http://www.openssh.com/txt/release-7.2 Future deprecation notice ========================= 将来の廃止する機能の告知 We plan on retiring more legacy cryptography in a near-future release, specifically: 近い将来 さらなるレガシーな暗号を退役させる予定だ. 具体的には, * Refusing all RSA keys smaller than 1024 bits (the current minimum is 768 bits) * 1024 ビットよりも小さいすべての RSA 鍵を拒否する (現在の最小値は 768 ビット) This list reflects our current intentions, but please check the final release notes for future releases. このリストは現在の我々の意図を反映している. ただし, 将来のリリースでの最終的なリリースノートをチェックしてほしい Potentially-incompatible changes ================================ 非互換な可能性がある変更 This release disables a number of legacy cryptographic algorithms by default in ssh: このリリースでは ssh で多くのレガシーな暗号アルゴリズムを デフォルトで無効にする. * Several ciphers blowfish-cbc, cast128-cbc, all arcfour variants and the rijndael-cbc aliases for AES. blowfish-cbc, cast128-cbc, arcfour のすべての変種 AES の rijndael-cbc 別名. * MD5-based and truncated HMAC algorithms. MD5 ベースの HMAC アルゴリズム These algorithms are already disabled by default in sshd. 以上のアルゴリズムは sshd では すでに無効になっている. Changes since OpenSSH 7.1p2 =========================== OpenSSH 7.1p2 からの変更点 This is primarily a bugfix release. これは主にバグ修正のリリースだ. Security -------- セキュリティ * ssh(1), sshd(8): remove unfinished and unused roaming code (was already forcibly disabled in OpenSSH 7.1p2). ssh(1), sshd(8): 完了しておらず利用されてなかった roaming のコード を削除する (OpenSSH 7.1p2 ですでに強制的に無効となっている) * ssh(1): eliminate fallback from untrusted X11 forwarding to trusted forwarding when the X server disables the SECURITY extension. ssh(1): X サーバが SECURITY 拡張を無効にしている場合に 信頼されていない X11 転送を 信頼されている転送で 代替するのを除去する. * ssh(1), sshd(8): increase the minimum modulus size supported for diffie-hellman-group-exchange to 2048 bits. ssh(1), sshd(8): diffie-hellman-group-exchange でサポートする 最小のモジュラスのサイズを 2048 ビットに増加する. * sshd(8): pre-auth sandboxing is now enabled by default (previous releases enabled it for new installations via sshd_config). sshd(8): 認証前のサンドボックス化がデフォルトで有効になった (以前のリリースは, sshd_config を新規にインストールする際に 有効にしていた). New Features ------------ 新機能 * all: add support for RSA signatures using SHA-256/512 hash algorithms based on draft-rsa-dsa-sha2-256-03.txt and draft-ssh-ext-info-04.txt. すべて: draft-rsa-dsa-sha2-256-03.txt と draft-ssh-ext-info-04.txt に基づく SHA-256/512 を用いる RSA 署名のサポートを追加する * ssh(1): Add an AddKeysToAgent client option which can be set to 'yes', 'no', 'ask', or 'confirm', and defaults to 'no'. When enabled, a private key that is used during authentication will be added to ssh-agent if it is running (with confirmation enabled if set to 'confirm'). ssh(1): AddKeysToAgent クライアント設定項目を追加する. 'yes', 'no', 'ask', 'confirm' が設定でき デフォルトは 'no' だ. 有効になると, ssh-agent が動いている場合に認証に用いられる秘密鍵が ssh-agent に追加される. 'confirm' の場合は確認が行なわれる. * sshd(8): add a new authorized_keys option "restrict" that includes all current and future key restrictions (no-*-forwarding, etc.). Also add permissive versions of the existing restrictions, e.g. "no-pty" -> "pty". This simplifies the task of setting up restricted keys and ensures they are maximally-restricted, regardless of any permissions we might implement in the future. sshd(8): authorized_keys のオプションに "restrict" を追加する. これは, (no-*-forwarding などの) 現在と将来のすべての制限を含む. さらに, 現在の制限の許可バージョンも追加する. つまり, "no-pty" -> "pty". これにより, 制限付きの鍵の設定のタスクが 単純化し, 将来実装するすべての許可に関係なく 鍵が最大に制限されていることを圃場できる. * ssh(1): add ssh_config CertificateFile option to explicitly list certificates. bz#2436 ssh(1): ssh_config に 証明書を明示的に列挙する CertificateFile 設定項目を追加する. bz#2436 * ssh-keygen(1): allow ssh-keygen to change the key comment for all supported formats. ssh-keygen(1): すべてのサポートする形式について ssh-keygen が 鍵のコメントを変更できるようにする * ssh-keygen(1): allow fingerprinting from standard input, e.g. "ssh-keygen -lf -" ssh-keygen(1): 標準入力からの指紋表示をできるようにする. つまり, "ssh-keygen -lf -" * ssh-keygen(1): allow fingerprinting multiple public keys in a file, e.g. "ssh-keygen -lf ~/.ssh/authorized_keys" bz#1319 ssh-keygen(1): ファイルに含まれる複数の公開鍵の指紋表示を できるようにする. つまり "ssh-keygen -lf ~/.ssh/authorized_keys" bz#1319 * sshd(8): support "none" as an argument for sshd_config Foreground and ChrootDirectory. Useful inside Match blocks to override a global default. bz#2486 sshd(8): sshd_config の Foreground と ChrootDirectory の引数に "none" をサポートする. グローバルなデフォルトを Match ブロックの中で 上書きするのに有用. bz#2486 * ssh-keygen(1): support multiple certificates (one per line) and reading from standard input (using "-f -") for "ssh-keygen -L" ssh-keygen(1): (行ごとに1つの)複数の証明書と, (using "-f -" を用いる) 標準入力からの読み込みを "ssh-keygen -L" でサポートする * ssh-keyscan(1): add "ssh-keyscan -c ..." flag to allow fetching certificates instead of plain keys. ssh-keyscan(1): 生の鍵の変わりに証明書を取得する "ssh-keyscan -c ..." フラグを追加する * ssh(1): better handle anchored FQDNs (e.g. 'cvs.openbsd.org.') in hostname canonicalisation - treat them as already canonical and remove the trailing '.' before matching ssh_config. ssh(1): anchored (訳注: ここでは . が最後に着いているということ?) FQDN (例えば 'csv.openbsd.org.') をよりよく扱う. すでに正規化済みとして扱い, ssh_config でマッチする前に 末尾の '.' を取り除く. Bugfixes -------- バグ修正 * sftp(1): existing destination directories should not terminate recursive uploads (regression in openssh 6.8) bz#2528 sftp(1): 送信先のディレクトリ存在しても再帰的なアップロードを 終了させない (openssh 6.8 で導入された不具合) bz#2528 * ssh(1), sshd(8): correctly send back SSH2_MSG_UNIMPLEMENTED replies to unexpected messages during key exchange. bz#2949 ssh(1), sshd(8): 鍵交換で予期しないメッセージに対して 正しく SSH2_MSG_UNIMPLEMENTED を送り返す. bz#2949 * ssh(1): refuse attempts to set ConnectionAttempts=0, which does not make sense and would cause ssh to print an uninitialised stack variable. bz#2500 ssh(1): ConnectionAttempts=0 を設定しようという試みを拒否する. これは 意味がないし, 初期化してないスタック変数を ssh に印字させよう とする. bz#2500 * ssh(1): fix errors when attempting to connect to scoped IPv6 addresses with hostname canonicalisation enabled. ssh(1): ホスト名の正規化が有効な場合に scoped IPv6 アドレスに 接続しようとした場合のエラーを修正する * sshd_config(5): list a couple more options usable in Match blocks. bz#2489 sshd_config(5): Match ブロックで利用可能ないくつかの設定項目を 列挙(追加)する. * sshd(8): fix "PubkeyAcceptedKeyTypes +..." inside a Match block. Match ブロック内の "PubkeyAcceptedKeyTypes +..." を修正する * ssh(1): expand tilde characters in filenames passed to -i options before checking whether or not the identity file exists. Avoids confusion for cases where shell doesn't expand (e.g. "-i ~/file" vs. "-i~/file"). bz#2481 ssh(1): -i オプションで, identity ファイルが存在するかどうかのチェック より前に ファイル名のチルダ文字を展開する. シェルが展開しない場合 (つまり "-i ~/file" と "-i~/file") での混乱を避ける. bz#2481 * ssh(1): do not prepend "exec" to the shell command run by "Match exec" in a config file, which could cause some commands to fail in certain environments. bz#2471 ssh(1): コンフィグファイルで "Match exec" で走るシェルコマンドに exec を前に付けない. 特定の環境でコマンドが失敗する. bz#2471 * ssh-keyscan(1): fix output for multiple hosts/addrs on one line when host hashing or a non standard port is in use bz#2479 ssh-keyscan(1): ホストがハッシュされていたり標準でないポートが 利用されている場合に, 一行での複数のホスト/アドレスの出力を修正 bz#2479 * sshd(8): skip "Could not chdir to home directory" message when ChrootDirectory is active. bz#2485 sshd(8): ChrootDirectory が有効な場合に, "Could not chdir to home directory" メッセージをスキップする. bz#2485 * ssh(1): include PubkeyAcceptedKeyTypes in ssh -G config dump. ssh(1): PubkeyAcceptedKeyTypes を ssh -G config dump に含める. * sshd(8): avoid changing TunnelForwarding device flags if they are already what is needed; makes it possible to use tun/tap networking as non-root user if device permissions and interface flags are pre-established sshd(8): もし必要なものがすでにある場合にトンネル転送のデバイスの フラグの変更を避ける. デバイスのパーミッションとインターフェイス フラグがすでに確立している場合に, ルートでないユーザが tun/tap ネットワークを利用できるようにする. * ssh(1), sshd(8): RekeyLimits could be exceeded by one packet. bz#2521 ssh(1), sshd(8): RekeyLimits が 1パケットで超過するようにする. bz#2521 * ssh(1): fix multiplexing master failure to notice client exit. ssh(1): クライアントの終了を通知するため, 多重化マスターの 失敗を修正する. * ssh(1), ssh-agent(1): avoid fatal() for PKCS11 tokens that present empty key IDs. bz#1773 ssh(1), ssh-agent(1): 空の鍵の ID を持つ PKCS11 トークンで fatal() が起きるのを避ける. * sshd(8): avoid printf of NULL argument. bz#2535 NULl 引数での printf を避ける. bz#2535 * ssh(1), sshd(8): allow RekeyLimits larger than 4GB. bz#2521 ssh(1), sshd(8): 4GB より大きい RekeyLimits を許可する. bz#2521 * ssh-keygen(1): sshd(8): fix several bugs in (unused) KRL signature support. ssh-keygen(1): sshd(8): (利用していない) KRL 署名サポートの 複数のバグを修正する. * ssh(1), sshd(8): fix connections with peers that use the key exchange guess feature of the protocol. bz#2515 ssh(1), sshd(8): プロトコルの鍵交換推測機能を用いる相手との 接続を修正する. bz#2515 * sshd(8): include remote port number in log messages. bz#2503 sshd(8): ログメッセージにリモートのポート番号を含める. bz#2503 * ssh(1): don't try to load SSHv1 private key when compiled without SSHv1 support. bz#2505 ssh(1): SSHv1 サポート抜きでコンパイルされた場合に, SSHv1 秘密鍵をロードしようとしない. bz#2505 * ssh-agent(1), ssh(1): fix incorrect error messages during key loading and signing errors. bz#2507 ssh-agent(1), ssh(1): 鍵のロードと署名のエラーでの不正確な エラーメッセージを修正する. * ssh-keygen(1): don't leave empty temporary files when performing known_hosts file edits when known_hosts doesn't exist. ssh-keygen(1): known_hosts ファイルが存在しない場合に known_hosts ファイルを編集する際に, 空のテンポラリファイルを削除しない. * sshd(8): correct packet format for tcpip-forward replies for requests that don't allocate a port bz#2509 sshd(8): ポートを割り当てていない tcpip-forward 要求への 応答で パケット形式を修正する. * ssh(1), sshd(8): fix possible hang on closed output. bz#2469 ssh(1), sshd(8): 閉じた出力でハングする場合があるのを修正する. bz#2469 * ssh(1): expand %i in ControlPath to UID. bz#2449 ssh(1): ControlPath で %i を UID に展開する. bz#2449 * ssh(1), sshd(8): fix return type of openssh_RSA_verify. bz#2460 ssh(1), sshd(8): openssh_RSA_verify の返り値の方を修正する. bz#2460 * ssh(1), sshd(8): fix some option parsing memory leaks. bz#2182 ssh(1), sshd(8): オプションのパースでのメモリリークを修正する. bz#2182 * ssh(1): add a some debug output before DNS resolution; it's a place where ssh could previously silently stall in cases of unresponsive DNS servers. bz#2433 ssh(1): DNS 解決の前にいくつかのデバッグ出力を追加する. DNS サーバが応答しない場合に 以前は ssh は 静かに 動かなくなる ことがあった場所だ. * ssh(1): remove spurious newline in visual hostkey. bz#2686 ssh(1): バーチャルなホスト鍵中の偽の改行を削除する. bz#2686 * ssh(1): fix printing (ssh -G ...) of HostKeyAlgorithms=+... ssh(1): HostKeyAlgorithms=+... のときの (ssh -G ...) の出力を 修正する. * ssh(1): fix expansion of HostkeyAlgorithms=+... HostkeyAlgorithms=+... の展開を修正する. Documentation ------------- 文書 * ssh_config(5), sshd_config(5): update default algorithm lists to match current reality. bz#2527 ssh_config(5), sshd_config(5): デフォルトのアルゴリズムのリストを 現状に一致するよう更新する. bz#2527 * ssh(1): mention -Q key-plain and -Q key-cert query options. bz#2455 ssh(1): -Q key-plain と -Q key-cert について言及する. bz#2455 * sshd_config(8): more clearly describe what AuthorizedKeysFile=none does. sshd_config(8): AuthorizedKeysFile=none がなにを行なうかについて より明確に記述する. * ssh_config(5): better document ExitOnForwardFailure. bz#2444 ssh_config(5): ExitOnForwardFailure についての記述を改善. bz#2444 * sshd(5): mention internal DH-GEX fallback groups in manual. bz#2302 sshd(5): 手動での 内部 DH-GEX フォールバックグループ について 記述する. * sshd_config(5): better description for MaxSessions option. bz#2531 sshd_config(5): MaxSessions 設定項目の記述を改善. bz#2531 Portability ----------- 移植性 * ssh(1), sftp-server(8), ssh-agent(1), sshd(8): Support Illumos/ Solaris fine-grained privileges. Including a pre-auth privsep sandbox and several pledge() emulations. bz#2511 * ssh(1), sftp-server(8), ssh-agent(1), sshd(8): Illumos/ Solaris fine-grained privileges をサポートする. 認証前特権分離の sandbox と 複数の pledge() エミュレーションを含んでいる. bz#2511 * Renovate redhat/openssh.spec, removing deprecated options and syntax. 非推奨のオプションや文法を削除して redhat/openssh.spec を刷新する. * configure: allow --without-ssl-engine with --without-openssl configure: --without-openssl と --without-ssl-engine が共存できる * sshd(8): fix multiple authentication using S/Key. bz#2502 sshd(8): S/Key を用いる複数認証を修正する. bz#2502 * sshd(8): read back from libcrypto RAND_* before dropping privileges. Avoids sandboxing violations with BoringSSL. sshd(8): 特権を落す前に libcrypto の RAND_* から 読み直す. BoringSSL を利用する場合に サンドボックスの 破壊を回避する. * Fix name collision with system-provided glob(3) functions. bz#2463 system が提供する glob(3) 関数の名前衝突を修正する. bz#2463 * Adapt Makefile to use ssh-keygen -A when generating host keys. bz#2459 ホスト鍵作成の際に ssh-keygen -A を用いるように Makefile を 変更する. bz#2459 * configure: correct default value for --with-ssh1 bz#2457 configure: --with-ssh1 のデフォルト値を修正する. bz#2457 * configure: better detection of _res symbol bz#2259 configure: _res シンボルの検出を改善 bz#2259 * support getrandom() syscall on Linux Linux の getrandom() システムコールをサポート