Changes since OpenSSH 5.1
=========================

OpenSSH 5.1 からの変更点

Security:

セキュリティ:

 * This release changes the default cipher order to prefer the AES CTR
   modes and the revised "arcfour256" mode to CBC mode ciphers that are
   susceptible to CPNI-957037 "Plaintext Recovery Attack Against SSH".

   このリリースでは, 暗号を利用する順番のデフォルトにおいて,
   CBC モードを使う暗号よりも AES CTR モードと 修正された "arcfour256" 
   モードが優先されるように変更した.
   CBCモードを使う暗号が,  CPNI-957037 
   "Plaintext Recovery Attack Against SSH" に脆弱だからだ.

 * This release also adds countermeasures to mitigate CPNI-957037-style
   attacks against the SSH protocol's use of CBC-mode ciphers. Upon
   detection of an invalid packet length or Message Authentication
   Code, ssh/sshd will continue reading up to the maximum supported
   packet length rather than immediately terminating the connection.
   This eliminates most of the known differences in behaviour that
   leaked information about the plaintext of injected data which formed
   the basis of this attack. We believe that these attacks are rendered
   infeasible by these changes.

   このリリースでは, CBC モードの暗号をSSH プロトコルで利用する際の
   CPNI-957037 スタイルの攻撃を和らげる対抗策も追加した.
   不正なパケット長やMACを検出すると, ssh/sshd は, 接続をすぐに終了させずに
   サポートしている最大のパケット長まで読み込みを継続する. これにより,
   この攻撃の基礎となっている, 挿入されたデータの平文の情報を漏洩する振舞い
   の違いのほとんどを取り除くことができる. 変更によりこの攻撃は
   実行不能になったと思われる.

New features:

新機能:

 * Added a -y option to ssh(1) to force logging to syslog rather than
   stderr, which is useful when running daemonised (ssh -f)

   ssh(1) に -y オプションを追加した. これは, stderr ではなく syslog への
   ロギングを強制する. デーモン化して(ssh -f)実行する際に有用だ.

 * The sshd_config(5) ForceCommand directive now accepts commandline
   arguments for the internal-sftp server.

   sshd_config(5) の ForceCommand 設定項目が internal-sftp サーバのために
   コマンドライン引数を取れるようになった.

 * The ssh(1) ~C escape commandline now support runtime creation of
   dynamic (-D) port forwards.

   ssh(1) ~C エスケープコマンドラインが, ダイナミックな (-D) ポート転送を
   実行時に作成するのをサポートするようになった.

 * Support the SOCKS4A protocol in ssh(1) dynamic (-D) forwards.
   (bz#1482)

   ssh(1)の ダイナミック (-D) 転送で SOCKS4Aプロトコルをサポートするようになった.
   (bz#1482)

 * Support remote port forwarding with a listen port of '0'. This
   informs the server that it should dynamically allocate a listen
   port and report it back to the client. (bz#1003)

   listenするポートが '0' での リモートなポート転送をサポートするようになった.
   これは, listenするポートを動的に割り当てる必要がありクライアントに
   割り当てたポートを報告しなければならないことをサーバに知らせる.

 * sshd(8) now supports setting PermitEmptyPasswords and
   AllowAgentForwarding in Match blocks

   sshd(8) は, Match ブロックでの PermitEmptyPasswords と AllowAgentForwarding
   の設定をサポートするようになった.

Bug and documentation fixes

バグと文書の修正

 * Repair a ssh(1) crash introduced in openssh-5.1 when the client is
   sent a zero-length banner (bz#1496)

   openssh-5.1で導入された, クライアントが 長さ0のバナーを送ると ssh(1)
   がクラッシュする問題を修正した.

 * Due to interoperability problems with certain
   broken SSH implementations, the eow@openssh.com and
   no-more-sessions@openssh.com protocol extensions are now only sent
   to peers that identify themselves as OpenSSH.

   壊れたSSH実装との相互運用性の問題のために, eow@openssh.com と
   no-more-sessions@openssh.com プロトコル拡張は, OpenSSH と認識された
   相手にだけ送られるようになった.

 * Make ssh(1) send the correct channel number for
   SSH2_MSG_CHANNEL_SUCCESS and SSH2_MSG_CHANNEL_FAILURE messages to
   avoid triggering 'Non-public channel' error messages on sshd(8) in
   openssh-5.1.

   openssh-5.1 での sshd(8) が 'Non-public channel' エラーメッセージを
   表示するのを避けるために, SSH2_MSG_CHANNEL_SUCCESS と SSH2_MSG_CHANNEL_FAILURE
   メッセージを正しいチャンネル番号で送るように ssh(1) を変更した.

 * Avoid printing 'Non-public channel' warnings in sshd(8), since the
   ssh(1) has sent incorrect channel numbers since ~2004 (this reverts
   a behaviour introduced in openssh-5.1).

   sshd(8) の 'Non-public channel' 警告の表示を廃止した. 
   ssh(1) は 2004 年ごろから不正なチャンネル番号を送っていたからだ.
   (これは, openssh-5.1 で導入された振舞いを元に戻す)

 * Avoid double-free in ssh(1) ~C escape -L handler (bz#1539)

   ssh(1) の ~C エスケープ での -L ハンドラでの二重free を修正した.
   (bz#1539)

 * Correct fail-on-error behaviour in sftp(1) batchmode for remote
   stat operations. (bz#1541)

   sftp(1) の バッチモードで リモートの stat 操作の際の
   エラー時の終了の振舞いを修正した.
   (bz#1541)

 * Disable nonfunctional ssh(1) ~C escape handler in multiplex slave
   connections. (bz#1543)

   多重化されたスレーブの接続で, 機能しないssh(1) の 
   ~C エスケープハンドラを無効にした.

 * Avoid hang in ssh(1) when attempting to connect to a server that
   has MaxSessions=0 set.

   MaxSessions=0 が設定されたサーバと接続しようとすると ssh(1) が
   ハングしていたのを修正した.

 * Multiple fixes to sshd(8) configuration test (-T) mode

   sshd(8) の 設定テスト (-T) モード に対する複数の修正をした.

 * Several core and portable OpenSSH bugs fixed: 1380, 1412, 1418,
   1419, 1421, 1490, 1491, 1492, 1514, 1515, 1518, 1520, 1538, 1540

   コアと移植版OpenSSHに対する多数のバグの修正をした.

 * Many manual page improvements.

   多くのマニュアルページが改善した.