http://www.openssh.org/txt/release-5.7 Changes since OpenSSH 5.6 ========================= Features: * Implement Elliptic Curve Cryptography modes for key exchange (ECDH) and host/user keys (ECDSA) as specified by RFC5656. ECDH and ECDSA offer better performance than plain DH and DSA at the same equivalent symmetric key length, as well as much shorter keys. RFC5656 で規定されている楕円曲線暗号モードを 鍵交換(ECDH)とホスト/ユーザ鍵(ECDSA)に実装した. ECDH と ECDSA は, 同等の(共通鍵の長さの)鍵の強度において, 生のDHとDSAよりもより良いパフォーマンスをより短い鍵で提供する. Only the mandatory sections of RFC5656 are implemented, specifically the three REQUIRED curves nistp256, nistp384 and nistp521 and only ECDH and ECDSA. Point compression (optional in RFC5656) is NOT implemented. RFC5656 の必須の節のみ実装されている. 具体的には, 3つの必須の曲線 nistp256, nistp384, nistp521 と ECDH, ECDSAのみだ. (RFC5656 で 選択可能な) Point compression は実装されていない. Certificate host and user keys using the new ECDSA key types are supported - an ECDSA key may be certified, and an ECDSA key may act as a CA to sign certificates. 新しい ECDSA 鍵を用いる ホスト/ユーザ鍵の認証もサポートされる. ECDSA 鍵は認証されているかもしれない. ECDSA 鍵が 証明書に署名する CAとしてふるまうかもしれない. ECDH in a 256 bit curve field is the preferred key agreement algorithm when both the client and server support it. ECDSA host keys are preferred when learning a host's keys for the first time, or can be learned using ssh-keyscan(1). 256 bit の曲線場での ECDH は, クライアントとサーバ双方がサポートするなら, 優先の鍵同意アルゴリズムだ. ホスト鍵を最初に学習する場合, もしくは ssh-keyscan(1)を用いて学習する場合に, ECDSA ホスト鍵は優先される. * sftp(1)/sftp-server(8): add a protocol extension to support a hard link operation. It is available through the "ln" command in the client. The old "ln" behaviour of creating a symlink is available using its "-s" option or through the preexisting "symlink" command sftp(1)/sftp-server(8): ハードリンク操作をサポートするプロトコル拡張 を追加. クライアントでの "ln" コマンドで利用可能だ. シンボリックリンク を作成する "ln" の古い振舞いは, "ln" の "-s" オプションを使うか もともと存在する "symlink" コマンドで利用可能だ. * scp(1): Add a new -3 option to scp: Copies between two remote hosts are transferred through the local host. Without this option the data is copied directly between the two remote hosts. scp(1): 新しい -3 オプションを追加. ローカルホストを通じて 2つのリモートホスト巻でのコピーを転送する. このオプションなしでは, データのコピーは2つのリモートホスト間で直接行なわれる. * ssh(1): automatically order the hostkeys requested by the client based on which hostkeys are already recorded in known_hosts. This avoids hostkey warnings when connecting to servers with new ECDSA keys, since these are now preferred when learning hostkeys for the first time. ssh(1): ホスト鍵がすでに known_hosts に登録されている際に, クライアントは自動的に登録に基づいてホスト鍵を要求する. これは, 新しいECDSA鍵を持つサーバに接続する際に ホスト鍵の警告を 避ける. ECDSA鍵は, 初回にホスト鍵を学習する場合に優先されるからだ. * ssh(1)/sshd(8): add a new IPQoS option to specify arbitrary TOS/DSCP/QoS values instead of hardcoding lowdelay/throughput. bz#1733 ssh(1)/sshd(8): ハードコーディングされた lowdelay/throughput のかわりに 任意の TOS/DSCP/QoS の値を指定できる 新しい IPQoS オプションを追加 bz#1733 * sftp(1): the sftp client is now significantly faster at performing directory listings, using OpenBSD glob(3) extensions to preserve the results of stat(3) operations performed in the course of its execution rather than performing expensive round trips to fetch them again afterwards. sftp(1): sftp クライアントは非常に早くなった. もう一度stat(3)の結果を取得するためにコストの高い往復処理を する代りに, 操作中に実行されている stat(3) 操作の結果を保持する OpenBSDのglob(3)拡張を用いたことによる. * ssh(1): "atomically" create the listening mux socket by binding it on a temporary name and then linking it into position after listen() has succeeded. This allows the mux clients to determine that the server socket is either ready or stale without races. stale server sockets are now automatically removed. (also fixes bz#1711) ssh1(1): "自動的に" 一時的な名前でそれをbindする listening mux (多重接続) ソケットを作成し, listen()が成功したら それをリンクするようになった. これは, mux のクライアントが 競合状態なしにサーバソケットが 準備されているか新鮮でないかを知ることができる. 新鮮でない サーバソケットは自動的に削除される. (bz#1711 も修正された) * ssh(1)/sshd(8): add a KexAlgorithms knob to the client and server configuration to allow selection of which key exchange methods are used by ssh(1) and sshd(8) and their order of preference. ssh(1)/sshd(8): KexAlgorithms 設定項目を追加した. クライアントとサーバ の設定で, ssh(1)とsshd(8)で利用される鍵交換法とその優先順位を 設定することができる. * sftp(1)/scp(1): factor out bandwidth limiting code from scp(1) into a generic bandwidth limiter that can be attached using the atomicio callback mechanism and use it to add a bandwidth limit option to sftp(1). bz#1147 sftp(1)/scp(1): scp(1)から帯域制限コードを, atomicio コールバックメカニズムを用いて付加できる 一般的な帯域制御コードとして抜きだした. そしてこのコードを sftp(1)に 帯域制御オプションを追加するために用いた. bz#1147 BugFixes: * ssh(1)/ssh-agent(1): honour $TMPDIR for client xauth and ssh-agent temporary directories. bz#1809 クライアントのxauthとssh-agentの一時ディレクトリとして $TMPDIRを 尊重するようにした. bz#1809 * ssh(1): avoid NULL deref on receiving a channel request on an unknown or invalid channel; bz#1842 ssh1(1); 不明もしくは無効なチャンネルでチャンネル要求を受けた場合の NULL 逆参照を避けた; bz#1842 * sshd(8): remove a debug() that pollutes stderr on client connecting to a server in debug mode; bz#1719 sshd(8): デバッグモードのサーバに繋ぐとクライアントの標準エラー出力を 汚染する debug() を除いた; bz#1719. * scp(1): pass through ssh command-line flags and options when doing remote-remote transfers, e.g. to enable agent forwarding which is particularly useful in this case; bz#1837 scp(1): リモート-リモート転送時に, sshのコマンドラインフラグと オプションを透過するようにした. 例えば, この場合に特に有効な エージェント転送が有効になった. * sftp-server(8): umask should be parsed as octal sftp-server(8): umaskは必ず8進でパースする * sftp(1): escape '[' in filename tab-completion sftp(1): ファイル名のタブ補完で '[' をエスケープする * ssh(1): Typo in confirmation message. bz#1827 ssh(1): 確認メッセージでの typo. bz#1827 * sshd(8): prevent free() of string in .rodata when overriding AuthorizedKeys in a Match block sshd(8): Matchブロックで AuthorizedKeys が上書きされている場合に .rodata の文字列を free() するのを防いだ. * sshd(8): Use default shell /bin/sh if $SHELL is "" sshd(8): $SHELLが""の場合に デフォルトシェル /bin/sh を利用 * ssh(1): kill proxy command on fatal() (we already killed it on clean exit); ssh(1): fatal()時に proxyコマンドをkill (すでに clean exitの際にkillしている); * ssh(1): install a SIGCHLD handler to reap expiried child process; bz#1812 ssh(1): 失効した子プロセスを知るために SIGCHLD ハンドラを導入 * Support building against openssl-1.0.0a openssl-1.0.0aでのビルドをサポート Portable OpenSSH Bugfixes: * Use mandoc as preferred manpage formatter if it is present, followed by nroff and groff respectively. mandoc があれば優先のマニュアルフォーマッタとして用いる. nroff, groff が続く. * sshd(8): Relax permission requirement on btmp logs to allow group read/write sshd(8): グループのread/write を許可するために btmp ログのパーミッション制限を緩和した. * bz#1840: fix warning when configuring --with-ssl-engine bz#1840: --with-ssl-engine での設定時の警告を修正 * sshd(8): Use correct uid_t/pid_t types instead of int. bz#1817 sshd(8): intのかわりに正しい uid_t/pid_t タイプを用いた. bz#1817 * sshd(8): bz#1824: Add Solaris Project support. sshd(8): bz#1824: Solaris Project のサポートを追加 * sshd(8): Check is_selinux_enabled for exact return code since it can apparently return -1 under some conditions. sshd(8): ある状況下では return codeとして -1 を返す場合があるため, is_selinux_enabledを正しい return code のためにチェックする