OpenSSH 9.7 リリース準備中 / Call for testing: OpenSSH 9.7

OpenSSH 9.7 がリリース準備中です.

Call for testing: OpenSSH 9.7

バグ修正中心のリリースとなる予定です. DSA の無効化に向けての動きがあります.

https://lists.mindrot.org/pipermail/openssh-unix-dev/2024-March/041181.html

Future deprecation notice
=========================

将来非推奨となる機能の告知

OpenSSH plans to remove support for the DSA signature algorithm in
early 2025 and compile-time disable it later this year.

OpenSSH は 2025年前半に DSA 署名アルゴリズムに対するサポートを除き,
今年(2024)の後半にコンパイル時に無効にすることを計画している.

DSA, as specified in the SSHv2 protocol, is inherently weak - being
limited to a 160 bit private key and use of the SHA1 digest. Its
estimated security level is only 80 bits symmetric equivalent.

SSHv2 プロトコルで指定された DSA は 本質的に弱い - 秘密鍵が 160 bit
に制限されていて SHA1 ハッシュを用いている. 見積もられるセキュリティレベル
は共通鍵暗号の 80 bit しかない.

OpenSSH has disabled DSA keys by default since 2015 but has retained
run-time optional support for them. DSA was the only mandatory-to-
implement algorithm in the SSHv2 RFCs[3], mostly because alternative
algorithms were encumbered by patents when the SSHv2 protocol was
specified.

OpenSSH は 2015 年以降 DSA 鍵をデフォルトで無効にしているが, 
ランタイムでの(任意の)サポートは維持している. DSA は,
SSHv2 プロトコルが仕様化された際に代替のアルゴリズムが特許で阻まれていた
ため, SSHv2 RFC[3] 中で実装が必須の唯一のアルゴリズムだ.

This has not been the case for decades at this point and better
algorithms are well supported by all actively-maintained SSH
implementations. We do not consider the costs of maintaining DSA in
OpenSSH to be justified and hope that removing it from OpenSSH can
accelerate its wider deprecation in supporting cryptography
libraries.

現時点では何十年もこのような(特許による障害がある)場合は起こっておらず, 
すべての活発に維持されている SSH の実装でよりよいアルゴリズムが
十分にサポートされている. 我々は OpenSSH で DSA を維持するコストが
正当化されるとは考えておらず, OpenSSH から DSA を除くことが
(DSAを) サポートしている暗号ライブラリでのより広い DSA の非推奨への加速
を期待している.

This release makes DSA support in OpenSSH compile-time optional,
defaulting to on. We intend the next release to change the default
to disable DSA at compile time. The first OpenSSH release of 2025
will remove DSA support entirely.

このリリースは OpenSSH の DSA のサポートをコンパイル時に選択可能にする.
デフォルトは有効. 我々は次のリリースでコンパイル時に DSA を無効にするのを
デフォルトにする予定だ. 2025 年の 最初の OpenSSH のリリースで DSA の
サポートを完全に無効にするつもりだ.

Changes since OpenSSH 9.6
=========================

OpenSSH 9.6 からの変更点

This release contains mostly bugfixes.

このリリースは主にバグ修正を含む.

New features
------------

新機能

 * ssh(1), sshd(8): add a "global" ChannelTimeout type that watches
   all open channels and will close all open channels if there is no
   traffic on any of them for the specified interval. This is in
   addition to the existing per-channel timeouts added recently.

   ssh(1), sshd(8): すべての開いているチャンネルを監視し
   指定された間隔でそのすべてについてトラフィックがなかったりら
   すべての開いているチャンネルを閉じる "global" ChannelTimeout を
   追加する. これは最近追加された既存のチャンネルごとの timeout に
   追加される.

   This supports situations like having both session and x11
   forwarding channels open where one may be idle for an extended
   period but the other is actively used. The global timeout could
   close both channels when both have been idle for too long.

   これはセッションと X11 転送のチャンネルが開かれていて 一方は
   長い期間 idle だがもう一方は活発に使われている といった場合を
   サポートする. global な timeout は両方が長い間 idle になると
   両方を閉じる.

 * All: make DSA key support compile-time optional, defaulting to on.

   すべて: DSA 鍵のサポートをコンパイル時に選択可能とする. デフォルトは有効.

Bugfixes
--------

バグ修正

 * sshd(8): don't append an unnecessary space to the end of subsystem
   arguments (bz3667)

   sshd(8): サブシステムの引数の最後に不要な空白を追加しない (bz3667)

 * ssh(1): fix the multiplexing "channel proxy" mode, broken when
   keystroke timing obfuscation was added. (GHPR#463)

   ssh(1): 多重化する "channel proxy" モードを修正する. 
   キーストロークのタイミングの不明瞭化を追加した際に壊れていた.
   (GHPR#463)

 * ssh(1), sshd(8): fix spurious configuration parsing errors when
   options that accept array arguments are overridden (bz3657).

   ssh(1), sshd(8): 配列の引数を許容する設定項目が上書きされた場合に
   間違った設定のパースを修正する (bz3657)

 * Many fixes to manual pages and other documentation, including
   GHPR#462, GHPR#454, GHPR#442 and GHPR#441.

   GHPR#462 と GHPR#454, GHPR#442, GHPR#441 を含むマニュアルや
   他の文書の沢山の修正.

 * Greatly improve interop testing against PuTTY.

   PuTTY に対する相互運用性テストのすごい改善.

Portability
-----------

移植性

 * Improve the error message when the autoconf OpenSSL header check
   fails (bz#3668)

   autoconf の OpenSSL ヘッダーのチェックに失敗した場合の
   エラーメッセージを改善する (bz#3668)

 * Improve detection of broken toolchain -fzero-call-used-regs support
   (bz3645).

   こわれた toolchain の -fzero-call-used-regs サポートの検出を
   改善する (bz3645).

 * Fix regress/misc/fuzz-harness fuzzers and make them compile without
   warnings when using clang16

   regress/misc/fuzz-harness fuzzer を修正し, clang16 を利用時のコンパイルで
   警告が出ないようにする.
#ssh
2024-03-05
Published in:
SSH