OpenSSH 10.1 リリース準備中 / Call for testing: OpenSSH 10.1
OpenSSH 10.1 がリリース準備中です.
Call for testing: OpenSSH 10.1p1
# https://lists.mindrot.org/pipermail/openssh-unix-dev/2025-September/042141.html
Potentially-incompatible changes
--------------------------------
潜在的に非互換な変更
* ssh(1): add a warning when the connection negotiates a non-post
quantum key agreement algorithm.
* ssh(1): ポスト量子鍵合意アルゴリズム以外で接続がネゴシエイトしたら
警告を追加する。
This warning has been added due to the risk of "store now, decrypt
later" attacks. More details at https://openssh.com/pq.html
この警告は、「今保存して、後で復号する」攻撃のリスクに対応するために
追加された。詳細は https://openssh.com/pq.html を参照。
This warning may be controlled via a new WarnWeakCrypto ssh_config
option, defaulting to on. This option is likely to control
additional weak crypto warnings in the future.
この警告は デフォルトが on の WarnWeakCrypto ssh_config 設定項目
によって制御できる。この設定項目は将来は弱い暗号の警告の制御
にも利用されるだろう。
* ssh(1), sshd(8): major changes to handling of DSCP marking/IPQoS
* ssh(1), sshd(8): DSCP マーキング/IPQos の扱いの大きな変更。
Both the client and the server have changed the default DCSP
(a.k.a IPQos) values and the way these values are selected at
runtime.
クライアントとサーバーの双方で、デフォルトの DSCP (別名 IPQoS) 値と
実行時の選択方法が変更された。
Both endpoints now use Expedited Forward (EF) for interactive
traffic by default. This provides better prioritisation,
especially on wireless media (cf. RFC 8325). Non-interactive
traffic now uses the operating system default DSCP marking.
Both the interactive and non-interactive DSCP values may be
overridden via the IPQoS keyword in ssh_config(5) and
sshd_config(5).
両エンドポイントはデフォルトで対話的通信に Expedited Forward (EF)
を使うようになった。これにより、特に無線環境で優先度が改善される
(RFC 8325 を参照)。非対話的通信は OS のデフォルト DSCP マークを利用する。
対話的および非対話的の両方の DSCP 値は ssh_config(5) と sshd_config(5)
の IPQoS キーワードで上書きできる。
The DSCP value selected may now change over the course of a
connection. ssh(1) and sshd(8) will automatically select between
the interactive and non-interactive IPQoS values depending on
the type of SSH channels open. E.g. if a sftp session is using
the connectionn, then the non-interactive value will be used.
接続の過程で選択される DSCP 値は変化するようになった。ssh(1) と
sshd(8) は、開いている SSH チャネルの種類に応じて対話的または
非対話的の IPQoS 値を自動的に選択する。例: sftp セッションが使われて
いる場合は非対話的の値が利用される。
This is important now that the default interactive IPQoS is EF
(Expedited Forwarding), as many networks are configured to allow
only relatively small amounts of traffic of this class and they will
aggressively deprioritise the entire connection if this is exceeded.
デフォルトの対話的 IPQoS が EF (Expedited Forwarding) となったため、
これは重要である。多くのネットワークでは、このクラスのトラフィックを
比較的少量のみ許可するよう設定されており、この上限を超えると接続全体
の優先度を積極的に引き下げる。
* ssh-add(1): when adding certificates to an agent, set the expiry
to the certificate expiry time plus a short (5 min) grace period.
* ssh-add(1): 証明書をエージェントに追加する際、有効期限を証明書の期限に
短い (5分) 猶予を加えたものに設定する。
This will cause the agent to automtically remove certificates shortly
after they expire. A new ssh-add -N option disables this behaviour.
これによりエージェントは証明書が期限切れとなった直後に自動的に削除
するようになる。新しい ssh-add -N オプションでこの挙動を無効化できる。
* All: remove experimental support for XMSS keys. This was never
enabled by default. We expect to implement a new post-quantu
signature scheme in the near future.
* All: XMSS 鍵の実験的サポートを削除。これはデフォルトで有効化された
ことはなかった。近い将来、新しいポスト量子署名スキームを実装予定。
* ssh(1), sshd(8): deprecate support for IPv4 type-of-service (TOS)
keywords in the IPQoS configuration directive.
* ssh(1), sshd(8): IPQoS 設定項目での IPv4 Type-of-Service (TOS)
キーワードのサポートを廃止。
Type of Service (ToS) was deprecated in the late nineties and
replaced with the Differentiated Services architecture. Diffserv
has significant advantages for operators because this mechanism
offers more granularity.
ToS は90年代後半に廃止され、Differentiated Services アーキテクチャに
置き換えられた。DiffServ は運用者にとってより細かな制御が可能という
大きな利点がある。
OpenSSH switched its default IPQoS from ToS to DSCP values in 2018.
OpenSSH は2018年にデフォルト IPQoS を ToS から DSCP に切り替えた。
IPQoS configurations with 'lowdelay', 'reliability', or
'throughput' will be ignored and instead the system default QoS
settings apply. Additionally, a debug message is logged about the
deprecation with a suggestion to use DSCP.
'lowdelay'、'reliability'、'throughput' を利用する IPQoS 設定は無視され、
代わりにシステムのデフォルト QoS 設定が適用される。さらに、
非推奨である旨と DSCP を使うよう提案するデバッグメッセージが記録される。
* ssh-agent(1), sshd(8): move agent listener sockets from /tmp to
under ~/.ssh/agent for both ssh-agent(1) and forwarded sockets
in sshd(8).
* ssh-agent(1), sshd(8): ssh-agent(1) と sshd(8) での転送されたソケットで
エージェントリスナーソケットを /tmp から ~/.ssh/agent 配下に移動する。
This ensures processes that have restricted filesystem access
that includes /tmp do not ambiently have the ability to use keys
in an agent.
これにより、/tmp にアクセス権を持つ制限付きプロセスがエージェントの
鍵を利用できてしまうことを防止する。
Moving the default directory has the consequence that the OS will
no longer clean up stale agent sockets, so ssh-agent now gains
this ability.
デフォルトディレクトリを移動した結果、OS は古いエージェントソケットを
掃除しなくなるため、ssh-agent にこの機能を追加する。
To support $HOME on NFS, the socket path includes a truncated hash of
the hostname. ssh-agent will by default only clean up sockets from
the same hostname.
NFS 上の $HOME をサポートするため、ソケットパスにホスト名の切り詰め
ハッシュを含める。ssh-agent はデフォルトで同じホスト名のソケットだけ
を掃除する。
ssh-agent(1) gains some new flags: -U suppresses the automatic
cleanup of stale sockets when it starts. -u forces a cleanup
without keeping a running agent, -uu forces a cleanup that ignores
the hostname. -T makes ssh-agent put the socket back in /tmp.
ssh-agent(1) に新しいフラグを追加する:
-U は起動時の古いソケット自動掃除を抑制。
-u は実行中のエージェントを残さず掃除だけ実行。
-uu はホスト名を無視して掃除。
-T はソケットを再び /tmp に置く。
Changes since OpenSSH 10.0
==========================
OpenSSH 10.0 からの変更点
New features
------------
新機能
* ssh(1), sshd(8): add SIGINFO handlers to log active channel and
session information.
* ssh(1), sshd(8): アクティブなチャネルとセッション情報をログに記録する
SIGINFO ハンドラを追加する。
* sshd(8): when refusing a certificate for user authentication, log
enough information to identify the certificate in addition to the
reason why it was being denied. Makes debugging certificate
authorisation problems a bit easier.
* sshd(8): ユーザー認証で証明書を拒否する際、なぜ拒否したかの理由に加えて
証明書を特定できる十分な情報をログに記録する。証明書認可のデバッグが
少し容易になる。
* ssh(1), ssh-agent(1): support ed25519 keys hosted on PKCS#11
tokens.
* ssh(1), ssh-agent(1): PKCS#11 トークン上の ed25519 鍵をサポートする。
* ssh(1): add a ssh_config(5) RefuseConnection option that, when
encountered while processing an active section in a
configuration terminates ssh(1) with an error message that
contains the argument to the option.
* ssh(1): ssh_config(5) に RefuseConnection 設定項目を追加する。
アクティブなセクションの処理中にこの設定項目が検出された場合、
設定項目の引数を含むエラーメッセージ を出力して ssh(1) を終了する。
This may be useful for expressing reminders or warnings in config
files, for example:
これは設定ファイル内で注意喚起や警告を示すのに役立つ。例:
Match host foo
RefuseConnection "foo is deprecated, use splork instead"
* sshd(8): make the X11 display number check relative to
X11DisplayOffset. This will allows people to use X11DisplayOffset
to configure much higher port ranges if they really want, while
not changing the default behaviour.
* sshd(8): X11 ディスプレイ番号のチェックを X11DisplayOffset に相対化する。
これにより、本当にユーザーが必要としている場合に
X11DisplayOffset を使って非常に広いポート範囲を設定できる
ようになるが、デフォルトの挙動は変更していない。
* unit tests: the unit test framework now includes some basic
benchmarking capabilities. Run with "make UNITTEST_BENCHMARK=yes"
on OpenBSD or "make unit-bench" on Portable OpenSSH.
* ユニットテスト: フレームワークに簡易ベンチマーク機能を追加する。
OpenBSD では "make UNITTEST_BENCHMARK=yes"、Portable OpenSSH では
"make unit-bench" で実行可能。
Bugfixes
--------
バグ修正
* sshd(8): fix mistracking of MaxStartups process exits in some
situations. At worst, this could cause all MaxStartups slots to
fill and sshd to refuse new connections.
* sshd(8): 一部状況で MaxStartups プロセス終了を誤って追跡する不具合を修正する。
最悪の場合、すべての MaxStartups スロットが埋まり新規接続を拒否する。
* ssh(1): fix delay on X client startup when ObscureKeystrokeTiming
is enabled. bz#3820
* ssh(1): ObscureKeystrokeTiming 有効時に X クライアント起動が遅れる不具合を
修正する。bz#3820
* sshd(8): increase the maximum size of the supported configuration
from 256KB to 4MB, which ought to be enough for anybody. Fail
early and visibly when this limit is breached. bz3808
* sshd(8): サポートする設定ファイルサイズの上限を 256KB から
誰にとっても十分な 4MB に拡張する。
この制限を超過した場合は即座にかつ明確に失敗する。bz3808
* sftp(1): during sftp uploads, avoid a condition where a failed
write could be ignored if a subsequent write succeeded. This is
unlikely but technically possible because sftp servers are
allowed to reorder requests.
* sftp(1): アップロード時、失敗した書き込みがその後の成功した書き込みで
無視される可能性がある不具合を修正。sftp サーバーは要求の順序を
入れ替えることが許されているため、技術的に起こりうる。
* sftp(1): avoid a fatal() when sftp tab-completes filenames that
share common utf-8 characters that don't encode to a complete
codepoint.
* sftp(1): 完全なコードポイントにエンコードされない共通の UTF-8 文字を
共有するファイル名を sftp がタブ補完する際に、fatal() を回避する。
* sshd(8): avoid a race condition when the sshd-auth process exits
tha could cause a spurious error message to be logged.
* sshd(8): sshd-auth プロセス終了時の競合状態を回避する。
誤ったエラーメッセージが記録されるのを防止する。
* sshd(8): log at level INFO when PerSourcePenalties actually
blocks access to a source address range. Previously this was
logged at level VERBOSE, which hid enforcement actions under
default config settings.
* sshd(8): PerSourcePenalties が実際にアドレス範囲をブロックした際、
INFO レベルでログ出力する。以前は VERBOSE で出力され、
デフォルト設定ではブロックされたことが見えなかった。
* sshd(8): GssStrictAcceptor was missing from sshd -T output; fix
* sshd(8): sshd -T の出力に GssStrictAcceptor が欠落していた不具合を修正する。
* sshd(8): Make the MaxStartups and PerSourceNetBlockSize options
first-match-wins as advertised. bz3859
* sshd(8): MaxStartups および PerSourceNetBlockSize オプションを
ドキュメントどおり「最初にマッチしたものが優先」とする。bz3859
* ssh(1): fix an incorrect return value check in the local forward
cancellation path that would cause failed cancellations not to be
logged.
* ssh(1): ローカル転送キャンセルの処理で誤った戻り値チェックがあり、
失敗したキャンセルがログに残らない不具合を修正する。
* sshd(8): make "Match !final" not trigger a 2nd pass ssh_config
parsing pass (unless hostname canonicalisation or a separate
"Match final" does). bz3843
* sshd(8): "Match !final" が 2回目の ssh_config 解析を起動しないよう修正する
(ただしホスト名正規化や "Match final" がある場合を除く)。bz3843
* ssh(1): better debug diagnostics when loading keys. Will now list
key fingerprint and algorithm (not just algorithm number) as well
as making it explicit which keys didn't load.
* ssh(1): 鍵読み込み時のデバッグ情報を改善する。アルゴリズム番号だけでなく
フィンガープリントとアルゴリズムを出力し、読み込めなかった鍵を明示する。
* All: fix a number of memory leaks found by LeakSanitizer,
Coverity and manual inspection.
* All: LeakSanitizer、Coverity、手動検査で見つかった多数のメモリリークを修正する。
* sshd(8): : Output the current name for PermitRootLogin's
"prohibit-password" in sshd -T instead of its deprecated alias
"without-password". bz#3788
* sshd(8): sshd -T で PermitRootLogin の 現在の名称である
"prohibit-password" を出力する。非推奨の "without-password" は使わない。bz#3788
* ssh(1): make writing known_hosts lines more atomic by writing
the entire line in one operation and using unbuffered stdio.
* ssh(1): known_hosts の行を書き込む際、行全体を一度に unbuffered stdio
で書き込むことでよりアトミックに書き込む。
Usually writes to this file are serialised on the "Are you sure you
want to continue connecting?" prompt, but if host key checking is
disabled and connections were being made with high concurrency
then interleaved writes might have been possible.
通常、このファイルへの書き込みは「接続を続けますか?」プロンプトで直列化
されるが、ホスト鍵チェックが無効で高並列に接続すると書き込みが
混ざる可能性があった。
Portability
-----------
移植性
* sshd(8): check the username didn't change during the PAM
transactions.
* sshd(8): PAM トランザクション中にユーザー名が変更されていないか確認する。
PAM modules can change the user during their execution, but
this is not supported by sshd(8). If such a case was incorrectly
configured by the system administrator, then sshd(8) could end up
using a different username to the one authorised by PAM.
PAMモジュールは実行中にユーザーを変更できるが、 sshd(8)ではこの機能はサポートしていない。
システム管理者が誤ってこのような設定を行った場合、sshd(8)は
PAMによって認証されたユーザー名とは異なるユーザー名を使用する可能性がある。
* sshd(8): don't log audit messages with UNKNOWN hostname to avoid
slow DNS lookups in the audit subsystem.
* sshd(8): 監査サブシステムで UNKNOWN なホスト名による遅い DNS ルックアップを
回避するため、そのような監査メッセージをログに記録しないようにする。
* All: when making a copy of struct passwd, ensure struct fields are
non-NULL. Android libc can return NULL pw_gecos, for example.
* All: struct passwd をコピーする際、フィールドが非 NULL であることを保証する。
例えば、Android libc は NULL な pw_gecos を返すことがある。
* All: Remove status bits from OpenSSL >=3 version check.
* All: OpenSSL >=3 のバージョンチェックからステータスビットを削除する。
* sshd(8), ssh(1): Use SSH_TUN_COMPAT_AF on FreeBSD. Otherwise tun
forwarding from other OSes fails as soon as the first IPv6 message
is sent by the other side (which is usually a Router Solicitation
ICMPv6 message which is sent as soon as the interface is up).
* sshd(8), ssh(1): FreeBSD で SSH_TUN_COMPAT_AF を使用する。
そうしないと、相手側が最初の IPv6 メッセージを送信した時点で
tun 転送が失敗する(通常はインターフェース起動直後に
送信されるルーター要請 ICMPv6 メッセージ)。
* ssh(1), ssh-agent(8): check for nlist function presence before
attenmpting to use it instead of relying on the presence of the
nlist.h header. Mac OS X, in particular has the header, but only
has the function in the 32bit libraries.
* ssh(1)、ssh-agent(8): nlist 関数の存在を確認してから使用を試みる。
nlist.h ヘッダーの存在に依存しないようにする。
特に Mac OS X ではヘッダーは存在するが、関数は 32 ビットライブラリにのみ存在する。
* All: fill in missing system header files.
* All: 不足しているシステムヘッダーファイルを補完する。
Create replacement header files inside openbsd-compat for common
headers that are missing on a given platform. Usually these are
just empty, but in some cases they'll include the equivalent file.
This avoids having to wrap those includes in '#ifdef HAVE_FOO_H'
and reduces the diff between Portable OpenSSH and OpenBSD.
特定のプラットフォームで欠落している共通ヘッダーファイルの
代替ヘッダーファイルを openbsd-compat 内に作成する。通常これらは空ファイルだが、
場合によっては同等のファイルをインクルードする。これにより、
それらのインクルードを '#ifdef HAVE_FOO_H' で囲む必要がなくなり、
Portable OpenSSH と OpenBSD 間の差分が減少する。
* sshd(8): handle futex_time64 properly in seccomp sandbox
Previously we only allowed __NR_futex, but some 32-bit systems
apparently support __NR_futex_time64. We had support for this
in the sandbox, but because of a macro error only __NR_futex was
allowlisted.
* sshd(8): seccomp サンドボックスで futex_time64 を正しく処理する。
以前は __NR_futex のみ許可していたが、一部 32 ビットシステムは
__NR_futex_time64 をサポートしているようだ。サンドボックス内では
これに対応していたが、マクロエラーのため許可リストに
__NR_futex のみが登録されていた。
* Add contrib/gnome-ssh-askpass4 for GNOME 40+ using the GCR API.
* GNOME 40+ 用に GCR API を使用する contrib/gnome-ssh-askpass4 を追加する。
* sshd(8): let ga_init() fail gracefully if getgrouplist does.
Apparently getgrouplist() can fail on OSX when passed a
non-existent group name. Other platforms seem to return a group
list consisting of the numeric gid passed to the function. bz3848
* sshd(8): getgrouplist が失敗した場合に ga_init() が適切に失敗するように修正する。
OSX では、存在しないグループ名を渡した場合に getgrouplist() が失敗する可能性がある。
他のプラットフォームでは、関数に渡された数値の gid のみで構成されるグループリストを返すようだ。bz3848
* ssh-agent(1): exit 0 from SIGTERM under systemd socket-activation,
preventing a graceful shutdown of an agent via systemd from
incorrectly marking the service as "failed".
* ssh-agent(1): systemd ソケット起動下で SIGTERM による終了コード 0 を返すことで、
systemd 経由でのエージェントの正常なシャットダウンが妨げられ、
サービスが誤って「失敗」とマークされるのを防止する。
* build: wrap some autoconf macros in AC_CACHE_CHECK.
* build: 一部 autoconf マクロを AC_CACHE_CHECK でラップする。
This allows skipping/overriding the OSSH_CHECK_CFLAG_COMPILE and
OSSH_CHECK_CFLAG_LINK macros used to discover supported compiler
or linker flags. E.g.
これにより、例えば次のようにコンパイラやリンカのフラグを見付けるのに
OSSH_CHECK_CFLAG_COMPILE や OSSH_CHECK_CFLAG_LINK マクロをスキップまたは
上書きできる。例:
$ ./configure ossh_cv_cflag__fzero_call_used_regs_used=no
[...]
checking if cc supports compile flag -fzero-call-used-regs=used and linking succeeds... (cached) no