# https://lists.mindrot.org/pipermail/openssh-unix-dev/2026-March/042389.html Potentially-incompatible changes -------------------------------- 互換性がなくなる可能性がある変更 * ssh(1), sshd(8): remove bug compatibility for implementations that don't support rekeying. If such an implementation tries to interoperate with OpenSSH, it will now eventually fail when the transport needs rekeying. ssh(1), sshd(8): 鍵の再生成をサポートしない実装に対する バグ互換性を削除する。そのような実装が OpenSSH と相互運用しようとすると、 トランスポートが鍵の再生成を必要とする際に最終的に失敗するようになる。 * ssh(1), sshd(8): no longer treat an empty certificate principals section as wildcard. This behaviour was inconsistently supported (e.g. it wasn't supported via TrustedUserCAKeys) and dangerous in that it could cause a mistake by the CA as creating very powerful certificates. ssh(1), sshd(8): 空の証明書プリンシパルセクションをワイルドカードとして 扱わないようにする。この動作は一貫してサポートされていなかった (例: TrustedUserCAKeys ではサポートされていなかった) し、 CA のミスにより非常に強力な証明書が作成される可能性がある点で危険だった。 This release also fixes interpretation of wildcard characters in certificate principals. Now they are consistently implemented for host certificates and not supported for user certificates. このリリースでは、証明書プリンシパルにおけるワイルドカード文字の 解釈も修正する。ホスト証明書では一貫して実装され、 ユーザー証明書ではサポートされなくなった。 Changes since OpenSSH 10.2 ========================== OpenSSH 10.2 からの変更点 New features ------------ 新機能 * ssh(1), sshd(8): support IANA-assigned codepoints for SSH agent forwarding, as per draft-ietf-sshm-ssh-agent. Support for the new names is advertised via the EXT_INFO message. If a server offers support for the new names, then they are used preferentially. ssh(1), sshd(8): draft-ietf-sshm-ssh-agent に従い、SSH エージェント 転送用の IANA 割り当てコードポイントをサポートする。新しい名前の サポートは EXT_INFO メッセージを通じて通知される。サーバーが新しい名前の サポートを提供する場合、それらが優先的に使用される。 Support for the pre-standardisation "@openssh.com" extensions for agent forwarding remain supported. エージェント転送用の標準化前の "@openssh.com" 拡張の サポートは引き続き維持される。 * ssh-agent(1): implement support for draft-ietf-sshm-ssh-agent "query" extension. ssh-agent(1): draft-ietf-sshm-ssh-agent の "query" 拡張の サポートを実装する。 * ssh-add(1): support querying the protocol extensions via the agent "query" extension with a new -Q flag. ssh-add(1): 新しい -Q フラグでエージェントの "query" 拡張を通じて プロトコル拡張を照会するサポートを追加する。 * ssh(1): support multiple files in a ssh_config RevokedHostKeys directive. bz3918 ssh(1): ssh_config の RevokedHostKeys ディレクティブで 複数のファイルをサポートする。 bz3918 * sshd(8): support multiple files in a sshd_config RevokedKeys directive bz3918 sshd(8): sshd_config の RevokedKeys ディレクティブで 複数のファイルをサポートする。 bz3918 * ssh(1): add a ~I escape option that shows information about the current SSH connection. ssh(1): 現在の SSH 接続に関する情報を表示する ~I エスケープ オプションを追加する。 * ssh(1): add an "ssh -Oconninfo user@host" multiplexing command that shows connection information, similar to the ~I escapechar. ssh(1): ~I エスケープ文字と同様に接続情報を表示する "ssh -Oconninfo user@host" 多重化コマンドを追加する。 * ssh(1): add a "ssh -O channels user@host" multiplexing command to get a running mux process to show information about what channels are currently open. ssh(1): 実行中の mux プロセスから現在開いているチャネルの 情報を表示する "ssh -O channels user@host" 多重化コマンドを追加する。 * sshd(8): add 'invaliduser' penalty to PerSourcePenalties, which is applied to login attempts for usernames that do not match real accounts. defaults to 5s to match 'authfail' but allows administrators to block such attempts for longer if desired. sshd(8): PerSourcePenalties に 'invaliduser' ペナルティを追加する。 これは実際のアカウントと一致しないユーザー名でのログイン試行に 適用される。デフォルトは 'authfail' と一致する 5 秒だが、 管理者が望む場合はそのような試行をより長くブロックできる。 * sshd(8): add a GssDelegateCreds option for the server, controlling whether it accepts delgated credentials offered by the client. This option mirrors the GssDelegateCreds option in ssh_config. GHPR614 sshd(8): サーバー用の GssDelegateCreds オプションを追加する。 クライアントが提供する委任された資格情報を受け入れるかどうかを制御する。 このオプションは ssh_config の GssDelegateCreds オプションと対になる。 GHPR614 * ssh(1), sshd(8): support the VA DSCP codepoint in the IPQoS directive. ssh(1), sshd(8): IPQoS ディレクティブで VA DSCP コードポイントを サポートする。 * sshd(8): convert PerSourcePenalties to using floating point time, allowing penalties to be less than a second. This is useful if you need to penalise things you expect to occur at >=1 QPS. sshd(8): PerSourcePenalties を浮動小数点時間に変換し、 1 秒未満のペナルティを可能にする。これは 1 QPS 以上で発生すると 予想されるものにペナルティを課す必要がある場合に有用である。 * ssh-keygen(1): support writing ED25519 keys in PKCS8 format. GHPR570 ssh-keygen(1): ED25519 キーを PKCS8 形式で書き込むサポートを追加する。 GHPR570 * Support the ed25519 signature scheme via libcrypto. libcrypto 経由で ed25519 署名スキームをサポートする。 Bugfixes -------- バグ修正 * sshd(8): make IPQoS first-match-wins in sshd_config, like other configuration directives. bz3924 sshd(8): sshd_config で IPQoS を他の設定ディレクティブと同様に 最初の一致が優先されるようにする。 bz3924 * sshd(8): fix a potential hang during key exchange if needed DH group values were missing from /etc/moduli. sshd(8): 必要な DH グループ値が /etc/moduli にない場合の 鍵交換中の潜在的なハングを修正する。 * ssh-agent(1): fix return values from extensions to be correct wrt draft-ietf-sshm-ssh-agent: extension requests should indicate failure using SSH_AGENT_EXTENSION_FAILURE rather than the generic SSH_AGENT_FAILURE error code. This allows the client to discern between "the request failed" and "the agent doesn't support this extension". ssh-agent(1): draft-ietf-sshm-ssh-agent に対して正しくなるよう 拡張からの戻り値を修正する。拡張リクエストは汎用的な SSH_AGENT_FAILURE エラーコードではなく SSH_AGENT_EXTENSION_FAILURE を使用して失敗を示すべきである。 これにより、クライアントは「リクエストが失敗した」のか 「エージェントがこの拡張をサポートしていない」のかを区別できる。 * ssh(1): use fmprintf for showing challenge-response name and info to preserve UTF-8 characters where appropriate. Prompted by github PR#452. ssh(1): チャレンジレスポンスの名前と情報の表示に fmprintf を使用し、 適切な場合に UTF-8 文字を保持する。github PR#452 による。 * scp(1): when uploading a directory using sftp/sftp (e.g. during a recursive transfer), don't clobber the remote directory permissions unless either we created the directory during the transfer or the -p flag was set. bz3925 scp(1): sftp を使用してディレクトリをアップロードする場合 (例: 再帰転送中)、転送中にディレクトリを作成した場合または -p フラグが設定されている場合を除き、リモートディレクトリの パーミッションを上書きしない。 bz3925 * All: implement missing pieces of FIDO/webauthn signature support, mostly related to certificate handling and enable acceptance of this signature format by default. bz3748 GHPR624 GHPR625 All: FIDO/webauthn 署名サポートの欠落部分を実装する。 主に証明書の処理に関連し、この署名形式のデフォルトでの 受け入れを有効にする。 bz3748 GHPR624 GHPR625 * sshd_config(5): make it clear that DenyUsers/DenyGroups overrides AllowUsers/AllowGroups. Previously we specified the order in which the directives are processed but it was ambiguous as to what happened if both matched. sshd_config(5): DenyUsers/DenyGroups が AllowUsers/AllowGroups を オーバーライドすることを明確にする。以前はディレクティブが処理される 順序を指定していたが、両方が一致した場合に何が起こるかは曖昧だった。 * ssh(1): don't try to match certificates held in an agent to private keys. This matching is done to support certificates that were loaded without their private key material, but is unnecessary for agent-hosted certificate which always have private key material available in the agent. Worse, this matching would mess up the request sent to the agent in such a way as to break usage of these keys when the key usage was restricted in the agent. bz3752 ssh(1): エージェントに保持されている証明書を秘密鍵と照合しようと しない。この照合は秘密鍵素材なしで読み込まれた証明書をサポートする ために行われるが、エージェントでホストされた証明書では常に秘密鍵素材が エージェントで利用可能であるため不要である。さらに、この照合は エージェントで鍵の使用が制限されている場合にエージェントに送信される リクエストを壊し、これらの鍵の使用を破壊する可能性があった。 bz3752 * sftp(1): if editline has been switched to vi mode (i.e. via "bind -v" in .editrc), setup a keybinding so that command mode can be entered. sftp(1): editline が vi モードに切り替えられている場合 (例: .editrc の "bind -v")、コマンドモードに入れるように キーバインドを設定する。 * ssh(1), sshd(8): improve performance of keying the sntrup761 key agreement algorithm. ssh(1), sshd(8): sntrup761 鍵合意アルゴリズムの鍵生成 パフォーマンスを改善する。 * ssh(1), sshd(8): enforce maximum packet/block limit during pre-authentication phase. ssh(1), sshd(8): 認証前フェーズ中に最大パケット/ブロック制限を 強制する。 * sftp(1): don't misuse the sftp limits extension's open-handles field. This value is supposed to be the number of handles a server will allow to be opened and not a number of outstanding read/write requests that can be sent during an upload/download. sftp(1): sftp limits 拡張の open-handles フィールドを誤用しない。 この値はサーバーが開くことを許可するハンドル数であり、 アップロード/ダウンロード中に送信できる未処理の 読み取り/書き込みリクエスト数ではない。 * sshd(8): don't crash at connection time if the main sshd_config lacks any subsystem directive but one is defined in a Match block bz#3906. sshd(8): メインの sshd_config に subsystem ディレクティブがないが Match ブロックで定義されている場合に、接続時にクラッシュしない。 bz3906 * sshd_config(5): add a warning next to the ForceCommand directive that forcing a command doesn't automatically disable forwarding. sshd_config(5): ForceCommand ディレクティブの隣に、コマンドの 強制は自動的にフォワーディングを無効にしないという警告を追加する。 * sshd_config(5): add a warning that TOKENS are replaced without filtering or escaping and that it's the administrator's responsibility to ensure they are used safely in context. sshd_config(5): TOKENS はフィルタリングやエスケープなしに 置換されるため、コンテキスト内で安全に使用されることを確認するのは 管理者の責任であるという警告を追加する。 * scp(1): correctly quote filenames in verbose output for local-> local copies. bz3900 scp(1): ローカル間コピーの詳細出力でファイル名を正しく クォートする。 bz3900 * sshd(8): don't mess up the PerSourceNetBlockSize IPv6 mask if sscanf didn't decode it. GHPR598 sshd(8): sscanf がデコードしなかった場合に PerSourceNetBlockSize の IPv6 マスクを壊さない。 GHPR598 * ssh-add(1): when loading FIDO2 resident keys, set the comment to the FIDO application string. This matches the behaviour of ssh-keygen -K. GHPR608 ssh-add(1): FIDO2 レジデントキーを読み込む際、コメントを FIDO アプリケーション文字列に設定する。これは ssh-keygen -K の 動作と一致する。 GHPR608 * sshd(8): don't strnvis() log messages that are going to be logged by sshd-auth via its parent sshd-session process, as the parent will also run them though strnvis(). Prevents double-escaping of non-printing characters in some log messages. bz3896 sshd(8): sshd-auth が親の sshd-session プロセスを通じてログに記録する メッセージに strnvis() を適用しない。親も strnvis() を実行するため である。一部のログメッセージで非印字文字の二重エスケープを防止する。 bz3896 * ssh-agent(1): escape SSH_AUTH_SOCK paths that are sent to the shell as setenv commands. Unbreaks ssh-agent for home directory paths that contain whitespace. bz3884 ssh-agent(1): シェルに setenv コマンドとして送信される SSH_AUTH_SOCK パスをエスケープする。空白を含むホームディレクトリ パスでの ssh-agent を修正する。 bz3884 * All: Remove unnecessary checks for ECDSA public key validity. All: ECDSA 公開鍵の有効性の不要なチェックを削除する。 * sshd(8): activate UnusedConnectionTimeout only after the last channel has closed. Previously UnusedConnectionTimeout could fire early after a ChannelTimeout. This was not a problem for the OpenSSH client because it terminates once all channels have closed but could cause problems for other clients (e.g. API clients) that do things differently. bz3827 sshd(8): 最後のチャネルが閉じた後にのみ UnusedConnectionTimeout を アクティブにする。以前は ChannelTimeout の後に UnusedConnectionTimeout が早期に発火する可能性があった。これは OpenSSH クライアントではすべてのチャネルが閉じると終了するため 問題ではなかったが、異なる動作をする他のクライアント (例: API クライアント) では問題を引き起こす可能性があった。 bz3827 * All: fix PKCS#11 key PIN entry problems introduced in openssh-10.1/10.2. bz3879 All: openssh-10.1/10.2 で導入された PKCS#11 キーの PIN 入力問題を 修正する。 bz3879 * scp(1): when using the SFTP protocol for transfers, fix implicit destination path selection when source path ends with "..". bz3871 scp(1): SFTP プロトコルを使用した転送で、ソースパスが ".." で 終わる場合の暗黙の宛先パス選択を修正する。 bz3871 * sftp(1): when tab-completing a filename, ensure that the completed string does not end up mid-way through a multibyte character, as this will cause a fatal() later on. GHPR#587 sftp(1): ファイル名のタブ補完時に、補完された文字列がマルチバイト文字の 途中で終わらないようにする。そうでないと後で fatal() が発生する。 GHPR#587 * ssh-keygen(1): fix crash at exit (visible via ssh-keygen -D) when multiple keys loaded. ssh-keygen(1): 複数のキーが読み込まれている場合の終了時の クラッシュを修正する (ssh-keygen -D で顕在化する)。 Portability ----------- 移植性 * sshd(8): immediately report interactive instructions to clients when using keyboard-interactive authentication with PAM. bz2876 sshd(8): PAM を使用したキーボードインタラクティブ認証時に、 インタラクティブな指示をクライアントに即座に報告する。 bz2876 * sshd(8): fix duplicate PAM messages under some situations. sshd(8): 一部の状況で PAM メッセージが重複する問題を修正する。 * sshd(8): don't leak PAM handle on repeat invocations. bz3882 sshd(8): 繰り返しの呼び出しで PAM ハンドルをリークしない。 bz3882 * All: support linking libcrypto implementations (e.g. BoringSSL) that required libstdc++. All: libstdc++ を必要とする libcrypto 実装 (例: BoringSSL) のリンクをサポートする。 * sshd(8): fix ut_type for btmp records, correctly using LOGIN_PROCESS and USER_PROCESS. sshd(8): btmp レコードの ut_type を修正し、LOGIN_PROCESS と USER_PROCESS を正しく使用する。 * sshd(8): allow uname(3) in the seccomp sandbox. This is needed by zlib-ng on RISC-V platforms. sshd(8): seccomp サンドボックスで uname(3) を許可する。 これは RISC-V プラットフォームの zlib-ng に必要である。 * All: remove remaining OpenSSL_add_all_algorithms() calls. We already have OPENSSL_init_crypto() in the compat layer. Prompted by github PR#606 All: 残りの OpenSSL_add_all_algorithms() 呼び出しを削除する。 互換レイヤーに既に OPENSSL_init_crypto() がある。 github PR#606 による。 * All: fix builds on older Mac OS wrt nfds_t. All: nfds_t に関する古い Mac OS でのビルドを修正する。 * mdoc2man: several improvements including better support for Dl and Ns inside Ic. mdoc2man: Ic 内の Dl と Ns のサポート改善を含むいくつかの改善。