春山 征吾のくけー

https://www.unixuser.org/~haruyama/blog/ に移転しました http://wiki.livedoor.jp/haruyama_seigo/d/FrontPage @haruyama タイトルが思いつかないときはそのときかかってた曲をタイトルにしています.

SSH

OpenSSH 6.9/6.9p1 がリリースされました.

2015/07/01, OpenSSH 6.9/6.9p1 がリリースされました.

なお, OpenSSH 7.0 では多くの互換性のない変更が予定されています.

http://www.openssh.com/txt/release-6.9

Future Deprecation Notice
=========================

将来廃止予定の機能の注意

The 7.0 release of OpenSSH, due for release in late July, will
deprecate several features, some of which may affect compatibility
or existing configurations. The intended changes are as follows:

7月後半にリリース予定の OpenSSH 7.0 では, いくつかの機能が
廃止される. いくつかは互換性や既存の設定に影響する.
予定している変更は以下の通り:

 * The default for the sshd_config(5) PermitRootLogin option will
   change from "yes" to "no".

   sshd_config(5) の PermitRootLogin 設定項目のデフォルトが
   "yes" から "no" に変わる.

 * Support for the legacy version 1.x of the SSH protocol will be
   disabled at compile time by default.

   レガシーなSSH プロトコル 1.x のサポートが, デフォルトで
   コンパイル時に無効になる.

 * Support for the 1024-bit diffie-hellman-group1-sha1 key exchange
   will be run-time disabled by default.

   1024 ビットの diffie-hellman-group1-sha1 鍵交換法のサポートが
   デフォルトでランタイム時で無効になる.

 * Support for ssh-dss, ssh-dss-cert-* host and user keys will be
   run-time disabled by default.

   ssh-dss, ssh-dss-cert-* ホスト/ユーザ鍵のサポートが
   デフォルトでランタイム時に無効になる.

 * Support for the legacy v00 cert format will be removed

   レガシーな v00 証明書形式のサポートが除去される

 * Several ciphers will be disabled by default: blowfish-cbc,
   cast128-cbc, all arcfour variants and the rijndael-cbc aliases
   for AES

   いくつかの暗号がデフォルトで無効になる: blowfish-cbc,
   cast128-cbc, arcfour のすべての種類, AES の rijndael-cbc エイリアス.

   訳注: 残るのは 3des-cbc, aes*-ctr aes*-gcm@openssh.com, chacha20-*
   の模様

 * Refusing all RSA keys smaller than 1024 bits (the current minimum
   is 768 bits)

   1024 ビットよりも小さい全ての RSA 鍵を拒否する
   (現在の最小値は 768ビット)

This list reflects our current intentions, but please check the final
release notes for OpenSSH 7.0 when it is released.

このリストは我々の現在の意図を反映している. リリース時に OpenSSH 7.0の
最終的なリリースノートを確認してほしい.

Changes since OpenSSH 6.8
=========================

OpenSSH 6.8 からの変更点

This is primarily a bugfix release.

主にバグ修正のリリースだ

Security
--------

セキュリティ

 * ssh(1): when forwarding X11 connections with ForwardX11Trusted=no,
   connections made after ForwardX11Timeout expired could be permitted
   and no longer subject to XSECURITY restrictions because of an
   ineffective timeout check in ssh(1) coupled with "fail open"
   behaviour in the X11 server when clients attempted connections with
   expired credentials. This problem was reported by Jann Horn.

   ssh(1): ForwardX11Trusted=no で X11 接続を転送する際,
   ForwardX11Timeout が経過した後で作られた接続が許可され,
   XSECURITY 制限がもやは効かないことがある.
   期限切れの認証情報をクライアントが接続を試みた場合に
   X11 サーバの "fail open" の振舞いに関係する
   ssh(1) での タイムアウトのチェックが無効になっていたため.
   この問題は Jann Horn によって報告された.

 * ssh-agent(1): fix weakness of agent locking (ssh-add -x) to
   password guessing by implementing an increasing failure delay,
   storing a salted hash of the password rather than the password
   itself and using a timing-safe comparison function for verifying
   unlock attempts. This problem was reported by Ryan Castellucci.

   ssh-agent(1): agent のロック (ssh-add -x) の
   増加する失敗時の遅延を実装したことによるパスワードを推測される
   弱点を修正する. パスワード自体を保存するよりもパスワードの
   ソルト付きハッシュを保存したほうがよく, 解除の検証でタイミング安全な
   比較関数を使うようにした.
   この問題は Ryan Castellucci によって報告された.


New Features
------------

新機能

 * ssh(1), sshd(8): promote chacha20-poly1305@openssh.com to be the
   default cipher

   ssh(1): sshd(8): chacha20-poly1305@openssh.com をデフォルトの暗号に
   昇格する

 * sshd(8): support admin-specified arguments to AuthorizedKeysCommand;
   bz#2081

   sshd(8): AuthorizedKeysCommand に管理者が指定する引数をサポートする;
   bz#2081

 * sshd(8): add AuthorizedPrincipalsCommand that allows retrieving
   authorized principals information from a subprocess rather than
   a file.

   sshd(8): AuthorizedPrincipalsCommand を追加する. これは,
   ファイルからではなくサブプロセスから認証されたユーザの情報を
   取得する.

 * ssh(1), ssh-add(1): support PKCS#11 devices with external PIN
   entry devices bz#2240

   ssh(1), ssh-add(1): 外部 PIN エントリーデバイス付きの
   PKCS#11 デバイスをサポートする. bz#2240

 * sshd(8): allow GSSAPI host credential check to be relaxed for
   multihomed hosts via GSSAPIStrictAcceptorCheck option; bz#928

   sshd(8): GSSAPIStrictAcceptorCheck 設定項目で, 複数のホームがある
   ホストに対する GSSAPI ホスト認証情報チェックを緩和できる.

 * ssh-keygen(1): support "ssh-keygen -lF hostname" to search
   known_hosts and print key hashes rather than full keys.

   ssh-keygen(1):  ssh-keygen -lF hostname" によって known_hosts を検索して
   完全な鍵でなくハッシュを表示する機能をサポートする.

 * ssh-agent(1): add -D flag to leave ssh-agent in foreground without
   enabling debug mode; bz#2381

   ssh-agent(1): -D フラブを追加する. デバッグモードを有効にすることなく
   ssh-agent をフォアグラウンドから離れさせる; bz#2381

Bugfixes
--------

バグ修正

 * ssh(1), sshd(8): deprecate legacy SSH2_MSG_KEX_DH_GEX_REQUEST_OLD
   message and do not try to use it against some 3rd-party SSH
   implementations that use it (older PuTTY, WinSCP).

   ssh(1), sshd(8): レガシーな SSH2_MSG_KEX_DH_GEX_REQUEST_OLD を
   廃止し, この鍵交換法を用いる サードパーティのSSH実装 (古い PuTTY や WinSCP)
   に対してこの鍵交換法を用いないようにする.

 * Many fixes for problems caused by compile-time deactivation of
   SSH1 support (including bz#2369)

   SSH1 サポートをコンパイル時に無効にすることから生じる
   問題に対する多くの修正 (bz#2369 を含む)

 * ssh(1), sshd(8): cap DH-GEX group size at 4Kbits for Cisco
   implementations as some would fail when attempting to use group
   sizes >4K; bz#2209

   ssh(1), sshd(8): DH-GEX の群のサイズを 4Kビトに制限する.
   4Kより大きな群のサイズを用いようとすると失敗する Cisco の実装のため;
   bz#2209

 * ssh(1): fix out-of-bound read in EscapeChar configuration option
   parsing; bz#2396

   ssh(1): EscapeChar 設定項目のパースでの境界を越える読み取りを修正;
   bz#2396

 * sshd(8): fix application of PermitTunnel, LoginGraceTime,
   AuthenticationMethods and StreamLocalBindMask options in Match
   blocks

   sshd(8): Match ブロックでの PermitTunnel, LoginGraceTime,
   AuthenticationMethods, StreamLocalBindMask 設定項目の
   適用を修正.

 * ssh(1), sshd(8): improve disconnection message on TCP reset;
   bz#2257

   ssh(1), sshd(8): TCP リセット時の切断メッセージを改善; bz#2257

 * ssh(1): remove failed remote forwards established by muliplexing
   from the list of active forwards; bz#2363

   ssh(1): 有効な転送のリストから
   多重化により確立した失敗したリモート転送の削除; bz#2363

 * sshd(8): make parsing of authorized_keys "environment=" options
   independent of PermitUserEnv being enabled; bz#2329

   sshd(8): PermitUserEnv の有効無効に関係なく
   authorized_keys の "environment=" オプションをパースする; bz#2329

 * sshd(8): fix post-auth crash with permitopen=none; bz#2355

   sshd(8): permitopen=none 時の認証後のクラッシュを修正; bz#2355

 * ssh(1), ssh-add(1), ssh-keygen(1): allow new-format private keys
   to be encrypted with AEAD ciphers; bz#2366

   ssh(1), ssh-add(1), ssh-keygen(1): AEAD 暗号で暗号化される
   新しい形式の秘密鍵をサポート; bz#2366

 * ssh(1): allow ListenAddress, Port and AddressFamily configuration
   options to appear in any order; bz#86

   ssh(1): ListenAddress, Port, AddressFamily 設定項目がどの
   順序で並んでもよいようになる; bz#68

 * sshd(8): check for and reject missing arguments for VersionAddendum
   and ForceCommand; bz#2281

   sshd(8): VersionAddendum と ForceCommand で引数がない場合をチェックし,
   その場合は拒否する; bz#2281

 * ssh(1), sshd(8): don't treat unknown certificate extensions as
   fatal; bz#2387

   ssh(1), sshd(8): 知らない証明書拡張を致命的エラーとして扱わない; bz#2387

 * ssh-keygen(1): make stdout and stderr output consistent; bz#2325

   ssh-keygen(1): stdout と stderr の出力を一貫させる; bz#2325

 * ssh(1): mention missing DISPLAY environment in debug log when X11
   forwarding requested; bz#1682

   ssh(1): デバッグモードで, X11 転送が要求された場合に DISPLAY 環境変数がなければ
   通知する; bz#1682

 * sshd(8): correctly record login when UseLogin is set; bz#378

   sshd(8): UseLogin が設定されている場合に ログイン記録を正しく付ける; bz#378

 * sshd(8): Add some missing options to sshd -T output and fix output
   of VersionAddendum and HostCertificate. bz#2346

   sshd(8): sshd -T 出力に書けていた設定項目を追加し,
   VersionAddendum と HostCertificate の出力を修正する. bz#2346

 * Document and improve consistency of options that accept a "none"
   argument" TrustedUserCAKeys, RevokedKeys (bz#2382),
   AuthorizedPrincipalsFile (bz#2288)

   "none" 引数を受け入れる設定項目の記述を追加し一貫性を向上する.
   TrustedUserCAKeys, RevokedKeys (bz#2382), AuthorizedPrincipalsFile (bz#2288)

 * ssh(1): include remote username in debug output; bz#2368

   ssh(1): デバッグ時の出力にリモートのユーザ名を含める; bz#2368

 * sshd(8): avoid compatibility problem with some versions of Tera
   Term, which would crash when they received the hostkeys notification
   message (hostkeys-00@openssh.com)

   sshd(8): Tera Term のいくつかのバージョンとの互換性の問題を回避する.
   これらのバージョンは, ホスト鍵通知メッセージ (hostkeys-00@openssh.com)
   を受けとるとクラッシュする

 * sshd(8): mention ssh-keygen -E as useful when comparing legacy MD5
   host key fingerprints; bz#2332

   sshd(8): レガシーな MD5 ホスト鍵の指紋を比較する際に
   ssh-keygen -E が利用可能だと記述する; bz#2332

 * ssh(1): clarify pseudo-terminal request behaviour and use make
   manual language consistent; bz#1716

   ssh(1): 疑似ターミナルの要求の振舞いを明確化し, マニュアルの言語と
   一貫させる; bz#1716

 * ssh(1): document that the TERM environment variable is not subject
   to SendEnv and AcceptEnv; bz#2386

   ssh(1): TERM 環境変数は, SendEnv と AcceptEnv の影響下にないことを
   記述する; bz#2386

Portable OpenSSH
----------------

移植版 OpenSSH

 * sshd(8): Format UsePAM setting when using sshd -T, part of bz#2346

   sshd(8): sshd -T を用いたときの UsePAM 設定のフォーマット, 
   bz#2346 の一部

 * Look for '${host}-ar' before 'ar', making cross-compilation easier;
   bz#2352.

   'ar' より前に '${host}-ar' を探して, クロスコンパイルを容易にする;
   bz#2352.

 * Several portable compilation fixes: bz#2402, bz#2337, bz#2370

   移植版のコンパイルのいくつかの修正: bz#2402, bz#2337, bz#2370

 * moduli(5): update DH-GEX moduli

   muduli(5): DH-GEX moduli の更新

OpenSSH 6.9 リリース準備中 Call for testing: OpenSSH-6.9

OpenSSH 6.8 がリリース準備中です.

http://lists.mindrot.org/pipermail/openssh-unix-dev/2015-May/033976.html

Note, we are going to ship OpenSSH 6.9 with SSH protocol 1 still
compiled in by default. OpenSSH 7.0 will deprecate it along with other
protocol features (more details about what is planned will be in the
final release notes).

注意: OpenSSH 6.9 は, デフォルトでまだ SSH プロトコル 1 がコンパイル
される状態でリリースする予定だ. OpenSSH 7.0 では, 他のプロトコルの
特徴とともに廃止されるだろう ( なにが予定されているかのより詳細な情報は
リリースノートの最終版に記載する予定)

New Features
------------

新機能

 * ssh(1), sshd(8): promote chacha20-poly1305@openssh.com to be the
   default cipher

   ssh(1): sshd(8): chacha20-poly1305@openssh.com をデフォルトの暗号に
   昇格する

 * sshd(8): support admin-specified arguments to AuthorizedKeysCommand;
   bz#2081

   sshd(8): AuthorizedKeysCommand に管理者が指定する引数をサポートする;
   bz#2081

 * sshd(8): add AuthorizedPrincipalsCommand that allows retrieving
   authorized principals information from a subprocess rather than
   a file.

   sshd(8): AuthorizedPrincipalsCommand を追加する. これは,
   ファイルからではなくサブプロセスから認証されたユーザの情報を
   取得する.

 * ssh(1), ssh-add(1): support PKCS#11 devices with external PIN
   entry devices bz#2240

   ssh(1), ssh-add(1): 外部 PIN エントリーデバイス付きの
   PKCS#11 デバイスをサポートする. bz#2240

 * sshd(8): allow GSSAPI host credential check to be relaxed for
   multihomed hosts via GSSAPIStrictAcceptorCheck option; bz#928

   sshd(8): GSSAPIStrictAcceptorCheck 設定項目で, 複数のホームがある
   ホストに対する GSSAPI ホスト認証情報チェックを緩和できる.

 * ssh-keygen(1): support "ssh-keygen -lF hostname" to search
   known_hosts and print key hashes rather than full keys.

   ssh-keygen(1):  ssh-keygen -lF hostname" によって known_hosts を検索して
   完全な鍵でなくハッシュを表示する機能をサポートする.

 * ssh-agent(1): add -D flag to leave ssh-agent in foreground without
   enabling debug mode; bz#2381

   ssh-agent(1): -D フラブを追加する. デバッグモードを有効にすることなく
   ssh-agent をフォアグラウンドから離れさせる; bz#2381

Bugfixes
--------

バグ修正

 * ssh(1), sshd(8): deprecate legacy SSH2_MSG_KEX_DH_GEX_REQUEST_OLD
   message and do not try to use it against some 3rd-party SSH
   implementations that use it (older PuTTY, WinSCP).

   ssh(1), sshd(8): レガシーな SSH2_MSG_KEX_DH_GEX_REQUEST_OLD を
   廃止し, この鍵交換法を用いる サードパーティのSSH実装 (古い PuTTY や WinSCP)
   に対してこの鍵交換法を用いないように試みる.

 * Many fixes for problems caused by compile-time deactivation of
   SSH1 support (including bz#2369)

   SSH1 サポートをコンパイル時に無効にすることから生じる
   問題に対する多くの修正 (bz#2369 を含む)

 * ssh(1), sshd(8): cap DH-GEX group size at 4Kbits for Cisco
   implementations as some would fail when attempting to use group
   sizes >4K; bz#2209

   ssh(1), sshd(8): DH-GEX の群のサイズを 4Kビトに制限する.
   4Kより大きな群のサイズを用いようとすると失敗する Cisco の実装のため;
   bz#2209

 * ssh(1): fix out-of-bound read in EscapeChar configuration option
   parsing; bz#2396

   ssh(1): EscapeChar 設定項目のパースでの境界を越える読み取りを修正;
   bz#2396

 * sshd(8): fix application of PermitTunnel, LoginGraceTime,
   AuthenticationMethods and StreamLocalBindMask options in Match
   blocks

   sshd(8): Match ブロックでの PermitTunnel, LoginGraceTime, 
   AuthenticationMethods, StreamLocalBindMask 設定項目の
   適用を修正.

 * ssh(1), sshd(8): improve disconnection message on TCP reset;
   bz#2257

   ssh(1), sshd(8): TCP リセット時の切断メッセージを改善; bz#2257

 * ssh(1): remove failed remote forwards established by muliplexing
   from the list of active forwards; bz#2363

   ssh(1): 有効な転送のリストから
   多重化により確立した失敗したリモート転送の削除; bz#2363

 * sshd(8): make parsing of authorized_keys "environment=" options
   independent of PermitUserEnv being enabled; bz#2329

   sshd(8): PermitUserEnv の有効無効に関係なく
   authorized_keys の "environment=" オプションをパースする; bz#2329

 * sshd(8): fix post-auth crash with permitopen=none; bz#2355

   sshd(8): permitopen=none 時の認証後のクラッシュを修正; bz#2355

 * ssh(1), ssh-add(1), ssh-keygen(1): allow new-format private keys
   to be encrypted with AEAD ciphers; bz#2366

   ssh(1), ssh-add(1), ssh-keygen(1): AEAD 暗号で暗号化される
   新しい形式の秘密鍵をサポート; bz#2366

 * ssh(1): allow ListenAddress, Port and AddressFamily configuration
   options to appear in any order; bz#68

   ssh(1): ListenAddress, Port, AddressFamily 設定項目がどの
   順序で並んでもよいようになる; bz#68

 * sshd(8): check for and reject missing arguments for VersionAddendum
   and ForceCommand; bz#2281

   sshd(8): VersionAddendum と ForceCommand で引数がない場合をチェックし,
   その場合は拒否する; bz#2281

 * ssh(1), sshd(8): don't treat unknown certificate extensions as
   fatal; bz#2387

   ssh(1), sshd(8): 知らない証明書拡張を致命的を扱わない; bz#2387

 * ssh-keygen(1): make stdout and stderr output consistent; bz#2325

   ssh-keygen(1): stdout と stderr の出力を一貫させる; bz#2325

 * ssh(1): mention missing DISPLAY environment in debug log when X11
   forwarding requested; bz#1682

   ssh(1): デバッグモードで, X11 転送が要求された場合に DISPLAY 環境変数がなければ
   通知する; bz#1682

 * sshd(8): correctly record login when UseLogin is set; bz#378

   sshd(8): UseLogin が設定されている場合に ログイン記録を正しく付ける; bz#378

 * sshd(8): Add some missing options to sshd -T output and fix output
   of VersionAddendum and HostCertificate. bz#2346

   sshd(8): sshd -T 出力に書けていた設定項目を追加し,
   VersionAddendum と HostCertificate の出力を修正する. bz#2346

 * Document and improve consistency of options that accept a "none"
   argument" TrustedUserCAKeys, RevokedKeys (bz#2382),
   AuthorizedPrincipalsFile (bz#2288)

   "none" 引数を受け入れる設定項目の記述を追加し一貫性を向上する.
   TrustedUserCAKeys, RevokedKeys (bz#2382), AuthorizedPrincipalsFile (bz#2288)

 * ssh(1): include remote username in debug output; bz#2368

   ssh(1): デバッグ時の出力にリモートのユーザ名を含める; bz#2368

 * sshd(8): avoid compatibility problem with some versions of Tera
   Term, which would crash when they received the hostkeys notification
   message (hostkeys-00@openssh.com)

   sshd(8): Tera Term のいくつかのバージョンとの互換性の問題を回避する.
   これらのバージョンは, ホスト鍵通知メッセージ (hostkeys-00@openssh.com)
   を受けとるとクラッシュする

 * sshd(8): mention ssh-keygen -E as useful when comparing legacy MD5
   host key fingerprints; bz#2332

   sshd(8): レガシーな MD5 ホスト鍵の指紋を比較する際に
   ssh-keygen -E が利用可能だと記述する; bz#2332

 * ssh(1): clarify pseudo-terminal request behaviour and use make
   manual language consistent; bz#1716

   ssh(1): 疑似ターミナルの要求の振舞いを明確化し, マニュアルの言語と
   一貫させる; bz#1716

 * ssh(1): document that the TERM environment variable is not subject
   to SendEnv and AcceptEnv; bz#2386

   ssh(1): TERM 環境変数は, SendEnv と AcceptEnv の影響下にないことを
   記述する; bz#2386

Portable OpenSSH
----------------

移植版 OpenSSH

 * sshd(8): Format UsePAM setting when using sshd -T, part of bz#2346

   sshd(8): sshd -T を用いたときの UsePAM 設定のフォーマット, 
   bz#2346 の一部

 * Look for '${host}-ar' before 'ar', making cross-compilation easier;
   bz#2352.

   'ar' より前に '${host}-ar' を探して, クロスコンパイルを容易にする;
   bz#2352.

 * Several portable compilation fixes: bz#2402, bz#2337, bz#2370

   移植版のコンパイルのいくつかの修正: bz#2402, bz#2337, bz#2370

 * moduli(5): update DH-GEX moduli

   muduli(5): DH-GEX moduli の更新

atmarkIT の SSH・暗号の記事はひどいので見ないほうがいい

すべての関連する記事を見たわけではありませんが, 最近公開された

はひどいですし, これらの記事からリンクされている暗号の記事にも間違いがあります.

atmarkIT のSSH・暗号の記事は見ない/参考にしている人が身近にいたら注意するのがよいと思います.

OpenSSH 6.8/6.8p1 がリリースされました.

2015/03/18, OpenSSH 6.8/6.8p1 がリリースされました.

Changes since OpenSSH 6.7
=========================

OpenSSH 6.7 からの変更点

This is a major release, containing a number of new features as
well as a large internal re-factoring.

多くの新機能と大きな内部リファクタリングを含む, 大規模なリリースだ.

Potentially-incompatible changes
--------------------------------

互換性が失なわれるかもしれない変更

 * sshd(8): UseDNS now defaults to 'no'. Configurations that match
   against the client host name (via sshd_config or authorized_keys)
   may need to re-enable it or convert to matching against addresses.

   sshd(8): UseDNS はデフォルトで 'no' になる.
   (sshd_config や authorized_keys のよる)クライアントホスト名
   に対するマッチの設定は, UseDNS を再度有効にするか, アドレスに対して
   マッチするよう変更する必要があるかもしれない.

New Features
------------

新機能

 * Much of OpenSSH's internal code has been re-factored to be more
   library-like. These changes are mostly not user-visible, but
   have greatly improved OpenSSH's testability and internal layout.

   OpenSSH の内部コードの多くを, よりライブラリ風にリファクタリングした.
   これらの変更は, ほとんどユーザから見えないが, OpenSSH のテスト可能性と
   内部のレイアウトが非常に改善された.

 * Add FingerprintHash option to ssh(1) and sshd(8), and equivalent
   command-line flags to the other tools to control algorithm used
   for key fingerprints. The default changes from MD5 to SHA256 and
   format from hex to base64.

   FingerprintHash オプションを ssh(1) と sshd(8) に追加する. また,
   鍵の指紋のために使われるアルゴリズムを制御する他のツールに
   同様の指定をするコマンドラインフラグも追加する. デフォルトが
   MD5 から SHA256 に, 形式が hex から base64 になる.

   Fingerprints now have the hash algorithm prepended. An example of
   the new format: SHA256:mVPwvezndPv/ARoIadVY98vAC0g+P/5633yTC4d/wXE
   Please note that visual host keys will also be different.

   指紋は, ハッシュアルゴリズムが前に付く形式になる. 新しい形式の例:
   the new format: SHA256:mVPwvezndPv/ARoIadVY98vAC0g+P/5633yTC4d/wXE
   ホスト鍵を可視化した際も異なることに注意.

 * ssh(1), sshd(8): Experimental host key rotation support. Add a
   protocol extension for a server to inform a client of all its
   available host keys after authentication has completed. The client
   may record the keys in known_hosts, allowing it to upgrade to better
   host key algorithms and a server to gracefully rotate its keys.

   ssh(1), sshd(8): 実験的なホスト鍵のローテーションをサポート. 
   (ホスト)認証が完了した後でサーバがクライアントに利用可能なホスト鍵の
   すべてを通知するためのプロトコル拡張を追加する. クライアントは
   known_host に鍵を記録できる. これにより, クライアントが
   よりよいホスト鍵アルゴリズムへの更新をしたり,
   サーバがホスト鍵を graceful にローテートできるようになる.

   The client side of this is controlled by a UpdateHostkeys config
   option (default off).

   クライアント側での動作は, 
   UpdateHostkeys 設定項目(デフォルト無効) で制御できる.
   (訳注: Call for testing の際はデフォルト有効でした)

訳中: OpenSSH、次期「OpenSSH 6.8」で「Ed25519オートコレクトキー」をサポート | スラッシュドット・ジャパン セキュリティ - http://security.slashdot.jp/story/15/02/04/101203/

 * ssh(1): Add a ssh_config HostbasedKeyType option to control which
   host public key types are tried during host-based authentication.

   ssh(1): ssh_config に HostbasedKeyType 設定項目を追加する.
   ホストベース認証の際に試すホスト公開鍵の種類を制御する

 * ssh(1), sshd(8): fix connection-killing host key mismatch errors
   when sshd offers multiple ECDSA keys of different lengths.

   ssh(1), sshd(8): 異なる長さの複数の ECDSA 鍵を sshd が提供する
   場合の, 接続を切るホスト鍵不一致エラーを修正する.

 * ssh(1): when host name canonicalisation is enabled, try to
   parse host names as addresses before looking them up for
   canonicalisation. fixes bz#2074 and avoiding needless DNS
   lookups in some cases.

   ssh(1): ホスト名の正規化が有効な場合, 正規化のためにホスト名を
   検査うする前にホスト名をアドレスとしてパースできるか試す.
   bz#2074 を修正し, いくつかの場合で不必要な DNS の検索を避けるため.

 * ssh-keygen(1), sshd(8): Key Revocation Lists (KRLs) no longer
   require OpenSSH to be compiled with OpenSSL support.

   ssh-keygen(1), sshd(8): 鍵失効リスト(KRLs) が, OpenSSL サポート付きで
   コンパイルされた OpenSSH を必要としなくなった.

 * ssh(1), ssh-keysign(8): Make ed25519 keys work for host based
   authentication.

   ssh(1), ssh-keysign(8): ed25519 鍵がホストベース認証で動作する.

 * sshd(8): SSH protocol v.1 workaround for the Meyer, et al,
   Bleichenbacher Side Channel Attack. Fake up a bignum key before
   RSA decryption.

   sshd(8): Meyer, et al の Bleichenbacher サイドチャンネル攻撃
   に対する SSH プロトコル v.1 の緩和策を追加. RSA の復号の前に
   大きな数の鍵をでっちあげる.

 * sshd(8): Remember which public keys have been used for
   authentication and refuse to accept previously-used keys.
   This allows AuthenticationMethods=publickey,publickey to require
   that users authenticate using two _different_ public keys.

   sshd(8): 認証に利用した公開鍵を記録し, 先に利用された鍵の利用を拒否する.
   これにより, AuthenticationMethods=publickey,publickey という設定で,
   2つの *異なる* 公開鍵を利用するようにユーザに要求できる.

 * sshd(8): add sshd_config HostbasedAcceptedKeyTypes and
   PubkeyAcceptedKeyTypes options to allow sshd to control what
   public key types will be accepted. Currently defaults to all.

   sshd(8): sshd_config の HostbasedAcceptedKeyTypes と PubkeyAcceptedKeyTypes
   設定項目を追加する. 受けつける公開鍵の種類を sshd が制御できる.
   現在のデフォルトは all.

 * sshd(8): Don't count partial authentication success as a failure
   against MaxAuthTries.

   sshd(8): 部分的な認証の成功を MaxAuthTries での失敗にカウントしない.

 * ssh(1): Add RevokedHostKeys option for the client to allow
   text-file or KRL-based revocation of host keys.

   ssh(1): RevokedHostKeys 設定項目を追加する. クライアントが
   ホスト鍵の テキストファイルや KRLベースの失効を行なえるようになる.

 * ssh-keygen(1), sshd(8): Permit KRLs that revoke certificates by
   serial number or key ID without scoping to a particular CA.

   ssh-keygen(1), sshd(8): KRL で, 特定の CA を詳しく調べることなしに
   シリアル番号や鍵IDで証明書を失効できるようにする.

 * ssh(1): Add a "Match canonical" criteria that allows ssh_config
   Match blocks to trigger only in the second config pass.

   ssh(1): "Match canonical" 条件を追加する. ssh_config の Match
   ブロックで, 2回目の(ホスト名の正規化の後の)
   設定のパースのパスでのみ有効になる.

 * ssh(1): Add a -G option to ssh that causes it to parse its
   configuration and dump the result to stdout, similar to "sshd -T".

   ssh(1): -G オプションを追加, "sshd -T" と同様に,
   設定をパースし結果を標準出力にダンプする.

 * ssh(1): Allow Match criteria to be negated. E.g. "Match !host".

   ssh(1): Match の条件に否定を許す. 例えば "Match !host"

 * The regression test suite has been extended to cover more OpenSSH
   features. The unit tests have been expanded and now cover key
   exchange.

   回帰テストスートが, より広範囲の OpenSSH の機能をカバーするよう拡張
   された. ユニットテストは拡張され, 鍵効果もカバーする

Bugfixes

バグ修正

 * ssh-keyscan(1): ssh-keyscan has been made much more robust again
   servers that hang or violate the SSH protocol.

   ssh-keyscan(1): ssh-keyscan は ハングしたり SSH プロトコルを破っている
   サーバに対してより強固になった.

 * ssh(1), ssh-keygen(1): Fix regression bz#2306: Key path names were
   being lost as comment fields.

   ssh(1), ssh-keygen(1): bz#2306 の再発を修正. 鍵のパス名が
   コメントフィールドのように失なわれていた.

 * ssh(1): Allow ssh_config Port options set in the second config
   parse phase to be applied (they were being ignored). bz#2286

   ssh(1): ssh_config の Port 設定項目が, 2回目の設定のパースの
   段階でも有効になる(いままでは無視されていた). bz#2286

 * ssh(1): Tweak config re-parsing with host canonicalisation - make
   the second pass through the config files always run when host name
   canonicalisation is enabled (and not whenever the host name
   changes) bz#2267

   ssh(1): ホスト正規化の後で設定をもう1度パースするように調整した.
   ホスト名の正規化が有効で(ホスト名が変わらない場合)に 設定ファイルの
   パースの2回目のパスが常に走る.

 * ssh(1): Fix passing of wildcard forward bind addresses when
   connection multiplexing is in use; bz#2324;

   ssh(1): 接続の多重化を利用している場合の ワイルドカードが先に付く
   バインドアドレスのパースを修正する. bz#2324

 * ssh-keygen(1): Fix broken private key conversion from non-OpenSSH
   formats; bz#2345.

   ssh-keygen OpenSSH ではない形式からの壊れた秘密鍵変換を修正. bz#2345

 * ssh-keygen(1): Fix KRL generation bug when multiple CAs are in
   use.

   ssh-keygen(1): 複数の CA を利用している場合の KRL 生成バグを修正.

 * Various fixes to manual pages: bz#2288, bz#2316, bz#2273

   マニュアルページの多数の修正: bz#2288, bz#2316, bz#2273

Portable OpenSSH

移植版 OpenSSH

 * Support --without-openssl at configure time

   configure 時の --without-openssl をサポート

   Disables and removes dependency on OpenSSL. Many features,
   including SSH protocol 1 are not supported and the set of crypto
   options is greatly restricted. This will only work on systems
   with native arc4random or /dev/urandom.

   OpenSSL への依存を無効化し削除する. SSH プロトコル1を含む多くの特徴
   がサポートされなくなり, 暗号のオプションが非常に制限される.
   システムが ネイティブな arc4random か /dev/urandom を持っている
   場合にのみ動作する.

   Considered highly experimental for now.

   現在非常に実験的だと考えられる.

 * Support --without-ssh1 option at configure time

   configure 時の --without-ssh1 をサポート

   Allows disabling support for SSH protocol 1.

   SSH プロトコル 1 のサポートを無効にできる.

 * sshd(8): Fix compilation on systems with IPv6 support in utmpx; bz#2296

   sshd(8): utmpx で IPv6 サポートを持つシステムでのコンパイルを修正; bz#2296

 * Allow custom service name for sshd on Cygwin. Permits the use of
   multiple sshd running with different service names.

   Cygwin の sshd でカスタムサービス名を許す. 異なるサービス名で
   複数の sshd を利用できるようになる.

OpenSSH 6.8 リリース準備中 Call for testing: OpenSSH-6.8

OpenSSH 6.8 がリリース準備中です.

変更点を適当に訳しました. 余裕があったら夜に見直して修正します.

Changes since OpenSSH 6.7
=========================

OpenSSH 6.7 からの変更点

This is a major release, containing a number of new features as
well as a large internal re-factoring.

多くの新機能と大きな内部リファクタリングを含む, 大規模なリリースだ.

Potentially-incompatible changes
--------------------------------

互換性が失なわれるかもしれない変更

 * sshd(8): UseDNS now defaults to 'no'. Configurations that match
   against the client host name (via sshd_config or authorized_keys)
   may need to re-enable it or convert to matching against addresses.

 * sshd(8): UseDNS はデフォルトで 'no' になる.
   (sshd_config や authorized_keys のよる)クライアントホスト名
   に対するマッチの設定は, UseDNS を再度有効にするか, アドレスに対して
   マッチするよう変更する必要があるかもしれない.

New Features
------------

新機能

 * Much of OpenSSH's internal code has been re-factored to be more
   library-like. These changes are mostly not user-visible, but
   have greatly improved OpenSSH's testability and internal layout.

   OpenSSH の内部コードの多くを, よりライブラリ風にリファクタリングした.
   これらの変更は, ほとんどユーザから見えないが, OpenSSH のテスト可能性と
   内部のレイアウトが非常に改善された.

 * Add FingerprintHash option to ssh(1) and sshd(8), and equivalent
   command-line flags to the other tools to control algorithm used
   for key fingerprints. The default changes from MD5 to SHA256 and
   format from hex to base64.

   FingerprintHash オプションを ssh(1) と sshd(8) に追加する. また,
   鍵の指紋のために使われるアルゴリズムを制御する他のツールに
   同様の指定をするコマンドラインフラグも追加する. デフォルトが
   MD5 から SHA256 に, 形式が hex から base64 になる.

   Fingerprints now have the hash algorithm prepended. An example of
   the new format: SHA256:mVPwvezndPv/ARoIadVY98vAC0g+P/5633yTC4d/wXE
   Please note that visual host keys will also be different.

   指紋は, ハッシュアルゴリズムが前に付く形式になる. 新しい形式の例:
   the new format: SHA256:mVPwvezndPv/ARoIadVY98vAC0g+P/5633yTC4d/wXE
   ホスト鍵を可視化した際も異なることに注意.

 * ssh(1), sshd(8): Host key rotation support. Add a protocol
   extension for a server to inform a client of all its available
   host keys after authentication has completed. The client may
   record the keys in known_hosts, allowing it to upgrade to better
   host key algorithms and a server to gracefully rotate its keys.

   ssh(1), sshd(8): ホスト鍵のローテーションをサポート. 
   (ホスト)認証が完了した後でサーバがクライアントに利用可能なホスト鍵の
   すべてを通知するためのプロトコル拡張を追加する. クライアントは
   known_host に鍵を記録できる. これにより, クライアントが
   よりよいホスト鍵アルゴリズムへの更新をしたり,
   サーバがホスト鍵を graceful にローテートできるようになる.

   The client side of this is controlled by a UpdateHostkeys config
   option (default on).

   クライアント側での動作は, 
   UpdateHostkeys 設定項目(デフォルト有効) で制御できる.

訳中: OpenSSH、次期「OpenSSH 6.8」で「Ed25519オートコレクトキー」をサポート | スラッシュドット・ジャパン セキュリティ - http://security.slashdot.jp/story/15/02/04/101203/

 * ssh(1): Add a ssh_config HostbasedKeyType option to control which
   host public key types are tried during host-based authentication.

   ssh(1): ssh_config に HostbasedKeyType 設定項目を追加する.
   ホストベース認証の際に試すホスト公開鍵の種類を制御する

 * ssh(1), sshd(8): fix connection-killing host key mismatch errors
   when sshd offers multiple ECDSA keys of different lengths.

   ssh(1), sshd(8): 異なる長さの複数の ECDSA 鍵を sshd が提供する
   場合の, 接続を切るホスト鍵不一致エラーを修正する.

 * ssh(1): when host name canonicalisation is enabled, try to
   parse host names as addresses before looking them up for
   canonicalisation. fixes bz#2074 and avoiding needless DNS
   lookups in some cases.

   ssh(1): ホスト名の正規化が有効な場合, 正規化のためにホスト名を
   検査うする前にホスト名をアドレスとしてパースできるか試す.
   bz#2074 を修正し, いくつかの場合で不必要な DNS の検索を避けるため.

 * ssh-keygen(1), sshd(8): Key Revocation Lists (KRLs) no longer
   require OpenSSH to be compiled with OpenSSL support.

   ssh-keygen(1), sshd(8): 鍵失効リスト(KRLs) は, OpenSSL サポート付きで
   コンパイルされた OpenSSH には必要なくなった.

 * ssh(1), ssh-keysign(8): Make ed25519 keys work for host based
   authentication.

   ssh(1), ssh-keysign(8): ed25519 鍵がホストベース認証で動作する.

 * sshd(8): SSH protocol v.1 workaround for the Meyer, et al,
   Bleichenbacher Side Channel Attack. Fake up a bignum key before
   RSA decryption.

   sshd(8): Meyer, et al の Bleichenbacher サイトチャンネル攻撃
   に対する SSH プロトコル v.1 の緩和策を追加. RSA の復号の前に
   大きな数の鍵をでっちあげる.

 * sshd(8): Remember which public keys have been used for
   authentication and refuse to accept previously-used keys.
   This allows AuthenticationMethods=publickey,publickey to require
   that users authenticate using two _different_ public keys.

   sshd(8): 認証に利用した公開鍵を記録し, 先に利用された鍵の利用を拒否する.
   これにより, AuthenticationMethods=publickey,publickey という設定で,
   2つの*異なる* 公開鍵を利用するようにユーザに要求できる.

 * sshd(8): add sshd_config HostbasedAcceptedKeyTypes and
   PubkeyAcceptedKeyTypes options to allow sshd to control what
   public key types will be accepted. Currently defaults to all.

   sshd(8): sshd_config の HostbasedAcceptedKeyTypes と PubkeyAcceptedKeyTypes
   設定項目を追加する. 受けつける公開鍵の種類を sshd が制御できる.
   現在のデフォルトは all.

 * sshd(8): Don't count partial authentication success as a failure
   against MaxAuthTries.

   sshd(8): 部分的な認証の成功を MaxAuthTries での失敗にカウントしない.

 * ssh(1): Add RevokedHostKeys option for the client to allow
   text-file or KRL-based revocation of host keys.

   ssh(1): RevokedHostKeys 設定項目を追加する. クライアントが
   ホスト鍵の テキストファイルや KRLベースの失効を行なえるようになる.

 * ssh-keygen(1), sshd(8): Permit KRLs that revoke certificates by
   serial number or key ID without scoping to a particular CA.

   ssh-keygen(1), sshd(8): KRL で, 特定の CA を詳しく調べることなしに
   シリアル番号や鍵IDで証明書を失効できるようにする.

 * ssh(1): Add a "Match canonical" criteria that allows ssh_config
   Match blocks to trigger only in the second config pass.

   ssh(1): "Match canonical" 条件を追加する. ssh_config の Match
   ブロックで, 2回目の(ホスト名の正規化の後の)
   設定のパースのパスでのみ有効になる.

 * ssh(1): Add a -G option to ssh that causes it to parse its
   configuration and dump the result to stdout, similar to "sshd -T".

   ssh(1): -G オプションを追加, "sshd -T" と同様に,
   設定をパースし結果を標準出力にダンプする.

 * ssh(1): Allow Match criteria to be negated. E.g. "Match !host".

   ssh(1): Match の条件に否定を許す. 例えば "Match !host"

 * The regression test suite has been extended to cover more OpenSSH
   features. The unit tests have been expanded and now cover key
   exchange.

   回帰テストスートが, より広範囲のOpenSSHの機能をカバーするよう拡張
   された. ユニットテストは拡張され, 鍵効果もカバーする

Bugfixes
--------

 * ssh-keyscan(1): ssh-keyscan has been made much more robust again
   servers that hang or violate the SSH protocol.

   ssh-keyscan(1): ssh-keyscan は ハングしたり SSH プロトコルを破っている
   サーバに対してより強固になった.

 * ssh(1), ssh-keygen(1): Fix regression bz#2306: Key path names were
   being lost as comment fields.

   ssh(1), ssh-keygen(1): bz#2306 の再発を修正. 鍵のパス名が
   コメントフィールドのように失なわれていた.

 * ssh(1): Allow ssh_config Port options set in the second config
   parse phase to be applied (they were being ignored). bz#2286

   ssh(1): ssh_config の Port 設定項目が, 2回目の設定のパースの
   段階でも有効になる(いままでは無視されていた). bz#2286

 * ssh(1): Tweak config re-parsing with host canonicalisation - make
   the second pass through the config files always run when host name
   canonicalisation is enabled (and not whenever the host name
   changes) bz#2267

   ssh(1): ホスト正規化の後で設定をもう1度パースするように調整した.
   ホスト名の正規化が有効で(ホスト名が変わらない場合)に 設定ファイルの
   パースの2回目のパスが常に走る.

 * ssh(1): Fix passing of wildcard forward bind addresses when
   connection multiplexing is in use; bz#2324;

   ssh(1): 接続の多重化を利用している場合の ワイルドカードが先に付く
   バインドアドレスのパースを修正する. bz#2324

 * ssh-keygen(1): Fix broken private key conversion from non-OpenSSH
   formats; bz#2345.

   ssh-keygen OpenSSH ではない形式からの壊れた秘密鍵変換を修正. bz#2345

 * ssh-keygen(1): Fix KRL generation bug when multiple CAs are in
   use.

   ssh-keygen(1): 複数の CA を利用している場合の KRL 生成バグを修正.

 * Various fixed to manual pages: bz#2288, bz#2316, bz#2273

   マニュアルページの多数の修正: bz#2288, bz#2316, bz#2273

Portable OpenSSH
----------------

移植版 OpenSSH

 * Support --without-openssl at configure time

   configure 時の --without-openssl をサポート

   Disables and removes dependency on OpenSSL. Many features,
   including SSH protocol 1 are not supported and the set of crypto
   options is greatly restricted. This will only work on system with
   native arc4random or /dev/urandom.

   OpenSSL への依存を無効化し削除する. SSH プロトコル1を含む多くの特徴
   がサポートされなくなり, 暗号のオプションが非常に制限される.
   システムが ネイティブな arc4random か /dev/urandom を持っている
   場合にのみ動作する.

   Considered highly experimental for now.

   現在非常に実験的だと考えられる.

 * Support --without-ssh1 option at configure time

   configure 時の --without-ssh1 をサポート

   Allows disabling support for SSH protocol 1.

   SSH プロトコル 1 のサポートを無効にできる.

   Still experimental - not all regression and unit tests have been
   been adapted for the absence of SSH protocol 1.

   まだ実験的 - SSH プロトコル 1 がない場合に対して,
   すべての回帰/ユニットテストが順応しているわけではない.

 * sshd(8): Fix compilation on systems with IPv6 support in utmpx; bz#2296

   sshd(8): utmpx で IPv6 サポートを持つシステムでのコンパイルを修正; bz#2296

 * Allow custom service name for sshd on Cygwin. Permits the use of
   multiple sshd running with different service names.

   Cygwin の sshd でカスタムサービス名を許す. 異なるサービス名で
   複数の sshd を利用できるようになる.

OpenSSH 6.7/6.7p1 がリリースされました.

2014/10/07, OpenSSH 6.7/6.7p1 がリリースされました.

http://www.openssh.com/txt/release-6.7

Changes since OpenSSH 6.6
=========================

OpenSSH 6.6 からの変更点

Potentially-incompatible changes

後方互換性がない可能性のある変更

 * sshd(8): The default set of ciphers and MACs has been altered to
   remove unsafe algorithms. In particular, CBC ciphers and arcfour*
   are disabled by default.

   sshd(8): 暗号とMACのデフォルトセットから安全でないアルゴリズムを
   削除する変更を行なう. 具体的には, CBC モードを利用する暗号と
   arcfour* がデフォルトで無効になる.

   The full set of algorithms remains available if configured
   explicitly via the Ciphers and MACs sshd_config options.

   sshd_config の Ciphers/MACs 設定項目で明示的に設定すれば,
   アルゴリズムのすべてのセットは利用可能だ.

 * sshd(8): Support for tcpwrappers/libwrap has been removed.

   sshd(8): tcpwrappers/libwrap のサポートを削除する.

 * OpenSSH 6.5 and 6.6 have a bug that causes ~0.2% of connections
   using the curve25519-sha256@libssh.org KEX exchange method to fail
   when connecting with something that implements the specification
   correctly. OpenSSH 6.7 disables this KEX method when speaking to
   one of the affected versions.

   OpenSSH 6.5/6.6 には, curve25519-sha256@libssh.org 鍵交換法を利用して
   仕様を正しく実装している相手と接続しようとすると 0.2% ほどの確率で
   失敗するバグがある. OpenSSH 6.7 は, 影響のあるバージョンとのやりとりで
   この鍵交換法を無効にする.

New Features

新機能

 * Major internal refactoring to begin to make part of OpenSSH usable
   as a library. So far the wire parsing, key handling and KRL code
   has been refactored. Please note that we do not consider the API
   stable yet, nor do we offer the library in separable form.

   OpenSSH をライブラリとして利用可能にする大きな内部リファクタリングを
   始める. 現在 通信のパースと鍵の扱い, KRL のコードがリファクタリング
   された. API を不変にしようと考えているわけではないし, 別の形で
   ライブラリを提供しようとしているわけでもないことに注意.

 * ssh(1), sshd(8): Add support for Unix domain socket forwarding.
   A remote TCP port may be forwarded to a local Unix domain socket
   and vice versa or both ends may be a Unix domain socket.

   ssh(1), sshd(8): Unix ドメインソケットの転送をサポートする.
   リモートのTCPポートをローカルの Unix ドメインソケットに転送できるし,
   逆も可能. また Unix ドメインソケット同士でもよい.

 * ssh(1), ssh-keygen(1): Add support for SSHFP DNS records for
   ED25519 key types.

   ssh(1), ssh-keygen(1): SSHFP DNS レコードで ED25519 鍵タイプを
   サポートする.

 * sftp(1): Allow resumption of interrupted uploads.

   sftp(1): 中断されたアップロードの復帰を可能にする.

 * ssh(1): When rekeying, skip file/DNS lookups of the hostkey if it
   is the same as the one sent during initial key exchange; bz#2154

   ssh(1): 鍵の再交換の際に, 最初の鍵交換の時に送られたものと同じであれば
   ホスト鍵のファイル/DNS検索をスキップする.

 * sshd(8): Allow explicit ::1 and 127.0.0.1 forwarding bind
   addresses when GatewayPorts=no; allows client to choose address
   family; bz#2222

   sshd(8): GatewayPorts=no の場合に, ::1 / 127.0.0.1 を束縛アドレス
   として明示的に指定した転送を許可する. クライアントが
   アドレスファミリを選択できる. bz#2222

 * sshd(8): Add a sshd_config PermitUserRC option to control whether
   ~/.ssh/rc is executed, mirroring the no-user-rc authorized_keys
   option; bz#2160

   sshd(8): sshd_config に PermitUserRC 設定項目を追加する.
   これは, ~/.ssh/rc を実行するかを制御する. authorized_keys の
   no-user-rc オプションをコピーした. bz#2160

 * ssh(1): Add a %C escape sequence for LocalCommand and ControlPath
   that expands to a unique identifer based on a hash of the tuple of
   (local host, remote user, hostname, port). Helps avoid exceeding
   miserly pathname limits for Unix domain sockets in multiplexing
   control paths; bz#2220

   LocalCommand と ControlPath に %C エスケープシーケンスを追加する.
   このシーケンスは (ローカルホスト, リモートユーザ, ホスト名, ポート)
   のタプルのハッシュに基づくユニークな識別子に展開される.
   多重化のコントロールパスで, Unix ドメインソケットのしみったれた
   パス名の長さの制限を超過するするのを避けるのを助ける.

 * sshd(8): Make the "Too many authentication failures" message
   include the user, source address, port and protocol in a format
   similar to the authentication success / failure messages; bz#2199

   sshd(8): 認証の成功/失敗メッセージに似た形式で,
   "Too many authentication failures" メッセージに ユーザとソースアドレス
   ポート, プロトコルを含めるようにする.

 * Added unit and fuzz tests for refactored code. These are run
   automatically in portable OpenSSH via the "make tests" target.

   リファクタリングしたコードに単体/ファズテストを加えた.
   移植版 OpenSSH で "make tests" すると自動的に実行される.

Bugfixes

バグ修正

 * sshd(8): Fix remote forwarding with the same listen port but
   different listen address.

   sshd(8): 同じリッスンポートで異なるリッスンアドレスのリモート転送
   を修正.

 * ssh(1): Fix inverted test that caused PKCS#11 keys that were
   explicitly listed in ssh_config or on the commandline not to be
   preferred.

   PKCS#11 keys が ssh_config で明示的に指定されるかコマンドラインで
   指定されなかった場合に起きていた逆転したテストを修正.

 * ssh-keygen(1): Fix bug in KRL generation: multiple consecutive
   revoked certificate serial number ranges could be serialised to an
   invalid format. Readers of a broken KRL caused by this bug will
   fail closed, so no should-have-been-revoked key will be accepted.

   ssh-keygen(1): KRL 生成でのバグを修正: 複数の連続した
   無効証明書シリアルナンバーの範囲が, 不正な形式にシリアライズされる
   場合があった. このバグで壊れた KRL のリーダは, クローズに失敗し,
   無効とされるべき鍵が受け入れられる.

 * ssh(1): Reflect stdio-forward ("ssh -W host:port ...") failures in
   exit status. Previously we were always returning 0; bz#2255

   ssh(1): 標準入力の転送 ("ssh -W host:port ...") の失敗を終了ステータス
   に反映する. 以前は常に0を返していた. bz#2255

 * ssh(1), ssh-keygen(1): Make Ed25519 keys' title fit properly in the
   randomart border; bz#2247

   ssh(1), ssh-keygen(1): Ed25519 鍵のタイトルをランダムアートの境界に
   きっちりフィトするようにする.

 * ssh-agent(1): Only cleanup agent socket in the main agent process
   and not in any subprocesses it may have started (e.g. forked
   askpass). Fixes agent sockets being zapped when askpass processes
   fatal(); bz#2236

   ssh-agent(1): メインのエージェントのプロセスのエージェントソケットのみ
   をクリーンアップし, (フォークされた askpass のような) 開始された
   サブプロセスのものはクリーンアップしない. askpass のプロセスが
   fatal() する際に, エージェントソケットが殺されるのを修正する.
   bz#2236

 * ssh-add(1): Make stdout line-buffered; saves partial output getting
   lost when ssh-add fatal()s part-way through (e.g. when listing keys
   from an agent that supports key types that ssh-add doesn't);
   bz#2234
   
   ssh-add(1): 標準出力を行でバッファする. ssh-add が 途中で fatal()
   する場合 (例えば エージェントから挙げられた鍵のタイプを ssh-add が
   サポートしていない場合) に 部分的な出力が失なわれるのを防ぐ.

 * ssh-keygen(1): When hashing or removing hosts, don't choke on
   @revoked markers and don't remove @cert-authority markers; bz#2241

   ssh-keygen(1): ホストをハッシュしたり削除する際に, @revoked
   マーカを詰まらせたり @cert-authority マーカを削除しない.
   bz#2241

 * ssh(1): Don't fatal when hostname canonicalisation fails and a
   ProxyCommand is in use; continue and allow the ProxyCommand to
   connect anyway (e.g. to a host with a name outside the DNS behind
   a bastion)

   ProxyCommand を利用している際にホスト名の正規化が失敗する場合に 
   fatal しない. とにかく ProxyCommand に(例えば, 壁の裏にあるDNSで
   名前を持つホストへ) 接続を続けさせる

 * scp(1): When copying local->remote fails during read, don't send
   uninitialised heap to the remote end.

   scp(1): ローカル->リモートでのコピー中に読み込みに失敗した場合に
   リモート側に初期化していないヒープを送らない.

 * sftp(1): Fix fatal "el_insertstr failed" errors when tab-completing
   filenames with  a single quote char somewhere in the string;
   bz#2238

   sftp(1): シングルクオート文字を含むファイル名をタブ補完する際の
   致命的な "el_insertstr failed" エラーを修正. bz#2238

 * ssh-keyscan(1): Scan for Ed25519 keys by default.

   ssh-keyscan(1): Ed25519 鍵をデフォルトでスキャン.

 * ssh(1): When using VerifyHostKeyDNS with a DNSSEC resolver, down-
   convert any certificate keys to plain keys and attempt SSHFP
   resolution.  Prevents a server from skipping SSHFP lookup and
   forcing a new-hostkey dialog by offering only certificate keys.

   ssh(1): DNSSEC リゾルバと VerifyHostKeyDNS を用いる際に,
   証明書の鍵をプレーンな鍵に変換して SSHFP の解決を試す.
   サーバがSSHFP の検索をスキップして証明書鍵のみを提供する
   新しいホスト鍵の対話を強制するのを防ぐ.
     
 * sshd(8): Avoid crash at exit via NULL pointer reference; bz#2225

   sshd(8): NULL ポインタ参照による exit 時のクラッシュを避ける
   bz#2225

 * Fix some strict-alignment errors.

   いくつかの厳密なアラインメントのエラーを修正.

Portable OpenSSH

移植版 OpenSSH

 * Portable OpenSSH now supports building against libressl-portable.

   移植版 OpenSSH は libressl-portable に対してのビルドをサポートする.

 * Portable OpenSSH now requires openssl 0.9.8f or greater. Older
   versions are no longer supported.

   移植版 OpenSSH は openssl 0.9.8f 以上を要求する.
   それ以前のバージョンはもはやサポートされない.

 * In the OpenSSL version check, allow fix version upgrades (but not
   downgrades. Debian bug #748150.

   OpenSSL のバージョンチェックで, 修正バージョンのアップグレードを
   許容する (しかしダウングレードは許容しない. Debian bug #748150)

 * sshd(8): On Cygwin, determine privilege separation user at runtime,
   since it may need to be a domain account.

   sshd(8): Cygwin で, ドメインのアカウントが必要となるかもしれないので,
   特権分離のユーザを動作時に決定する.

 * sshd(8): Don't attempt to use vhangup on Linux. It doesn't work for
   non-root users, and for them it just messes up the tty settings.

   sshd(8): Linux で vhangup を利用しようとしない. これは root でない
   ユーザでは動作しないし, rootではないユーザでは 
   tty 設定をメチャクチャにする.

 * Use CLOCK_BOOTTIME in preference to CLOCK_MONOTONIC when it is
   available. It considers time spent suspended, thereby ensuring
   timeouts (e.g. for expiring agent keys) fire correctly.  bz#2228

   利用できるなら CLOCK_MONOTONIC よりも CLOCK_BOOTTIME を利用する.
   CLOCK_BOOTTIME はサスペンドしている時間も考慮するので, 
   タイムアウト (たとえばエージェント鍵の期限切れ) が正しく行なわれるのを
   保証する.

 * Add support for ed25519 to opensshd.init init script.

   opensshd.init スクリプトで ed25519 のサポートを追加する.

 * sftp-server(8): On platforms that support it, use prctl() to
   prevent sftp-server from accessing /proc/self/{mem,maps}

   sftp-server(8): サポートするプラットフォームでは
   prctl() を用いて sftp-server が /proc/self/{mem,maps} に
   アクセスするのを防ぐ.

OpenSSH 6.6/6.6p1 がリリースされました.

2014/03/16, OpenSSH 6.6/6.6p1 がリリースされました.

http://www.openssh.org/txt/release-6.6

Changes since OpenSSH 6.5
=========================

OpenSSH 6.5 からの変更点

This is primarily a bugfix release.

主としてバグ修正のリリース.

Security:

セキュリティ:

 * sshd(8): when using environment passing with a sshd_config(5)
   AcceptEnv pattern with a wildcard. OpenSSH prior to 6.6 could be
   tricked into accepting any enviornment variable that contains the
   characters before the wildcard character.

 * sshd(8): sshd_config(5) の AcceptEnv のパターンでワイルドカードを用いて
   環境変数を受け渡しを行なっている場合, OpenSSH 6.6 より前では, 
   ワイルドカード文字より前の文字列に含まれる任意の環境変数を受けいれるように
   だまされる可能性があった.

New / changed features:

新しい / 変更された特徴:

 * ssh(1), sshd(8): this release removes the J-PAKE authentication code.
   This code was experimental, never enabled and had been unmaintained
   for some time.

   ssh(1), sshd(8): このリリースで J-PAKE 認証コードを削除する.
   このコードは実験的でかつけっして有効になることはなく,
   しばらくの間管理されてなかった.

   訳注: この機能について CVE-2014-1692
   https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1692
   が出たが, configure で有効にするできないくらいの
   実験的なコードなので, 面倒がないように消すということだと思われる)

 * ssh(1): when processing Match blocks, skip 'exec' clauses other clauses
   predicates failed to match.

   ssh(1): Match ブロックを処理する場合に, 他の節の述語がマッチに失敗したら
   'exec' 節をスキップする. (訳注: other の前に if が抜けていると思われる)

 * ssh(1): if hostname canonicalisation is enabled and results in the
   destination hostname being changed, then re-parse ssh_config(5) files
   using the new destination hostname. This gives 'Host' and 'Match'
   directives that use the expanded hostname a chance to be applied.

   ssh(1): ホスト名の正規化が有効で接続先ホスト名が結果として変わる場合,
   新しい接続先ホスト名を使って ssh_config(5) ファイルを再度パースする.
   これにより, 正規化されたホスト名を用いている 'Host' と 'Match' 設定項目が
   適用されるようになる.

Bugfixes:

バグ修正:

 * ssh(1): avoid spurious "getsockname failed: Bad file descriptor" in
   ssh -W. bz#2200, debian#738692

   ssh(1): ssh -W での誤った "getsockname failed: Bad file descriptor"
   を回避する. bz#2200, debian#738692

 * sshd(8): allow the shutdown(2) syscall in seccomp-bpf and systrace
   sandbox modes, as it is reachable if the connection is terminated
   during the pre-auth phase.

   sshd(8): seccomp-bpf と systrace サンドボックスモードで shutdown(2)
   システムコールを許可する. 認証前のフェイズで接続が終了した場合に,
   このシステムコールが呼ばれることがあるので.

 * ssh(1), sshd(8): fix unsigned overflow that in SSH protocol 1 bignum
   parsing. Minimum key length checks render this bug unexploitable to
   compromise SSH 1 sessions.

   ssh(1), sshd(8): SSH プロトコル 1 の bignum のパース時の
   符号無し整数のオーバフローを修正する. 最小の鍵長のチェックにより
   このバグを使って SSH 1 のセッションを侵害するのに利用できない.

 * sshd_config(5): clarify behaviour of a keyword that appears in
   multiple matching Match blocks. bz#2184

   sshd_config(5): 複数マッチする Match ブロックがある キーワードの
   振舞いを明確にする. bz#2184

 * ssh(1): avoid unnecessary hostname lookups when canonicalisation is
   disabled. bz#2205

   ssh(1): 正規化が無効な場合に必要がないホスト名の検索を回避する.
   bz#2205

 * sshd(8): avoid sandbox violation crashes in GSSAPI code by caching
   the supported list of GSSAPI mechanism OIDs before entering the
   sandbox. bz#2107

   sshd(8): サポートしている GSSAPI メカニズムの OID のリストを
   サンドボックスに入る前にキャッシュすることによる
   GSSAPI コードでのサンドボックス違反のクラッシュを回避する.

 * ssh(1): fix possible crashes in SOCKS4 parsing caused by assumption
   that the SOCKS username is nul-terminated.

   ssh(1): SOCKS のユーザ名が nul で終端されていることを仮定している
   ために起こる SOCK4 のパースで発生する可能性のあるクラッシュを修正する.

 * ssh(1): fix regression for UsePrivilegedPort=yes when BindAddress is
   not specified.

   ssh(1): BindAddress が指定されていない場合の UsePrivilegedPort=yes の
   不具合を修正する.

 * ssh(1), sshd(8): fix memory leak in ECDSA signature verification.

   ssh(1), sshd(8): ECDSA 署名検証でのメモリリークを修正する.

 * ssh(1): fix matching of 'Host' directives in ssh_config(5) files
   to be case-sensitive again (regression in 6.5).

   ssh(1): ssh_config(5) ファイルでの 'Host' 設定項目のマッチを
   大文字小文字を区別するように再び修正する(6.5 での不具合).

Portable OpenSSH:

移植版 OpenSSH:

 * sshd(8): don't fatal if the FreeBSD Capsicum is offered by the
   system headers and libc but is not supported by the kernel.

   sshd(8): FreeBSD Capsicum がシステムのヘッダと libc で提供されていて
   kernel でサポートされていない場合に 致命的エラーにならないようにする.

 * Fix build using the HP-UX compiler.

   HP-UX コンパイラを用いた場合のビルドを修正する.

OpenSSH 6.6 リリース準備中 Call for testing: OpenSSH-6.6

OpenSSH 6.6 がリリース準備中です.

変更点を適当に訳しました.

2014/03/16追記: OpenSSH 6.6 がリリースされました. 春山 征吾のくけー : OpenSSH 6.6/6.6p1 がリリースされました. - livedoor Blog(ブログ). リリースノートでは, Security についての変更点が追加されています.

Changes since OpenSSH 6.5
=========================

OpenSSH 6.5 からの変更点

This is primarily a bugfix release.

主としてバグ修正のリリース.

New / changed features:

新しい / 変更された特徴:

 * ssh(1), sshd(8): this release removes the J-PAKE authentication code.
   This code was experimental, never enabled and had been unmaintained
   for some time.

   ssh(1), sshd(8): このリリースで J-PAKE 認証コードを削除する.
   このコードは実験的でかつけっして有効になることはなく,
   しばらくの間管理されてなかった.

   訳注: この機能について CVE-2014-1692
   https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1692
   が出たが, configure で有効にするできないくらいの
   実験的なコードなので, 面倒がないように消すということだと思われる)

 * ssh(1): when processing Match blocks, skip 'exec' clauses other clauses
   predicates failed to match.

   ssh(1): Match ブロックを処理する場合に, 他の節の述語がマッチに失敗したら
   'exec' 節をスキップする. (訳注: other の前に if が抜けていると思われる)

 * ssh(1): if hostname canonicalisation is enabled and results in the
   destination hostname being changed, then re-parse ssh_config(5) files
   using the new destination hostname. This gives 'Host' and 'Match'
   directives that use the expanded hostname a chance to be applied.

   ssh(1): ホスト名の正規化が有効で接続先ホスト名が結果として変わる場合,
   新しい接続先ホスト名を使って ssh_config(5) ファイルを再度パースする.
   これにより, 正規化されたホスト名を用いている 'Host' と 'Match' 設定項目が
   適用されるようになる.

Bugfixes:

バグ修正:

 * ssh(1): avoid spurious "getsockname failed: Bad file descriptor" in
   ssh -W. bz#2200, debian#738692

   ssh(1): ssh -W での誤った "getsockname failed: Bad file descriptor"
   を回避する. bz#2200, debian#738692

 * sshd(8): allow the shutdown(2) syscall in seccomp-bpf and systrace
   sandbox modes, as it is reachable if the connection is terminated
   during the pre-auth phase.

   sshd(8): seccomp-bpf と systrace サンドボックスモードで shutdown(2)
   システムコールを許可する. 認証前のフェイズで接続が終了した場合に,
   このシステムコールが呼ばれることがあるので.

 * ssh(1), sshd(8): fix unsigned overflow that in SSH protocol 1 bignum
   parsing. Minimum key length checks render this bug unexploitable to
   compromise SSH 1 sessions.

   ssh(1), sshd(8): SSH プロトコル 1 の bignum のパース時の
   符号無し整数のオーバフローを修正する. 最小の鍵長のチェックにより
   このバグを使って SSH 1 のセッションを侵害するのに利用できない.

 * sshd_config(5): clarify behaviour of a keyword that appears in
   multiple matching Match blocks. bz#2184

   sshd_config(5): 複数マッチする Match ブロックがある キーワードの
   振舞いを明確にする. bz#2184

 * ssh(1): avoid unnecessary hostname lookups when canonicalisation is
   disabled. bz#2205

   ssh(1): 正規化が無効な場合に必要がないホスト名の検索を回避する.
   bz#2205

 * sshd(8): avoid sandbox violation crashes in GSSAPI code by caching
   the supported list of GSSAPI mechanism OIDs before entering the
   sandbox. bz#2107

   sshd(8): サポートしている GSSAPI メカニズムの OID のリストを
   サンドボックスに入る前にキャッシュすることによる
   GSSAPI コードでのサンドボックス違反のクラッシュを回避する.

 * ssh(1): fix possible crashes in SOCKS4 parsing caused by assumption
   that the SOCKS username is nul-terminated.

   ssh(1): SOCKS のユーザ名が nul で終端されていることを仮定している
   ために起こる SOCK4 のパースで発生する可能性のあるクラッシュを修正する.

 * ssh(1): fix regression for UsePrivilegedPort=yes when BindAddress is
   not specified.

   ssh(1): BindAddress が指定されていない場合の UsePrivilegedPort=yes の
   不具合を修正する.

 * ssh(1), sshd(8): fix memory leak in ECDSA signature verification.

   ssh(1), sshd(8): ECDSA 署名検証でのメモリリークを修正する.

 * ssh(1): fix matching of 'Host' directives in ssh_config(5) files
   to be case-sensitive again (regression in 6.5).

   ssh(1): ssh_config(5) ファイルでの 'Host' 設定項目のマッチを
   大文字小文字を区別するように再び修正する(6.5 での不具合).

Portable OpenSSH:

移植版 OpenSSH:

 * sshd(8): don't fatal if the FreeBSD Capsicum is offered by the
   system headers and libc but is not supported by the kernel.

   sshd(8): FreeBSD Capsicum がシステムのヘッダと libc で提供されていて
   kernel でサポートされていない場合に 致命的エラーにならないようにする.

 * Fix build using the HP-UX compiler.

   HP-UX コンパイラを用いた場合のビルドを修正する.

OpenSSH 6.5/6.5p1 がリリースされました.

2014/01/30, OpenSSH 6.5/6.5p1 がリリースされました.

http://openssh.org/txt/release-6.5

Changes since OpenSSH 6.4
=========================
OpenSSH 6.4 からの変更点

This is a feature-focused release.

機能に焦点を当てたリリースだ.

New features:

新機能:

 * ssh(1), sshd(8): Add support for key exchange using elliptic-curve
   Diffie Hellman in Daniel Bernstein's Curve25519. This key exchange
   method is the default when both the client and server support it.

   ssh(1), sshd(8): Daniel Bernstein の Curve25519 による
   楕円曲線 Diffee Hellman を用いた鍵交換のサポートを加える.

 * ssh(1), sshd(8): Add support for Ed25519 as a public key type.
   Ed25519 is a elliptic curve signature scheme that offers
   better security than ECDSA and DSA and good performance. It may be
   used for both user and host keys.

   ssh(1), sshd(8): 公開鍵のタイプとして Ed25519 のサポートを加える.
   Ed25519 は 楕円曲線の署名方式で, ECDSA と DSA よりもよいセキュリティを
   提供する. またパフォーマンスもよい. ユーザ鍵にもホスト鍵にも利用できる.

 * Add a new private key format that uses a bcrypt KDF to better
   protect keys at rest. This format is used unconditionally for
   Ed25519 keys, but may be requested when generating or saving
   existing keys of other types via the -o ssh-keygen(1) option.
   We intend to make the new format the default in the near future.
   Details of the new format are in the PROTOCOL.key file.

   (オフライン攻撃から)鍵をよりよく保護するために bcrypt KDF を用いる
   新しい鍵フォーマットを加える. この形式は無条件に Ed25519 鍵に用いられる.
   ただし, ssh-keygen(1) の -o オプションによって, 鍵の生成時や
   他のタイプの既存の鍵の保存で要求できる. 近い将来この新しい形式を
   デフォルトにするつもりだ. 新しいフォーマットの詳細は,
   PROTOCOL.key ファイルにある.

 * ssh(1), sshd(8): Add a new transport cipher
   "chacha20-poly1305@openssh.com" that combines Daniel Bernstein's
   ChaCha20 stream cipher and Poly1305 MAC to build an authenticated
   encryption mode. Details are in the PROTOCOL.chacha20poly1305 file.

   ssh(1), sshd(8): 新しいトランスポート暗号 "chacha20-poly1305@openssh.com"
   を加える.  認証された暗号モードを作成するために Daniel Bernstein の
   ChaCha20 ストリーム暗号とPoly1305 MAC を組合せたものだ.
   詳細は PROTOCOL.chacha20poly1305 ファイルにある.

 * ssh(1), sshd(8): Refuse RSA keys from old proprietary clients and
   servers that use the obsolete RSA+MD5 signature scheme. It will
   still be possible to connect with these clients/servers but only
   DSA keys will be accepted, and OpenSSH will refuse connection
   entirely in a future release.

   ssh(1), sshd(8): 時代遅れの RSA+MD5 署名方式を用いる古い
   プロプリエタリなクライアントとサーバからの RSA 鍵を拒否する.
   これらのクライアント/サーバとの接続はまだ可能だが, DSA 鍵のみが
   受けつけられる. また, OpenSSH は近い将来接続を完全に拒否するだろう.

 * ssh(1), sshd(8): Refuse old proprietary clients and servers that
   use a weaker key exchange hash calculation.

   ssh(1), sshd(8): より弱い鍵交換ハッシュ計算をする古いプロプリエタリ
   なクライアントとサーバを拒否する.

 * ssh(1): Increase the size of the Diffie-Hellman groups requested
   for each symmetric key size. New values from NIST Special
   Publication 800-57 with the upper limit specified by RFC4419.

   ssh(1): それぞれの対称鍵のサイズのために求められる
   複数の Diffee-Hellman 群のサイズを増やす.
   新しい値は NIST Special Publication 800-57 からの もので,
   RFC4419 で指定された上限がある.

 * ssh(1), ssh-agent(1): Support pkcs#11 tokes that only provide
   X.509 certs instead of raw public keys (requested as bz#1908).

   ssh(1), ssh-agent(1): 生の公開鍵の代わりに X.509 証明書を提供する
   場合にのみ pkcs#11 をサポートする (bz#1908 で依頼された).

 * ssh(1): Add a ssh_config(5) "Match" keyword that allows
   conditional configuration to be applied by matching on hostname,
   user and result of arbitrary commands.

   ssh(1): ssh_config(5) の "Match" キーワードで, ホスト名やユーザ
   任意のコマンドの結果のマッチによって適用される条件付き設定が
   可能になる.

 * ssh(1): Add support for client-side hostname canonicalisation
   using a set of DNS suffixes and rules in ssh_config(5). This
   allows unqualified names to be canonicalised to fully-qualified
   domain names to eliminate ambiguity when looking up keys in
   known_hosts or checking host certificate names.

   ssh(1): ssh_config(5) の DNS 拡張子の集合とルールを用いた
   クライアントサイドのホスト名正規化のサポートを加える.
   修飾されていない名前を 完全修飾パス名(FQDN)に正規化することで,
   known_hosts 中の鍵を検索する場合やホストの証明書名をチェックする際の
   あいまいさを除去する.

 * sftp-server(8): Add the ability to whitelist and/or blacklist sftp
   protocol requests by name.

   sftp-server(8): sftp プロトコル要求を名前でホワイトリスト化
   かつ/ないし ブラックリスト化する機能を加える.

 * sftp-server(8): Add a sftp "fsync@openssh.com" to support calling
   fsync(2) on an open file handle.

   sftp-server(8): open中のファイルハンドルに fsync(2) を呼び出すのを
   サポートする sftp の "fsync@openssh.com" を加える.

 * sshd(8): Add a ssh_config(5) PermitTTY to disallow TTY allocation,
   mirroring the longstanding no-pty authorized_keys option.

   sshd(8): TY の割り当てを 却下する PermitTTY を ssh_config(5) に 加える.
   昔からある no-pty authorized_keys のオプションの代わりになる.

 * ssh(1): Add a ssh_config ProxyUseFDPass option that supports the
   use of ProxyCommands that establish a connection and then pass a
   connected file descriptor back to ssh(1). This allows the
   ProxyCommand to exit rather than staying around to transfer data.

   ssh(1): ssh_config に ProxyUseFDPass 設定項目を加える.
   接続を確率し接続されたファイルデスクリプタを ssh(1) に戻す
   ProxyCommand の利用をサポートする.
   ProxyCommand が終了しても データの転送をし続けることが可能になる.

Bugfixes:

バグ修正:

 * ssh(1), sshd(8): Fix potential stack exhaustion caused by nested
   certificates.

   ssh(1), sshd(8): ネストされた証明書による 潜在的なスタック枯渇を
   修正.

 * ssh(1): bz#1211: make BindAddress work with UsePrivilegedPort.

   ssh(1): bz#1211: BindAddress が UsePrivilegedPort と共に動くようにする.

 * sftp(1): bz#2137: fix the progress meter for resumed transfer.

   sftp(1): bz#2137: 中断された転送でのプログレスメータを修正.

 * ssh-add(1): bz#2187: do not request smartcard PIN when removing
   keys from ssh-agent.

   ssh-add(1): bz#2187: ssh-agent から鍵を削除する際に スマートカードの
   PIN を要求しない.

 * sshd(8): bz#2139: fix re-exec fallback when original sshd binary
   cannot be executed.

   sshd(8): bz#2139: オリジナルの sshd バイナリが実行できない場合に
   再実行のフォールバックを修正.

 * ssh-keygen(1): Make relative-specified certificate expiry times
   relative to current time and not the validity start time.

   ssh-keygen(1): 相対指定された証明書の有効期限を 妥当性検証の開始時間
   ではなく 現在時刻に対応させる.

 * sshd(8): bz#2161: fix AuthorizedKeysCommand inside a Match block.

   sshd(8): bz#2161: Match ブロック中の AuthorizedKeysCommand を修正.

 * sftp(1): bz#2129: symlinking a file would incorrectly canonicalise
   the target path.

   sftp(1): bz#2129: ファイルのシンボリックリックが
   ターゲットパスの間違って正規化する.

 * ssh-agent(1): bz#2175: fix a use-after-free in the PKCS#11 agent
   helper executable.

   ssh-agent(1): bz#2175: PKCS#11 エージェントヘルパの実行での
   free後の利用を修正.

 * sshd(8): Improve logging of sessions to include the user name,
   remote host and port, the session type (shell, command, etc.) and
   allocated TTY (if any).

   sshd(8): ユーザ名やリモートホスト/ポート, セッションの種類
   (シェル, コマンド など), 割り当てられた TTY(あれば)を含む
   セッションのログ取得を改善する.

 * sshd(8): bz#1297: tell the client (via a debug message) when
   their preferred listen address has been overridden by the
   server's GatewayPorts setting.

   sshd(8): bz#1297: サーバの GatewayPorts の設定によって
   クライアントが好む listen アドレスが上書きされた場合に
   (デバッグメッセージで) クライアントに通知する.

 * sshd(8): bz#2162: include report port in bad protocol banner
   message.

   sshd(8): bz#2162: 不正なプロトコルバナーメッセージ中で
   ポートを報告するようにする.

 * sftp(1): bz#2163: fix memory leak in error path in do_readdir().

   sftp(1): bz#2163: do_readdir() でのエラーパスのメモリリークを修正.

 * sftp(1): bz#2171: don't leak file descriptor on error.

   sftp(1): bz#2171: エラー時にファイルデスクリプタをリークしない.

 * sshd(8): Include the local address and port in "Connection from
   ..." message (only shown at loglevel>=verbose)

   sshd(8): "Connection from .." メッセージで ローカルアドレスとポートも
   含める(loglevel>=verbose のときのみ表示)

Portable OpenSSH:

移植版 OpenSSH:

 * Please note that this is the last version of Portable OpenSSH that
   will support versions of OpenSSL prior to 0.9.6. Support (i.e.
   SSH_OLD_EVP) will be removed following the 6.5p1 release.

   注意: OpenSSL 0.9.6 より前のバージョンをサポートする最後の移植版
   OpenSSH になる. 6.5p1 以降のリリースでは サポート(SSH_OLD_EVP) は
   取り除かれる.

 * Portable OpenSSH will attempt compile and link as a Position
   Independent Executable on Linux, OS X and OpenBSD on recent gcc-
   like compilers. Other platforms and older/other compilers may
   request this using the --with-pie configure flag.

   移植版 OpenSSH は, Linux や OS X, OpenBSD で 最近の gcc のような
   コンパイラを利用している場合に, Position Independent Executable として
   コンパイルしリンクしようとする. 他のプラットフォームや
   より古い/他のコンパイラでは, --with-pie configure フラグを作って
   要求できるかもしれない.

 * A number of other toolchain-related hardening options are used
   automatically if available, including -ftrapv to abort on signed
   integer overflow and options to write-protect dynamic linking
   information.  The use of these options may be disabled using the
   --without-hardening configure flag.

   利用可能であれば, 多数の toolchain 関係の堅牢化オプションが
   自動的に利用される. 符号付き整数オーバーフローで停止する -ftrapv
   や ダイナミックリンク情報を書き込み保護するオプションが含まれる.
   --without-hardening configure フラグで これらのオプションの利用を
   無効にできる.

 * If the toolchain supports it, one of the -fstack-protector-strong,
   -fstack-protector-all or -fstack-protector compilation flag are
   used to add guards to mitigate attacks based on stack overflows.
   The use of these options may be disabled using the
   --without-stackprotect configure option.

   toolchain がサポートしているならば, -fstack-protector-strong ないし
   -fstack-protector-all, -fstack-protector コンパイルフラグのうちの
   1つが, スタックオーバーフローに基づく攻撃を緩和するガードを
   追加するのに利用される. 
   --without-stackprotect configure フラグで これらのオプションの利用を
   無効にできる.

 * sshd(8): Add support for pre-authentication sandboxing using the
   Capsicum API introduced in FreeBSD 10.

   sshd(8): FreeBSD 10 で導入された Capsicum API を利用する
   認証前サンドボックス化のサポートを追加.

 * Switch to a ChaCha20-based arc4random() PRNG for platforms that do
   not provide their own.

   PRNG を提供しないプラットホームで ChaCha20 ベースの arc4random() PRNG
   に切り替える.

 * sshd(8): bz#2156: restore Linux oom_adj setting when handling
   SIGHUP to maintain behaviour over retart.

   sshd(8): bz#2156: リスタート時に振舞いを保持するために
   SIGHUP の処理時に Linux の oom_adj 設定を復元する.

 * sshd(8): bz#2032: use local username in krb5_kuserok check rather
   than full client name which may be of form user@REALM.

   sshd(8): bz#2032: krb5_kuserok で user@REALM のような形式の完全な
   クライアント名ではなくローカルのユーザ名を用いる.

 * ssh(1), sshd(8): Test for both the presence of ECC NID numbers in
   OpenSSL and that they actually work. Fedora (at least) has
   NID_secp521r1 that doesn't work.

   ssh(1), sshd(8): OpenSSH の ECC NID ナンバーの存在とそれが実際に
   機能するかをテストする: (少なくとも) Fedora に動作しない
   NID_secp521r1 がある.

 * bz#2173: use pkg-config --libs to include correct -L location for
   libedit.

   bz#2173: libedit について 正しい -L の場所を含めるために pkg-config --libs
   を用いる.

2011/08/14 OpenSSH 5.9 がそろそろ出そう

2011/08/14 Call for testing: OpenSSH-5.9 が openssh-unix-dev に来ていた. Call for testing が来てから1月以上リリースにかかったこともあるのですぐにリリースが出るかはわからない. 今回の目玉は以下の2つのようだ.

その他は, OpenSSH 5.9p1 での変更点のまとめ(暫定版) に翻訳した.

QRコード
QRコード
  • ライブドアブログ