http://www.openssh.com/txt/release-6.2 Changes since OpenSSH 6.1 ========================= OpenSSH 6.1 からの変更点 This release introduces a number of new features: このリリースはたくさんの新しい特徴が導入された. Features: 特徴: * ssh(1)/sshd(8): Added support for AES-GCM authenticated encryption in SSH protocol 2. The new cipher is available as aes128-gcm@openssh.com and aes256-gcm@openssh.com. It uses an identical packet format to the AES-GCM mode specified in RFC 5647, but uses simpler and different selection rules during key exchange. ssh(1)/sshd(8): SSH プロトコル 2 で AES-GCM 認証付き暗号化のサポートを追加した. この新しい暗号は, aes128-gcm@openssh.com と aes256-gcm@openssh.com で 利用できる. RFC 5647 で定められた AES-GCM モード と同一のパケット形式を 用いるが, 鍵交換の間の選択規則はより簡単な(異なる)ものを使う. * ssh(1)/sshd(8): Added support for encrypt-then-mac (EtM) MAC modes for SSH protocol 2. These modes alter the packet format and compute the MAC over the packet length and encrypted packet rather than over the plaintext data. These modes are considered more secure and are used by default when available. ssh(1)/sshd(8): SSH プロトコル 2 のための encrypt-then-mac (EtM) MAC モード のサポートを追加した. これらのモードはパケットの形式を変更する. また, 平文データに対してではなく, パケット長と暗号化されたパケットに対して MAC を計算する. これらのモードはより安全と考えられるので, 利用可能な場合は デフォルトで利用される. * ssh(1)/sshd(8): Added support for the UMAC-128 MAC as "umac-128@openssh.com" and "umac-128-etm@openssh.com". The latter being an encrypt-then-mac mode. ssh(1)/sshd(8): UMAC-128 MAC のサポートが "umac-128@openssh.com" と "umac-128-etm@openssh.com" として追加された. 後者は encrypt-then-mac モードだ. * sshd(8): Added support for multiple required authentication in SSH protocol 2 via an AuthenticationMethods option. This option lists one or more comma-separated lists of authentication method names. Successful completion of all the methods in any list is required for authentication to complete. This allows, for example, requiring a user having to authenticate via public key or GSSAPI before they are offered password authentication. sshd(8): AuthenticationMethods 設定項目で SSH プロトコル 2 の 複数の認証の要求がサポートされた. この設定項目は, 1つないし複数の カンマ区切りの認証法名のリストを列挙する. 認証が成功するには, リストに挙げられたすべての方法が成功する必要がある. 例えば, パスワード認証を要求する前に, 公開鍵での認証や GSSAPI での認証を 要求できる. * sshd(8)/ssh-keygen(1): Added support for Key Revocation Lists (KRLs), a compact binary format to represent lists of revoked keys and certificates that take as little as one bit per certificate when revoking by serial number. KRLs may be generated using ssh-keygen(1) and are loaded into sshd(8) via the existing RevokedKeys sshd_config option. sshd(8)/ssh-keygen(1): 鍵取り消しリスト(KRLs) のサポートを追加した. KRLs はコンパクトなバイナリ形式で, 取り消された鍵のリストを表し シリアルナンバーによって鍵が廃止される時点で証明書あたり 1 bit しか使わないのを保証する. KRLs は, ssh-keygen(1) を用いて生成でき, sshd_config の 設定項目 RevokedKeys によって sshd(8) へロードされる. * ssh(1): IdentitiesOnly now applies to keys obtained from a PKCS11Provider. This allows control of which keys are offered from tokens using IdentityFile. ssh(1): IdentitiesOnly は, PKCS11Provider から得られた鍵に対応する. IdentityFile を用いるトークンから提供される鍵を制御できる. * sshd(8): sshd_config(5)'s AllowTcpForwarding now accepts "local" and "remote" in addition to its previous "yes"/"no" keywords to allow the server to specify whether just local or remote TCP forwarding is enabled. sshd(8): sshd_config(5) の AllowTcpForwarding は, いままでの "yes"/"no" キーワードに加えて "local" と "remote" を受け付ける. それぞれ ローカルないし リモートの TCP 転送のみを有効にすることをサーバに指定する. * sshd(8): Added a sshd_config(5) option AuthorizedKeysCommand to support fetching authorized_keys from a command in addition to (or instead of) from the filesystem. The command is run under an account specified by an AuthorizedKeysCommandUser sshd_config(5) option. sshd(8): AuthorizedKeysCommand 設定項目を sshd_config(5) に追加した. ファイルシステムから authorized_keys を取得するだけではなく, コマンドからの authorized_keys の取得をサポートする. コマンドは, AuthorizedKeysCommandUser sshd_config(5) 設定項目で指定された アカウントで走る. * sftp-server(8): Now supports a -d option to allow the starting directory to be something other than the user's home directory. sftp-server(8): ユーザのホームディレクトリではないどこかを 最初のディレクトリにする -d オプションをサポートする. * ssh-keygen(1): Now allows fingerprinting of keys hosted in PKCS#11 tokens using "ssh-keygen -lD pkcs11_provider". ssh-keygen(1): "ssh-keygen -lD pkcs11_provider" を用いて PKCS#11 トークン にホストされた鍵の指紋を閲覧できる. * ssh(1): When SSH protocol 2 only is selected (the default), ssh(1) now immediately sends its SSH protocol banner to the server without waiting to receive the server's banner, saving time when connecting. ssh(1): SSH プロトコル 2 のみが選択されている場合(デフォルト), ssh(1) は, サーバのバナーを受けとるのを待たずにサーバに SSH プロトコルの バナーをすぐに送る. 接続時間の節約になる. * ssh(1): Added ~v and ~V escape sequences to raise and lower the logging level respectively. ssh(1): ログのレベルをそれぞれ上げたり下げたりする ~v と ~V エスケープ シーケンスが追加された. * ssh(1): Made the escape command help (~?) context sensitive so that only commands that will work in the current session are shown. ssh(1): 現在のセッションで動くエスケープコマンドだけが表示されるように エスケープコマンドのヘルプ (~?) は文脈依存になった. * ssh-keygen(1): When deleting host lines from known_hosts using "ssh-keygen -R host", ssh-keygen(1) now prints details of which lines were removed. ssh-keygen(1): "ssh-keygen -R host" で known_host から ホストの行を 削除するとき, ssh-keygen(1) は, 削除される行の詳細を表示する. Bugfixes: バグ修正: * ssh(1): Force a clean shutdown of ControlMaster client sessions when the ~. escape sequence is used. This means that ~. should now work in mux clients even if the server is no longer responding. ssh(1): ~. エスケープシーケンスが使われた時に, ControlMaster クライアント セッションの綺麗なシャットダウンを強制する. これは, サーバがもはや 応答しなくても, 多重化されたクライアントで ~. が動作するはず ということだ. * ssh(1): Correctly detect errors during local TCP forward setup in multiplexed clients. bz#2055 ssh(1): 多重化されたクライアントでのローカルTCP転送の設定時に 正しくエラーを検出する. bz#2055 * ssh-add(1): Made deleting explicit keys "ssh-add -d" symmetric with adding keys with respect to certificates. It now tries to delete the corresponding certificate and respects the -k option to allow deleting of the key only. ssh-add(1): 明示的な鍵の削除 "ssh-add -d" を, 証明書に関する鍵の追加 と対称とする. これは, 鍵のみを削除する -k オプションを尊重し, -d オプションは関連する証明書を削除しようと試みる. * sftp(1): Fix a number of parsing and command-editing bugs, including bz#1956 sftp(1): bz#1956 を含む パースやコマンド編集のバグを多数修正 * ssh(1): When muxmaster is run with -N, ensured that it shuts down gracefully when a client sends it "-O stop" rather than hanging around. bz#1985 ssh(1): 多重化のマスターが -N 付きで走っている場合, クライアントが "-O stop" を送ってもハングせずに graceful にシャトダウンすることを 保証した. bz#1985 * ssh-keygen(1): When screening moduli candidates, append to the file rather than overwriting to allow resumption. bz#1957 ssh-keygen(1): モジュラスの候補を選別する際に, 再開を許すために上書きではなく ファイルへの追記をする. bz#1957 * ssh(1): Record "Received disconnect" messages at ERROR rather than INFO priority. bz#2057. ssh(1): "Received disconnect" メッセージの記録を INFO ではなく ERROR で記録する. bz#2057 * ssh(1): Loudly warn if explicitly-provided private key is unreadable. bz#1981 ssh(1): 明示的に指定された秘密鍵が読み込めない場合にうるさく警告する. bz#1981 Portable OpenSSH: 移植版 OpenSSH: * sshd(8): The Linux seccomp-filter sandbox is now supported on ARM platforms where the kernel supports it. sshd(8): Linux の seccomp-filter サンドボックスが, カーネルがこの サンドボックスをサポートする ARM プラットホームでもサポートされる. * sshd(8): The seccomp-filter sandbox will not be enabled if the system headers support it at compile time, regardless of whether it can be enabled then. If the run-time system does not support seccomp-filter, sshd will fall back to the rlimit pseudo-sandbox. sshd(8): seccomp-filter サンドボックスは, サンドボックスが有効かどうかに 関わらずシステムのヘッダがコンパイル時にサポートする場合に有効にならない かもしれない. 実行システムが seccomp-filter をサポートしない場合, rlimit 疑似サンドボックスに sshd はフォールバックする. * ssh(1): Don't link in the Kerberos libraries. They aren't necessary on the client, just on sshd(8). bz#2072 ssh(1): Kerberos のライブラリをリンクしない. クライアントには必要でなく sshd(8) でのみ必要. bz#2072 * Fix GSSAPI linking on Solaris, which uses a differently-named GSSAPI library. bz#2073 異なる名前の GSSAPI ライブラリを用いる Solaris での GSSAPIのリンクを修正. bz#2073 * Fix compilation on systems with openssl-1.0.0-fips. openssl-1.0.0-fips を利用するシステムのでのコンパイルを修正. * Fix a number of errors in the RPM spec files. RPM spec ファイルの多数のエラーを修正