http://www.openssh.com/txt/release-4.2 Changes since OpenSSH 4.1: ============================ OpenSSH 4.1からの変更点 - SECURITY: Fix a bug introduced in OpenSSH 4.0 that caused GatewayPorts to be incorrectly activated for dynamic ("-D") port forwardings when no listen address was explicitly specified. セキュリティ: listenするアドレスを明示的に指定されない場合に ダイナミック ("-D") ポート転送に対して GatewayPorts が 不正に有効にされてしまう, OpenSSH 4.0 で導入されたバグを修正した. - SECURITY: sshd in OpenSSH versions prior to 4.2 allow GSSAPI credentials to be delegated to users who log in with methods other than GSSAPI authentication (e.g. public key) when the client requests it. This behaviour has been changed in OpenSSH 4.2 to only delegate credentials to users who authenticate using the GSSAPI method. This eliminates the risk of credentials being inadvertently exposed to an untrusted user/host (though users should not activate GSSAPIDelegateCredentials to begin with when the remote user or host is untrusted) セキュリティ: 4.2より前のOpenSSHの sshd は GSSAPI認証以外の認証法(例えば 公開鍵認証)でログインしたユーザに 対しても, クライアントが要求した際にGSSAPIの証明書を転送 させてしまう. この動作は, GSSAPIを用いて認証されたユーザにのみ 証明書を転送するように OpenSSH 4.2で修正された. これは, 信用されていないユーザやホストに対して うっかり証明書を 暴露してしまう危険を除く (しかし, リモートのユーザやホストが信用 されない場合に, GSSAPIDelegateCredentials を有効にして接続を開始 するべきではない). - Added a new compression method that delays the start of zlib compression until the user has been authenticated successfully. The new method ("Compression delayed") is on by default in the server. This eliminates the risk of any zlib vulnerability leading to a compromise of the server from unauthenticated users. zlib圧縮の開始をユーザの認証が成功するまで遅らせる新しい圧縮法を 追加した. この新しい方法 ("Compression delayed") は, サーバで デフォルトで有効である. これは, 認証されていないユーザが サーバを攻撃することを許すzlibの脆弱性による危険を除く. NB. Older OpenSSH (<3.5) versions have a bug that will cause them to refuse to connect to any server that does not offer compression when the client has compression requested. Since the new "delayed" server mode isn't supported by these older clients, they will refuse to connect to a new server unless compression is disabled (on the client end) or the original compression method is enabled on the server ("Compression yes" in sshd_config) 注意: (3.5)より古いOpenSSHのバージョンのクライアントには, 圧縮を要求された時に圧縮を提供しないサーバへの接続を 拒否してしまうバグが存在する. 新しい "delayed" サーバモードは, これらの古いクライアントをサポートしない. クライアント側で 圧縮を無効にするか, サーバ側で元々の圧縮法を有効にする (sshd_config で "Compression yes") かしないと, 古いクライアントは新しいサーバへの接続を拒否する. - Another round of proactive changes for signed vs unsigned integer bugs has been completed, including changing the atomicio() API to encourage safer programming. This work is ongoing. 符号付き整数と符号無し整数があることに起因する バグに対する積極的な変更の再実施が完了した. これには より安全なプログラミングを奨励する atomicio() API の変更が含まれている. この作業は進行中である. - Added support for the improved arcfour cipher modes from draft-harris-ssh-arcfour-fixes-02. The improves the cipher's resistance to a number of attacks by discarding early keystream output. draft-harris-ssh-arcfour-fixes-02による改善された arcfour 暗号モードの サポートが追加された. 初期の鍵ストリームの出力を捨てることで, 多くの攻撃 に対する暗号の体制が改善される. - Increase the default size of new RSA/DSA keys generated by ssh-keygen from 1024 to 2048 bits. ssh-keygenで生成される新しいRSA/DSA鍵のデフォルトのサイズが 1024bitから2048bitに増やされた. - Many bugfixes and improvements to connection multiplexing, including: 接続の多重化に対するたくさんのバグ修正と改善. 以下が含まれている: - Added ControlMaster=auto/autoask options to support opportunistic multiplexing (see the ssh_config(5) manpage for details). 日和見的な多重化のサポートのための ControlMaster=auto/autoask が追加された (詳細は ssh_config(5) の man) - The client will now gracefully fallback to starting a new TCP connection if it cannot connect to a specified multiplexing control socket クライアントが 指定された多重化コントロールソケットに接続できなかったときに 新しいTCP接続を開始するフォールバックを素直にするようになった. - Added %h (target hostname), %p (target port) and %r (remote username) expansion sequences to ControlPath. Also allow ControlPath=none to disable connection multiplexing. ControlPath に %h (ターゲットのホスト) %p (ターゲットのポート) %r (リモートユーザネーム) の表現が追加された. また, 接続の多重化 を無効にする ControlPath=none も許されるようになった. - Implemented support for X11 and agent forwarding over multiplexed connections. Because of protocol limitations, the slave connections inherit the master's DISPLAY and SSH_AUTH_SOCK rather than distinctly forwarding their own. 多重化された接続の上でのX11とエージェントの転送のサポートが実装された, プロトコルの制約から, スレーブの接続は, それ自体が明示的に転送する DISPLAY と SSH_AUTH_SOCK よりも, マスターのものを継承する. - Portable OpenSSH: Added support for long passwords (> 8-char) on UnixWare 7. 移植版 OpenSSH: UnixWare 7での(8文字より)長いパスワードに対するサポートが 追加された. - The following bugs from http://bugzilla.mindrot.org/ were closed: http://bugzilla.mindrot.org/ からの次のバグが閉じられた. #471 - Misleading error message if /dev/tty perms wrong #623 - Don't use $HOME in manpages #829 - Don't allocate a tty if -n option is set #1025 - Correctly handle disabled special character in ttymodes #1033 - Fix compile-time warnings #1046 - AIX 5.3 Garbage on Login #1054 - Don't terminate connection on getpeername() failure #1076 - GSSAPIDelegateCredentials issue mentioned above #471 - /dev/ttyのパーミッションがおかしいときに, エラーメッセージが誤解を生む #623 - man で $HOME を使わない #829 - -n オプションが設定されているときに ttyを確保しない #1025 - ttymode で無効にされた特別な文字を正しく処理する #1033 - コンパイル時の警告の修正 #1046 - AIX 5.3 でのログイン時のゴミ #1054 - getpeername()の失敗で接続が終了させない #1076 - 上記の GSSAPIDelegateCredentials 問題 - Lots of other improvements and fixes. Please refer to the ChangeLog for details 他にもたくさんの改善と修正がある. 詳細は ChangeLog を参照せよ.