido Vranken using the Stack unstable
   optimisation identification tool (http://css.csail.mit.edu/stack/)

   sshd(8): 認証前圧縮サポートで用いていた共有メモリマネージャは
   境界チェックがコンパイラの最適化によって除かれてしまうことがある.
   さらに, このメモリマネージャは認証前圧縮が無効な場合でも
   不正にアクセスできる. このため, サンドボックス化された特権分離プロセスから
   特権モニタプロセスへの攻撃が潜在的に可能になる 
   (ただし前者の攻撃には後者が必要となるだろう)
   このリリースで 認証前圧縮を sshd(8) から削除する. スタック不安定
   最適化識別ツール (http://css.csail.mit.edu/stack/) を用いて
   Guido Vranken によって報告された.

 * sshd(8): Fix denial-of-service condition where an attacker who
   sends multiple KEXINIT messages may consume up to 128MB per
   connection. Reported by Shi Lei of Gear Team, Qihoo 360.

   sshd(8): 攻撃者が複数の KEXINIT メッセージを送り接続ごとに 128MB まで
   消費することによって起こるサービス不能状況を修正する.
   Gear Team, Qihoo 360 の Shi Lei によって報告された.

 * sshd(8): Validate address ranges for AllowUser and DenyUsers
   directives at configuration load time and refuse to accept invalid
   ones. It was previously possible to specify invalid CIDR address
   ranges (e.g. user@127.1.2.3/55) and these would always match,
   possibly resulting in granting access where it was not intended.
   Reported by Laurence Parry.

   sshd(8): 設定ロード時に AllowUser と DenyUsers 設置項目のアドレスレンジを
   検証し, 不正なものを拒否する. 以前は (例えば user@127.1.2.3/55 のような)
   不正な CIDR アドレスを指定でき, これらは常にマッチして, 意図していない
   アクセス許可となる可能性があった.
   Laurence Parry によって報告された.

New Features
------------

新機能

 * ssh(1): Add a proxy multiplexing mode to ssh(1) inspired by the
   version in PuTTY by Simon Tatham. This allows a multiplexing
   client to communicate with the master process using a subset of
   the SSH packet and channels protocol over a Unix-domain socket,
   with the main process acting as a proxy that translates channel
   IDs, etc.  This allows multiplexing mode to run on systems that
   lack file- descriptor passing (used by current multiplexing
   code) and potentially, in conjunction with Unix-domain socket
   forwarding, with the client and multiplexing master process on
   different machines. Multiplexing proxy mode may be invoked using
   "ssh -O proxy ..."

   ssh(1): ssh(1) にプロキシ多重化モードを追加する.
   Simon Tatham による PuTTY のバージョンに刺激された.
   SSH パケット/キャンネルプロトコルの部分集合を
   Unixドメインソケット上で用いて
   マスタープロセスと通信するクライアントを多重化する.
   このときメインプロセスがチャンネルIDなどを翻訳するプロキシとして振舞う.
   これにより, (現在の多重化コードを用いては)ファイルデスクリプタの転送ができない
   システムで多重化モードが走らせることができる.
   また, 可能性としてはUnixドメインソケット転送と合わせたり,
   別マシン上のクライアントと多重化されたマスタープロセスで
   動かすことができる. 多重化プロキシモードは "ssh -O proxy ..." を用いて
   駆動される

 * sshd(8): Add a sshd_config DisableForwarding option that disables
   X11, agent, TCP, tunnel and Unix domain socket forwarding, as well
   as anything else we might implement in the future. Like the
   'restrict' authorized_keys flag, this is intended to be a simple
   and future-proof way of restricting an account.

   sshd(8): sshd_config に DisableForwarding 設定項目を追加する.
   これは X11, エージェント, TCP, トンネル, Unixドメインソケットの
   転送を無効にする. また将来実装される他の転送も無効にする.
   authorized_keys の 'restrict' フラグと同様,
   DisableForwaring の意図は, アカウントを制限する
   単純で将来でも有効な方法を提供することだ.

 * sshd(8), ssh(1): Support the "curve25519-sha256" key exchange
   method. This is identical to the currently-supported method named
   "curve25519-sha256@libssh.org".

   sshd(8), ssh(1): "curve25519-sha256" 鍵交換法をサポートする.
   現在サポートされている "curve25519-sha256@libssh.org" という方法と
   同じものだ.

 * sshd(8): Improve handling of SIGHUP by checking to see if sshd is
   already daemonised at startup and skipping the call to daemon(3)
   if it is. This ensures that a SIGHUP restart of sshd(8) will
   retain the same process-ID as the initial execution. sshd(8) will
   also now unlink the PidFile prior to SIGHUP restart and re-create
   it after a successful restart, rather than leaving a stale file in
   the case of a configuration error. bz#2641

   sshd(8): SIGHUP の扱いを改善する. sshd がすでに開始時にデーモン化しているか
   そうならば daemon(3) の呼出しをスキップしているか をチェックするようになる.
   これで, sshd(8) の SIGHUP 再起動が 最初の実行と同じプロセスIDを維持する
   のを保証する. sshd(8) は SIGHUP 再起動の前に PidFile を削除し
   再起動が成功したら再作成する. 設定エラーの場合に古いファイルが残らないようになる
   bz#2641

 * sshd(8): Allow ClientAliveInterval and ClientAliveCountMax
   directives to appear in sshd_config Match blocks.

   sshd(8): sshd_config の Match ブロック内で ClientAliveInterval と
   ClientAliveCountMax 設定項目が利用可能に

 * sshd(8): Add %-escapes to AuthorizedPrincipalsCommand to match
   those supported by AuthorizedKeysCommand (key, key type,
   fingerprint, etc.) and a few more to provide access to the
   contents of the certificate being offered.

   sshd(8): AuthorizedPrincipalsCommand に % エスケープを追加する.
   AuthorizedKeysCommand でサポートされているエスケープ(鍵, 鍵の種類,
   指紋など)と, さらに提供されている証明書の内容へのアクセスを提供する
   マッチをする.

 * Added regression tests for string matching, address matching and
   string sanitisation functions.

   文字列マッチ, アドレスマッチ, 文字列無害化関数への回帰テストを追加した.

 * Improved the key exchange fuzzer harness.

   鍵交換の fuzz テスト用ハーネスを改善した.

Bugfixes
--------

バグ修正

 * ssh(1): Allow IdentityFile to successfully load and use
   certificates that have no corresponding bare public key. bz#2617
   certificate id_rsa-cert.pub (and no id_rsa.pub).

   ssh(1): 対応する生の公開鍵がない証明書を IdentityFile で
   ロードし利用できる. bz#2617
   (例えば id_rsa.pub がない id_rsa-cert.pub 証明書)

 * ssh(1): Fix public key authentication when multiple
   authentication is in use and publickey is not just the first
   method attempted. bz#2642

   ssh(1): 複数の認証法が利用されて, 公開鍵認証が最初に試行される
   方式でない場合の公開鍵認証を修正する. bz#2642

 * regress: Allow the PuTTY interop tests to run unattended. bz#2639

   回帰テスト: PuTTY 相互運用性テストが手入力なしで動くようにする. bz#2639

 * ssh-agent(1), ssh(1): improve reporting when attempting to load
   keys from PKCS#11 tokens with fewer useless log messages and more
   detail in debug messages. bz#2610

   ssh-agent(1), ssh(1): PKCS#11 トークンから鍵を読み込む場合に
   少しの無用なログとより詳細なデバッグメッセージが出ていたので
   リポーティングを改善する. bz#2610

 * ssh(1): When tearing down ControlMaster connections, don't
   pollute stderr when LogLevel=quiet.

   ssh(1): ControlMaster 接続を落す場合に, LogLevel=quiet なら
   stderr を汚染しない.

 * sftp(1): On ^Z wait for underlying ssh(1) to suspend before
   suspending sftp(1) to ensure that ssh(1) restores the terminal mode
   correctly if suspended during a password prompt.

   sftp(1): sftp(1) を中断する前に ^Z で 基底の ssh(1) が 中断された場合に
   パスワードプロンプト表示中に中断されていても ssh(1) が 正しく
   ターミナルモードを復元するのを保証する.

 * ssh(1): Avoid busy-wait when ssh(1) is suspended during a password
   prompt.

   ssh(1): パスワードプロンプト表示中に ssh(1) が中断された場合の
   busy-wait を回避する.

 * ssh(1), sshd(8): Correctly report errors during sending of ext-
   info messages.

   ssh(1), sshd(8): ext-info メッセージを送る際に正しくエラーを
   レポートする.

 * sshd(8): fix NULL-deref crash if sshd(8) received an out-of-
   sequence NEWKEYS message.

   sshd(8): sshd(8) が シーケンスから外れた NEWKEYS メッセージを
   受け取った際に NULL を逆参照してクラッシュするのを修正する.

 * sshd(8): Correct list of supported signature algorithms sent in
   the server-sig-algs extension. bz#2547

   sshd(8): server-sig-algs 拡張で サポートされている署名
   アルゴリズムのリストを修正する. bz#2547

 * sshd(8): Fix sending ext_info message if privsep is disabled.

   sshd(8): 特権分離が無効な場合に ext_info メッセージの送信を修正する.

 * sshd(8): more strictly enforce the expected ordering of privilege
   separation monitor calls used for authentication and allow them
   only when their respective authentication methods are enabled
   in the configuration

   sshd(8): 認証に用いられる特権分離モニター呼出しの期待される順序を
   より厳密に強制する. これにより, モニター呼出しを設定で
   それぞれの認証法でのみ有効にできる.

 * sshd(8): Fix uninitialised optlen in getsockopt() call; harmless
   on Unix/BSD but potentially crashy on Cygwin.

   sshd(8): getsockopt() 呼出しで初期化していない optlen を修正する.
   Unix/BSD では無害だが, Cygwin ではクラッシュする可能性がある.

 * Fix false positive reports caused by explicit_bzero(3) not being
   recognised as a memory initialiser when compiled with
   -fsanitize-memory.

   -fsanitize-memory を付けてコンパイルされた場合に
   explicit_bzero(3) が メモリ初期化子を認識しないことに
   起因する false positive なレポートを修正する

 * sshd_config(5): Use 2001:db8::/32, the official IPv6 subnet for
   configuration examples.

   sshd_config(5): 2001:db8::/32 を用いる. 設定例のための
   公式な IPv6 サブネット

Portability
-----------

移植性

 * On environments configured with Turkish locales, fall back to the
   C/POSIX locale to avoid errors in configuration parsing caused by
   that locale's unique handling of the letters 'i' and 'I'. bz#2643

   Turkish ロケールで設定された環境で, ロケールな独特な文字 'i' と 'I'
   の扱いによる設定ファイルのパースエラーを回避するために C/POSIX ロケールに
   フォールバックする.

 * sftp-server(8), ssh-agent(1): Deny ptrace on OS X using
   ptrace(PT_DENY_ATTACH, ..)

   sftp-server(8), ssh-agent(1): ptrace(PT_DENY_ATTACH, ..) を用いて
   OS X 上で ptrace を無効にする

 * ssh(1), sshd(8): Unbreak AES-CTR ciphers on old (~0.9.8) OpenSSL.

   ssh(1), sshd(8): 古い (~0.9.8) OpenSSL の AES-CTR 暗号を直す

 * Fix compilation for libcrypto compiled without RIPEMD160 support.

   RIPEMD160 サポートなしでコンパイルされた libcrypto のコンパイルを修正する

 * contrib: Add a gnome-ssh-askpass3 with GTK+3 support. bz#2640

   contrib: GTK+3 サポートされた gnome-ssh-askpass3 を追加する. bz#2640

 * sshd(8): Improve PRNG reseeding across privilege separation and
   force libcrypto to obtain a high-quality seed before chroot or
   sandboxing.

   sshd(8): 特権分離越しのPRNG の再シードを改善し, chroot や サンドボックス化の前に
   高品質のシードを libcrypto が得るのを強制する.

 * All: Explicitly test for broken strnvis. NetBSD added an strnvis
   and unfortunately made it incompatible with the existing one in
   OpenBSD and Linux's libbsd (the former having existed for over ten
   years). Try to detect this mess, and assume the only safe option
   if we're cross compiling.

   すべて: 壊れた strnvis に対する明示的なテスト. NetBSD は strnvis を追加して
   不幸なことに, これは OpenBSD や Linux の libbsd の既存のものと非互換になっている
   (OpenBSDのものは 10年以上前から存在している). この混乱を検出しようと試み,
   クロスコンパイル時に唯一の安全な選択をとる.

OpenSSH 7.4 がリリース準備中 / Call for testing: OpenSSH 7.4

OpenSSH 7.4 がリリース準備中です.

Call for testing: OpenSSH 7.4

主にバグ修正のリリースです.

http://lists.mindrot.org/pipermail/openssh-unix-dev/2016-December/035537.html

Potentially-incompatible changes
================================

非互換な可能性のある変更

This release includes a number of changes that may affect existing
configurations:

このリリースは, 既存の設定に影響する可能性がある変更をいくつか含んでいる.


 * This release removes server support for the SSH v.1 protocol.

   このリリースは, SSH v.1 プロトコルのサーバサポートを除く.

 * ssh(1): Remove 3des-cbc from the client's default proposal. 64-bit
   block ciphers are not safe in 2016 and we don't want to wait until
   attacks like SWEET32 are extended to SSH. As 3des-cbc was the
   only mandatory cipher in the SSH RFCs, this may cause problems
   connecting to older devices using the default configuration,
   but it's highly likely that such devices already need explicit
   configuration for key exchange and hostkey algorithms already
   anyway.

   ssh(1): クライアントのデフォルトの提案から 3des-cbc を除く.
   2016 年において 64 ビットブロック暗号は安全ではなく,
   SWEET32 のような攻撃が SSH に拡張されるまで, 我々は待つのを
   望んでいない. 3des-cbc は SSH RFC の中で唯一必須の暗号で,
   デフォルトの設定を用いている古いデバイスに対して接続する際に
   この除去は問題となるかもしれない. しかし, そのようなサービスは
   どうせ鍵公館やホスト鍵のアルゴリズムに明確な設定が必要である
   可能性が非常に高い.

 * sshd(8): Remove support for pre-authentication compression.
   Doing compression early in the protocol probably seemed reasonable
   in the 1990s, but today it's clearly a bad idea in terms of both
   cryptography (cf. multiple compression oracle attacks in TLS) and
   attack surface. Pre-auth compression support has been disabled by
   default for >10 years. Support remains in the client.

   sshd(8): 認証前の圧縮のサポートを除く.
   プロトコルの初期で圧縮を行なうことは, 1990年代には合理的と考えられていた.
   しかし, 暗号額の面からも (例えば, TLS での複数の圧縮 oracle 攻撃)
   攻撃面からも 今日では明確に悪い考えだ.
   認証前の圧縮サポートは デフォルトで10年以上前から無効になっていたが,
   クライアントでサポートは残っていた.

 * ssh-agent will refuse to load PKCS#11 modules outside a whitelist
   of trusted paths by default. The path whitelist may be specified
   at run-time.

   ssh-agent は デフォルトで信頼されたパスのホワイトリスト以外からの
   PKCS#11 モジュールのロードを拒否するようになる. パスのホワイトリストは
   実行時に指定できる.

 * sshd(8): When a forced-command appears in both a certificate and
   an authorized keys/principals command= restriction, sshd will now
   refuse to accept the certificate unless they are identical.
   The previous (documented) behaviour of having the certificate
   forced-command override the other could be a bit confusing and
   error-prone.

   sshd(8): 証明書と, authorized keys/principals の command= 制約の両方で
   force-command が指定されている場合, それらが同一でなければ sshd は
   証明書の受け入れを拒否するようになる.
   証明書の force-command が 他を上書きする場合の以前の(文書化された) 振舞いは
   ちょっと混乱していてエラーをおこしがちだった.

 * sshd(8): Remove the UseLogin configuration directive and support
   for having /bin/login manage login sessions.

   sshd(8): UseLogin 設定項目と/bin/login にログインセッションを管理させる仕組みの
   サポートを除く.

Changes since OpenSSH 7.3
=========================

OpenSSH 7.3 からの変更点

This is primarily a bugfix release.

これは主にバグ修正のリリースだ.

New Features
------------

新機能

 * ssh(1): Add a proxy multiplexing mode to ssh(1) inspired by the
   version in PuTTY by Simon Tatham. This allows a multiplexing
   client to communicate with the master process using a subset of
   the SSH packet and channels protocol over a Unix-domain socket,
   with the main process acting as a proxy that translates channel
   IDs, etc.  This allows multiplexing mode to run on systems that
   lack file- descriptor passing (used by current multiplexing
   code) and potentially, in conjunction with Unix-domain socket
   forwarding, with the client and multiplexing master process on
   different machines. Multiplexing proxy mode may be invoked using
   "ssh -O proxy ..."

   ssh(1): ssh(1) にプロキシ多重化モードを追加する.
   Simon Tatham による PuTTY のバージョンに刺激された.
   SSH パケット/キャンネルプロトコルの部分集合を
   Unixドメインソケット上で用いて
   マスタープロセスと通信するクライアントを多重化する.
   このときメインプロセスがチャンネルIDなどを翻訳するプロキシとして振舞う.
   これにより, (現在の多重化コードを用いては)ファイルデスクリプタの転送ができない
   システムで多重化モードが走らせることができる.
   また, 可能性としてはUnixドメインソケット転送と合わせたり,
   別マシン上のクライアントと多重化されたマスタープロセスで
   動かすことができる. 多重化プロキシモードは "ssh -O proxy ..." を用いて
   駆動される

 * sshd(8): Add a sshd_config DisableForwaring option that disables
   X11, agent, TCP, tunnel and Unix domain socket forwarding, as well
   as anything else we might implement in the future. Like the
   'restrict' authorized_keys flag, this is intended to be a simple
   and future-proof way of restricting an account.

   sshd(8): sshd_config に DisableForwaring 設定項目を追加する.
   これは X11, エージェント, TCP, トンネル, Unixドメインソケットの
   転送を無効にする. また将来実装される他の転送も無効にする.
   authorized_keys の 'restrict' フラグと同様,
   DisableForwaring の意図は, アカウントを制限する
   単純で将来でも有効な方法を提供することだ.

 * sshd(8), ssh(1): Support the "curve25519-sha256" key exchange
   method. This is identical to the currently-support method named
   "curve25519-sha256@libssh.org".

   sshd(8), ssh(1): "curve25519-sha256" 鍵交換法をサポートする.
   現在サポートされている "curve25519-sha256@libssh.org" という方法と
   同じものだ.

 * sshd(8): Improve handling of SIGHUP by checking to see if sshd is
   already daemonised at startup and skipping the call to daemon(3)
   if it is. This ensures that a SIGHUP restart of sshd(8) will
   retain the same process-ID as the initial execution. sshd(8) will
   also now unlink the PidFile prior to SIGHUP restart and re-create
   it after a successful restart, rather than leaving a stale file in
   the case of a configuration error. bz#2641

   sshd(8): SIGHUP の扱いを改善する. sshd がすでに開始時にデーモン化しているか
   そうならば daemon(3) の呼出しをスキップしているか をチェックするようになる.
   これで, sshd(8) の SIGHUP 再起動が 最初の実行と同じプロセスIDを維持する
   のを保証する. sshd(8) は SIGHUP 再起動の前に PidFile を削除し
   再起動が成功したら再作成する. 設定エラーの場合に古いファイルが残らないようになる
   bz#2641

 * sshd(8): Allow ClientAliveInterval and ClientAliveCountMax
   directives to appear in sshd_config Match blocks.

   sshd(8): sshd_config の Match ブロック内で ClientAliveInterval と
   ClientAliveCountMax 設定項目が利用可能に

 * sshd(8): Add %-escapes to AuthorizedPrincipalsCommand to match
   those supported by AuthorizedKeysCommand (key, key type,
   fingerprint, etc.) and a few more to provide access to the
   contents of the certificate being offered.

   sshd(8): AuthorizedPrincipalsCommand に % エスケープを追加する.
   AuthorizedKeysCommand でサポートされているエスケープ(鍵, 鍵の種類,
   指紋など)と, さらに提供されている証明書の内容へのアクセスを提供する
   マッチをする.

 * Added regression tests for string matching, address matching and
   string sanitisation functions.

   文字列マッチ, アドレスマッチ, 文字列無害化関数への回帰テストを追加した.

 * Improved the key exchange fuzzer harness.

   鍵交換の fuzz テスト用ハーネスを改善した.


Bugfixes
--------

バグ修正

 * ssh(1): Allow IdentityFile to successfully load and use
   certificates that have no corresponding bare public key. bz#2617
   certificate id_rsa-cert.pub (and no id_rsa.pub).

   ssh(1): 対応する生の公開鍵がない証明書を IdentityFile で
   ロードし利用できる. bz#2617

 * ssh(1): Fix public key authentication when multiple
   authentication is in use and publickey is not just the first
   method attempted. bz#2642

   ssh(1): 複数の認証法が利用されて, 公開鍵認証が最初に試行される
   方式でない場合の公開鍵認証を修正する. bz#2642

 * regress: Allow the PuTTY interop tests to run unattended. bz#2639

   回帰テスト: PuTTY 相互運用性テストが手入力なしで動くようにする. bz#2639

 * ssh-agent(1), ssh(1): improve reporting when attempting to load
   keys from PKCS#11 tokens with fewer useless log messages and more
   detail in debug messages. bz#2610

   ssh-agent(1), ssh(1): PKCS#11 トークンから鍵を読み込む場合に
   少しの無用なログとより詳細なデバッグメッセージが出ていたので
   リポーティングを改善する. bz#2610

 * ssh(1): When tearing down ControlMaster connections, don't
   pollute stderr when LogLevel=quiet.

   ssh(1): ControlMaster 接続を落す場合に, LogLevel=quiet なら
   stderr を汚染しない.

 * sftp(1): On ^Z wait for underlying ssh(1) to suspend before
   suspending sftp(1) to ensure that ssh(1) restores the terminal mode
   correctly if suspended during a password prompt.

   sftp(1): sftp(1) を中断する前に ^Z で 基底の ssh(1) が 中断された場合に
   パスワードプロンプト表示中に中断されていても ssh(1) が 正しく
   ターミナルモードを復元するのを保証する.

 * ssh(1): Avoid busy-wait when ssh(1) is suspended during a password
   prompt.

   ssh(1): パスワードプロンプト表示中に ssh(1) が中断された場合の
   busy-wait を回避する.

 * ssh(1), sshd(8): Correctly report errors during sending of ext-
   info messages.

   ssh(1), sshd(8): ext-info メッセージを送る際に正しくエラーを
   レポートする.

 * sshd(8): fix NULL-deref crash if sshd(8) received an out-of-
   sequence NEWKEYS message.

   sshd(8): sshd(8) が シーケンスから外れた NEWKEYS メッセージを
   受け取った際に NULL を逆参照してクラッシュするのを修正する.

 * sshd(8): Correct list of supported signature algorithms sent in
   the server-sig-algs extension. bz#2547

   sshd(8): server-sig-algs 拡張で サポートされている署名
   アルゴリズムのリストを修正する. bz#2547

 * sshd(8): Fix sending ext_info message if privsep is disabled.

   sshd(8): 特権分離が無効な場合に ext_info メッセージの送信を修正する.

 * sshd(8): more strictly enforce the expected ordering of privilege
   separation monitor calls used for authentication and allow them
   only when their respective authentication methods are enabled
   in the configuration

   sshd(8): 認証に用いられる特権分離モニター呼出しの期待される順序を
   より厳密に強制する. これにより, モニター呼出しを設定で
   それぞれの認証法でのみ有効にできる.

 * sshd(8): Fix uninitialised optlen in getsockopt() call; harmless
   on Unix/BSD but potentially crashy on Cygwin.

   sshd(8): getsockopt() 呼出しで初期化していない optlen を修正する.
   Unix/BSD では無害だが, Cygwin ではクラッシュする可能性がある.

 * Fix false positive reports caused by explicit_bzero(3) not being
   recognised as a memory initialiser when compiled with
   -fsanitize-memory.

   -fsanitize-memory を付けてコンパイルされた場合に
   explicit_bzero(3) が メモリ初期化子を認識しないことに
   起因する false positive なレポートを修正する

 * sshd_config(5): Use 2001:db8::/32, the official IPv6 subnet for
   configuration examples.

   sshd_config(5): 2001:db8::/32 を用いる. 設定例のための
   公式な IPv6 サブネット

Portability
-----------

移植性

 * On environments configured with Turkish locales, fall back to the
   C/POSIX locale to avoid errors in configuration parsing caused by
   that locale's unique handling of the letters 'i' and 'I'. bz#2643

   Turkish ロケールで設定された環境で, ロケールな独特な文字 'i' と 'I'
   の扱いによる設定ファイルのパースエラーを回避するために C/POSIX ロケールに
   フォールバックする.

 * sftp-server(8), ssh-agent(1): Deny ptrace on OS X using
   ptrace(PT_DENY_ATTACH, ..)

   sftp-server(8), ssh-agent(1): ptrace(PT_DENY_ATTACH, ..) を用いて
   OS X 上で ptrace を無効にする

 * ssh(1), sshd(8): Unbreak AES-CTR ciphers on old (~0.9.8) OpenSSL.

   ssh(1), sshd(8): 古い (~0.9.8) OpenSSL の AES-CTR 暗号を直す

 * Fix compilation for libcrypto compiled without RIPEMD160 support.

   RIPEMD160 サポートなしでコンパイルされた libcrypto のコンパイルを修正する

 * contrib: Add a gnome-ssh-askpass3 with GTK+3 support. bz#2640

   contrib: GTK+3 サポートされた gnome-ssh-askpass3 を追加する. bz#2640

 * sshd(8): Improve PRNG reseeding across privilege separation and
   force libcrypto to obtain a high-quality seed before chroot or
   sandboxing.

   sshd(8): 特権分離越しのPRNG の再シードを改善し, chroot や サンドボックス化の前に
   高品質のシードを libcrypto が得るのを強制する.

 * All: Explicitly test for broken strnvis. NetBSD added an strnvis
   and unfortunately made it incompatible with the existing one in
   OpenBSD and Linux's libbsd (the former having existed for over ten
   years). Try to detect this mess, and assume the only safe option
   if we're cross compiling.

   すべて: 壊れた strnvis に対する明示的なテスト. NetBSD は strnvis を追加して
   不幸なことに, これは OpenBSD や Linux の libbsd の既存のものと非互換になっている
   (OpenBSDのものは 10年以上前から存在している). この混乱を検出しようと試み,
   クロスコンパイル時に唯一の安全な選択をとる.

OpenSSH 7.3 がリリースされました

2016/08/01, OpenSSH 7.3 がリリースされました.

セキュリティ修正, バグ修正が中心のリリースです.

http://www.openssh.com/txt/release-7.3

Future deprecation notice
=========================

将来の廃止する機能の告知

We plan on retiring more legacy cryptography in a near-future
release, specifically:

近い将来 さらなるレガシーな暗号を退役させる予定だ.

具体的には,

 * Refusing all RSA keys smaller than 1024 bits (the current minimum
   is 768 bits)
 * Removing server-side support for the SSH v.1 protocol (currently
   compile-time disabled).
 * In approximately 1 year, removing all support for the SSH v.1
   protocol (currently compile-time disabled).

 * 1024 ビットよりも小さいすべての RSA 鍵の拒否
   (現在の最小値は 768 ビット)
 * SSH v.1 プロトコルのサーバサイドサポートの除去
   (現在は コンパイル時に無効)
 * 約1年間で, SSH v.1 プロトコルのすべてのサポートの除去
   (現在は コンパイル時に無効)

This list reflects our current intentions, but please check the final
release notes for future releases.

このリストは現在の我々の意図を反映している. ただし,
将来のリリースでの最終的なリリースノートをチェックしてほしい


Changes since OpenSSH 7.2
=========================

OpenSSH 7.2 からの変更点

This is primarily a bugfix release.

これは主にバグ修正のリリースだ.

Security
--------

セキュリティ

 * sshd(8): Mitigate a potential denial-of-service attack against
   the system's crypt(3) function via sshd(8). An attacker could
   send very long passwords that would cause excessive CPU use in
   crypt(3). sshd(8) now refuses to accept password authentication
   requests of length greater than 1024 characters. Independently
   reported by Tomas Kuthan (Oracle), Andres Rojas and Javier Nieto.

   sshd(8): sshd(8) を経由したシステムの crypt(3) 関数に対する
   潜在的なサービス不能攻撃を緩和する. 攻撃者は, crypt(3) で
   過度の CPU 利用を引き起す非常に長いパスワードを送れる.
   sshd(8) は, 1024 文字よりも大きなパスワード認証要求の受諾を
   拒否するようになる. Tomas Kuthan (Oracle) と
   Andres Rojas, Javier Nieto によって報告された.

 * sshd(8): Mitigate timing differences in password authentication
   that could be used to discern valid from invalid account names
   when long passwords were sent and particular password hashing
   algorithms are in use on the server. CVE-2016-6210, reported by
   EddieEzra.Harari at verint.com

   sshd(8): 特定のパスワードハッシュアルゴリズムをサーバが使っている場合に
   長いパスワードを送って有効なアカウント名と無効なものを見分けるのに
   利用できるパスワード認証によるタイミングの差を緩和する.
   CVE-2016-6210, EddieEzra.Harari at verint.com によって報告された.

 * ssh(1), sshd(8): Fix observable timing weakness in the CBC padding
   oracle countermeasures. Reported by Jean Paul Degabriele, Kenny
   Paterson, Torben Hansen and Martin Albrecht. Note that CBC ciphers
   are disabled by default and only included for legacy compatibility.

   ssh(1), sshd(8): CBC パディングオラクルの対抗策における観測可能な
   タイミングの弱点を修正する. Jean Paul Degabriele と Kenny Paterson,
   Torben Hansen, Martin Albrecht によって報告された. CBC を利用する
   暗号方式はデフォルトで無効で, 歴史的な互換性のためだけに含まれている
   ことに注意.

 * ssh(1), sshd(8): Improve operation ordering of MAC verification for
   Encrypt-then-MAC (EtM) mode transport MAC algorithms to verify the
   MAC before decrypting any ciphertext. This removes the possibility
   of timing differences leaking facts about the plaintext, though no
   such leakage has been observed.  Reported by Jean Paul Degabriele,
   Kenny Paterson, Torben Hansen and Martin Albrecht.

   ssh(1), sshd(8): 暗号文を復号する前に MAC を検査する
   Encrypt-then-MAC (EtM) モード トランスポート MAC アルゴリズムで
   MAC 検査の操作の順番を改善する. 平文に対する事実を漏らす
   タイミングの差が生じる可能性を削除する. ただし, そのような漏洩は
   観測されていない. Jean Paul Degabriele と Kenny Paterson,
   Torben Hansen, Martin Albrecht によって報告された.

 * sshd(8): (portable only) Ignore PAM environment vars when
   UseLogin=yes. If PAM is configured to read user-specified
   environment variables and UseLogin=yes in sshd_config, then a
   hostile local user may attack /bin/login via LD_PRELOAD or
   similar environment variables set via PAM. CVE-2015-8325,
   found by Shayan Sadigh.

   sshd(8): (移植版のみ) UseLogin=yes の場合に PAM 環境変数を無視する.
   PAM がユーザ特有の環境変数を読むように設定されていて sshd_config で
   UseLogin=yes となっている場合, 悪意のあるローカルユーザが
   LD_PRELOAD や同様の環境変数を PAM 経由で設定して
   /bin/login に対して攻撃する可能性がある. CVE-2015-8325,
   Shayan Sadigh によって発見された.

New Features
------------

新機能

 * ssh(1): Add a ProxyJump option and corresponding -J command-line
   flag to allow simplified indirection through a one or more SSH
   bastions or "jump hosts".

   ssh(1): ProxyJump 設定項目と対応する -J コマンドラインフラグを追加する.
   1つ異常の SSH の踏み台を経由する間接参照を簡単に指定できる.

 * ssh(1): Add an IdentityAgent option to allow specifying specific
   agent sockets instead of accepting one from the environment.

   ssh(1): IdentityAgent 設定項目を追加する.
   特定のエージェントのソケットを環境変数を使わないでも指定できる.

 * ssh(1): Allow ExitOnForwardFailure and ClearAllForwardings to be
   optionally overridden when using ssh -W. bz#2577

   ssh(1): ssh -W を用いている場合に, ExitOnForwardFailure と
   ClearAllForwardings を自由の上書きできる. bz#2577

 * ssh(1), sshd(8): Implement support for the IUTF8 terminal mode as
   per draft-sgtatham-secsh-iutf8-00.

   ssh(1), sshd(8): draft-sgtatham-secsh-iutf8-00 により
   IUTF8 ターミナルモードのサポートを実装する

 * ssh(1), sshd(8): Add support for additional fixed Diffie-Hellman
   2K, 4K and 8K groups from draft-ietf-curdle-ssh-kex-sha2-03.

   ssh(1), sshd(8): draft-ietf-curdle-ssh-kex-sha2-03 から
   追加の修正された Diffie-Hellman 2K, 4K, 8K 群のサポートを追加する.

 * ssh-keygen(1), ssh(1), sshd(8): support SHA256 and SHA512 RSA
   signatures in certificates;

   ssh-keygen(1), ssh(1), sshd(8): 証明書で SHA256 と SHA512 RSA 署名を
   サポートする.

 * ssh(1): Add an Include directive for ssh_config(5) files.

   ssh(1): sshd_config ファイルで Include 設定項目を追加する

 * ssh(1): Permit UTF-8 characters in pre-authentication banners sent
   from the server. bz#2058

   ssh(1): サーバから認証前に送るバナーで UTF-8 文字を許可する. bz#2058

Bugfixes
--------

バグ修正

 * ssh(1), sshd(8): Reduce the syslog level of some relatively common
   protocol events from LOG_CRIT. bz#2585

   ssh(1), sshd(8): LOG_CRIT からの いくつかの相対的に共通のプロトコルの
   イベントの syslog レベルを落す. bz#2585

 * sshd(8): Refuse AuthenticationMethods="" in configurations and
   accept AuthenticationMethods=any for the default behaviour of not
   requiring multiple authentication. bz#2398

   設定での AuthenticationMethods="" 拒否し,
   複数の認証を要求しない場合のデフォルトの動作として
   AuthenticationMethods=any を受け入れる. bz#2398

 * sshd(8): Remove obsolete and misleading "POSSIBLE BREAK-IN
   ATTEMPT!" message when forward and reverse DNS don't match. bz#2585

   sshd(8): DNS の正引きと逆引きが一致しなかった場合の
   古く誤解を招く "POSSIBLE BREAK-IN ATTEMPT!" メッセージを削除する.

 * ssh(1): Close ControlPersist background process stderr except
   in debug mode or when logging to syslog. bz#1988

   ssh(1): デバッグモードか syslog へのロギングをしている場合以外は
   ControlPersist のバックグラウンドプロセスの stderr を閉じる. bz#1988

 * misc: Make PROTOCOL description for direct-streamlocal@openssh.com
   channel open messages match deployed code. bz#2529

   misc: direct-streamlocal@openssh.com チャンネルオープンメッセージ
   についての PROTOCOL の記述を コードと一致させる. bz#2529

 * ssh(1): Deduplicate LocalForward and RemoteForward entries to fix
   failures when both ExitOnForwardFailure and hostname
   canonicalisation are enabled. bz#2562

   ssh(1): ExitOnForwardFailure と ホスト名正規化の両方が有効な場合に,
   失敗を修正するため LocalForward と RemoteForward のエントリの
   重複を取り除く. bz#2562

 * sshd(8): Remove fallback from moduli to obsolete "primes" file
   that was deprecated in 2001. bz#2559.

   sshd(8): 2001 年に非推奨となった 古い "primes" ファイルへの
   module からのフォールバックを削除する. bz#2559

 * sshd_config(5): Correct description of UseDNS: it affects ssh
   hostname processing for authorized_keys, not known_hosts; bz#2554

   sshd_config(5): UseDNS の記述を修正する: これは authorized_keys に対する
   ssh ホスト名処理に影響する. known_hosts に対してではない; bz#2554

 * ssh(1): Fix authentication using lone certificate keys in an agent
   without corresponding private keys on the filesystem. bz#2550

   ssh(1): ファイルシステムに対応する秘密鍵がないエージェント中の
   孤独な証明書鍵を用いた認証を修正する.

 * sshd(8): Send ClientAliveInterval pings when a time-based
   RekeyLimit is set; previously keepalive packets were not being
   sent. bz#2252

   sshd(8): 時間ベースの RekeyLimit が設定されている場合に
   ClientAliveInterval ピンを送る. 以前は keepalive パケットは
   送られていなかった. bz#2552

Portability
-----------

移植性

 * ssh(1), sshd(8): Fix compilation by automatically disabling ciphers
   not supported by OpenSSL. bz#2466

   ssh(1), sshd(8): OpenSSH でサポートされていない鍵の自動的な無効化による
   コンパイルを修正する. bz#2466

 * misc: Fix compilation failures on some versions of AIX's compiler
   related to the definition of the VA_COPY macro. bz#2589

   misc: VA_COPY マクロの定義に関係するいくつかの AIX のコンパイラのバージョンでの
   コンパイルの失敗を修正する. bz#2589

 * sshd(8): Whitelist more architectures to enable the seccomp-bpf
   sandbox. bz#2590

   sshd(8): seccomp-bpf サンドボックスを有効にするホワイトリストに
   アーキテクチャをさらに追加する. bz#2590

 * ssh-agent(1), sftp-server(8): Disable process tracing on Solaris
   using setpflags(__PROC_PROTECT, ...). bz#2584

   ssh-agent(1), sftp-server(8): setpflags(__PROC_PROTECT, ...) を用いた
   Solaris での プロセス追跡を無効にする. bz#2584

 * sshd(8): On Solaris, don't call Solaris setproject() with
   UsePAM=yes it's PAM's responsibility. bz#2425

   sshd(8): ソラリスで, UsePAM=yes の場合に setproject() を呼ばない.
   これは PAM の責任だ. bz#2425

OpenSSH 7.3 がリリース準備中 / Call for testing: OpenSSH 7.3

OpenSSH 7.3 がリリース準備中です.

'Call for testing: OpenSSH 7.3' - MARC

主にバグ修正のリリースです.

http://marc.info/?l=openssh-unix-dev&m=146916304131079&w=2

Changes since OpenSSH 7.2
=========================

OpenSSH 7.2 からの変更点

This is primarily a bugfix release.

これは主にバグ修正のリリースだ.

Security
--------

セキュリティ

 * sshd(8): Mitigate a potential denial-of-service attack against
   the system's crypt(3) function via sshd(8). An attacker could
   send very long passwords that would cause excessive CPU use in
   crypt(3). sshd(8) now refuses to accept password authentication
   requests of length greater than 1024 characters. Independently
   reported by Tomas Kuthan (Oracle) and curesec via coredump at
   autistici.org.

   sshd(8): sshd(8) を経由したシステムの crypt(3) 関数に対する
   潜在的なサービス不能攻撃を緩和する. 攻撃者は, crypt(3) で
   過度の CPU 利用を引き起す非常に長いパスワードを送れる.
   sshd(8) は, 1024 文字よりも大きなパスワード認証要求の受諾を
   拒否するようになる. Tomas Kuthan (Oracle) と
   curesec via coredump at autistici.org によって独立に報告された.

 * sshd(8): Mitigate timing differences in password authentication
   that could be used to discern valid from invalid account names
   when long passwords were sent and particular password hashing
   algorithms are in use on the server. CVE-2016-6210, reported by
   EddieEzra.Harari at verint.com

   sshd(8): 特定のパスワードハッシュアルゴリズムをサーバが使っている場合に
   長いパスワードを送って有効なアカウント名と無効なものを見分けるのに
   利用できるパスワード認証によるタイミングの差を緩和する.
   CVE-2016-6210, EddieEzra.Harari at verint.com によって報告された.

 * ssh(1), sshd(8): Fix observable timing weakness in the CBC padding
   oracle countermeasures. Reported by Jean Paul Degabriele, Kenny
   Paterson, Torben Hansen and Martin Albrecht. Note that CBC ciphers
   are disabled by default and only included for legacy compatibility.

   ssh(1), sshd(8): CBC パディングオラクルの対抗策における観測可能な
   タイミングの弱点を修正する. Jean Paul Degabriele と Kenny Paterson,
   Torben Hansen, Martin Albrecht によって報告された. CBC を利用する
   暗号方式はデフォルトで無効で, 歴史的な互換性のためだけに含まれている
   ことに注意.

 * ssh(1), sshd(8): Improve ordering ordering of MAC verification for
   Encrypt-then-MAC (EtM) mode transport MAC algorithms to verify the
   MAC before decrypting any ciphertext. This removes the possibility
   of timing differences leaking facts about the plaintext, though no
   such leakage has been observed.  Reported by Jean Paul Degabriele,
   Kenny Paterson, Torben Hansen and Martin Albrecht.

   ssh(1), sshd(8): 暗号文を復号する前に MAC を検査する
   Encrypt-then-MAC (EtM) モード トランスポート MAC アルゴリズムで
   MAC 検査の順番を改善する. 平文に対する事実を漏らす
   タイミングの差が生じる可能性を削除する. ただし, そのような漏洩は
   観測されていない. Jean Paul Degabriele と Kenny Paterson,
   Torben Hansen, Martin Albrecht によって報告された.

 * sshd(8): (portable only) Ignore PAM environment vars when
   UseLogin=yes. If PAM is configured to read user-specified
   environment variables and UseLogin=yes in sshd_config, then a
   hostile local user may attack /bin/login via LD_PRELOAD or
   similar environment variables set via PAM. CVE-2015-8325,
   found by Shayan Sadigh.

   sshd(8): (移植版のみ) UseLogin=yes の場合に PAM 環境変数を無視する.
   PAM がユーザ特有の環境変数を読むように設定されていて sshd_config で
   UseLogin=yes となっている場合, 悪意のあるローカルユーザが
   LD_PRELOAD や同様の環境変数を PAM 経由で設定して
   /bin/login に対して攻撃する可能性がある. CVE-2015-8325,
   Shayan Sadigh によって発見された.

New Features
------------

新機能

 * ssh(1): Add a ProxyJump option and corresponding -J command-line
   flag to allow simplified indirection through a one or more SSH
   bastions or "jump hosts".

   ssh(1): ProxyJump 設定項目と対応する -J コマンドラインフラグを追加する.
   1つ異常の SSH の踏み台を経由する間接参照を簡単に指定できる.

 * ssh(1): Add an IdentityAgent option to allow specifying specific
   agent sockets instead of accepting one from the environment.

   ssh(1): IdentityAgent 設定項目を追加する.
   特定のエージェントのソケットを環境変数を使わないでも指定できる.

 * ssh(1): Allow ExitOnForwardFailure and ClearAllForwardings to be
   optionally overridden when using ssh -W. bz#2577

   ssh(1): ssh -W を用いている場合に, ExitOnForwardFailure と
   ClearAllForwardings を自由の上書きできる. bz#2577

 * ssh(1), sshd(8): Implement support for the IUTF8 terminal mode as
   per draft-sgtatham-secsh-iutf8-00.

   ssh(1), sshd(8): draft-sgtatham-secsh-iutf8-00 により
   IUTF8 ターミナルモードのサポートを実装する

 * ssh(1), sshd(8): Add support for additional fixed Diffie-Hellman
   2K, 4K and 8K groups from draft-ietf-curdle-ssh-kex-sha2-03.

   ssh(1), sshd(8): draft-ietf-curdle-ssh-kex-sha2-03 から
   追加の修正された Diffie-Hellman 2K, 4K, 8K 群のサポートを追加する.

 * ssh-keygen(1), ssh(1), sshd(8): support SHA256 and SHA512 RSA
   signatures in certificates;

   ssh-keygen(1), ssh(1), sshd(8): 証明書で SHA256 と SHA512 RSA 署名を
   サポートする.

 * ssh(1): Add an Include directive for ssh_config(5) files.

   ssh(1): sshd_config ファイルで Include 設定項目を追加する

 * ssh(1): Permit UTF-8 characters in pre-authentication banners sent
   from the server. bz#2058

   ssh(1): サーバから認証前に送るバナーで UTF-8 文字を許可する. bz#2058

Bugfixes
--------

バグ修正

 * ssh(1), sshd(8): Reduce the syslog level of some relatively common
   protocol events from LOG_CRIT. bz#2585

   ssh(1), sshd(8): LOG_CRIT からの いくつかの相対的に共通のプロトコルの
   イベントの syslog レベルを落す. bz#2585

 * sshd(8): Refuse AuthenticationMethods="" in configurations and
   accept AuthenticationMethods=any for the default behaviour of not
   requiring multiple authentication. bz#2398

   設定での AuthenticationMethods="" 拒否し,
   複数の認証を要求しない場合のデフォルトの動作として
   AuthenticationMethods=any を受け入れる. bz#2398

 * sshd(8): Remove obsolete and misleading "POSSIBLE BREAK-IN
   ATTEMPT!" message when forward and reverse DNS don't match. bz#2585

   sshd(8): DNS の正引きと逆引きが一致しなかった場合の
   古く誤解を招く "POSSIBLE BREAK-IN ATTEMPT!" メッセージを削除する.

 * ssh(1): Close ControlPersist background process stderr except
   in debug mode or when logging to syslog. bz#1988

   ssh(1): デバッグモードか syslog へのロギングをしている場合以外は
   ControlPersist のバックグラウンドプロセスの stderr を閉じる. bz#1988

 * misc: Make PROTOCOL description for direct-streamlocal@openssh.com
   channel open messages match deployed code. bz#2529

   misc: direct-streamlocal@openssh.com チャンネルオープンメッセージ
   についての PROTOCOL の記述を コードと一致させる. bz#2529

 * ssh(1): Deduplicate LocalForward and RemoteForward entries to fix
   failures when both ExitOnForwardFailure and hostname
   canonicalisation are enabled. bz#2562

   ssh(1): ExitOnForwardFailure と ホスト名正規化の両方が有効な場合に,
   失敗を修正するため LocalForward と RemoteForward のエントリの
   重複を取り除く. bz#2562

 * sshd(8): Remove fallback from moduli to obsolete "primes" file
   that was deprecated in 2001. bz#2559.

   sshd(8): 2001 年に非推奨となった 古い "primes" ファイルへの
   module からのフォールバックを削除する. bz#2559

 * sshd_config(5): Correct description of UseDNS: it affects ssh
   hostname processing for authorized_keys, not known_hosts; bz#2554

   sshd_config(5): UseDNS の記述を修正する: これは authorized_keys に対する
   ssh ホスト名処理に影響する. known_hosts に対してではない; bz#2554

 * ssh(1): Fix authentication using lone certificate keys in an agent
   without corresponding private keys on the filesystem. bz#2550

   ssh(1): ファイルシステムに対応する秘密鍵がないエージェント中の
   孤独な証明書鍵を用いた認証を修正する.

 * sshd(8): Send ClientAliveInterval pings when a time-based
   RekeyLimit is set; previously keepalive packets were not being
   sent. bz#2252

   sshd(8): 時間ベースの RekeyLimit が設定されている場合に
   ClientAliveInterval ピンを送る. 以前は keepalive パケットは
   送られていなかった. bz#2552

Portability
-----------

移植性

 * ssh(1), sshd(8): Fix compilation by automatically disabling ciphers
   not supported by OpenSSL. bz#2466

   ssh(1), sshd(8): OpenSSH でサポートされていない鍵の自動的な無効化による
   コンパイルを修正する. bz#2466

 * misc: Fix compilation failures on some versions of AIX's compiler
   related to the definition of the VA_COPY macro. bz#2589

   misc: VA_COPY マクロの定義に関係するいくつかの AIX のコンパイラのバージョンでの
   コンパイルの失敗を修正する. bz#2589

 * sshd(8): Whitelist more architectures to enable the seccomp-bpf
   sandbox. bz#2590

   sshd(8): seccomp-bpf サンドボックスを有効にするホワイトリストに
   アーキテクチャをさらに追加する. bz#2590

 * ssh-agent(1), sftp-server(8): Disable process tracing on Solaris
   using setpflags(__PROC_PROTECT, ...). bz#2584

   ssh-agent(1), sftp-server(8): setpflags(__PROC_PROTECT, ...) を用いた
   Solaris での プロセス追跡を無効にする. bz#2584

 * sshd(8): On Solaris, don't call Solaris setproject() with
   UsePAM=yes it's PAM's responsibility. bz#2425

   sshd(8): ソラリスで, UsePAM=yes の場合に setproject() を呼ばない.
   これは PAM の責任だ. bz#2425

OpenSSH 7.2p2 がリリースされました

2016/03/10, OpenSSH 7.2p2 がリリースされました.

X11転送時のセキュリティ修正が行なわれています.

http://www.openssh.com/txt/release-7.2p2

Changes since OpenSSH 7.2p1
===========================

OpenSSH 7.2p1 からの変更点

This release fixes a security bug:

このリリースはセキュリティバグを修正する. 

 * sshd(8): sanitise X11 authentication credentials to avoid xauth
   command injection when X11Forwarding is enabled.

   sshd(8): X11Forwarding が有効なときに xauth コマンドインジェクションを
   避けるため, X11 認証証明書を無害化する

   Full details of the vulnerability are available at: 
   http://www.openssh.com/txt/x11fwd.adv

   この脆弱性の完全な詳細は以下にある: 
   http://www.openssh.com/txt/x11fwd.adv

OpenSSH 7.2 がリリースされました

2016/02/29, OpenSSH 7.2 がリリースされました.

バグ修正が中心のリリースです. 互換性に影響がありえる変更として, いくつかの暗号方式がデフォルトで無効になっています.

http://www.openssh.com/txt/release-7.2

Future deprecation notice
=========================

将来の廃止する機能の告知

We plan on retiring more legacy cryptography in a near-future
release, specifically:

近い将来 さらなるレガシーな暗号を退役させる予定だ.

具体的には,

 * Refusing all RSA keys smaller than 1024 bits (the current minimum
   is 768 bits)

* 1024 ビットよりも小さいすべての RSA 鍵を拒否する
  (現在の最小値は 768 ビット)

This list reflects our current intentions, but please check the final
release notes for future releases.

このリストは現在の我々の意図を反映している. ただし,
将来のリリースでの最終的なリリースノートをチェックしてほしい

Potentially-incompatible changes
================================

非互換な可能性がある変更

This release disables a number of legacy cryptographic algorithms
by default in ssh:

このリリースでは ssh で多くのレガシーな暗号アルゴリズムを
デフォルトで無効にする.

 * Several ciphers blowfish-cbc, cast128-cbc, all arcfour variants
   and the rijndael-cbc aliases for AES.

   blowfish-cbc, cast128-cbc, arcfour のすべての変種
   AES の rijndael-cbc 別名.

 * MD5-based and truncated HMAC algorithms.

   MD5 ベースの HMAC アルゴリズム

These algorithms are already disabled by default in sshd.

以上のアルゴリズムは sshd では すでに無効になっている.

Changes since OpenSSH 7.1p2
===========================

OpenSSH 7.1p2 からの変更点

This is primarily a bugfix release.

これは主にバグ修正のリリースだ.

Security
--------

セキュリティ

 * ssh(1), sshd(8): remove unfinished and unused roaming code (was
   already forcibly disabled in OpenSSH 7.1p2).

   ssh(1), sshd(8): 完了しておらず利用されてなかった roaming のコード
   を削除する (OpenSSH 7.1p2 ですでに強制的に無効となっている)

 * ssh(1): eliminate fallback from untrusted X11 forwarding to
   trusted forwarding when the X server disables the SECURITY
   extension.

   ssh(1): X サーバが SECURITY 拡張を無効にしている場合に
   信頼されていない X11 転送を 信頼されている転送で
   代替するのを除去する.

 * ssh(1), sshd(8): increase the minimum modulus size supported for
   diffie-hellman-group-exchange to 2048 bits.

   ssh(1), sshd(8): diffie-hellman-group-exchange でサポートする
   最小のモジュラスのサイズを 2048 ビットに増加する.

 * sshd(8): pre-auth sandboxing is now enabled by default (previous
   releases enabled it for new installations via sshd_config).

   sshd(8): 認証前のサンドボックス化がデフォルトで有効になった
   (以前のリリースは, sshd_config を新規にインストールする際に
   有効にしていた).

New Features
------------

新機能

 * all: add support for RSA signatures using SHA-256/512 hash
   algorithms based on draft-rsa-dsa-sha2-256-03.txt and
   draft-ssh-ext-info-04.txt.

   すべて: draft-rsa-dsa-sha2-256-03.txt と draft-ssh-ext-info-04.txt
   に基づく SHA-256/512 を用いる RSA 署名のサポートを追加する

 * ssh(1): Add an AddKeysToAgent client option which can be set to
   'yes', 'no', 'ask', or 'confirm', and defaults to 'no'.  When
   enabled, a private key that is used during authentication will be
   added to ssh-agent if it is running (with confirmation enabled if
   set to 'confirm').

   ssh(1): AddKeysToAgent クライアント設定項目を追加する.
   'yes', 'no', 'ask', 'confirm' が設定でき デフォルトは 'no' だ.
   有効になると, ssh-agent が動いている場合に認証に用いられる秘密鍵が
   ssh-agent に追加される. 'confirm' の場合は確認が行なわれる.

 * sshd(8): add a new authorized_keys option "restrict" that includes
   all current and future key restrictions (no-*-forwarding, etc.).
   Also add permissive versions of the existing restrictions, e.g.
   "no-pty" -> "pty". This simplifies the task of setting up
   restricted keys and ensures they are maximally-restricted,
   regardless of any permissions we might implement in the future.

   sshd(8): authorized_keys のオプションに "restrict" を追加する.
   これは, (no-*-forwarding などの) 現在と将来のすべての制限を含む.
   さらに, 現在の制限の許可バージョンも追加する. つまり,
   "no-pty" -> "pty". これにより, 制限付きの鍵の設定のタスクが
   単純化し, 将来実装するすべての許可に関係なく
   鍵が最大に制限されていることを圃場できる.

 * ssh(1): add ssh_config CertificateFile option to explicitly list
   certificates. bz#2436

   ssh(1): ssh_config に 証明書を明示的に列挙する CertificateFile
   設定項目を追加する. bz#2436

 * ssh-keygen(1): allow ssh-keygen to change the key comment for all
   supported formats.

   ssh-keygen(1): すべてのサポートする形式について ssh-keygen が
   鍵のコメントを変更できるようにする

 * ssh-keygen(1): allow fingerprinting from standard input, e.g.
   "ssh-keygen -lf -"

   ssh-keygen(1): 標準入力からの指紋表示をできるようにする.
   つまり, "ssh-keygen -lf -"

 * ssh-keygen(1): allow fingerprinting multiple public keys in a
   file, e.g. "ssh-keygen -lf ~/.ssh/authorized_keys" bz#1319

   ssh-keygen(1): ファイルに含まれる複数の公開鍵の指紋表示を
   できるようにする. つまり
   "ssh-keygen -lf ~/.ssh/authorized_keys" bz#1319

 * sshd(8): support "none" as an argument for sshd_config
   Foreground and ChrootDirectory. Useful inside Match blocks to
   override a global default. bz#2486

   sshd(8): sshd_config の Foreground と ChrootDirectory の引数に
   "none" をサポートする. グローバルなデフォルトを Match ブロックの中で
   上書きするのに有用. bz#2486

 * ssh-keygen(1): support multiple certificates (one per line) and
   reading from standard input (using "-f -") for "ssh-keygen -L"

   ssh-keygen(1): (行ごとに1つの)複数の証明書と, (using "-f -" を用いる)
   標準入力からの読み込みを "ssh-keygen -L" でサポートする

 * ssh-keyscan(1): add "ssh-keyscan -c ..." flag to allow fetching
   certificates instead of plain keys.

   ssh-keyscan(1): 生の鍵の変わりに証明書を取得する "ssh-keyscan -c ..."
   フラグを追加する

 * ssh(1): better handle anchored FQDNs (e.g. 'cvs.openbsd.org.') in
   hostname canonicalisation - treat them as already canonical and
   remove the trailing '.' before matching ssh_config.

   ssh(1): anchored (訳注: ここでは . が最後に着いているということ?)
   FQDN (例えば 'csv.openbsd.org.') をよりよく扱う.
   すでに正規化済みとして扱い,  ssh_config でマッチする前に 末尾の '.' を取り除く.

Bugfixes
--------

バグ修正

 * sftp(1): existing destination directories should not terminate
   recursive uploads (regression in openssh 6.8) bz#2528

   sftp(1): 送信先のディレクトリ存在しても再帰的なアップロードを
   終了させない (openssh 6.8 で導入された不具合) bz#2528

 * ssh(1), sshd(8): correctly send back SSH2_MSG_UNIMPLEMENTED
   replies to unexpected messages during key exchange. bz#2949

   ssh(1), sshd(8): 鍵交換で予期しないメッセージに対して
   正しく SSH2_MSG_UNIMPLEMENTED を送り返す.
   bz#2949

 * ssh(1): refuse attempts to set ConnectionAttempts=0, which does
   not make sense and would cause ssh to print an uninitialised stack
   variable. bz#2500

   ssh(1): ConnectionAttempts=0 を設定しようという試みを拒否する.
   これは 意味がないし, 初期化してないスタック変数を ssh に印字させよう
   とする. bz#2500

 * ssh(1): fix errors when attempting to connect to scoped IPv6
   addresses with hostname canonicalisation enabled.

   ssh(1): ホスト名の正規化が有効な場合に scoped IPv6 アドレスに
   接続しようとした場合のエラーを修正する

 * sshd_config(5): list a couple more options usable in Match blocks.
   bz#2489

   sshd_config(5): Match ブロックで利用可能ないくつかの設定項目を
   列挙(追加)する.

 * sshd(8): fix "PubkeyAcceptedKeyTypes +..." inside a Match block.

   Match ブロック内の "PubkeyAcceptedKeyTypes +..." を修正する

 * ssh(1): expand tilde characters in filenames passed to -i options
   before checking whether or not the identity file exists. Avoids
   confusion for cases where shell doesn't expand (e.g. "-i ~/file"
   vs. "-i~/file"). bz#2481

   ssh(1): -i オプションで, identity ファイルが存在するかどうかのチェック
   より前に ファイル名のチルダ文字を展開する. シェルが展開しない場合
   (つまり "-i ~/file" と "-i~/file") での混乱を避ける. bz#2481

 * ssh(1): do not prepend "exec" to the shell command run by "Match
   exec" in a config file, which could cause some commands to fail
   in certain environments. bz#2471

   ssh(1): コンフィグファイルで "Match exec" で走るシェルコマンドに
   exec を前に付けない. 特定の環境でコマンドが失敗する. bz#2471

 * ssh-keyscan(1): fix output for multiple hosts/addrs on one line
   when host hashing or a non standard port is in use bz#2479

   ssh-keyscan(1): ホストがハッシュされていたり標準でないポートが
   利用されている場合に, 一行での複数のホスト/アドレスの出力を修正
   bz#2479

 * sshd(8): skip "Could not chdir to home directory" message when
   ChrootDirectory is active. bz#2485

   sshd(8): ChrootDirectory が有効な場合に, 
   "Could not chdir to home directory" メッセージをスキップする.
   bz#2485

 * ssh(1): include PubkeyAcceptedKeyTypes in ssh -G config dump.

   ssh(1): PubkeyAcceptedKeyTypes を ssh -G config dump に含める.

 * sshd(8): avoid changing TunnelForwarding device flags if they are
   already what is needed; makes it possible to use tun/tap
   networking as non-root user if device permissions and interface
   flags are pre-established

   sshd(8): もし必要なものがすでにある場合にトンネル転送のデバイスの
   フラグの変更を避ける. デバイスのパーミッションとインターフェイス
   フラグがすでに確立している場合に, ルートでないユーザが
   tun/tap ネットワークを利用できるようにする.

 * ssh(1), sshd(8): RekeyLimits could be exceeded by one packet.
   bz#2521

   ssh(1), sshd(8): RekeyLimits が 1パケットで超過するようにする.
   bz#2521

 * ssh(1): fix multiplexing master failure to notice client exit.

   ssh(1): クライアントの終了を通知するため, 多重化マスターの
   失敗を修正する.

 * ssh(1), ssh-agent(1): avoid fatal() for PKCS11 tokens that present
   empty key IDs. bz#1773

   ssh(1), ssh-agent(1): 空の鍵の ID を持つ PKCS11 トークンで
   fatal() が起きるのを避ける.

 * sshd(8): avoid printf of NULL argument. bz#2535

   NULl 引数での printf を避ける. bz#2535

 * ssh(1), sshd(8): allow RekeyLimits larger than 4GB. bz#2521

   ssh(1), sshd(8): 4GB より大きい RekeyLimits を許可する. bz#2521

 * ssh-keygen(1): sshd(8): fix several bugs in (unused) KRL signature
   support.

   ssh-keygen(1): sshd(8): (利用していない) KRL 署名サポートの
   複数のバグを修正する.

 * ssh(1), sshd(8): fix connections with peers that use the key
   exchange guess feature of the protocol. bz#2515

   ssh(1), sshd(8): プロトコルの鍵交換推測機能を用いる相手との
   接続を修正する. bz#2515

 * sshd(8): include remote port number in log messages. bz#2503

   sshd(8): ログメッセージにリモートのポート番号を含める. bz#2503

 * ssh(1): don't try to load SSHv1 private key when compiled without
   SSHv1 support. bz#2505

   ssh(1): SSHv1 サポート抜きでコンパイルされた場合に,
   SSHv1 秘密鍵をロードしようとしない. bz#2505

 * ssh-agent(1), ssh(1): fix incorrect error messages during key
   loading and signing errors. bz#2507

   ssh-agent(1), ssh(1): 鍵のロードと署名のエラーでの不正確な
   エラーメッセージを修正する.

 * ssh-keygen(1): don't leave empty temporary files when performing
   known_hosts file edits when known_hosts doesn't exist.

   ssh-keygen(1): known_hosts ファイルが存在しない場合に
   known_hosts ファイルを編集する際に,
   空のテンポラリファイルを削除しない.

 * sshd(8): correct packet format for tcpip-forward replies for
   requests that don't allocate a port bz#2509

   sshd(8): ポートを割り当てていない tcpip-forward 要求への
   応答で パケット形式を修正する.

 * ssh(1), sshd(8): fix possible hang on closed output. bz#2469

   ssh(1), sshd(8): 閉じた出力でハングする場合があるのを修正する.
   bz#2469

 * ssh(1): expand %i in ControlPath to UID. bz#2449

   ssh(1): ControlPath で %i を UID に展開する. bz#2449

 * ssh(1), sshd(8): fix return type of openssh_RSA_verify. bz#2460

   ssh(1), sshd(8): openssh_RSA_verify の返り値の方を修正する. bz#2460

 * ssh(1), sshd(8): fix some option parsing memory leaks. bz#2182

   ssh(1), sshd(8): オプションのパースでのメモリリークを修正する.
   bz#2182

 * ssh(1): add a some debug output before DNS resolution; it's a
   place where ssh could previously silently stall in cases of
   unresponsive DNS servers. bz#2433

   ssh(1): DNS 解決の前にいくつかのデバッグ出力を追加する.
   DNS サーバが応答しない場合に 以前は ssh は 静かに 動かなくなる
   ことがあった場所だ.

 * ssh(1): remove spurious newline in visual hostkey. bz#2686

   ssh(1): バーチャルなホスト鍵中の偽の改行を削除する. bz#2686

 * ssh(1): fix printing (ssh -G ...) of HostKeyAlgorithms=+...

   ssh(1): HostKeyAlgorithms=+... のときの (ssh -G ...) の出力を
   修正する.

 * ssh(1): fix expansion of HostkeyAlgorithms=+...

   HostkeyAlgorithms=+... の展開を修正する.

Documentation
-------------

文書

 * ssh_config(5), sshd_config(5): update default algorithm lists to
   match current reality. bz#2527
   
   ssh_config(5), sshd_config(5): デフォルトのアルゴリズムのリストを
   現状に一致するよう更新する. bz#2527

 * ssh(1): mention -Q key-plain and -Q key-cert query options.
   bz#2455

   ssh(1): -Q key-plain と -Q key-cert について言及する.
   bz#2455

 * sshd_config(8): more clearly describe what AuthorizedKeysFile=none
   does.

   sshd_config(8): AuthorizedKeysFile=none がなにを行なうかについて
   より明確に記述する.

 * ssh_config(5): better document ExitOnForwardFailure. bz#2444

   ssh_config(5): ExitOnForwardFailure についての記述を改善.
   bz#2444

 * sshd(5): mention internal DH-GEX fallback groups in manual.
   bz#2302

   sshd(5): 手動での 内部 DH-GEX フォールバックグループ について
   記述する.

 * sshd_config(5): better description for MaxSessions option.
   bz#2531

   sshd_config(5): MaxSessions 設定項目の記述を改善.
   bz#2531

Portability
-----------

移植性

 * ssh(1), sftp-server(8), ssh-agent(1), sshd(8): Support Illumos/
   Solaris fine-grained privileges. Including a pre-auth privsep
   sandbox and several pledge() emulations. bz#2511

 * ssh(1), sftp-server(8), ssh-agent(1), sshd(8): Illumos/ Solaris
   fine-grained privileges をサポートする. 認証前特権分離の
   sandbox と 複数の pledge() エミュレーションを含んでいる.
   bz#2511

 * Renovate redhat/openssh.spec, removing deprecated options and
   syntax.

   非推奨のオプションや文法を削除して redhat/openssh.spec を刷新する.

 * configure: allow --without-ssl-engine with --without-openssl

   configure: --without-openssl と --without-ssl-engine が共存できる

 * sshd(8): fix multiple authentication using S/Key. bz#2502

   sshd(8): S/Key を用いる複数認証を修正する. bz#2502

 * sshd(8): read back from libcrypto RAND_* before dropping
   privileges.  Avoids sandboxing violations with BoringSSL.

   sshd(8): 特権を落す前に libcrypto の RAND_* から
   読み直す. BoringSSL を利用する場合に サンドボックスの
   破壊を回避する.

 * Fix name collision with system-provided glob(3) functions.
   bz#2463

   system が提供する glob(3) 関数の名前衝突を修正する.
   bz#2463

 * Adapt Makefile to use ssh-keygen -A when generating host keys.
   bz#2459

   ホスト鍵作成の際に ssh-keygen -A を用いるように Makefile を
   変更する. bz#2459

 * configure: correct default value for --with-ssh1 bz#2457

   configure: --with-ssh1 のデフォルト値を修正する. bz#2457

 * configure: better detection of _res symbol bz#2259

   configure: _res シンボルの検出を改善 bz#2259

 * support getrandom() syscall on Linux

   Linux の getrandom() システムコールをサポート

OpenSSH 7.2 がリリース準備中 / Call for testing: OpenSSH 7.2

OpenSSH 7.2 がリリース準備中です.

主にバグ修正のリリースですが, もりだくさんです.

http://marc.info/?l=openssh-unix-dev&m=145525121407930&w=2

Future deprecation notice
=========================

将来の廃止する機能の告知

We plan on retiring more legacy cryptography in a near-future
release, specifically:

近い将来 さらなるレガシーな暗号を退役させる予定だ.

具体的には,

 * Refusing all RSA keys smaller than 1024 bits (the current minimum
   is 768 bits)

* 1024 ビットよりも小さいすべての RSA 鍵を拒否する
  (現在の最小値は 768 ビット)

This list reflects our current intentions, but please check the final
release notes for future releases.

このリストは現在の我々の意図を反映している. ただし,
将来のリリースでの最終的なリリースノートをチェックしてほしい

Potentially-incompatible changes
================================

非互換な可能性がある変更

This release disables a number of legacy cryptographic algorithms
by default in ssh:

このリリースでは ssh で多くのレガシーな暗号アルゴリズムを
デフォルトで無効にする.

 * Several ciphers blowfish-cbc, cast128-cbc, all arcfour variants
   and the rijndael-cbc aliases for AES.

   blowfish-cbc, cast128-cbc, arcfour のすべての変種
   AES の rijndael-cbc 別名.

 * MD5-based and truncated HMAC algorithms.

   MD5 ベースの HMAC アルゴリズム

These algorithms are already disabled by default in sshd.

以上のアルゴリズムは sshd では すでに無効になっている.

Changes since OpenSSH 7.1p2
===========================

OpenSSH 7.1p2 からの変更点

This is primarily a bugfix release.

これは主にバグ修正のリリースだ.

Security
--------

セキュリティ

 * ssh(1), sshd(8): remove unfinished and unused roaming code (was
   already forcibly disabled in OpenSSH 7.1p2).

   ssh(1), sshd(8): 完了しておらず利用されてなかった roaming のコード
   を削除する (OpenSSH 7.1p2 ですでに強制的に無効となっている)

 * ssh(1): eliminate fallback from untrusted X11 forwarding to
   trusted forwarding when the X server disables the SECURITY
   extension.

   ssh(1): X サーバが SECURITY 拡張を無効にしている場合に
   信頼されていない X11 転送を 信頼されている転送で
   代替するのを除去する.

 * ssh(1), sshd(8): increase the minimum modulus size supported for
   diffie-hellman-group-exchange to 2048 bits.

   ssh(1), sshd(8): diffie-hellman-group-exchange でサポートする
   最小のモジュラスのサイズを 2048 ビットに増加する.

New Features
------------

新機能

 * all: add support for RSA signatures using SHA-256/512 hash
   algorithms based on draft-rsa-dsa-sha2-256-03.txt and
   draft-ssh-ext-info-04.txt.

   すべて: draft-rsa-dsa-sha2-256-03.txt と draft-ssh-ext-info-04.txt
   に基づく SHA-256/512 を用いる RSA 署名のサポートを追加する

 * ssh(1): Add an AddKeysToAgent client option which can be set to
   'yes', 'no', 'ask', or 'confirm', and defaults to 'no'.  When
   enabled, a private key that is used during authentication will be
   added to ssh-agent if it is running (with confirmation enabled if
   set to 'confirm').

   ssh(1): AddKeysToAgent クライアント設定項目を追加する.
   'yes', 'no', 'ask', 'confirm' が設定でき デフォルトは 'no' だ.
   有効になると, ssh-agent が動いている場合に認証に用いられる秘密鍵が
   ssh-agent に追加される. 'confirm' の場合は確認が行なわれる.

 * sshd(8): add a new authorized_keys option "restrict" that includes
   all current and future key restrictions (no-*-forwarding, etc.).
   Also add permissive versions of the existing restrictions, e.g.
   "no-pty" -> "pty". This simplifies the task of setting up
   restricted keys and ensures they are maximally-restricted,
   regardless of any permissions we might implement in the future.

   sshd(8): authorized_keys のオプションに "restrict" を追加する.
   これは, (no-*-forwarding などの) 現在と将来のすべての制限を含む.
   さらに, 現在の制限の許可バージョンも追加する. つまり,
   "no-pty" -> "pty". これにより, 制限付きの鍵の設定のタスクが
   単純化し, 将来実装するすべての許可に関係なく
   鍵が最大に制限されていることを圃場できる.

 * ssh(1): add ssh_config CertificateFile option to explicitly list
   certificates. bz#2436

   ssh(1): ssh_config に 証明書を明示的に列挙する CertificateFile
   設定項目を追加する. bz#2436

 * ssh-keygen(1): allow ssh-keygen to change the key comment for all
   supported formats.

   ssh-keygen(1): すべてのサポートする形式について ssh-keygen が
   鍵のコメントを変更できるようにする

 * ssh-keygen(1): allow fingerprinting from standard input, e.g.
   "ssh-keygen -lf -"

   ssh-keygen(1): 標準入力からの指紋表示をできるようにする.
   つまり, "ssh-keygen -lf -"

 * ssh-keygen(1): allow fingerprinting multiple public keys in a
   file, e.g. "ssh-keygen -lf ~/.ssh/authorized_keys" bz#1319

   ssh-keygen(1): ファイルに含まれる複数の公開鍵の指紋表示を
   できるようにする. つまり
   "ssh-keygen -lf ~/.ssh/authorized_keys" bz#1319

 * sshd(8): support "none" as an argument for sshd_config
   Foreground and ChrootDirectory. Useful inside Match blocks to
   override a global default. bz#2486

   sshd(8): sshd_config の Foreground と ChrootDirectory の引数に
   "none" をサポートする. グローバルなデフォルトを Match ブロックの中で
   上書きするのに有用. bz#2486

 * ssh-keygen(1): support multiple certificates (one per line) and
   reading from standard input (using "-f -") for "ssh-keygen -L"

   ssh-keygen(1): (行ごとに1つの)複数の証明書と, (using "-f -" を用いる)
   標準入力からの読み込みを "ssh-keygen -L" でサポートする

 * ssh-keyscan(1): add "ssh-keyscan -c ..." flag to allow fetching
   certificates instead of plain keys.

   ssh-keyscan(1): 生の鍵の変わりに証明書を取得する "ssh-keyscan -c ..."
   フラグを追加する

 * ssh(1): better handle anchored FQDNs (e.g. 'cvs.openbsd.org.') in
   hostname canonicalisation - treat them as already canonical and
   trailing '.' before matching ssh_config.

   ssh(1): anchored (訳注: ここでは . が最後に着いているということ?)
   FQDN (例えば 'csv.openbsd.org.') をよりよく扱う.
   すでに正規化済みとして扱い,  ssh_config でマッチする前に 末尾の '.' を取り除く.

Bugfixes
--------

バグ修正

 * sftp(1): existing destination directories should not terminate
   recursive uploads (regression in openssh 6.8) bz#2528

   sftp(1): 送信先のディレクトリ存在しても再帰的なアップロードを
   終了させない (openssh 6.8 で導入された不具合) bz#2528

 * ssh(1), sshd(8): correctly send back SSH2_MSG_UNIMPLEMENTED
   replies to unexpected messages during key exchange. bz#2949

   ssh(1), sshd(8): 鍵交換で予期しないメッセージに対して
   正しく SSH2_MSG_UNIMPLEMENTED を送り返す.
   bz#2949

 * ssh(1): refuse attempts to set ConnectionAttempts=0, which does
   not make sense and would cause ssh to print an uninitialised stack
   variable. bz#2500

   ssh(1): ConnectionAttempts=0 を設定しようという試みを拒否する.
   これは 意味がないし, 初期化してないスタック変数を ssh に印字させよう
   とする. bz#2500

 * ssh(1): fix errors when attempting to connect to scoped IPv6
   addresses with hostname canonicalisation enabled.

   ssh(1): ホスト名の正規化が有効な場合に scoped IPv6 アドレスに
   接続しようとした場合のエラーを修正する

 * sshd_config(5): list a couple more options usable in Match blocks.
   bz#2489

   sshd_config(5): Match ブロックで利用可能ないくつかの設定項目を
   列挙(追加)する.

 * sshd(8): fix "PubkeyAcceptedKeyTypes +..." inside a Match block.

   Match ブロック内の "PubkeyAcceptedKeyTypes +..." を修正する

 * ssh(1): expand tilde characters in filenames passed to -i options
   before checking whether or not the identity file exists. Avoids
   confusion for cases where shell doesn't expand (e.g. "-i ~/file"
   vs. "-i~/file"). bz#2481

   ssh(1): -i オプションで, identity ファイルが存在するかどうかのチェック
   より前に ファイル名のチルダ文字を展開する. シェルが展開しない場合
   (つまり "-i ~/file" と "-i~/file") での混乱を避ける. bz#2481

 * ssh(1): do not prepend "exec" to the shell command run by "Match
   exec" in a config file, which could cause some commands to fail
   in certain environments. bz#2471

   ssh(1): コンフィグファイルで "Match exec" で走るシェルコマンドに
   exec を前に付けない. 特定の環境でコマンドが失敗する. bz#2471

 * ssh-keyscan(1): fix output for multiple hosts/addrs on one line
   when host hashing or a non standard port is in use bz#2479

   ssh-keyscan(1): ホストがハッシュされていたり標準でないポートが
   利用されている場合に, 一行での複数のホスト/アドレスの出力を修正
   bz#2479

 * sshd(8): skip "Could not chdir to home directory" message when
   ChrootDirectory is active. bz#2485

   sshd(8): ChrootDirectory が有効な場合に, 
   "Could not chdir to home directory" メッセージをスキップする.
   bz#2485

 * ssh(1): include PubkeyAcceptedKeyTypes in ssh -G config dump.

   ssh(1): PubkeyAcceptedKeyTypes を ssh -G config dump に含める.

 * sshd(8): avoid changing TunnelForwarding device flags if they are
   already what is needed; makes it possible to use tun/tap
   networking as non-root user if device permissions and interface
   flags are pre-established

   sshd(8): もし必要なものがすでにある場合にトンネル転送のデバイスの
   フラグの変更を避ける. デバイスのパーミッションとインターフェイス
   フラグがすでに確立している場合に, ルートでないユーザが
   tun/tap ネットワークを利用できるようにする.

 * ssh(1), sshd(8): RekeyLimits could be exceeded by one packet.
   bz#2521

   ssh(1), sshd(8): RekeyLimits が 1パケットで超過するようにする.
   bz#2521

 * ssh(1): fix multiplexing master failure to notice client exit.

   ssh(1): クライアントの終了を通知するため, 多重化マスターの
   失敗を修正する.

 * ssh(1), ssh-agent(1): avoid fatal() for PKCS11 tokens that present
   empty key IDs. bz#1773

   ssh(1), ssh-agent(1): 空の鍵の ID を持つ PKCS11 トークンで
   fatal() が起きるのを避ける.

 * sshd(8): avoid printf of NULL argument. bz#2535

   NULl 引数での printf を避ける. bz#2535

 * ssh(1), sshd(8): allow RekeyLimits larger than 4GB. bz#2521

   ssh(1), sshd(8): 4GB より大きい RekeyLimits を許可する. bz#2521

 * ssh-keygen(1): sshd(8): fix several bugs in (unused) KRL signature
   support.

   ssh-keygen(1): sshd(8): (利用していない) KRL 署名サポートの
   複数のバグを修正する.

 * ssh(1), sshd(8): fix connections with peers that use the key
   exchange guess feature of the protocol. bz#2515

   ssh(1), sshd(8): プロトコルの鍵交換推測機能を用いる相手との
   接続を修正する. bz#2515

 * sshd(8): include remote port number in log messages. bz#2503

   sshd(8): ログメッセージにリモートのポート番号を含める. bz#2503

 * ssh(1): don't try to load SSHv1 private key when compiled without
   SSHv1 support. bz#2505

   ssh(1): SSHv1 サポート抜きでコンパイルされた場合に,
   SSHv1 秘密鍵をロードしようとしない. bz#2505

 * ssh-agent(1), ssh(1): fix incorrect error messages during key
   loading and signing errors. bz#2507

   ssh-agent(1), ssh(1): 鍵のロードと署名のエラーでの不正確な
   エラーメッセージを修正する.

 * ssh-keygen(1): don't leave empty temporary files when performing
   known_hosts file edits when known_hosts doesn't exist.

   ssh-keygen(1): known_hosts ファイルが存在しない場合に
   known_hosts ファイルを編集する際に,
   空のテンポラリファイルを削除しない.

 * sshd(8): correct packet format for tcpip-forward replies for
   requests that don't allocate a port bz#2509

   sshd(8): ポートを割り当てていない tcpip-forward 要求への
   応答で パケット形式を修正する.

 * ssh(1), sshd(8): fix possible hang on closed output. bz#2469

   ssh(1), sshd(8): 閉じた出力でハングする場合があるのを修正する.
   bz#2469

 * ssh(1): expand %i in ControlPath to UID. bz#2449

   ssh(1): ControlPath で %i を UID に展開する. bz#2449

 * ssh(1), sshd(8): fix return type of openssh_RSA_verify. bz#2460

   ssh(1), sshd(8): openssh_RSA_verify の返り値の方を修正する. bz#2460

 * ssh(1), sshd(8): fix some option parsing memory leaks. bz#2182

   ssh(1), sshd(8): オプションのパースでのメモリリークを修正する.
   bz#2182

 * ssh(1): add a some debug output before DNS resolution; it's a
   place where ssh could previously silently stall in cases of
   unresponsive DNS servers. bz#2433

   ssh(1): DNS 解決の前にいくつかのデバッグ出力を追加する.
   DNS サーバが応答しない場合に 以前は ssh は 静かに 動かなくなる
   ことがあった場所だ.

 * ssh(1): remove spurious newline in visual hostkey. bz#2686

   ssh(1): バーチャルなホスト鍵中の偽の改行を削除する. bz#2686

 * ssh(1): fix printing (ssh -G ...) of HostKeyAlgorithms=+...

   ssh(1): HostKeyAlgorithms=+... のときの (ssh -G ...) の出力を
   修正する.

 * ssh(1): fix expansion of HostkeyAlgorithms=+...

   HostkeyAlgorithms=+... の展開を修正する.

Documentation
-------------

文書

 * ssh_config(5), sshd_config(5): update default algorithm lists to
   match current reality. bz#2527
   
   ssh_config(5), sshd_config(5): デフォルトのアルゴリズムのリストを
   現状に一致するよう更新する. bz#2527

 * ssh(1): mention -Q key-plain and -Q key-cert query options.
   bz#2455

   ssh(1): -Q key-plain と -Q key-cert について言及する.
   bz#2455

 * sshd_config(8): more clearly describe what AuthorizedKeysFile=none
   does.

   sshd_config(8): AuthorizedKeysFile=none がなにを行なうかについて
   より明確に記述する.

 * ssh_config(5): better document ExitOnForwardFailure. bz#2444

   ssh_config(5): ExitOnForwardFailure についての記述を改善.
   bz#2444

 * sshd(5): mention internal DH-GEX fallback groups in manual.
   bz#2302

   sshd(5): 手動での 内部 DH-GEX フォールバックグループ について
   記述する.

 * sshd_config(5): better description for MaxSessions option.
   bz#2531

   sshd_config(5): MaxSessions 設定項目の記述を改善.
   bz#2531

Portability
-----------

移植性

 * ssh(1), sftp-server(8), ssh-agent(1), sshd(8): Support Illumos/
   Solaris fine-grained privileges. Including a pre-auth privsep
   sandbox and several pledge() emulations. bz#2511

 * ssh(1), sftp-server(8), ssh-agent(1), sshd(8): Illumos/ Solaris
   fine-grained privileges をサポートする. 認証前特権分離の
   sandbox と 複数の pledge() エミュレーションを含んでいる.
   bz#2511

 * Renovate redhat/openssh.spec, removing deprecated options and
   syntax.

   非推奨のオプションや文法を削除して redhat/openssh.spec を刷新する.

 * configure: allow --without-ssl-engine with --without-openssl

   configure: --without-openssl と --without-ssl-engine が共存できる

 * sshd(8): fix multiple authentication using S/Key. bz#2502

   sshd(8): S/Key を用いる複数認証を修正する. bz#2502

 * sshd(8): read back from libcrypto RAND_* before dropping
   privileges.  Avoids sandboxing violations with BoringSSL.

   sshd(8): 特権を落す前に libcrypto の RAND_* から
   読み直す. BoringSSL を利用する場合に サンドボックスの
   破壊を回避する.

 * Fix name collision with system-provided glob(3) functions.
   bz#2463

   system が提供する glob(3) 関数の名前衝突を修正する.
   bz#2463

 * Adapt Makefile to use ssh-keygen -A when generating host keys.
   bz#2459

   ホスト鍵作成の際に ssh-keygen -A を用いるように Makefile を
   変更する. bz#2459

 * configure: correct default value for --with-ssh1 bz#2457

   configure: --with-ssh1 のデフォルト値を修正する. bz#2457

 * configure: better detection of _res symbol bz#2259

   configure: _res シンボルの検出を改善 bz#2259

 * support getrandom() syscall on Linux

   Linux の getrandom() システムコールをサポート

アメリカン・エキスプレス・ビジネス・ゴールド・カードの福利厚生プログラム「クラブオフ」のパスワードは数字4ケタ

法人クレジットカードとして作りやすいと言われている

アメリカン・エキスプレス・ビジネス・ゴールド・カード を申し込み入手しました.

クラブオフというリロクラブがやっている福利厚生アウトソーシングをアメックスでも利用することができます.

なんとなく申し込んでみたのですが, パスワードが数字4ケタでしか設定できませんでした. また退会には退会申請用紙を請求し郵送してもらい返送する必要があります.

なお会員ID は 11ケタの数字です. 規則性については不明です.

パスワードポリシーについて問合せましたが, 現状では変更の予定はなさそうでした. 要望として上げておくとのことです.

クラブオフはいろいろな企業で利用されており, パスワードポリシーは様々のようです.

検索して出てくるものでは「6〜8文字の半角数字」「4〜6文字の半角英数字」「4桁〜10桁の英数字」「4桁〜8桁の英数字」などのパターンがありました.

パスワードが脆弱でかつ退会が面倒なので,

アメリカン・エキスプレス ゴールド・コーポレート ないし ビジネス・ゴールド・カードを入手してもクラブオフには登録しないほうがよいでしょう.

OpenSSH 6.9 リリース準備中 Call for testing: OpenSSH-6.9

OpenSSH 6.8 がリリース準備中です.

http://lists.mindrot.org/pipermail/openssh-unix-dev/2015-May/033976.html

Note, we are going to ship OpenSSH 6.9 with SSH protocol 1 still
compiled in by default. OpenSSH 7.0 will deprecate it along with other
protocol features (more details about what is planned will be in the
final release notes).

注意: OpenSSH 6.9 は, デフォルトでまだ SSH プロトコル 1 がコンパイル
される状態でリリースする予定だ. OpenSSH 7.0 では, 他のプロトコルの
特徴とともに廃止されるだろう ( なにが予定されているかのより詳細な情報は
リリースノートの最終版に記載する予定)

New Features
------------

新機能

 * ssh(1), sshd(8): promote chacha20-poly1305@openssh.com to be the
   default cipher

   ssh(1): sshd(8): chacha20-poly1305@openssh.com をデフォルトの暗号に
   昇格する

 * sshd(8): support admin-specified arguments to AuthorizedKeysCommand;
   bz#2081

   sshd(8): AuthorizedKeysCommand に管理者が指定する引数をサポートする;
   bz#2081

 * sshd(8): add AuthorizedPrincipalsCommand that allows retrieving
   authorized principals information from a subprocess rather than
   a file.

   sshd(8): AuthorizedPrincipalsCommand を追加する. これは,
   ファイルからではなくサブプロセスから認証されたユーザの情報を
   取得する.

 * ssh(1), ssh-add(1): support PKCS#11 devices with external PIN
   entry devices bz#2240

   ssh(1), ssh-add(1): 外部 PIN エントリーデバイス付きの
   PKCS#11 デバイスをサポートする. bz#2240

 * sshd(8): allow GSSAPI host credential check to be relaxed for
   multihomed hosts via GSSAPIStrictAcceptorCheck option; bz#928

   sshd(8): GSSAPIStrictAcceptorCheck 設定項目で, 複数のホームがある
   ホストに対する GSSAPI ホスト認証情報チェックを緩和できる.

 * ssh-keygen(1): support "ssh-keygen -lF hostname" to search
   known_hosts and print key hashes rather than full keys.

   ssh-keygen(1):  ssh-keygen -lF hostname" によって known_hosts を検索して
   完全な鍵でなくハッシュを表示する機能をサポートする.

 * ssh-agent(1): add -D flag to leave ssh-agent in foreground without
   enabling debug mode; bz#2381

   ssh-agent(1): -D フラブを追加する. デバッグモードを有効にすることなく
   ssh-agent をフォアグラウンドから離れさせる; bz#2381

Bugfixes
--------

バグ修正

 * ssh(1), sshd(8): deprecate legacy SSH2_MSG_KEX_DH_GEX_REQUEST_OLD
   message and do not try to use it against some 3rd-party SSH
   implementations that use it (older PuTTY, WinSCP).

   ssh(1), sshd(8): レガシーな SSH2_MSG_KEX_DH_GEX_REQUEST_OLD を
   廃止し, この鍵交換法を用いる サードパーティのSSH実装 (古い PuTTY や WinSCP)
   に対してこの鍵交換法を用いないように試みる.

 * Many fixes for problems caused by compile-time deactivation of
   SSH1 support (including bz#2369)

   SSH1 サポートをコンパイル時に無効にすることから生じる
   問題に対する多くの修正 (bz#2369 を含む)

 * ssh(1), sshd(8): cap DH-GEX group size at 4Kbits for Cisco
   implementations as some would fail when attempting to use group
   sizes >4K; bz#2209

   ssh(1), sshd(8): DH-GEX の群のサイズを 4Kビトに制限する.
   4Kより大きな群のサイズを用いようとすると失敗する Cisco の実装のため;
   bz#2209

 * ssh(1): fix out-of-bound read in EscapeChar configuration option
   parsing; bz#2396

   ssh(1): EscapeChar 設定項目のパースでの境界を越える読み取りを修正;
   bz#2396

 * sshd(8): fix application of PermitTunnel, LoginGraceTime,
   AuthenticationMethods and StreamLocalBindMask options in Match
   blocks

   sshd(8): Match ブロックでの PermitTunnel, LoginGraceTime, 
   AuthenticationMethods, StreamLocalBindMask 設定項目の
   適用を修正.

 * ssh(1), sshd(8): improve disconnection message on TCP reset;
   bz#2257

   ssh(1), sshd(8): TCP リセット時の切断メッセージを改善; bz#2257

 * ssh(1): remove failed remote forwards established by muliplexing
   from the list of active forwards; bz#2363

   ssh(1): 有効な転送のリストから
   多重化により確立した失敗したリモート転送の削除; bz#2363

 * sshd(8): make parsing of authorized_keys "environment=" options
   independent of PermitUserEnv being enabled; bz#2329

   sshd(8): PermitUserEnv の有効無効に関係なく
   authorized_keys の "environment=" オプションをパースする; bz#2329

 * sshd(8): fix post-auth crash with permitopen=none; bz#2355

   sshd(8): permitopen=none 時の認証後のクラッシュを修正; bz#2355

 * ssh(1), ssh-add(1), ssh-keygen(1): allow new-format private keys
   to be encrypted with AEAD ciphers; bz#2366

   ssh(1), ssh-add(1), ssh-keygen(1): AEAD 暗号で暗号化される
   新しい形式の秘密鍵をサポート; bz#2366

 * ssh(1): allow ListenAddress, Port and AddressFamily configuration
   options to appear in any order; bz#68

   ssh(1): ListenAddress, Port, AddressFamily 設定項目がどの
   順序で並んでもよいようになる; bz#68

 * sshd(8): check for and reject missing arguments for VersionAddendum
   and ForceCommand; bz#2281

   sshd(8): VersionAddendum と ForceCommand で引数がない場合をチェックし,
   その場合は拒否する; bz#2281

 * ssh(1), sshd(8): don't treat unknown certificate extensions as
   fatal; bz#2387

   ssh(1), sshd(8): 知らない証明書拡張を致命的を扱わない; bz#2387

 * ssh-keygen(1): make stdout and stderr output consistent; bz#2325

   ssh-keygen(1): stdout と stderr の出力を一貫させる; bz#2325

 * ssh(1): mention missing DISPLAY environment in debug log when X11
   forwarding requested; bz#1682

   ssh(1): デバッグモードで, X11 転送が要求された場合に DISPLAY 環境変数がなければ
   通知する; bz#1682

 * sshd(8): correctly record login when UseLogin is set; bz#378

   sshd(8): UseLogin が設定されている場合に ログイン記録を正しく付ける; bz#378

 * sshd(8): Add some missing options to sshd -T output and fix output
   of VersionAddendum and HostCertificate. bz#2346

   sshd(8): sshd -T 出力に書けていた設定項目を追加し,
   VersionAddendum と HostCertificate の出力を修正する. bz#2346

 * Document and improve consistency of options that accept a "none"
   argument" TrustedUserCAKeys, RevokedKeys (bz#2382),
   AuthorizedPrincipalsFile (bz#2288)

   "none" 引数を受け入れる設定項目の記述を追加し一貫性を向上する.
   TrustedUserCAKeys, RevokedKeys (bz#2382), AuthorizedPrincipalsFile (bz#2288)

 * ssh(1): include remote username in debug output; bz#2368

   ssh(1): デバッグ時の出力にリモートのユーザ名を含める; bz#2368

 * sshd(8): avoid compatibility problem with some versions of Tera
   Term, which would crash when they received the hostkeys notification
   message (hostkeys-00@openssh.com)

   sshd(8): Tera Term のいくつかのバージョンとの互換性の問題を回避する.
   これらのバージョンは, ホスト鍵通知メッセージ (hostkeys-00@openssh.com)
   を受けとるとクラッシュする

 * sshd(8): mention ssh-keygen -E as useful when comparing legacy MD5
   host key fingerprints; bz#2332

   sshd(8): レガシーな MD5 ホスト鍵の指紋を比較する際に
   ssh-keygen -E が利用可能だと記述する; bz#2332

 * ssh(1): clarify pseudo-terminal request behaviour and use make
   manual language consistent; bz#1716

   ssh(1): 疑似ターミナルの要求の振舞いを明確化し, マニュアルの言語と
   一貫させる; bz#1716

 * ssh(1): document that the TERM environment variable is not subject
   to SendEnv and AcceptEnv; bz#2386

   ssh(1): TERM 環境変数は, SendEnv と AcceptEnv の影響下にないことを
   記述する; bz#2386

Portable OpenSSH
----------------

移植版 OpenSSH

 * sshd(8): Format UsePAM setting when using sshd -T, part of bz#2346

   sshd(8): sshd -T を用いたときの UsePAM 設定のフォーマット, 
   bz#2346 の一部

 * Look for '${host}-ar' before 'ar', making cross-compilation easier;
   bz#2352.

   'ar' より前に '${host}-ar' を探して, クロスコンパイルを容易にする;
   bz#2352.

 * Several portable compilation fixes: bz#2402, bz#2337, bz#2370

   移植版のコンパイルのいくつかの修正: bz#2402, bz#2337, bz#2370

 * moduli(5): update DH-GEX moduli

   muduli(5): DH-GEX moduli の更新

OpenSSH 6.7/6.7p1 がリリースされました.

2014/10/07, OpenSSH 6.7/6.7p1 がリリースされました.

http://www.openssh.com/txt/release-6.7

Changes since OpenSSH 6.6
=========================

OpenSSH 6.6 からの変更点

Potentially-incompatible changes

後方互換性がない可能性のある変更

 * sshd(8): The default set of ciphers and MACs has been altered to
   remove unsafe algorithms. In particular, CBC ciphers and arcfour*
   are disabled by default.

   sshd(8): 暗号とMACのデフォルトセットから安全でないアルゴリズムを
   削除する変更を行なう. 具体的には, CBC モードを利用する暗号と
   arcfour* がデフォルトで無効になる.

   The full set of algorithms remains available if configured
   explicitly via the Ciphers and MACs sshd_config options.

   sshd_config の Ciphers/MACs 設定項目で明示的に設定すれば,
   アルゴリズムのすべてのセットは利用可能だ.

 * sshd(8): Support for tcpwrappers/libwrap has been removed.

   sshd(8): tcpwrappers/libwrap のサポートを削除する.

 * OpenSSH 6.5 and 6.6 have a bug that causes ~0.2% of connections
   using the curve25519-sha256@libssh.org KEX exchange method to fail
   when connecting with something that implements the specification
   correctly. OpenSSH 6.7 disables this KEX method when speaking to
   one of the affected versions.

   OpenSSH 6.5/6.6 には, curve25519-sha256@libssh.org 鍵交換法を利用して
   仕様を正しく実装している相手と接続しようとすると 0.2% ほどの確率で
   失敗するバグがある. OpenSSH 6.7 は, 影響のあるバージョンとのやりとりで
   この鍵交換法を無効にする.

New Features

新機能

 * Major internal refactoring to begin to make part of OpenSSH usable
   as a library. So far the wire parsing, key handling and KRL code
   has been refactored. Please note that we do not consider the API
   stable yet, nor do we offer the library in separable form.

   OpenSSH をライブラリとして利用可能にする大きな内部リファクタリングを
   始める. 現在 通信のパースと鍵の扱い, KRL のコードがリファクタリング
   された. API を不変にしようと考えているわけではないし, 別の形で
   ライブラリを提供しようとしているわけでもないことに注意.

 * ssh(1), sshd(8): Add support for Unix domain socket forwarding.
   A remote TCP port may be forwarded to a local Unix domain socket
   and vice versa or both ends may be a Unix domain socket.

   ssh(1), sshd(8): Unix ドメインソケットの転送をサポートする.
   リモートのTCPポートをローカルの Unix ドメインソケットに転送できるし,
   逆も可能. また Unix ドメインソケット同士でもよい.

 * ssh(1), ssh-keygen(1): Add support for SSHFP DNS records for
   ED25519 key types.

   ssh(1), ssh-keygen(1): SSHFP DNS レコードで ED25519 鍵タイプを
   サポートする.

 * sftp(1): Allow resumption of interrupted uploads.

   sftp(1): 中断されたアップロードの復帰を可能にする.

 * ssh(1): When rekeying, skip file/DNS lookups of the hostkey if it
   is the same as the one sent during initial key exchange; bz#2154

   ssh(1): 鍵の再交換の際に, 最初の鍵交換の時に送られたものと同じであれば
   ホスト鍵のファイル/DNS検索をスキップする.

 * sshd(8): Allow explicit ::1 and 127.0.0.1 forwarding bind
   addresses when GatewayPorts=no; allows client to choose address
   family; bz#2222

   sshd(8): GatewayPorts=no の場合に, ::1 / 127.0.0.1 を束縛アドレス
   として明示的に指定した転送を許可する. クライアントが
   アドレスファミリを選択できる. bz#2222

 * sshd(8): Add a sshd_config PermitUserRC option to control whether
   ~/.ssh/rc is executed, mirroring the no-user-rc authorized_keys
   option; bz#2160

   sshd(8): sshd_config に PermitUserRC 設定項目を追加する.
   これは, ~/.ssh/rc を実行するかを制御する. authorized_keys の
   no-user-rc オプションをコピーした. bz#2160

 * ssh(1): Add a %C escape sequence for LocalCommand and ControlPath
   that expands to a unique identifer based on a hash of the tuple of
   (local host, remote user, hostname, port). Helps avoid exceeding
   miserly pathname limits for Unix domain sockets in multiplexing
   control paths; bz#2220

   LocalCommand と ControlPath に %C エスケープシーケンスを追加する.
   このシーケンスは (ローカルホスト, リモートユーザ, ホスト名, ポート)
   のタプルのハッシュに基づくユニークな識別子に展開される.
   多重化のコントロールパスで, Unix ドメインソケットのしみったれた
   パス名の長さの制限を超過するするのを避けるのを助ける.

 * sshd(8): Make the "Too many authentication failures" message
   include the user, source address, port and protocol in a format
   similar to the authentication success / failure messages; bz#2199

   sshd(8): 認証の成功/失敗メッセージに似た形式で,
   "Too many authentication failures" メッセージに ユーザとソースアドレス
   ポート, プロトコルを含めるようにする.

 * Added unit and fuzz tests for refactored code. These are run
   automatically in portable OpenSSH via the "make tests" target.

   リファクタリングしたコードに単体/ファズテストを加えた.
   移植版 OpenSSH で "make tests" すると自動的に実行される.

Bugfixes

バグ修正

 * sshd(8): Fix remote forwarding with the same listen port but
   different listen address.

   sshd(8): 同じリッスンポートで異なるリッスンアドレスのリモート転送
   を修正.

 * ssh(1): Fix inverted test that caused PKCS#11 keys that were
   explicitly listed in ssh_config or on the commandline not to be
   preferred.

   PKCS#11 keys が ssh_config で明示的に指定されるかコマンドラインで
   指定されなかった場合に起きていた逆転したテストを修正.

 * ssh-keygen(1): Fix bug in KRL generation: multiple consecutive
   revoked certificate serial number ranges could be serialised to an
   invalid format. Readers of a broken KRL caused by this bug will
   fail closed, so no should-have-been-revoked key will be accepted.

   ssh-keygen(1): KRL 生成でのバグを修正: 複数の連続した
   無効証明書シリアルナンバーの範囲が, 不正な形式にシリアライズされる
   場合があった. このバグで壊れた KRL のリーダは, クローズに失敗し,
   無効とされるべき鍵が受け入れられる.

 * ssh(1): Reflect stdio-forward ("ssh -W host:port ...") failures in
   exit status. Previously we were always returning 0; bz#2255

   ssh(1): 標準入力の転送 ("ssh -W host:port ...") の失敗を終了ステータス
   に反映する. 以前は常に0を返していた. bz#2255

 * ssh(1), ssh-keygen(1): Make Ed25519 keys' title fit properly in the
   randomart border; bz#2247

   ssh(1), ssh-keygen(1): Ed25519 鍵のタイトルをランダムアートの境界に
   きっちりフィトするようにする.

 * ssh-agent(1): Only cleanup agent socket in the main agent process
   and not in any subprocesses it may have started (e.g. forked
   askpass). Fixes agent sockets being zapped when askpass processes
   fatal(); bz#2236

   ssh-agent(1): メインのエージェントのプロセスのエージェントソケットのみ
   をクリーンアップし, (フォークされた askpass のような) 開始された
   サブプロセスのものはクリーンアップしない. askpass のプロセスが
   fatal() する際に, エージェントソケットが殺されるのを修正する.
   bz#2236

 * ssh-add(1): Make stdout line-buffered; saves partial output getting
   lost when ssh-add fatal()s part-way through (e.g. when listing keys
   from an agent that supports key types that ssh-add doesn't);
   bz#2234
   
   ssh-add(1): 標準出力を行でバッファする. ssh-add が 途中で fatal()
   する場合 (例えば エージェントから挙げられた鍵のタイプを ssh-add が
   サポートしていない場合) に 部分的な出力が失なわれるのを防ぐ.

 * ssh-keygen(1): When hashing or removing hosts, don't choke on
   @revoked markers and don't remove @cert-authority markers; bz#2241

   ssh-keygen(1): ホストをハッシュしたり削除する際に, @revoked
   マーカを詰まらせたり @cert-authority マーカを削除しない.
   bz#2241

 * ssh(1): Don't fatal when hostname canonicalisation fails and a
   ProxyCommand is in use; continue and allow the ProxyCommand to
   connect anyway (e.g. to a host with a name outside the DNS behind
   a bastion)

   ProxyCommand を利用している際にホスト名の正規化が失敗する場合に 
   fatal しない. とにかく ProxyCommand に(例えば, 壁の裏にあるDNSで
   名前を持つホストへ) 接続を続けさせる

 * scp(1): When copying local->remote fails during read, don't send
   uninitialised heap to the remote end.

   scp(1): ローカル->リモートでのコピー中に読み込みに失敗した場合に
   リモート側に初期化していないヒープを送らない.

 * sftp(1): Fix fatal "el_insertstr failed" errors when tab-completing
   filenames with  a single quote char somewhere in the string;
   bz#2238

   sftp(1): シングルクオート文字を含むファイル名をタブ補完する際の
   致命的な "el_insertstr failed" エラーを修正. bz#2238

 * ssh-keyscan(1): Scan for Ed25519 keys by default.

   ssh-keyscan(1): Ed25519 鍵をデフォルトでスキャン.

 * ssh(1): When using VerifyHostKeyDNS with a DNSSEC resolver, down-
   convert any certificate keys to plain keys and attempt SSHFP
   resolution.  Prevents a server from skipping SSHFP lookup and
   forcing a new-hostkey dialog by offering only certificate keys.

   ssh(1): DNSSEC リゾルバと VerifyHostKeyDNS を用いる際に,
   証明書の鍵をプレーンな鍵に変換して SSHFP の解決を試す.
   サーバがSSHFP の検索をスキップして証明書鍵のみを提供する
   新しいホスト鍵の対話を強制するのを防ぐ.
     
 * sshd(8): Avoid crash at exit via NULL pointer reference; bz#2225

   sshd(8): NULL ポインタ参照による exit 時のクラッシュを避ける
   bz#2225

 * Fix some strict-alignment errors.

   いくつかの厳密なアラインメントのエラーを修正.

Portable OpenSSH

移植版 OpenSSH

 * Portable OpenSSH now supports building against libressl-portable.

   移植版 OpenSSH は libressl-portable に対してのビルドをサポートする.

 * Portable OpenSSH now requires openssl 0.9.8f or greater. Older
   versions are no longer supported.

   移植版 OpenSSH は openssl 0.9.8f 以上を要求する.
   それ以前のバージョンはもはやサポートされない.

 * In the OpenSSL version check, allow fix version upgrades (but not
   downgrades. Debian bug #748150.

   OpenSSL のバージョンチェックで, 修正バージョンのアップグレードを
   許容する (しかしダウングレードは許容しない. Debian bug #748150)

 * sshd(8): On Cygwin, determine privilege separation user at runtime,
   since it may need to be a domain account.

   sshd(8): Cygwin で, ドメインのアカウントが必要となるかもしれないので,
   特権分離のユーザを動作時に決定する.

 * sshd(8): Don't attempt to use vhangup on Linux. It doesn't work for
   non-root users, and for them it just messes up the tty settings.

   sshd(8): Linux で vhangup を利用しようとしない. これは root でない
   ユーザでは動作しないし, rootではないユーザでは 
   tty 設定をメチャクチャにする.

 * Use CLOCK_BOOTTIME in preference to CLOCK_MONOTONIC when it is
   available. It considers time spent suspended, thereby ensuring
   timeouts (e.g. for expiring agent keys) fire correctly.  bz#2228

   利用できるなら CLOCK_MONOTONIC よりも CLOCK_BOOTTIME を利用する.
   CLOCK_BOOTTIME はサスペンドしている時間も考慮するので, 
   タイムアウト (たとえばエージェント鍵の期限切れ) が正しく行なわれるのを
   保証する.

 * Add support for ed25519 to opensshd.init init script.

   opensshd.init スクリプトで ed25519 のサポートを追加する.

 * sftp-server(8): On platforms that support it, use prctl() to
   prevent sftp-server from accessing /proc/self/{mem,maps}

   sftp-server(8): サポートするプラットフォームでは
   prctl() を用いて sftp-server が /proc/self/{mem,maps} に
   アクセスするのを防ぐ.
QRコード
QRコード
  • ライブドアブログ