http://www.openssh.com/txt/release-4.7 Changes since OpenSSH 4.6: ============================ Security bugs resolved in this release: このリリースでのセキュリティの修正 * Prevent ssh(1) from using a trusted X11 cookie if creation of an untrusted cookie fails; found and fixed by Jan Pechanec. X11の転送で, 信頼されないクッキーの生成に失敗する場合に, 信頼されるクッキーをssh(1)が利用しないようにした. Jan Pechanec によって発見され修正された. ChangeLogでは以下のようになっています. - markus@cvs.openbsd.org 2007/08/15 08:14:46 [clientloop.c] do NOT fall back to the trused x11 cookie if generation of an untrusted cookie fails; from Jan Pechanec, via security-alert at sun.com; ok dtucker ソースをみると, untrusted モードの場合にcookieの生成に失敗した場合も, 'xauth list'によって信頼されるクッキー(X11のディスプレイへの 制限されないアクセスが可能)の情報を取得してました. Other changes, new functionality and fixes in this release: 他の変更, 新機能, 修正: * sshd(8) in new installations defaults to SSH Protocol 2 only. Existing installations are unchanged. sshd(8)は, 新規インストール時にSSH 2のみを有効とする. 既存のインストールは変更しない. * The SSH channel window size has been increased, and both ssh(1) sshd(8) now send window updates more aggressively. These improves performance on high-BDP (Bandwidth Delay Product) networks. SSHのチャンネルウィンドウの大きさを増大し, ssh(1)とsshd(8)は より頻繁にウィンドウの更新を送るようになった. 高いBDP(Bandwidth-delay product)なネットワークでの性能が向上する. * ssh(1) and sshd(8) now preserve MAC contexts between packets, which saves 2 hash calls per packet and results in 12-16% speedup for arcfour256/hmac-md5. ssh(1)とsshd(8)は, パケット間でMACのコンテキストを保存するようにした. これにより, パケットごとに2つのハッシュの呼出しが保存される. arcfour256/hmac-md5 において, 12-16%の速度向上が得られる. * A new MAC algorithm has been added, UMAC-64 (RFC4418) as "umac-64@openssh.com". UMAC-64 has been measured to be approximately 20% faster than HMAC-MD5. UMAC-64 (RFC4418)という新しいMACアルゴリズムを "umac-64@openssh.com"として追加した. UMAC-64は, HMAC-MD5 よりも約20%速いと測定されている. * A -K flag was added to ssh(1) to set GSSAPIAuthentication=Yes GSSAPIAuthentication=Yes を設定する -K フラグを ssh(1)に追加した. * Failure to establish a ssh(1) TunnelForward is now treated as a fatal error when the ExitOnForwardFailure option is set. ssh(1)の TunnelForward の確立の失敗は, ExitOnForwardFailure 設定項目が 設定されているときに, 致命的な失敗と扱われるようになった. * ssh(1) returns a sensible exit status if the control master goes away without passing the full exit status. (bz #1261) 完全な終了ステータスを渡さずにコントロールマスターが死んだ場合に ssh(1) が, 意味のある終了ステータスを返すようになった. * The following bugs have been fixed in this release: - When using a ProxyCommand in ssh(1), set the outgoing hostname with gethostname(2), allowing hostbased authentication to work (bz #616) ssh(1)で ProxyCommand を利用している場合に, ホストベース認証を 有効にするために, gethostname(2)で, 外に出るホスト名を設定するようになった. - Make scp(1) skip FIFOs rather than hanging (bz #856) scp(1)がFIFOのコピー時にハングせずにスキップするようにした. - Encode non-printing characters in scp(1) filenames. these could cause copies to be aborted with a "protocol error" (bz #891) scp(1) のファイル名で 表示できない文字をエンコードするようにした. 以前は, "protocol error" でコピーが中断していた. - Handle SIGINT in sshd(8) privilege separation child process to ensure that wtmp and lastlog records are correctly updated (bz #1196) wtmpやlastlogの記録を適切に更新することを保証するために, sshd(8)の特権分離の子プロセスが SIGINT を扱うようになった. - Report GSSAPI mechanism in errors, for libraries that support multiple mechanisms (bz #1220) 複数のメカニズムをサポートする GSSAPI ライブラリ利用時に, エラー時にGSSAPIメカニズムをリポートするようになった. - Improve documentation for ssh-add(1)'s -d option (bz #1224) ssh-add(1)の-dオプションのドキュメントを改善した. - Rearrange and tidy GSSAPI code, removing server-only code being linked into the client. (bz #1225) GSSAPI のコードを整理した. クライアントにリンクされていた サーバにのみ必要なコードが除去された. - Delay execution of ssh(1)'s LocalCommand until after all forwadings have been established. (bz #1232) すべての転送が確立されるまで, ssh(1)のLocalCommandの実行を 待つようにした. - In scp(1), do not truncate non-regular files (bz #1236) scp(1)の中で, 通常のファイルではないファイルをトランケートしないようにした. - Improve exit message from ControlMaster clients. (bz #1262) ControlMaster のクライアントからの終了メッセージを改善した. - Prevent sftp-server(8) from reading until it runs out of buffer space, whereupon it would exit with a fatal error. (bz #1286) sftp-server(8)がバッファスペースを使い果して致命的なエラーで exit するまで, 読み込みを続けないようにした. * Portable OpenSSH bugs fixed: 移植版 OpenSSH の修正されたバグ - Fix multiple inclusion of paths.h on AIX 5.1 systems. (bz #1243) AIX 5.1で paths.hを複数回includeするのを修正. - Implement getpeereid for Solaris using getpeerucred. Solaris systems will now refuse ssh-agent(1) and ssh(1) ControlMaster clients from different, non-root users (bz #1287) Soralisの getpeereid で getpeerucred を利用するようにした. Soralis では, 別のルートでないユーザからの ssh-agent(1)や ssh(1) ControlMaster クライアントへの接続を拒否するようになった. - Fix compilation warnings by including string.h if found. (bz #1294) string.h が見付かってインクルードするときのコンパイル時の警告を修正. - Remove redefinition of _res in getrrsetbyname.c for platforms that already define it. (bz #1299) getrrsetbyname.c で, _resがすでに定義されている環境では再定義しないように した. - Fix spurious "chan_read_failed for istate 3" errors from sshd(8), a side-effect of the "hang on exit" fix introduced in 4.6p1. (bz #1306) 4.6p1で導入した "hang on exit" の副作用で sshd(8)から 偽の "chan_read_failed istate 3"エラーがでるのを修正した. - pam_end() was not being called if authentication failed (bz #1322) 認証が失敗したときに pam_end()が呼ばれていなかった. - Fix SELinux support when SELinux is in permissive mode. Previously sshd(8) was treating SELinux errors as always fatal. (bz #1325) SELinux がパーミッシブモードの場合の SELinux サポートを修正した. 以前は, sshd(8)が SELinux のエラーをすべて致命的なものと取り扱っていた. - Ensure that pam_setcred(..., PAM_ESTABLISH_CRED) is called before pam_setcred(..., PAM_REINITIALIZE_CRED), fixing pam_dhkeys. (bz #1339) pam_setcred(..., PAM_ESTABLISH_CRED)が pam_setcred(..., PAM_REINITIALIZE_CRED)の前に呼ばれることを保証した. これにより pam_dhkeys を修正した. - Fix privilege separation on QNX - pre-auth only, this platform does not support file descriptior passing needed for post-auth privilege separation. (bz #1343) QNXでの特権分離を修正した - 認証前だけで有効. このプラットフォームでは, 認証後の特権分離で必要な ファイルディスクリプタの (プロセス間の?)パスをサポートしてない.