http://www.openssh.com/txt/release-7.0 Future deprecation notice ========================= 将来の廃止する機能の告知 We plan on retiring more legacy cryptography in the next release including: 次のリリースで, 以下を含むさらなるレガシーな暗号方式を引退させる計画 がある. * Refusing all RSA keys smaller than 1024 bits (the current minimum is 768 bits) 1024 ビットよりも小さなすべての RSA 鍵の拒否 (現在の最小値は 768 ビット) * Several ciphers will be disabled by default: blowfish-cbc, cast128-cbc, all arcfour variants and the rijndael-cbc aliases for AES. いくつかの暗号をデフォルトで無効に: blowfish-cbc, cast128-cbc, すべての arcfour の変種, AES の rijndael-cbc 別名. * MD5-based HMAC algorithms will be disabled by default. MD5 ベースの HMAC アルゴリズムをデフォルトで無効に This list reflects our current intentions, but please check the final release notes for OpenSSH 7.1 when it is released. このリストは我々の現在の意図を反映している. リリース時に OpenSSH 7.1 の 最終的なリリースノートを確認してほしい. Changes since OpenSSH 6.9 ========================= OpenSSH 6.9 からの変更点 This focus of this release is primarily to deprecate weak, legacy and/or unsafe cryptography. このリリースの焦点は, 主として 弱く, レガシー かつ/ないし 安全でない 暗号の廃止だ. Security -------- セキュリティ * sshd(8): OpenSSH 6.8 and 6.9 incorrectly set TTYs to be world- writable. Local attackers may be able to write arbitrary messages to logged-in users, including terminal escape sequences. Reported by Nikolay Edigaryev. sshd(8): OpneSSH 6.8 と 6.9 は, TTY を world-writable に 間違って設定する. ローカルの攻撃者が, ログインしているユーザに ターミナルのエスケープシーケンスを含む, 任意のメッセージを 書くことができる. Nikolay Edigaryev によって報告. * sshd(8): Portable OpenSSH only: Fixed a privilege separation weakness related to PAM support. Attackers who could successfully compromise the pre-authentication process for remote code execution and who had valid credentials on the host could impersonate other users. Reported by Moritz Jodeit. sshd(8): 移植版 OpenSSH のみ: PAM サポートに関連する特権分離の 弱点の修正. リモートコード実行のための認証前のプロセスの攻撃に 成功しホストの有効な認証情報を取得した攻撃者が, 他のユーザになりすますことができる. Moritz Jodeit により報告. * sshd(8): Portable OpenSSH only: Fixed a use-after-free bug related to PAM support that was reachable by attackers who could compromise the pre-authentication process for remote code execution. Also reported by Moritz Jodeit. sshd(8): 移植版 OpenSSH のみ: PAM サポートに関連する use-after-free バグの修正. これは, リモートコード実行のための 認証前プロセスを攻撃する攻撃者に到達可能だ. * sshd(8): fix circumvention of MaxAuthTries using keyboard- interactive authentication. By specifying a long, repeating keyboard-interactive "devices" string, an attacker could request the same authentication method be tried thousands of times in a single pass. The LoginGraceTime timeout in sshd(8) and any authentication failure delays implemented by the authentication mechanism itself were still applied. Found by Kingcope. sshd(8): keyboard-interactive 認証を用いる MaxAuthTries の迂回の修正. 長く, リピートする keyboard-interactive "device" 文字列を指定して, 攻撃者が同じ認証法を1つのパスで何千回も試すことができる. sshd(8) の LoginGraceTime タイムアウトや認証メカニズム自体に 実装された認証の失敗の遅延は, それでも適用されていた. Kingcope により発見 Potentially-incompatible Changes -------------------------------- 非互換な可能性のある先行 * Support for the legacy SSH version 1 protocol is disabled by default at compile time. コンパイル時にデフォルトで レガシーな SSH version 1 プロトコルの サポートを無効にする * Support for the 1024-bit diffie-hellman-group1-sha1 key exchange is disabled by default at run-time. It may be re-enabled using the instructions at http://www.openssh.com/legacy.html 実行時にデフォルトで 1024 ビットの diffie-hellman-group1-sha1 鍵交換のサポートを無効にする. http://www.openssh.com/legacy.html の指示に従えば再び有効にできる. * Support for ssh-dss, ssh-dss-cert-* host and user keys is disabled by default at run-time. These may be re-enabled using the instructions at http://www.openssh.com/legacy.html 実行時にデフォルトで, ssh-dss, ssh-dss-cert-* ホスト/ユーザ鍵のサポートを無効にする. http://www.openssh.com/legacy.html の指示に従えば再び有効にできる. * Support for the legacy v00 cert format has been removed. レガシーな v00 証明書フォーマットのサポートが取り除かれた. * The default for the sshd_config(5) PermitRootLogin option has changed from "yes" to "prohibit-password". ssh_config(5) での PermitRootLogin 設定項目のデフォルトが "yes" から "prohibit-password" に変更された. * PermitRootLogin=without-password/prohibit-password now bans all interactive authentication methods, allowing only public-key, hostbased and GSSAPI authentication (previously it permitted keyboard-interactive and password-less authentication if those were enabled). PermitRootLogin=without-password/prohibit-password は, すべての インタラクティブな認証法を今や禁止する. 公開鍵とホストベース, GSSAPI 認証のみが許可される. (以前は, keyboard-interactive と パスワードなしの認証が それが有効なら許可されていた.) New Features ------------ 新機能 * ssh_config(5): add PubkeyAcceptedKeyTypes option to control which public key types are available for user authentication. ssh_config(5): PubkeyAcceptedKeyTypes 設定項目を追加. ユーザ認証に利用できる公開鍵の種類を制御する. * sshd_config(5): add HostKeyAlgorithms option to control which public key types are offered for host authentications. sshd_config(5): HostKeyAlgorithms 設定項目を追加. ホスト認証に提供する公開鍵の種類を制御する. * ssh(1), sshd(8): extend Ciphers, MACs, KexAlgorithms, HostKeyAlgorithms, PubkeyAcceptedKeyTypes and HostbasedKeyTypes options to allow appending to the default set of algorithms instead of replacing it. Options may now be prefixed with a '+' to append to the default, e.g. "HostKeyAlgorithms=+ssh-dss". ssh(1), sshd(8): Ciphers と MACs, KexAlgorithms, HostKeyAlgorithms, PubkeyAcceptedKeyTypes, HostbasedKeyTypes 設定項目を, デフォルトのアルゴリズムのセットを置換する代わりに 追加できるように拡張する. 設定項目をデフォルトに追加するには "HostKeyAlgorithms=+ssh-dss" のように '+' を前につける. * sshd_config(5): PermitRootLogin now accepts an argument of 'prohibit-password' as a less-ambiguous synonym of 'without- password'. sshd_config(5): PermitRootLogin は, 'prohibit-password' 引数を 受けつける. これは 'without-password' と同義で, よりあいまいでない. Bugfixes -------- バグ修正 * ssh(1), sshd(8): add compatability workarounds for Cisco and more PuTTY versions. bz#2424 ssh(1), sshd(8): Cisco や PuTTY のより多くのバージョンについて 互換性に関する回避策を追加する. bz#2424 * Fix some omissions and errors in the PROTOCOL and PROTOCOL.mux documentation relating to Unix domain socket forwarding; bz#2421 bz#2422 Unix ドメインソケットの転送に関する PROTOCOL と PROTOCOL.mux 文書 の抜けやエラーを修正する; bz#2421 bz#2422 * ssh(1): Improve the ssh(1) manual page to include a better description of Unix domain socket forwarding; bz#2423 ssh(1): Unix ドメインソケットの転送のよりより記述を含む ssh(1) マニュアルページの改善; bz#2423 * ssh(1), ssh-agent(1): skip uninitialised PKCS#11 slots, fixing failures to load keys when they are present. bz#2427 ssh(1), ssh-agent(1): 初期化されてない PKCS#11 スロットをスキップし, これらが存在する鍵をロードする際の失敗を修正する. bz#2427 * ssh(1), ssh-agent(1): do not ignore PKCS#11 hosted keys that wth empty CKA_ID; bz#2429 ssh(1), ssh-agent(1): 空の CKA_ID を持つ PKCS#11 ホスト鍵を 無視しない. * sshd(8): clarify documentation for UseDNS option; bz#2045 sshd(8): UseDNS 設定項目の記述を明確にする; bz#2045 Portable OpenSSH ---------------- 移植版 OpenSSH * Check realpath(3) behaviour matches what sftp-server requires and use a replacement if necessary. realpath(3) の動作が sftp-server の要求と一致するかチェックし, 必要ならば代替を用いる.