Changes since OpenSSH 4.2:
============================ 
OpenSSH 4.2からの変更点

Security bugs resolved in this release:

このリリースで解決されたセキュリティバグ:

 * CVE-2006-0225: scp (as does rcp, on which it is based) invoked a
   subshell to perform local to local, and remote to remote copy
   operations. This subshell exposed filenames to shell expansion
   twice; allowing a local attacker to create filenames containing
   shell metacharacters that, if matched by a wildcard, could lead
   to execution of attacker-specified commands with the privilege of
   the user running scp (Bugzilla #1094)

 * CVE-2006-0225: scp は(ベースにしている rcpのように) local-to-localや
   remote-to-remoteのコピーの実行でサブシェルを起動する. このサブシェルは
   ファイル名に対するシェルの展開を2回させる. ローカルな攻撃者が
   シェルのメタキャラクタを含むファイル名を作り, 
   そのファイルがワイルドカードで(scpの転送時に)マッチされれば, 
   scpを走らせるユーザの権限で攻撃者が指定したコマンドの実行がされてしまう.
   (Bugzilla #1094)
   

This is primarily a bug-fix release, only one new feature has been
added: 

OpenSSH 4.3は本来はバグ修正のリリースで, このただ1つの特徴だけが追加された.

 * Add support for tunneling arbitrary network packets over a
   connection between an OpenSSH client and server via tun(4) virtual
   network interfaces. This allows the use of OpenSSH (4.3+) to create
   a true VPN between the client and server providing real network
   connectivity at layer 2 or 3. This feature is experimental and is 
   currently supported on OpenBSD, Linux, NetBSD (IPv4 only) and 
   FreeBSD. Other operating systems with tun/tap interface capability 
   may be added in future portable OpenSSH releases. Please refer to 
   the README.tun file in the source distribution for further details
   and usage examples.

   tun(4) 仮想ネットワークインタフェイスを介してOpenSSH クライアントと
   サーバ間の接続上で任意のネットワークパケットをトンネリングする
   機能が追加された. OpenSSH(4.3以上)を用いると, クライアント-サーバ間で
   レイヤ2か3の本当のネットワーク接続性を提供する本物のVPNを作れる.
   この特徴は実験的で, 現在OpenBSD, Linux, NetBSD (IPv4のみ)とFreeBSDで
   サポートされている. 他のtun/tapインタフェイス機能を持つOSには
   将来の移植版OpenSSHのリリースで追加されるかもしれない. 
   詳細と使用例はソース配布の README.tun ファイルを参照のこと.

Some of the other bugs resolved and internal improvements are:

バグ修正や内部の改善のいくつかを列挙する:

 * Reduce default key length for new DSA keys generated by ssh-keygen 
   back to 1024 bits. DSA is not specified for longer lengths and does 
   not fully benefit from simply making keys longer. As per FIPS 186-2 
   Change Notice 1, ssh-keygen will refuse to generate a new DSA key 
   smaller or larger than 1024 bits

   ssh-keygenが生成する新しいDSA鍵のデフォルトの鍵の長さを1024bitに
   戻した. DSAはより長い鍵で定義されておらず, 単に鍵を長く作っても
   十分な利益はない. FIPS 186-2 Change Notice 1により, ssh-keygenは
   1024bitよりも短かったり長かったりする新しいDSA鍵の生成を拒否する.

 * Fixed X forwarding failing to start when a the X11 client is executed
   in background at the time of session exit (Bugzilla #1086)

   セッションの終了時にX11のクライアントがバックグラウンドで
   実行されると Xの転送の開始されていなかったのを修正した.

 * Change ssh-keygen to generate a protocol 2 RSA key when invoked
   without arguments (Bugzilla #1064)
 
   ssh-keygen に引数が与えられないとき(-tで鍵の種類が指定されないとき)
   SSHプロトコル2のRSA鍵を生成するように変更した.

 * Fix timing variance for valid vs. invalid accounts when attempting
   Kerberos authentication (Bugzilla #975)

   Kerberos 認証を試みたときに, 有効と有効でないアカウントでタイミングの
   不一致があったのを修正した.

 * Ensure that ssh always returns code 255 on internal error (Bugzilla 
   #1137)

   sshが内部エラーの際にコード255をいつも返すことを保証するようにした.

 * Cleanup wtmp files on SIGTERM when not using privsep (Bugzilla #1029)

   privsep を使っていないときに SIGTERM で wtmp ファイルをクリーンナップ
   するようにした.

 * Set SO_REUSEADDR on X11 listeners to avoid problems caused by
   lingering sockets from previous session (X11 applications can
   sometimes not connect to 127.0.0.1:60xx) (Bugzilla #1076)

   X11のリスナに SO_REUSEADDR を設定することで,
   前のセッションからのソケットが残っていることから起る問題を回避した.
   (127.0.0.1:60xx に X11アプリケーションが時々接続できなかった)

 * Ensure that fds 0, 1 and 2 are always attached in all programs, by
   duping /dev/null to them if necessary.

   必要ならば/dev/nullを複製することで,
   ファイルディスクリプタ 0,1,2 がすべてのプログラムで常に取りつけられることを
   保証した.

 * Xauth list invocation had bogus "." argument (Bugzilla #1082)

   "xauth list <display>"コマンドの実行に 偽の "." 引数があったのを修正した.

 * Remove internal assumptions on key exchange hash algorithm and output
   length, preparing OpenSSH for KEX methods with alternate hashes.

   鍵交換ハッシュアルゴリズム, 出力の長さにあった内部的な仮定を取りのぞいた.
   これは (MD5やSHA-1ではない)代替のハッシュを用いる鍵交換方法への準備である.

 * Ignore junk sent by a server before  it sends the "SSH-" banner
   (Bugzilla #1067)

   サーバが "SSH-" バナーを送る前に送ってくるごみを無視するようにした.

 * The manpages has been significantly improves and rearranged, in 
   addition to other specific manpage fixes:

   オンラインマニュアル(man)が, 特定のページの修正に加えて
   非常に改善し再構成された.


   #1037 - Man page entries for -L and -R should mention -g.
   #1077 - Descriptions for "ssh -D" and DynamicForward should mention
           they can specify "bind_address" optionally.
   #1088 - Incorrect descriptions in ssh_config man page for 
           ControlMaster=no.
   #1121 - Several corrections for ssh_agent manpages

   #1037 - -L や -Rのエントリで -g について記述すべき
   #1077 - "ssh -D" と DynamicForward で
	   "bind_address"を指定可能であることを記述すべき.
   #1088 - ssh_configの ControlMaster=no の記述が不正確
   #1121 - ssh_agent のマニュアルに対するいくつかの修正

 * Lots of cleanups, including fixes to memory leaks on error paths
   (Bugzilla #1109, #1110, #1111 and more) and possible crashes (#1092)

   多くのクリーンナップ. 異常系でのメモリリーク(#1109,#1110, #1111など)や
   クラッシュの可能性(#1092)の修正が含まれている.

 * Portable OpenSSH-specific fixes:

   移植版 OpenSSH特有の修正:

   - Pass random seed during re-exec for each connection: speeds up
     processing of new connections on platforms using the OpenSSH's
     builtin entropy collector (ssh-rand-helper)

     それぞれの接続に対するre-execの間に乱数の種を渡す: 
     OpenSSHの内蔵エントロピー収集器(ssh-rand-helper)
     を使っているプラットフォームで新しい接続の処理が早くなる.
     
   - PAM fixes and improvements:

     PAMに関する修正と改善:

     #1045 - Missing option for ignoring the /etc/nologin file
     #1087 - Show PAM password expiry message from LDAP on login
     #1028 - Forward final non-query conversations to client
     #1126 - Prevent user from being forced to change an expired
             password repeatedly on AIX in some PAM configurations.
     #1045 - Do not check /etc/nologin when PAM is enabled, instead 
             allow PAM to handle it.  Note that on platforms using 
             PAM, the pam_nologin module should be used in sshd's 
             session stack in order to maintain past behaviour

     #1045 - /etc/nologin ファイルを PAMが有効な場合に無視するオプションが
	     なかった.
     #1087 - (訳注: 特権分離が有効な場合でも)
             LDAPからの PAMパスワード期限切れメッセージをログイン時に表示する
	     ようになった.   
     #1028 - (訳注: PAMで認証が失敗した場合に)
             最後のクエリでない対話をクライアントに転送するようにした.
     #1126 - AIXで特定のPAMの設定をすると, ユーザが期限切れのパスワードの
             変更を繰り返し強制されるのを防止
     #1045 - PAMが有効の場合に (sshdが)/etc/nologin をチェックせずに,
             代りにPAMに処理させる. PAMを用いているプラットフォームでは
	     以前の振舞いを維持するために sshdのセッションスタックの中で
	     pam_nologin モジュールが用いられる.

   - Portability-related fixes:

     移植性に関する修正:

     #989  - Fix multiplexing regress test on Solaris
     #1097 - Cross-compile fixes.
     #1096 - ssh-keygen broken on HPUX.
     #1098 - $MAIL being set incorrectly for HPUX server login.
     #1104 - Compile error on Tru64 Unix 4.0f
     #1106 - Updated .spec file and startup for SuSE.
     #1122 - Use _GNU_SOURCE define in favor of __USE_GNU, fixing
             compilation problems on glibc 2.4

     #989  - Solairs での多重化影響テストの修正	     
     #1097 - クロスコンパイルに関する修正
     #1096 - HPUXで ssh-keygen が壊れていた.
     #1098 - PUXサーバへのログインで $MAIL が正しく設定されていなかった.
     #1104 - Tru64 Unix 4.0f でのコパイルエラー
     #1106 - SuSE に対応する .spec ファイルとスタートアップの更新.
     #1122 - glibc 2.4でのコンパイルの問題を修正するため.
             __USE_GNUを支持して _GNU_SOURCE 定義を使う