http://www.openssh.com/txt/release-6.9 Future Deprecation Notice ========================= 将来廃止予定の機能の注意 The 7.0 release of OpenSSH, due for release in late July, will deprecate several features, some of which may affect compatibility or existing configurations. The intended changes are as follows: 7月後半にリリース予定の OpenSSH 7.0 では, いくつかの機能が 廃止される. いくつかは互換性や既存の設定に影響する. 予定している変更は以下の通り: * The default for the sshd_config(5) PermitRootLogin option will change from "yes" to "no". sshd_config(5) の PermitRootLogin 設定項目のデフォルトが "yes" から "no" に変わる. * Support for the legacy version 1.x of the SSH protocol will be disabled at compile time by default. レガシーなSSH プロトコル 1.x のサポートが, デフォルトで コンパイル時に無効になる. * Support for the 1024-bit diffie-hellman-group1-sha1 key exchange will be run-time disabled by default. 1024 ビットの diffie-hellman-group1-sha1 鍵交換法のサポートが デフォルトでランタイム時で無効になる. * Support for ssh-dss, ssh-dss-cert-* host and user keys will be run-time disabled by default. ssh-dss, ssh-dss-cert-* ホスト/ユーザ鍵のサポートが デフォルトでランタイム時に無効になる. * Support for the legacy v00 cert format will be removed レガシーな v00 証明書形式のサポートが除去される * Several ciphers will be disabled by default: blowfish-cbc, cast128-cbc, all arcfour variants and the rijndael-cbc aliases for AES いくつかの暗号がデフォルトで無効になる: blowfish-cbc, cast128-cbc, arcfour のすべての種類, AES の rijndael-cbc エイリアス. 訳注: 残るのは 3des-cbc, aes*-ctr aes*-gcm@openssh.com, chacha20-* の模様 * Refusing all RSA keys smaller than 1024 bits (the current minimum is 768 bits) 1024 ビットよりも小さい全ての RSA 鍵を拒否する (現在の最小値は 768ビット) This list reflects our current intentions, but please check the final release notes for OpenSSH 7.0 when it is released. このリストは我々の現在の意図を反映している. リリース時に OpenSSH 7.0の 最終的なリリースノートを確認してほしい. Changes since OpenSSH 6.8 ========================= OpenSSH 6.8 からの変更点 This is primarily a bugfix release. 主にバグ修正のリリースだ Security -------- セキュリティ * ssh(1): when forwarding X11 connections with ForwardX11Trusted=no, connections made after ForwardX11Timeout expired could be permitted and no longer subject to XSECURITY restrictions because of an ineffective timeout check in ssh(1) coupled with "fail open" behaviour in the X11 server when clients attempted connections with expired credentials. This problem was reported by Jann Horn. ssh(1): ForwardX11Trusted=no で X11 接続を転送する際, ForwardX11Timeout が経過した後で作られた接続が許可され, XSECURITY 制限がもやは効かないことがある. 期限切れの認証情報をクライアントが接続を試みた場合に X11 サーバの "fail open" の振舞いに関係する ssh(1) での タイムアウトのチェックが無効になっていたため. この問題は Jann Horn によって報告された. * ssh-agent(1): fix weakness of agent locking (ssh-add -x) to password guessing by implementing an increasing failure delay, storing a salted hash of the password rather than the password itself and using a timing-safe comparison function for verifying unlock attempts. This problem was reported by Ryan Castellucci. ssh-agent(1): agent のロック (ssh-add -x) の 増加する失敗時の遅延を実装したことによるパスワードを推測される 弱点を修正する. パスワード自体を保存するよりもパスワードの ソルト付きハッシュを保存したほうがよく, 解除の検証でタイミング安全な 比較関数を使うようにした. この問題は Ryan Castellucci によって報告された. New Features ------------ 新機能 * ssh(1), sshd(8): promote chacha20-poly1305@openssh.com to be the default cipher ssh(1): sshd(8): chacha20-poly1305@openssh.com をデフォルトの暗号に 昇格する * sshd(8): support admin-specified arguments to AuthorizedKeysCommand; bz#2081 sshd(8): AuthorizedKeysCommand に管理者が指定する引数をサポートする; bz#2081 * sshd(8): add AuthorizedPrincipalsCommand that allows retrieving authorized principals information from a subprocess rather than a file. sshd(8): AuthorizedPrincipalsCommand を追加する. これは, ファイルからではなくサブプロセスから認証されたユーザの情報を 取得する. * ssh(1), ssh-add(1): support PKCS#11 devices with external PIN entry devices bz#2240 ssh(1), ssh-add(1): 外部 PIN エントリーデバイス付きの PKCS#11 デバイスをサポートする. bz#2240 * sshd(8): allow GSSAPI host credential check to be relaxed for multihomed hosts via GSSAPIStrictAcceptorCheck option; bz#928 sshd(8): GSSAPIStrictAcceptorCheck 設定項目で, 複数のホームがある ホストに対する GSSAPI ホスト認証情報チェックを緩和できる. * ssh-keygen(1): support "ssh-keygen -lF hostname" to search known_hosts and print key hashes rather than full keys. ssh-keygen(1): ssh-keygen -lF hostname" によって known_hosts を検索して 完全な鍵でなくハッシュを表示する機能をサポートする. * ssh-agent(1): add -D flag to leave ssh-agent in foreground without enabling debug mode; bz#2381 ssh-agent(1): -D フラブを追加する. デバッグモードを有効にすることなく ssh-agent をフォアグラウンドから離れさせる; bz#2381 Bugfixes -------- バグ修正 * ssh(1), sshd(8): deprecate legacy SSH2_MSG_KEX_DH_GEX_REQUEST_OLD message and do not try to use it against some 3rd-party SSH implementations that use it (older PuTTY, WinSCP). ssh(1), sshd(8): レガシーな SSH2_MSG_KEX_DH_GEX_REQUEST_OLD を 廃止し, この鍵交換法を用いる サードパーティのSSH実装 (古い PuTTY や WinSCP) に対してこの鍵交換法を用いないようにする. * Many fixes for problems caused by compile-time deactivation of SSH1 support (including bz#2369) SSH1 サポートをコンパイル時に無効にすることから生じる 問題に対する多くの修正 (bz#2369 を含む) * ssh(1), sshd(8): cap DH-GEX group size at 4Kbits for Cisco implementations as some would fail when attempting to use group sizes >4K; bz#2209 ssh(1), sshd(8): DH-GEX の群のサイズを 4Kビトに制限する. 4Kより大きな群のサイズを用いようとすると失敗する Cisco の実装のため; bz#2209 * ssh(1): fix out-of-bound read in EscapeChar configuration option parsing; bz#2396 ssh(1): EscapeChar 設定項目のパースでの境界を越える読み取りを修正; bz#2396 * sshd(8): fix application of PermitTunnel, LoginGraceTime, AuthenticationMethods and StreamLocalBindMask options in Match blocks sshd(8): Match ブロックでの PermitTunnel, LoginGraceTime, AuthenticationMethods, StreamLocalBindMask 設定項目の 適用を修正. * ssh(1), sshd(8): improve disconnection message on TCP reset; bz#2257 ssh(1), sshd(8): TCP リセット時の切断メッセージを改善; bz#2257 * ssh(1): remove failed remote forwards established by muliplexing from the list of active forwards; bz#2363 ssh(1): 有効な転送のリストから 多重化により確立した失敗したリモート転送の削除; bz#2363 * sshd(8): make parsing of authorized_keys "environment=" options independent of PermitUserEnv being enabled; bz#2329 sshd(8): PermitUserEnv の有効無効に関係なく authorized_keys の "environment=" オプションをパースする; bz#2329 * sshd(8): fix post-auth crash with permitopen=none; bz#2355 sshd(8): permitopen=none 時の認証後のクラッシュを修正; bz#2355 * ssh(1), ssh-add(1), ssh-keygen(1): allow new-format private keys to be encrypted with AEAD ciphers; bz#2366 ssh(1), ssh-add(1), ssh-keygen(1): AEAD 暗号で暗号化される 新しい形式の秘密鍵をサポート; bz#2366 * ssh(1): allow ListenAddress, Port and AddressFamily configuration options to appear in any order; bz#86 ssh(1): ListenAddress, Port, AddressFamily 設定項目がどの 順序で並んでもよいようになる; bz#68 * sshd(8): check for and reject missing arguments for VersionAddendum and ForceCommand; bz#2281 sshd(8): VersionAddendum と ForceCommand で引数がない場合をチェックし, その場合は拒否する; bz#2281 * ssh(1), sshd(8): don't treat unknown certificate extensions as fatal; bz#2387 ssh(1), sshd(8): 知らない証明書拡張を致命的エラーとして扱わない; bz#2387 * ssh-keygen(1): make stdout and stderr output consistent; bz#2325 ssh-keygen(1): stdout と stderr の出力を一貫させる; bz#2325 * ssh(1): mention missing DISPLAY environment in debug log when X11 forwarding requested; bz#1682 ssh(1): デバッグモードで, X11 転送が要求された場合に DISPLAY 環境変数がなければ 通知する; bz#1682 * sshd(8): correctly record login when UseLogin is set; bz#378 sshd(8): UseLogin が設定されている場合に ログイン記録を正しく付ける; bz#378 * sshd(8): Add some missing options to sshd -T output and fix output of VersionAddendum and HostCertificate. bz#2346 sshd(8): sshd -T 出力に書けていた設定項目を追加し, VersionAddendum と HostCertificate の出力を修正する. bz#2346 * Document and improve consistency of options that accept a "none" argument" TrustedUserCAKeys, RevokedKeys (bz#2382), AuthorizedPrincipalsFile (bz#2288) "none" 引数を受け入れる設定項目の記述を追加し一貫性を向上する. TrustedUserCAKeys, RevokedKeys (bz#2382), AuthorizedPrincipalsFile (bz#2288) * ssh(1): include remote username in debug output; bz#2368 ssh(1): デバッグ時の出力にリモートのユーザ名を含める; bz#2368 * sshd(8): avoid compatibility problem with some versions of Tera Term, which would crash when they received the hostkeys notification message (hostkeys-00@openssh.com) sshd(8): Tera Term のいくつかのバージョンとの互換性の問題を回避する. これらのバージョンは, ホスト鍵通知メッセージ (hostkeys-00@openssh.com) を受けとるとクラッシュする * sshd(8): mention ssh-keygen -E as useful when comparing legacy MD5 host key fingerprints; bz#2332 sshd(8): レガシーな MD5 ホスト鍵の指紋を比較する際に ssh-keygen -E が利用可能だと記述する; bz#2332 * ssh(1): clarify pseudo-terminal request behaviour and use make manual language consistent; bz#1716 ssh(1): 疑似ターミナルの要求の振舞いを明確化し, マニュアルの言語と 一貫させる; bz#1716 * ssh(1): document that the TERM environment variable is not subject to SendEnv and AcceptEnv; bz#2386 ssh(1): TERM 環境変数は, SendEnv と AcceptEnv の影響下にないことを 記述する; bz#2386 Portable OpenSSH ---------------- 移植版 OpenSSH * sshd(8): Format UsePAM setting when using sshd -T, part of bz#2346 sshd(8): sshd -T を用いたときの UsePAM 設定のフォーマット, bz#2346 の一部 * Look for '${host}-ar' before 'ar', making cross-compilation easier; bz#2352. 'ar' より前に '${host}-ar' を探して, クロスコンパイルを容易にする; bz#2352. * Several portable compilation fixes: bz#2402, bz#2337, bz#2370 移植版のコンパイルのいくつかの修正: bz#2402, bz#2337, bz#2370 * moduli(5): update DH-GEX moduli muduli(5): DH-GEX moduli の更新