http://www.openssh.com/txt/release-7.3 Future deprecation notice ========================= 将来の廃止する機能の告知 We plan on retiring more legacy cryptography in a near-future release, specifically: 近い将来 さらなるレガシーな暗号を退役させる予定だ. 具体的には, * Refusing all RSA keys smaller than 1024 bits (the current minimum is 768 bits) * Removing server-side support for the SSH v.1 protocol (currently compile-time disabled). * In approximately 1 year, removing all support for the SSH v.1 protocol (currently compile-time disabled). * 1024 ビットよりも小さいすべての RSA 鍵の拒否 (現在の最小値は 768 ビット) * SSH v.1 プロトコルのサーバサイドサポートの除去 (現在は コンパイル時に無効) * 約1年間で, SSH v.1 プロトコルのすべてのサポートの除去 (現在は コンパイル時に無効) This list reflects our current intentions, but please check the final release notes for future releases. このリストは現在の我々の意図を反映している. ただし, 将来のリリースでの最終的なリリースノートをチェックしてほしい Changes since OpenSSH 7.2 ========================= OpenSSH 7.2 からの変更点 This is primarily a bugfix release. これは主にバグ修正のリリースだ. Security -------- セキュリティ * sshd(8): Mitigate a potential denial-of-service attack against the system's crypt(3) function via sshd(8). An attacker could send very long passwords that would cause excessive CPU use in crypt(3). sshd(8) now refuses to accept password authentication requests of length greater than 1024 characters. Independently reported by Tomas Kuthan (Oracle), Andres Rojas and Javier Nieto. sshd(8): sshd(8) を経由したシステムの crypt(3) 関数に対する 潜在的なサービス不能攻撃を緩和する. 攻撃者は, crypt(3) で 過度の CPU 利用を引き起す非常に長いパスワードを送れる. sshd(8) は, 1024 文字よりも大きなパスワード認証要求の受諾を 拒否するようになる. Tomas Kuthan (Oracle) と Andres Rojas, Javier Nieto によって報告された. * sshd(8): Mitigate timing differences in password authentication that could be used to discern valid from invalid account names when long passwords were sent and particular password hashing algorithms are in use on the server. CVE-2016-6210, reported by EddieEzra.Harari at verint.com sshd(8): 特定のパスワードハッシュアルゴリズムをサーバが使っている場合に 長いパスワードを送って有効なアカウント名と無効なものを見分けるのに 利用できるパスワード認証によるタイミングの差を緩和する. CVE-2016-6210, EddieEzra.Harari at verint.com によって報告された. * ssh(1), sshd(8): Fix observable timing weakness in the CBC padding oracle countermeasures. Reported by Jean Paul Degabriele, Kenny Paterson, Torben Hansen and Martin Albrecht. Note that CBC ciphers are disabled by default and only included for legacy compatibility. ssh(1), sshd(8): CBC パディングオラクルの対抗策における観測可能な タイミングの弱点を修正する. Jean Paul Degabriele と Kenny Paterson, Torben Hansen, Martin Albrecht によって報告された. CBC を利用する 暗号方式はデフォルトで無効で, 歴史的な互換性のためだけに含まれている ことに注意. * ssh(1), sshd(8): Improve operation ordering of MAC verification for Encrypt-then-MAC (EtM) mode transport MAC algorithms to verify the MAC before decrypting any ciphertext. This removes the possibility of timing differences leaking facts about the plaintext, though no such leakage has been observed. Reported by Jean Paul Degabriele, Kenny Paterson, Torben Hansen and Martin Albrecht. ssh(1), sshd(8): 暗号文を復号する前に MAC を検査する Encrypt-then-MAC (EtM) モード トランスポート MAC アルゴリズムで MAC 検査の操作の順番を改善する. 平文に対する事実を漏らす タイミングの差が生じる可能性を削除する. ただし, そのような漏洩は 観測されていない. Jean Paul Degabriele と Kenny Paterson, Torben Hansen, Martin Albrecht によって報告された. * sshd(8): (portable only) Ignore PAM environment vars when UseLogin=yes. If PAM is configured to read user-specified environment variables and UseLogin=yes in sshd_config, then a hostile local user may attack /bin/login via LD_PRELOAD or similar environment variables set via PAM. CVE-2015-8325, found by Shayan Sadigh. sshd(8): (移植版のみ) UseLogin=yes の場合に PAM 環境変数を無視する. PAM がユーザ特有の環境変数を読むように設定されていて sshd_config で UseLogin=yes となっている場合, 悪意のあるローカルユーザが LD_PRELOAD や同様の環境変数を PAM 経由で設定して /bin/login に対して攻撃する可能性がある. CVE-2015-8325, Shayan Sadigh によって発見された. New Features ------------ 新機能 * ssh(1): Add a ProxyJump option and corresponding -J command-line flag to allow simplified indirection through a one or more SSH bastions or "jump hosts". ssh(1): ProxyJump 設定項目と対応する -J コマンドラインフラグを追加する. 1つ異常の SSH の踏み台を経由する間接参照を簡単に指定できる. * ssh(1): Add an IdentityAgent option to allow specifying specific agent sockets instead of accepting one from the environment. ssh(1): IdentityAgent 設定項目を追加する. 特定のエージェントのソケットを環境変数を使わないでも指定できる. * ssh(1): Allow ExitOnForwardFailure and ClearAllForwardings to be optionally overridden when using ssh -W. bz#2577 ssh(1): ssh -W を用いている場合に, ExitOnForwardFailure と ClearAllForwardings を自由の上書きできる. bz#2577 * ssh(1), sshd(8): Implement support for the IUTF8 terminal mode as per draft-sgtatham-secsh-iutf8-00. ssh(1), sshd(8): draft-sgtatham-secsh-iutf8-00 により IUTF8 ターミナルモードのサポートを実装する * ssh(1), sshd(8): Add support for additional fixed Diffie-Hellman 2K, 4K and 8K groups from draft-ietf-curdle-ssh-kex-sha2-03. ssh(1), sshd(8): draft-ietf-curdle-ssh-kex-sha2-03 から 追加の修正された Diffie-Hellman 2K, 4K, 8K 群のサポートを追加する. * ssh-keygen(1), ssh(1), sshd(8): support SHA256 and SHA512 RSA signatures in certificates; ssh-keygen(1), ssh(1), sshd(8): 証明書で SHA256 と SHA512 RSA 署名を サポートする. * ssh(1): Add an Include directive for ssh_config(5) files. ssh(1): sshd_config ファイルで Include 設定項目を追加する * ssh(1): Permit UTF-8 characters in pre-authentication banners sent from the server. bz#2058 ssh(1): サーバから認証前に送るバナーで UTF-8 文字を許可する. bz#2058 Bugfixes -------- バグ修正 * ssh(1), sshd(8): Reduce the syslog level of some relatively common protocol events from LOG_CRIT. bz#2585 ssh(1), sshd(8): LOG_CRIT からの いくつかの相対的に共通のプロトコルの イベントの syslog レベルを落す. bz#2585 * sshd(8): Refuse AuthenticationMethods="" in configurations and accept AuthenticationMethods=any for the default behaviour of not requiring multiple authentication. bz#2398 設定での AuthenticationMethods="" 拒否し, 複数の認証を要求しない場合のデフォルトの動作として AuthenticationMethods=any を受け入れる. bz#2398 * sshd(8): Remove obsolete and misleading "POSSIBLE BREAK-IN ATTEMPT!" message when forward and reverse DNS don't match. bz#2585 sshd(8): DNS の正引きと逆引きが一致しなかった場合の 古く誤解を招く "POSSIBLE BREAK-IN ATTEMPT!" メッセージを削除する. * ssh(1): Close ControlPersist background process stderr except in debug mode or when logging to syslog. bz#1988 ssh(1): デバッグモードか syslog へのロギングをしている場合以外は ControlPersist のバックグラウンドプロセスの stderr を閉じる. bz#1988 * misc: Make PROTOCOL description for direct-streamlocal@openssh.com channel open messages match deployed code. bz#2529 misc: direct-streamlocal@openssh.com チャンネルオープンメッセージ についての PROTOCOL の記述を コードと一致させる. bz#2529 * ssh(1): Deduplicate LocalForward and RemoteForward entries to fix failures when both ExitOnForwardFailure and hostname canonicalisation are enabled. bz#2562 ssh(1): ExitOnForwardFailure と ホスト名正規化の両方が有効な場合に, 失敗を修正するため LocalForward と RemoteForward のエントリの 重複を取り除く. bz#2562 * sshd(8): Remove fallback from moduli to obsolete "primes" file that was deprecated in 2001. bz#2559. sshd(8): 2001 年に非推奨となった 古い "primes" ファイルへの module からのフォールバックを削除する. bz#2559 * sshd_config(5): Correct description of UseDNS: it affects ssh hostname processing for authorized_keys, not known_hosts; bz#2554 sshd_config(5): UseDNS の記述を修正する: これは authorized_keys に対する ssh ホスト名処理に影響する. known_hosts に対してではない; bz#2554 * ssh(1): Fix authentication using lone certificate keys in an agent without corresponding private keys on the filesystem. bz#2550 ssh(1): ファイルシステムに対応する秘密鍵がないエージェント中の 孤独な証明書鍵を用いた認証を修正する. * sshd(8): Send ClientAliveInterval pings when a time-based RekeyLimit is set; previously keepalive packets were not being sent. bz#2252 sshd(8): 時間ベースの RekeyLimit が設定されている場合に ClientAliveInterval ピンを送る. 以前は keepalive パケットは 送られていなかった. bz#2552 Portability ----------- 移植性 * ssh(1), sshd(8): Fix compilation by automatically disabling ciphers not supported by OpenSSL. bz#2466 ssh(1), sshd(8): OpenSSH でサポートされていない鍵の自動的な無効化による コンパイルを修正する. bz#2466 * misc: Fix compilation failures on some versions of AIX's compiler related to the definition of the VA_COPY macro. bz#2589 misc: VA_COPY マクロの定義に関係するいくつかの AIX のコンパイラのバージョンでの コンパイルの失敗を修正する. bz#2589 * sshd(8): Whitelist more architectures to enable the seccomp-bpf sandbox. bz#2590 sshd(8): seccomp-bpf サンドボックスを有効にするホワイトリストに アーキテクチャをさらに追加する. bz#2590 * ssh-agent(1), sftp-server(8): Disable process tracing on Solaris using setpflags(__PROC_PROTECT, ...). bz#2584 ssh-agent(1), sftp-server(8): setpflags(__PROC_PROTECT, ...) を用いた Solaris での プロセス追跡を無効にする. bz#2584 * sshd(8): On Solaris, don't call Solaris setproject() with UsePAM=yes it's PAM's responsibility. bz#2425 sshd(8): ソラリスで, UsePAM=yes の場合に setproject() を呼ばない. これは PAM の責任だ. bz#2425