OpenSSH 10.3 リリース準備中 / Call for testing: OpenSSH 10.3
OpenSSH 10.3 がリリース準備中です.
Call for testing: openssh-10.3
# https://lists.mindrot.org/pipermail/openssh-unix-dev/2026-March/042389.html
Potentially-incompatible changes
--------------------------------
互換性がなくなる可能性がある変更
* ssh(1), sshd(8): remove bug compatibility for implementations
that don't support rekeying. If such an implementation tries to
interoperate with OpenSSH, it will now eventually fail when the
transport needs rekeying.
ssh(1), sshd(8): 鍵の再生成をサポートしない実装に対する
バグ互換性を削除する。そのような実装が OpenSSH と相互運用しようとすると、
トランスポートが鍵の再生成を必要とする際に最終的に失敗するようになる。
* ssh(1), sshd(8): no longer treat an empty certificate principals
section as wildcard. This behaviour was inconsistently supported
(e.g. it wasn't supported via TrustedUserCAKeys) and dangerous in
that it could cause a mistake by the CA as creating very powerful
certificates.
ssh(1), sshd(8): 空の証明書プリンシパルセクションをワイルドカードとして
扱わないようにする。この動作は一貫してサポートされていなかった
(例: TrustedUserCAKeys ではサポートされていなかった) し、
CA のミスにより非常に強力な証明書が作成される可能性がある点で危険だった。
This release also fixes interpretation of wildcard characters in
certificate principals. Now they are consistently implemented for
host certificates and not supported for user certificates.
このリリースでは、証明書プリンシパルにおけるワイルドカード文字の
解釈も修正する。ホスト証明書では一貫して実装され、
ユーザー証明書ではサポートされなくなった。
Changes since OpenSSH 10.2
==========================
OpenSSH 10.2 からの変更点
New features
------------
新機能
* ssh(1), sshd(8): support IANA-assigned codepoints for SSH agent
forwarding, as per draft-ietf-sshm-ssh-agent. Support for the new
names is advertised via the EXT_INFO message. If a server offers
support for the new names, then they are used preferentially.
ssh(1), sshd(8): draft-ietf-sshm-ssh-agent に従い、SSH エージェント
転送用の IANA 割り当てコードポイントをサポートする。新しい名前の
サポートは EXT_INFO メッセージを通じて通知される。サーバーが新しい名前の
サポートを提供する場合、それらが優先的に使用される。
Support for the pre-standardisation "@openssh.com" extensions for
agent forwarding remain supported.
エージェント転送用の標準化前の "@openssh.com" 拡張の
サポートは引き続き維持される。
* ssh-agent(1): implement support for draft-ietf-sshm-ssh-agent
"query" extension.
ssh-agent(1): draft-ietf-sshm-ssh-agent の "query" 拡張の
サポートを実装する。
* ssh-add(1): support querying the protocol extensions via the
agent "query" extension with a new -Q flag.
ssh-add(1): 新しい -Q フラグでエージェントの "query" 拡張を通じて
プロトコル拡張を照会するサポートを追加する。
* ssh(1): support multiple files in a ssh_config RevokedHostKeys
directive. bz3918
ssh(1): ssh_config の RevokedHostKeys ディレクティブで
複数のファイルをサポートする。 bz3918
* sshd(8): support multiple files in a sshd_config RevokedKeys
directive bz3918
sshd(8): sshd_config の RevokedKeys ディレクティブで
複数のファイルをサポートする。 bz3918
* ssh(1): add a ~I escape option that shows information about the
current SSH connection.
ssh(1): 現在の SSH 接続に関する情報を表示する ~I エスケープ
オプションを追加する。
* ssh(1): add an "ssh -Oconninfo user@host" multiplexing command
that shows connection information, similar to the ~I escapechar.
ssh(1): ~I エスケープ文字と同様に接続情報を表示する
"ssh -Oconninfo user@host" 多重化コマンドを追加する。
* ssh(1): add a "ssh -O channels user@host" multiplexing command to
get a running mux process to show information about what channels
are currently open.
ssh(1): 実行中の mux プロセスから現在開いているチャネルの
情報を表示する "ssh -O channels user@host" 多重化コマンドを追加する。
* sshd(8): add 'invaliduser' penalty to PerSourcePenalties, which is
applied to login attempts for usernames that do not match real
accounts. defaults to 5s to match 'authfail' but allows
administrators to block such attempts for longer if desired.
sshd(8): PerSourcePenalties に 'invaliduser' ペナルティを追加する。
これは実際のアカウントと一致しないユーザー名でのログイン試行に
適用される。デフォルトは 'authfail' と一致する 5 秒だが、
管理者が望む場合はそのような試行をより長くブロックできる。
* sshd(8): add a GssDelegateCreds option for the server, controlling
whether it accepts delgated credentials offered by the client.
This option mirrors the GssDelegateCreds option in ssh_config.
GHPR614
sshd(8): サーバー用の GssDelegateCreds オプションを追加する。
クライアントが提供する委任された資格情報を受け入れるかどうかを制御する。
このオプションは ssh_config の GssDelegateCreds オプションと対になる。
GHPR614
* ssh(1), sshd(8): support the VA DSCP codepoint in the IPQoS
directive.
ssh(1), sshd(8): IPQoS ディレクティブで VA DSCP コードポイントを
サポートする。
* sshd(8): convert PerSourcePenalties to using floating point time,
allowing penalties to be less than a second. This is useful if you
need to penalise things you expect to occur at >=1 QPS.
sshd(8): PerSourcePenalties を浮動小数点時間に変換し、
1 秒未満のペナルティを可能にする。これは 1 QPS 以上で発生すると
予想されるものにペナルティを課す必要がある場合に有用である。
* ssh-keygen(1): support writing ED25519 keys in PKCS8 format.
GHPR570
ssh-keygen(1): ED25519 キーを PKCS8 形式で書き込むサポートを追加する。
GHPR570
* Support the ed25519 signature scheme via libcrypto.
libcrypto 経由で ed25519 署名スキームをサポートする。
Bugfixes
--------
バグ修正
* sshd(8): make IPQoS first-match-wins in sshd_config, like other
configuration directives. bz3924
sshd(8): sshd_config で IPQoS を他の設定ディレクティブと同様に
最初の一致が優先されるようにする。 bz3924
* sshd(8): fix a potential hang during key exchange if needed DH
group values were missing from /etc/moduli.
sshd(8): 必要な DH グループ値が /etc/moduli にない場合の
鍵交換中の潜在的なハングを修正する。
* ssh-agent(1): fix return values from extensions to be correct wrt
draft-ietf-sshm-ssh-agent: extension requests should indicate
failure using SSH_AGENT_EXTENSION_FAILURE rather than the generic
SSH_AGENT_FAILURE error code. This allows the client to discern
between "the request failed" and "the agent doesn't support this
extension".
ssh-agent(1): draft-ietf-sshm-ssh-agent に対して正しくなるよう
拡張からの戻り値を修正する。拡張リクエストは汎用的な
SSH_AGENT_FAILURE エラーコードではなく
SSH_AGENT_EXTENSION_FAILURE を使用して失敗を示すべきである。
これにより、クライアントは「リクエストが失敗した」のか
「エージェントがこの拡張をサポートしていない」のかを区別できる。
* ssh(1): use fmprintf for showing challenge-response name and info
to preserve UTF-8 characters where appropriate. Prompted by github
PR#452.
ssh(1): チャレンジレスポンスの名前と情報の表示に fmprintf を使用し、
適切な場合に UTF-8 文字を保持する。github PR#452 による。
* scp(1): when uploading a directory using sftp/sftp (e.g. during a
recursive transfer), don't clobber the remote directory
permissions unless either we created the directory during the
transfer or the -p flag was set. bz3925
scp(1): sftp を使用してディレクトリをアップロードする場合
(例: 再帰転送中)、転送中にディレクトリを作成した場合または
-p フラグが設定されている場合を除き、リモートディレクトリの
パーミッションを上書きしない。 bz3925
* All: implement missing pieces of FIDO/webauthn signature support,
mostly related to certificate handling and enable acceptance of this
signature format by default. bz3748 GHPR624 GHPR625
All: FIDO/webauthn 署名サポートの欠落部分を実装する。
主に証明書の処理に関連し、この署名形式のデフォルトでの
受け入れを有効にする。 bz3748 GHPR624 GHPR625
* sshd_config(5): make it clear that DenyUsers/DenyGroups overrides
AllowUsers/AllowGroups. Previously we specified the order in which
the directives are processed but it was ambiguous as to what
happened if both matched.
sshd_config(5): DenyUsers/DenyGroups が AllowUsers/AllowGroups を
オーバーライドすることを明確にする。以前はディレクティブが処理される
順序を指定していたが、両方が一致した場合に何が起こるかは曖昧だった。
* ssh(1): don't try to match certificates held in an agent to
private keys. This matching is done to support certificates that
were loaded without their private key material, but is
unnecessary for agent-hosted certificate which always have
private key material available in the agent. Worse, this matching
would mess up the request sent to the agent in such a way as to
break usage of these keys when the key usage was restricted in
the agent. bz3752
ssh(1): エージェントに保持されている証明書を秘密鍵と照合しようと
しない。この照合は秘密鍵素材なしで読み込まれた証明書をサポートする
ために行われるが、エージェントでホストされた証明書では常に秘密鍵素材が
エージェントで利用可能であるため不要である。さらに、この照合は
エージェントで鍵の使用が制限されている場合にエージェントに送信される
リクエストを壊し、これらの鍵の使用を破壊する可能性があった。 bz3752
* sftp(1): if editline has been switched to vi mode (i.e. via "bind
-v" in .editrc), setup a keybinding so that command mode can be
entered.
sftp(1): editline が vi モードに切り替えられている場合
(例: .editrc の "bind -v")、コマンドモードに入れるように
キーバインドを設定する。
* ssh(1), sshd(8): improve performance of keying the sntrup761 key
agreement algorithm.
ssh(1), sshd(8): sntrup761 鍵合意アルゴリズムの鍵生成
パフォーマンスを改善する。
* ssh(1), sshd(8): enforce maximum packet/block limit during
pre-authentication phase.
ssh(1), sshd(8): 認証前フェーズ中に最大パケット/ブロック制限を
強制する。
* sftp(1): don't misuse the sftp limits extension's open-handles
field. This value is supposed to be the number of handles a
server will allow to be opened and not a number of outstanding
read/write requests that can be sent during an upload/download.
sftp(1): sftp limits 拡張の open-handles フィールドを誤用しない。
この値はサーバーが開くことを許可するハンドル数であり、
アップロード/ダウンロード中に送信できる未処理の
読み取り/書き込みリクエスト数ではない。
* sshd(8): don't crash at connection time if the main sshd_config
lacks any subsystem directive but one is defined in a Match block
bz#3906.
sshd(8): メインの sshd_config に subsystem ディレクティブがないが
Match ブロックで定義されている場合に、接続時にクラッシュしない。
bz3906
* sshd_config(5): add a warning next to the ForceCommand directive
that forcing a command doesn't automatically disable forwarding.
sshd_config(5): ForceCommand ディレクティブの隣に、コマンドの
強制は自動的にフォワーディングを無効にしないという警告を追加する。
* sshd_config(5): add a warning that TOKENS are replaced without
filtering or escaping and that it's the administrator's
responsibility to ensure they are used safely in context.
sshd_config(5): TOKENS はフィルタリングやエスケープなしに
置換されるため、コンテキスト内で安全に使用されることを確認するのは
管理者の責任であるという警告を追加する。
* scp(1): correctly quote filenames in verbose output for local->
local copies. bz3900
scp(1): ローカル間コピーの詳細出力でファイル名を正しく
クォートする。 bz3900
* sshd(8): don't mess up the PerSourceNetBlockSize IPv6 mask if
sscanf didn't decode it. GHPR598
sshd(8): sscanf がデコードしなかった場合に
PerSourceNetBlockSize の IPv6 マスクを壊さない。 GHPR598
* ssh-add(1): when loading FIDO2 resident keys, set the comment to
the FIDO application string. This matches the behaviour of
ssh-keygen -K. GHPR608
ssh-add(1): FIDO2 レジデントキーを読み込む際、コメントを
FIDO アプリケーション文字列に設定する。これは ssh-keygen -K の
動作と一致する。 GHPR608
* sshd(8): don't strnvis() log messages that are going to be logged
by sshd-auth via its parent sshd-session process, as the parent
will also run them though strnvis(). Prevents double-escaping of
non-printing characters in some log messages. bz3896
sshd(8): sshd-auth が親の sshd-session プロセスを通じてログに記録する
メッセージに strnvis() を適用しない。親も strnvis() を実行するため
である。一部のログメッセージで非印字文字の二重エスケープを防止する。
bz3896
* ssh-agent(1): escape SSH_AUTH_SOCK paths that are sent to the
shell as setenv commands. Unbreaks ssh-agent for home directory
paths that contain whitespace. bz3884
ssh-agent(1): シェルに setenv コマンドとして送信される
SSH_AUTH_SOCK パスをエスケープする。空白を含むホームディレクトリ
パスでの ssh-agent を修正する。 bz3884
* All: Remove unnecessary checks for ECDSA public key validity.
All: ECDSA 公開鍵の有効性の不要なチェックを削除する。
* sshd(8): activate UnusedConnectionTimeout only after the last
channel has closed. Previously UnusedConnectionTimeout could fire
early after a ChannelTimeout. This was not a problem for the
OpenSSH client because it terminates once all channels have
closed but could cause problems for other clients (e.g. API
clients) that do things differently. bz3827
sshd(8): 最後のチャネルが閉じた後にのみ UnusedConnectionTimeout を
アクティブにする。以前は ChannelTimeout の後に
UnusedConnectionTimeout が早期に発火する可能性があった。これは
OpenSSH クライアントではすべてのチャネルが閉じると終了するため
問題ではなかったが、異なる動作をする他のクライアント
(例: API クライアント) では問題を引き起こす可能性があった。 bz3827
* All: fix PKCS#11 key PIN entry problems introduced in
openssh-10.1/10.2. bz3879
All: openssh-10.1/10.2 で導入された PKCS#11 キーの PIN 入力問題を
修正する。 bz3879
* scp(1): when using the SFTP protocol for transfers, fix implicit
destination path selection when source path ends with "..". bz3871
scp(1): SFTP プロトコルを使用した転送で、ソースパスが ".." で
終わる場合の暗黙の宛先パス選択を修正する。 bz3871
* sftp(1): when tab-completing a filename, ensure that the completed
string does not end up mid-way through a multibyte character, as
this will cause a fatal() later on. GHPR#587
sftp(1): ファイル名のタブ補完時に、補完された文字列がマルチバイト文字の
途中で終わらないようにする。そうでないと後で fatal() が発生する。
GHPR#587
* ssh-keygen(1): fix crash at exit (visible via ssh-keygen -D) when
multiple keys loaded.
ssh-keygen(1): 複数のキーが読み込まれている場合の終了時の
クラッシュを修正する (ssh-keygen -D で顕在化する)。
Portability
-----------
移植性
* sshd(8): immediately report interactive instructions to clients
when using keyboard-interactive authentication with PAM. bz2876
sshd(8): PAM を使用したキーボードインタラクティブ認証時に、
インタラクティブな指示をクライアントに即座に報告する。 bz2876
* sshd(8): fix duplicate PAM messages under some situations.
sshd(8): 一部の状況で PAM メッセージが重複する問題を修正する。
* sshd(8): don't leak PAM handle on repeat invocations. bz3882
sshd(8): 繰り返しの呼び出しで PAM ハンドルをリークしない。 bz3882
* All: support linking libcrypto implementations (e.g. BoringSSL)
that required libstdc++.
All: libstdc++ を必要とする libcrypto 実装
(例: BoringSSL) のリンクをサポートする。
* sshd(8): fix ut_type for btmp records, correctly using
LOGIN_PROCESS and USER_PROCESS.
sshd(8): btmp レコードの ut_type を修正し、LOGIN_PROCESS と
USER_PROCESS を正しく使用する。
* sshd(8): allow uname(3) in the seccomp sandbox. This is needed by
zlib-ng on RISC-V platforms.
sshd(8): seccomp サンドボックスで uname(3) を許可する。
これは RISC-V プラットフォームの zlib-ng に必要である。
* All: remove remaining OpenSSL_add_all_algorithms() calls.
We already have OPENSSL_init_crypto() in the compat layer.
Prompted by github PR#606
All: 残りの OpenSSL_add_all_algorithms() 呼び出しを削除する。
互換レイヤーに既に OPENSSL_init_crypto() がある。
github PR#606 による。
* All: fix builds on older Mac OS wrt nfds_t.
All: nfds_t に関する古い Mac OS でのビルドを修正する。
* mdoc2man: several improvements including better support for Dl
and Ns inside Ic.
mdoc2man: Ic 内の Dl と Ns のサポート改善を含むいくつかの改善。