https://www.openssh.com/txt/release-7.5 Future deprecation notice ========================= 将来廃止される機能の告知 We plan on retiring more legacy cryptography in future releases, specifically: 将来のリリースでさらなるレガシーな暗号を廃止することを計画している. 具体的には: * In the next major release (expected June-August), removing remaining support for the SSH v.1 protocol (currently client-only and compile- time disabled). (6-8月に予定している) 次のメジャーリリースで, SSH v.1 プロトコルの 残っているサポートを削除する(現在クライアントのみでコンパイル時に無効 となっている). * In the same release, removing support for Blowfish and RC4 ciphers and the RIPE-MD160 HMAC. (These are currently run-time disabled). 同じリリースで, Blowfish と RC4 暗号, RIPE-MD160 HMAC のサポートを 削除する. (現在実行時に無効となっている). * In the same release, removing the remaining CBC ciphers from being offered by default in the client (These have not been offered in sshd by default for several years). 同じリリースで, クライアントがデフォルトで提供する暗号リストに 残っている CBC 暗号を削除する (この年サーバからは提供していない). * Refusing all RSA keys smaller than 1024 bits (the current minimum is 768 bits) 1024 bit よりも小さい RSA 鍵を拒否する (現在の最小は 768 bit) This list reflects our current intentions, but please check the final release notes for future releases. このリストは我々の現在の意図を反映している. ただし, 将来のリリースでの 最終的なリリースノートをチェックしてほしい. Potentially-incompatible changes ================================ 非互換な可能性のある変更 This release includes a number of changes that may affect existing configurations: このリリースは, 既存の設定に影響する変更がいくつかある. * This release deprecates the sshd_config UsePrivilegeSeparation option, thereby making privilege separation mandatory. Privilege separation has been on by default for almost 15 years and sandboxing has been on by default for almost the last five. このリリースは sshd_config の UsePrivilegeSeparation 設定項目を 非推奨する. これにより, 特権分離は必須となる. 特権分離は, 約 15年ほどデフォルトとなっており, 最近5年間はデフォルトで サンドボックス化されている. * The format of several log messages emitted by the packet code has changed to include additional information about the user and their authentication state. Software that monitors ssh/sshd logs may need to account for these changes. For example: パケットコードから出力されるいくつかのログメッセージの形式を変更する. ユーザとその認証の状態についての追加情報を含むようになる. ssh/sshd のログをモニターするソフトウェアは, これらの変更に注意する 必要があるだろう. 例: Connection closed by user x 1.1.1.1 port 1234 [preauth] Connection closed by authenticating user x 10.1.1.1 port 1234 [preauth] Connection closed by invalid user x 1.1.1.1 port 1234 [preauth] Affected messages include connection closure, timeout, remote disconnection, negotiation failure and some other fatal messages generated by the packet code. 影響するメッセージには, 接続の終了, タイムアウト, リモートの切断, (暗号などの)交渉の失敗, さらにパケットコードから生成される その他のいくつかの致命的なメッセージが含まれる. * [Portable OpenSSH only] This version removes support for building against OpenSSL versions prior to 1.0.1. OpenSSL stopped supporting versions prior to 1.0.1 over 12 months ago (i.e. they no longer receive fixes for security bugs). [移植版 OpenSSH のみ] このバージョンで, OpenSSL 1.0.1 より前のバージョン に対するビルドのサポートをなくす. OpenSSL は 1.0.1 より前のバージョンの サポートを12ヶ月前にやめている (つまり, セキュリティのバグに対する修正を もはや OpenSSL は受けつけていない). Changes since OpenSSH 7.4 ========================= OpenSSH 7.4 からの変更 This is a bugfix release. これはバグ修正のリリースだ. Security -------- セキュリティ * ssh(1), sshd(8): Fix weakness in CBC padding oracle countermeasures that allowed a variant of the attack fixed in OpenSSH 7.3 to proceed. Note that the OpenSSH client disables CBC ciphers by default, sshd offers them as lowest-preference options and will remove them by default entriely in the next release. Reported by Jean Paul Degabriele, Kenny Paterson, Martin Albrecht and Torben Hansen of Royal Holloway, University of London. ssh(1), sshd(8): OpenSSH 7.3 で修正された攻撃の亜種が有効だった CBC パディングオラクル対抗策の弱点を修正する. OpenSSH クライアントは CBC 暗号モードを用いる暗号をデフォルトで無効にしていて, sshd は CBC 暗号モードを用いる暗号を 最低の優先順位で提供していて次のリリースで デフォルトでは完全に除く予定であることに注意. ロンドン大学 Royal Holloway の Jean Paul Degabriele と Kenny Paterson, Martin Albrecht, Torben Hansen によって報告された. * sftp-client(1): [portable OpenSSH only] On Cygwin, a client making a recursive file transfer could be maniuplated by a hostile server to perform a path-traversal attack. creating or modifying files outside of the intended target directory. Reported by Jann Horn of Google Project Zero. sftp-client(1): [移植版 OpenSSH のみ] Cygwin で, ファイル転送を受け取る クライアントが パストラバーサル攻撃を実行する悪意のあるサーバに操作 されうる. 対象のディレクトリに外部からファイルを作成されたり変更されたり する. Google Project Zero の Jann Horn によって報告された. New Features ------------ * ssh(1), sshd(8): Support "=-" syntax to easily remove methods from algorithm lists, e.g. Ciphers=-*cbc. bz#2671 ssh(1), sshd(8): アルゴリズムのリストから方式を簡単の除くことができる "=-" 構文をサポートする. たとえば Ciphers=-*cbc のように用いる. bz#2671 Bugfixes -------- * sshd(1): Fix NULL dereference crash when key exchange start messages are sent out of sequence. sshd(1): 鍵交換開始がシーケンス外で送られた場合のNULL 参照展開 クラッシュを修正する. * ssh(1), sshd(8): Allow form-feed characters to appear in configuration files. ssh(1), sshd(8): 設定ファイルに表われる フォームフィード文字(0x0C) を許容する. * sshd(8): Fix regression in OpenSSH 7.4 support for the server-sig-algs extension, where SHA2 RSA signature methods were not being correctly advertised. bz#2680 sshd(8): server-sig-algs 拡張に対する OpenSSH 7.4 のサポートでの 不具合を修正する. SHA2 RSA 署名法が正常に通知されていなかった. bz#2680 * ssh(1), ssh-keygen(1): Fix a number of case-sensitivity bugs in known_hosts processing. bz#2591 bz#2685 ssh(1), ssh-keygen(1): known_hosts 処理での多数の大文字小文字に 関するバグを修正する. bz#2591 bz#2685 * ssh(1): Allow ssh to use certificates accompanied by a private key file but no corresponding plain *.pub public key. bz#2617 ssh(1): 関係のないプレーンな *.pub 公開鍵ではなく 秘密鍵ファイルに付随する証明書を ssh が利用する. bz#2617 * ssh(1): When updating hostkeys using the UpdateHostKeys option, accept RSA keys if HostkeyAlgorithms contains any RSA keytype. Previously, ssh could ignore RSA keys when only the ssh-rsa-sha2-* methods were enabled in HostkeyAlgorithms and not the old ssh-rsa method. bz#2650 ssh(1): UpdateHostKeys 設定項目で ホスト鍵を更新する際, HostkeyAlgorithms が RSA 鍵タイプの1つでもサポートしていたら RSA 鍵を受け入れる. 以前は, HostkeyAlgorithm で ssh-rsa-sha2-* が有効な場合に ssh は RSA 鍵を無視し, より古い ssh-rsa が有効な 場合は無視しなかった. bz#2650 * ssh(1): Detect and report excessively long configuration file lines. bz#2651 ssh(1): 過剰に長い設定ファイルの行を検出しレポートする. bz#2651 * Merge a number of fixes found by Coverity and reported via Redhat and FreeBSD. Includes fixes for some memory and file descriptor leaks in error paths. bz#2687 Coverity よって見付けられたり, Redhat や FreeBSD で報告された 多数の修正をマージする. 異常刑でのメモリやファイルデスクリプタの いくつかの漏洩の修正が含まれている. bz#2687 * ssh-keyscan(1): Correctly hash hosts with a port number. bz#2692 ssh-keyscan(1): ポート番号付きのホストのハッシュが正しく動くようにする. bz#2692 * ssh(1), sshd(8): When logging long messages to stderr, don't truncate "\r\n" if the length of the message exceeds the buffer. bz#2688 ssh(1), sshd(8): stderr に長いメッセージをログに出す際, メッセージの長さがバッファを超過する場合に "\r\n" で切り詰めない. bz#2688 * ssh(1): Fully quote [host]:port in generated ProxyJump/-J command- line; avoid confusion over IPv6 addresses and shells that treat square bracket characters specially. ssh(1): ProxyJump/-J コマンドラインで生成される [host]:port を 完全にカッコを付ける. 角カッコ([])文字を特別に扱う IPv6 アドレスとシェルとの混乱を回避する. * ssh-keygen(1): Fix corruption of known_hosts when running "ssh-keygen -H" on a known_hosts containing already-hashed entries. ssh-keygen(1): すでにハッシュ化されたエントリを含む known_hosts への "ssh-keygen -H" の実行での known_hosts の破壊を修正する. * Fix various fallout and sharp edges caused by removing SSH protocol 1 support from the server, including the server banner string being incorrectly terminated with only \n (instead of \r\n), confusing error messages from ssh-keyscan bz#2583 and a segfault in sshd if protocol v.1 was enabled for the client and sshd_config contained references to legacy keys bz#2686. サーバから SSH プロトコル 1 を除去に起因する様々な影響を修正する. サーババナー文字列が (\r\n の変わりに) 間違って \n で終端されていた問題や ssh-keyscan からのエラーメッセージが混乱している問題(bz#2583), クライアントでプロトコル v1 が有効で, sshd_config が レガシーな鍵の参照を含む場合に sshd が segfault する問題(bz#2686) の修正を含む. * ssh(1), sshd(8): Free fd_set on connection timeout. bz#2683 ssh(1), sshd(8): 接続タイムアウト時に fd_set を解放する. bz#2683 * sshd(8): Fix Unix domain socket forwarding for root (regression in OpenSSH 7.4). (OpenSSH 7.4 でおかしくなった) root での Unix ドメインソケット転送を 修正する. * sftp(1): Fix division by zero crash in "df" output when server returns zero total filesystem blocks/inodes. sftp(1): サーバが 全ファイルシステムのブロック/inode をゼロ と返す場合に "df" の出力が 0除算でクラッシュするのを修正する. * ssh(1), ssh-add(1), ssh-keygen(1), sshd(8): Translate OpenSSL errors encountered during key loading to more meaningful error codes. bz#2522 bz#2523 ssh(1), ssh-add(1), ssh-keygen(1), sshd(8): 鍵のロード時に出現する OpenSSL エラーをより意味のあるエラーコードに翻訳する. bz#2522 bz#2523 * ssh-keygen(1): Sanitise escape sequences in key comments sent to printf but preserve valid UTF-8 when the locale supports it; bz#2520 ssh-keygen(1): printf に送られる鍵コメントのエスケープシーケンスを 無害化するが, ロケールがサポートする場合は有効な UTF-8 を保持する; bz#2520 * ssh(1), sshd(8): Return reason for port forwarding failures where feasible rather than always "administratively prohibited". bz#2674 ssh(1), sshd(8): ポート転送の失敗の理由を 常に "管理者によって禁止されている" ではなくよりもっともなものを返す. bz#2674 * sshd(8): Fix deadlock when AuthorizedKeysCommand or AuthorizedPrincipalsCommand produces a lot of output and a key is matched early. bz#2655 sshd(8): AuthorizedKeysCommand か AuthorizedPrincipalsCommand が たくさんの出力を生成し鍵が早くマッチする場合のデッドロックを修正する. bz#2655 * Regression tests: several reliability fixes. bz#2654 bz#2658 bz#2659 回帰テスト: いくつかの信頼性の修正. bz#2654 bz#2658 bz#2659 * ssh(1): Fix typo in ~C error message for bad port forward cancellation. bz#2672 ssh(1): ポート転送のキャンセルが失敗する場合の ~C エラーメッセージ のタイプミスを修正する. * ssh(1): Show a useful error message when included config files can't be opened; bz#2653 ssh(1): インクルードされた設定ファイルが開けない場合に 有用なエラーメッセージを表示する. bz#2653 * sshd(8): Make sshd set GSSAPIStrictAcceptorCheck=yes as the manual page (previously incorrectly) advertised. bz#2637 sshd(8): マニュアルページに記載されているように (以前は記載通りに設定されていなかった) sshd に GSSAPIStrictAcceptorCheck=yes を設定する. * sshd_config(5): Repair accidentally-deleted mention of %k token in AuthorizedKeysCommand; bz#2656 sshd_config(5): AuthorizedKeysCommand で %k トークンの言及を 偶然に消していたのを復元する; bz#2656 * sshd(8): Remove vestiges of previously removed LOGIN_PROGRAM; bz#2665 sshd(8): 以前削除した LOGIN_PROGRAM の痕跡を削除する; bz#2665 * ssh-agent(1): Relax PKCS#11 whitelist to include libexec and common 32-bit compatibility library directories. ssh-agent(1): libexec と 共通の 32-bit 互換性ライブラリディレクトリを 含むように PKCS#11 ホワイトリストを緩和する * sftp-client(1): Fix non-exploitable integer overflow in SSH2_FXP_NAME response handling. sftp-client(1): SSH2_FXP_NAME の応答の操作での, 攻撃はできない 整数オーバーフローを修正する. * ssh-agent(1): Fix regression in 7.4 of deleting PKCS#11-hosted keys. It was not possible to delete them except by specifying their full physical path. bz#2682 ssh-agent(1): PKCS#11 でホストされた鍵を削除するの 7.4 の不具合 を修正する. 完全な物理パスを指定された場合を除いて, 鍵が削除されることはない. bz#2682 Portability ----------- 移植性 * sshd(8): Avoid sandbox errors for Linux S390 systems using an ICA crypto coprocessor. sshd(8): ICA 暗号コプロセッサを用いる Linux S390 システム の サンドボックスのエラーを回避する. * sshd(8): Fix non-exploitable weakness in seccomp-bpf sandbox arg inspection. sshd(8): seccomp-bpf サンドボックスの引数検査での攻撃はできない弱点 を修正する. * ssh(1): Fix X11 forwarding on OSX where X11 was being started by launchd. bz#2341 ssh(1): X11 が launchd で開始されている場合の OSX での X11 転送を修正する. * ssh-keygen(1), ssh(1), sftp(1): Fix output truncation for various that contain non-printable characters where the codeset in use is ASCII. ssh-keygen(1), ssh(1), sftp(1): 利用しているコードセットが ASCII の場合に 表示できない文字を含む様々な(メッセージ?)についての出力の切り詰めを修正する. * build: Fix builds that attempt to link a kerberised libldns. bz#2603 build: ケルベロス化された libldns をリンクしようとするビルドを修正する. bz#2603 * build: Fix compilation problems caused by unconditionally defining _XOPEN_SOURCE in wide character detection. build: ワイド文字検出で 無条件に定義された _XOPEN_SOURCE に起因する コンパイルの問題を修正する. * sshd(8): Fix sandbox violations for clock_gettime VSDO syscall fallback on some Linux/X32 kernels. bz#2142 いくつかの Linux/X32 カーネルでの clock_gettime VSDO syscall フォールバックによるサンドボックスの破壊を修正する.