http://www.openssh.org/txt/release-4.9 Security: セキュリティ: * Disable execution of ~/.ssh/rc for sessions where a command has been forced by the sshd_config ForceCommand directive. Users who had write access to this file could use it to execute abritrary commands. This behaviour was documented, but was an unsafe default and an extra hassle for administrators. sshd_config の ForceCommand 設定項目でコマンドが強制されている セッションでは, ~/.ssh/rc の実行を無効にした. このファイルに書き込み権限 があったユーザは, 任意のコマンドを実行できた. この振舞いはドキュメントに 記載されていたが, 安全ではないデフォルト設定で管理者にとって余計な 厄介事になっていた. New features: * Added chroot(2) support for sshd(8), controlled by a new option "ChrootDirectory". Please refer to sshd_config(5) for details, and please use this feature carefully. (bz#177 bz#1352) sshd(8) に chroot(2) サポートが追加された. 新しい設定項目 ChrootDirectory で制御できる. 詳しくは sshd_config(5) を参照. また, この機能は注意深く使うこと. (bz#177 bz#1352) * Linked sftp-server(8) into sshd(8). The internal sftp server is used when the command "internal-sftp" is specified in a Subsystem or ForceCommand declaration. When used with ChrootDirectory, the internal sftp server requires no special configuration of files inside the chroot environment. Please refer to sshd_config(5) for more information. sftp-server(8) が sshd(8) にリンクされた. Subsystem ないし ForceCommand 設定項目で, "internal-sftp" が指定された場合に 内部 sftp サーバが利用される. ChrootDirectoryを使う場合に 内部sftpサーバを使うと, chroot 環境内に特別な設定が不要になる. 詳しくは sshd_config(5) を参照. * Added a "no-user-rc" option for authorized_keys to disable execution of ~/.ssh/rc ~/.ssh/rcの実行を無効にする authorized_keys のオプション "no-user-rc" を追加した. * Added a protocol extension method "posix-rename@openssh.com" for sftp-server(8) to perform POSIX atomic rename() operations. (bz#1400) sftp-server(8)に, POSIXのアトミックな rename() を操作を行なう "posix-rename@openssh.com" プロトコル拡張メソッドを追加した. (bz#1400) * Removed the fixed limit of 100 file handles in sftp-server(8). The server will now dynamically allocate handles up to the number of available file descriptors. (bz#1397) sftp-server(8) にあった, ファイルハンドルの固定された制限(100)を 除いた. 今では, サーバは, 利用可能なファイルディスクリプタ数まで ハンドルを動的に割当てる. (bz#1397) * ssh(8) will now skip generation of SSH protocol 1 ephemeral server keys when in inetd mode and protocol 2 connections are negotiated. This speeds up protocol 2 connections to inetd-mode servers that also allow Protocol 1 (bz#440) ssh(8)は, inetd モードでかつプロトコル 2の接続が結ばれた場合に SSH プロトコル1の一時的サーバ鍵の生成をスキップするようになった. これにより, プロトコル 1を許可しているinetd モードのサーバへの プロトコル2の接続のスピードが上がる. (bz#440) * Accept the PermitRootLogin directive in a sshd_config(5) Match block. Allows for, e.g. permitting root only from the local network. PermitRootLogin 設定項目が sshd_config(5)の Match ブロックを 受け入れるようになった. たとえば, ローカルなネットワークからのみ root での接続を許すようにできる. * Reworked sftp(1) argument splitting and escaping to be more internally consistent (i.e. between sftp commands) and more consistent with sh(1). Please note that this will change the interpretation of some quoted strings, especially those with embedded backslash escape sequences. (bz#778) sftp(1)の引数の分割とエスケープを作り直して, より内部的に一貫するように (つまり, sftp のコマンド間で一貫するように), またより sh(1)と矛盾しないようにした. これにより, クオートされた文字列の 解釈が変っていることに注意. 特に, バックスラッシュによる エスケープシーケンスが埋めこまれている場合に変わっている. (bz#778) * Support "Banner=none" in sshd_config(5) to disable sending of a pre-login banner (e.g. in a Match block). sshd_config(5) で ログイン前のバナーを送らないようにする "Banner=none" をサポートする. (例えば, Match ブロックで利用する) * ssh(1) ProxyCommands are now executed with $SHELL rather than /bin/sh. ssh(1) の ProxyCommand は, /bin/sh よりも $SHELL を優先して 実行されるようになった. * ssh(1)'s ConnectTimeout option is now applied to both the TCP connection and the SSH banner exchange (previously it just covered the TCP connection). This allows callers of ssh(1) to better detect and deal with stuck servers that accept a TCP connection but don't progress the protocol, and also makes ConnectTimeout useful for connections via a ProxyCommand. ssh(1) の ConnectTimeout 設定項目が, TCPの接続と (以前はTCPの接続でカバーされていた) SSH のバナーの交換の両方に 適用されるようになった. ,ssh(1) を呼出す側が, TCPの接続を受け入れるがプロトコルを進めないスタックしたサーバ をより良く検知し扱えるようになった. また, ProxyCommand を利用した 接続で ConnectTimeout が利用できるようになった. * Many new regression tests, including interop tests against PuTTY's plink. 新しい回帰テストを追加した. PuTTY の plink に対する相互運用性のテストも 含まれている. * Support BSM auditing on Mac OS X Mac OS X での BSM 監査をサポートする. The following bugs have been fixed in this release: 次のバグがこのリリースで修正された. - scp(1) incorrectly reported "stalled" on slow copies. (bz#799) scp(1) がコピーが遅い場合に不正に "stalled" を報告する. (bz#779) - scp(1) date underflow for timestamps before epoch. (bz#828) scp(1)の時間が, epoch (00:00:00 UTC on January 1, 1970.) よりも 前のタイムスタンプに対してアンダフローする. - scp(1) and sftp(1) progressmeter type fixes. (bz#842) scp(1) と sftp(1)のプログレスメータの型を修正した. (bz#842) - SSH2_MSG_UNIMPLEMENTED packets did not correctly reset the client keepalive logic, causing disconnections on servers that did not explicitly implement "keepalive@openssh.com". (bz#1307) SSH2_MSG_UNIMPLEMENTED がクライアントのKeepAliveのロジックを正しく リセットしない. これは, "keepalive@openssh.com" を明示的に実装していない サーバに対して切断を起こす. (bz#1307) - ssh(1) used the obsolete SIG DNS RRtype for host keys in DNS, instead of the current standard RRSIG. (bz#1317) ssh(1)が, DNSのホスト鍵のために現在の標準の RRSIG のかわりに 廃れた仕様である SIG DNS RRtype を 利用している. (bz#1317) - Extract magic buffer size constants in scp(1) to #defines. (bz#1333) (いろいろな箇所で定義していた) scp(1) マジックバッファのサイズの定数を #define で定義するように抽出した. (bz#1333) - Correctly drain ACKs when a sftp(1) upload write fails midway, avoids a fatal() exit from what should be a recoverable condition. (bz#1354) sftp(1)のアップロードが途中で失敗したときに, ACKを正しくし, 復帰可能であるべき状態の場合に fatal() でのexit() を避けるようにした. - Avoid pointer arithmetic and strict aliasing warnings. (bz#1355) ポインタ演算とstrict-aliasingの警告を除いた. (bz#1355) - Fixed packet size advertisements. Previously TCP and agent forwarding incorrectly advertised the channel window size as the packet size, causing fatal errors under some conditions. (bz#1360) パケットサイズの通知を修正した. 以前は, TCPとエージェントの転送で, チャンネルのwindowのサイズをパケットサイズとして不正な通知をしていた. このため, いくつかの状況で致命的なエラーが起きていた. (bz#1360) - Document KbdInteractiveAuthentication in sshd_config(5). (bz#1367) sshd_config(5)に KbdInteractiveAuthentication 設定項目の 説明を追加した. (bz#1367) - Fixed sftp(1) file handle leak on download when the local file could not be opened. (bz#1375) sftp(1)で, ダルンロードの際ローカルファイルが開けなかったときに ファイルハンドルのリークが起きていたのを修正した. - Fixed ssh-keygen(1) selective host key hashing (i.e. "ssh-keygen -HF hostname") to not include any IP address in the data to be hashed. (bz#1376) ssh-keygen(1)の選択的なホスト鍵のハッシュ (すなわち "ssh-keygen -HF hostname) が, ハッシュされたデータに IPアドレスを含まないのを修正した. - Fix clobbering of struct passwd from multiple getpwid calls, resulting in fatal errors inside tilde_expand_filename. (bz#1377) 複数の getpwid の呼出して passwd 構造体が上書きされるのを修正した. tilde_expand_filename の中で fatal error となることがあった. (bz#1377) - Fix parsing of port-forwarding specifications to correctly detect errors in either specified port number. (bz#1378) ポート転送の指定のパースで, どちらかのポート番号にエラーがある場合に 正しく検出されるように修正した. (bz#1378) - Fix memory leak in ssh(1) ~ escape commandline handling. (bz#1379) ssh(1) の エスケープ文字(デフォルトは '~')の処理でメモリリークしていたの のを修正した. (bz#1379) - Make ssh(1) skip listening on the IPv6 wildcard address when a binding address of 0.0.0.0 is used against an old SSH server that does not support the RFC4254 syntax for wildcard bind addresses. (bz#1381) ワイルドカードな束縛アドレスについての RFC4254のシンタックスを サポートしない古い SSH サーバに対して, 0.0.0.0 の束縛アドレスの 指定がされたときに, ssh(1)がIPv6のワイルドカードアドレスでの listen を スキップするようにした, - Remove extra backslashes in the RB_PROTOTYPE macro definition. (bz#1385) RB_PROTOTYPE マクロの定義で余計なバックスラッシュを除いた. (bz#1385) - Support ssh(1) RekeyLimits up to the maximum allowed by the protocol: 2**32-1. (bz#1390) ssh(1) の RekeyLimits でプロトコルが許可する最大値である 2**32-1 までサポートするようにした. - Enable IPV6_V6ONLY socket option on sshd(8) listen socket, as is already done for X11/TCP forwarding sockets. (bz#1392) IPV6_V6ONLY ソケットオプションを sshd(8)の listenするソケットで 有効にした. すでに, X11/TCPで転送のソケットでは有効になっていた. (bz#1392) - Fix FD leak that could hang a ssh(1) connection multiplexing master. (bz#1398) ssh(1)の接続多重化マスタをハングさせることがある ファイルディスクリプタのリークを修正した. (bz#1398) - Improve error messages when hostname resolution fails due to a system error. (bz#1417) システムエラーによるホスト名解決の失敗時のエラーメッセージを改善した. (bz#1417) - Make ssh(1) -q option documentation consistent with reality. (bz#1427 bz#1429) ssh(1) -q オプションのドキュメントを現実と一致させた. (bz#1427 bz#1429) Portable OpenSSH bugs fixed: 移植版OpenSSHで修正されたバグ: - Fixed sshd(8) PAM support not calling pam_session_close(), or failing to call it with root privileges. (bz#926) sshd(8)のPAMのサポートで, pam_session_close()が呼ばれていなかったのと, root権限で pam_session_close()の呼出しに失敗するのを修正した. (bz#926) - Made sshd(8) use configuration-specified SyslogFacility for hosts_access(3) messages for denied connections. (bz#1042) sshd(8)で, 拒否された接続についての hosts_access(3) のメッセージについて, 設定で定義された SyslogFacility を用いるようにした. (bz#1042) - Implement getgrouplist(3) for AIX, enabling NSS LDAP to work on this platform. (bz#1081) AIXでNSS LDAPの動作を有効にするため,getgrouplist(3)を実装した. - Fix compilation errors on AIX due to misdefinition of LLONG_MAX. (bz#1347) LLONG_MAX の間違った定義のために AIXでコンパイルエラーが出ていたのを 修正した. (bz#1347) - Force use of local glob(3) implementation on Mac OS X and FreeBSD, as the platform versions lack features or have unexpected behaviour. (bz#1407) Max OS X と FreeBSD でローカルな glob(3)実装を強制的に用いるようにした. OSのバージョンは, 機能が欠けていたりおかしな振舞いをするためだ. (bz#1407) - Reduce stdout/stderr noise from ssh-copy-id. (bz#1431) ssh-copy-id からの stdout/stderr へのノイズを消した. (bz#1431) - Fix activation of OpenSSL engine support when requested in configure. (bz#1437) configure で指定された際にOpenSSL エンジンのサポートの有効化に 問題があったのを修正した. (bz#1437)