「2020年のフロントエンドマスターになりたければこの9プロジェクトを作れ」をざっとやってみた
2020年のフロントエンドマスターになりたければこの9プロジェクトを作れ - Qiita という記事(記事は 2019年11月のもの)が 2020年06月ごろに話題になっていたので, 2020年07,08月にざっとやってみました.
Build a movie search app using React (with hooks)
特に問題はなかったはず(最初にやったやつなので記憶があやしい)
Rust に入門しました
2020 年 05 月 ごろから Rust に入門しました. それ以前にも触ってはいましたが, それほど身になっていなかったので.
https://github.com/rust-unofficial/awesome-rust#resources の Learning を参考にして次の順にやりました.
- 実践Rust入門[言語仕様から開発手法まで]:書籍案内|技術評論社
- The Rust Programming Language - The Rust Programming Language
- Rust By Example
- Rust Cookbook
- rust-lang/rustlings: Small exercises to get you used to reading and writing Rust code!
- So You Want to Build a Language VM - Part 00 - Computer Hardware Crash Course
rust-lang/rustling はクイズ形式で Rust のコード修正をやっていく物で, 2020 年 06 月当時の 80 問程度は数時間でやれました. ある程度 Rust を学んだ後にやったり, Rust から離れていたあとで再び Rust をやる前にやったりするのによさそうです.
OpenSSH 8.3 がリリースされました
2020/05/27, OpenSSH 8.3 がリリースされました.
- OpenSSH 8.3 Release Note 中の OpenSSH 8.3 での変更点の翻訳
- この記事にも添付します.
- OpenSSH 移植版付属文書の翻訳
https://www.openssh.com/txt/release-8.3
Future deprecation notice
=========================
将来廃止される機能の告知
(訳注: 8.2 のリリースノートにもほぼ同じ内容が含まれている)
It is now possible[1] to perform chosen-prefix attacks against the
SHA-1 algorithm for less than USD$50K. For this reason, we will be
disabling the "ssh-rsa" public key signature algorithm by default in a
near-future release.
USドル 50K より少ない金額で SHA-1 アルゴリズムに対する選択プレフィックス
攻撃が実行できることが [1] で示されている. このため, 我々は
近い将来のリリースで "ssh-rsa" 公開鍵署名アルゴリズムをデフォルトでは
無効にする予定だ.
This algorithm is unfortunately still used widely despite the
existence of better alternatives, being the only remaining public key
signature algorithm specified by the original SSH RFCs.
このアルコリズムは, よりよい代替アルゴリズムがあるにもかかわらず
もともとの SSH RFC で定義された公開鍵署名アルゴリズムのの中で
ただ1つ残ったアルゴリズムとして,
不幸なことにいまだ広く用いられている.
The better alternatives include:
次に示すものがよりよい代替だ:
* The RFC8332 RSA SHA-2 signature algorithms rsa-sha2-256/512. These
algorithms have the advantage of using the same key type as
"ssh-rsa" but use the safe SHA-2 hash algorithms. These have been
supported since OpenSSH 7.2 and are already used by default if the
client and server support them.
RFC8332 の RSA SHA-2 署名アルゴリズム rsa-sha-256/512.
これらのアルゴリズムは "ssh-rsa" と同じ鍵タイプを用いる利点があり
安全な SHA-2 ハッシュアルゴリズムを用いている. これらは
OpenSSH 7.2 以降でサポートされており, クライアントとサーバが
サポートしているならすでにデフォルトで用いられている.
* The ssh-ed25519 signature algorithm. It has been supported in
OpenSSH since release 6.5.
ssh-ed25519 署名アルゴリズム. OpenSSH 6.5 以降でサポートされている.
* The RFC5656 ECDSA algorithms: ecdsa-sha2-nistp256/384/521. These
have been supported by OpenSSH since release 5.7.
RFC5656 の ECDSA アルゴリズム: ecdsa-sha2-nistp256/384/521. These
これらは OpenSSH 5.7 以降でサポートされている.
To check whether a server is using the weak ssh-rsa public key
algorithm, for host authentication, try to connect to it after
removing the ssh-rsa algorithm from ssh(1)'s allowed list:
サーバが, ホストの認証のために, 弱い ssh-rsa 公開鍵アルゴリズムを
利用しているか検査するには, ssh(1) の許可リストから ssh-rsa
アルゴリズムを除いたあとで接続を試行すればよい.
ssh -oHostKeyAlgorithms=-ssh-rsa user@host
If the host key verification fails and no other supported host key
types are available, the server software on that host should be
upgraded.
ホスト鍵検証が失敗し他にサポートされたホスト鍵の種類がない場合,
ホストのサーバソフトウェアをアップグレードする必要がある.
A future release of OpenSSH will enable UpdateHostKeys by default
to allow the client to automatically migrate to better algorithms.
Users may consider enabling this option manually. Vendors of devices
that implement the SSH protocol should ensure that they support the
new signature algorithms for RSA keys.
OpenSSH の将来のリリースでは, クライアントがよりよいアルゴリズムに
自動的に移行できるようにする UpdateHostKeys 設定項目をデフォルトで有効にする.
ユーザはこの設定項目をマニュアルで有効にしてもよい. (訳注: この節の
次の文が 8.3 で追記された) SSH プロトコルを実装するデバイスのベンダは
RSA 鍵に対する新しい署名アルゴリズムをサポートすることを保証すべきだ.
[1] "SHA-1 is a Shambles: First Chosen-Prefix Collision on SHA-1 and
Application to the PGP Web of Trust" Leurent, G and Peyrin, T
(2020) https://eprint.iacr.org/2020/014.pdf
Security
========
セキュリティ
* scp(1): when receiving files, scp(1) could be become desynchronised
if a utimes(2) system call failed. This could allow file contents
to be interpreted as file metadata and thereby permit an adversary
to craft a file system that, when copied with scp(1) in a
configuration that caused utimes(2) to fail (e.g. under a SELinux
policy or syscall sandbox), transferred different file names and
contents to the actual file system layout.
scp(1): ファイルを受け取る際, utimes(2) システムコールが失敗すると
scp(1) は 非同期になる可能性がある. この時ファイルの内容が
ファイルのメタデータとして解釈される可能性があり, それゆえ
ファイルシステムを加工する攻撃を許してしまう.
(例えば SELinux のポリシー や システムコールサンドボックスによって)
utimes(2) が失敗しうる設定で scp(1) でのコピーされたファイルが,
実際のファイルシステムの配置とは異なるファイル名や内容でコピーされる.
Exploitation of this is not likely as utimes(2) does not fail under
normal circumstances. Successful exploitation is not silent - the
output of scp(1) would show transfer errors followed by the actual
file(s) that were received.
この問題は, utimes(2) は通常の環境で失敗しないので, 発生する蓋然性は低い.
問題が発生したときはわかりやすい - scp の出力は, 実際に転送されたファイル(群)
に続いて転送エラーを表示するだろう.
Finally, filenames returned from the peer are (since openssh-8.0)
matched against the user's requested destination, thereby
disallowing a successful exploit from writing files outside the
user's selected target glob (or directory, in the case of a
recursive transfer). This ensures that this attack can achieve no
more than a hostile peer is already able to achieve within the scp
protocol.
最後に, 相手方から転送されたファイル名は (openssh-8.0 から)
ユーザの要求した転送先に一致するので, ユーザが選択した対象の
glob (ないし, 再帰転送の場合は, ディレクトリ) の外側で
この問題が発生することはない. これは, この攻撃によって悪意のある
相手方が scp プロトコル内で達成できること以上のことはできないことを
保証します.
Potentially-incompatible changes
================================
潜在的に非互換な変更
This release includes a number of changes that may affect existing
configurations:
このリリースは, 既存の設定に変更しうる変更を含んでいる.
* sftp(1): reject an argument of "-1" in the same way as ssh(1) and
scp(1) do instead of accepting and silently ignoring it.
sftp(1): コマンドライン引数 "-1" を ssh(1) と scp(1) と同様に拒否する.
これまでは受け入れて静かに無視していた.
Changes since OpenSSH 8.2
=========================
OpenSSH 8.2 からの変更
The focus of this release is bug fixing.
このリリースの焦点はバグ修正だ.
New Features
------------
新機能
* sshd(8): make IgnoreRhosts a tri-state option: "yes" to ignore
rhosts/shosts, "no" allow rhosts/shosts or (new) "shosts-only"
to allow .shosts files but not .rhosts.
ssh(8): IgnoreRhosts は 3つの状態を持つ設定項目となる. "yes" は
rhosts/shosts を無視する. "no" は rhosts/shosts を利用可能とする.
(新しい) "shosts-only" は .shosts を利用可能とするが, .rhosts は
そうしない.
* sshd(8): allow the IgnoreRhosts directive to appear anywhere in a
sshd_config, not just before any Match blocks; bz3148
sshd(8): IgnoreRhosts 設定項目を, すべての Match ブロック の前ではなく
sshd_config のどこに配置してもよいようにする. bz3148
* ssh(1): add %TOKEN percent expansion for the LocalFoward and
RemoteForward keywords when used for Unix domain socket forwarding.
bz#3014
ssh(1): ユニックスドメインソケット転送で利用する際の %TOKEN (%h など)
の展開を LocalFoward と RemoteForward で追加する. bz#3014
* all: allow loading public keys from the unencrypted envelope of a
private key file if no corresponding public key file is present.
all: 秘密鍵ファイルがあって対応する公開鍵がない場合に, 秘密鍵ファイルの
暗号化されていない envelope から公開鍵をロードできるようにする.
* ssh(1), sshd(8): prefer to use chacha20 from libcrypto where
possible instead of the (slower) portable C implementation included
in OpenSSH.
ssh(1), sshd(8): chacha20 の利用時に, 可能ならば
(より遅い) OpenSSH に含まれる (より遅く) 移植性のある C の実装よりも
libcrypto を利用する.
* ssh-keygen(1): add ability to dump the contents of a binary key
revocation list via "ssh-keygen -lQf /path" bz#3132
ssh-keygen(1): "ssh-keygen -lQf /path" によって バイナリ 鍵
失効リストの内容を出力できるようにする. bz#3132
Bugfixes
--------
バグ修正
* ssh(1): fix IdentitiesOnly=yes to also apply to keys loaded from
a PKCS11Provider; bz#3141
ssh(1): PKCS11Provider からロードされた鍵に対しても IdentitiesOnly=yes
を適用するように修正する; bz#3141
* ssh-keygen(1): avoid NULL dereference when trying to convert an
invalid RFC4716 private key.
ssh-keygen(1): 不正な RFC4716 秘密鍵を変換しようとする際に
NULL の参照を外さないようにする.
* scp(1): when performing remote-to-remote copies using "scp -3",
start the second ssh(1) channel with BatchMode=yes enabled to
avoid confusing and non-deterministic ordering of prompts.
scp(1): "scp -3" を用いて リモート-リモート コピーを実行する際,
プロンプトの混乱を招き非決定的な順番を回避できるよう
2番目の ssh(1) チャンネルを BatchMode=yes で開始する.
* ssh(1), ssh-keygen(1): when signing a challenge using a FIDO token,
perform hashing of the message to be signed in the middleware layer
rather than in OpenSSH code. This permits the use of security key
middlewares that perform the hashing implicitly, such as Windows
Hello.
ssh(1), ssh-keygen(1): FIDO トークンを用いてチャレンジに署名する際,
OpenSSH のコードよりもミドルウェアの層で署名されたメッセージの
ハッシュ化を優先して行なうようにする. Windows ハローのような,
ハッシュを暗黙的に実行するセキュリティ鍵ミドルウェアの利用が
できるようになる.
* ssh(1): fix incorrect error message for "too many known hosts
files." bz#3149
ssh(1): "too many known hosts files" に対する間違った
エラーメッセージを修正する. bz#3149
* ssh(1): make failures when establishing "Tunnel" forwarding
terminate the connection when ExitOnForwardFailure is enabled;
bz#3116
ssh(1): ExitOnForwardFailure が有効な場合に "トンネル" 転送の確立に失敗したら
接続を終了するようにする; bz#3116
* ssh-keygen(1): fix printing of fingerprints on private keys and add
a regression test for same.
ssh-keygen(1): 秘密鍵の指紋の出力を修正し, 回帰テストを追加する.
* sshd(8): document order of checking AuthorizedKeysFile (first) and
AuthorizedKeysCommand (subsequently, if the file doesn't match);
bz#3134
sshd(8): AuthorizedKeysFile (最初にチェックする) と AuthorizedKeysCommand
(ファイルがマッチしなかったら, 次に) の順番を文書化する. bz#3134
* sshd(8): document that /etc/hosts.equiv and /etc/shosts.equiv are
not considered for HostbasedAuthentication when the target user is
root; bz#3148
sshd(8): 対象ユーザが root の場合に HostbasedAuthentication で
/etc/hosts.equiv と /etc/shosts.equiv が考慮されないことを文書化する;
bz#3148
* ssh(1), ssh-keygen(1): fix NULL dereference in private certificate
key parsing (oss-fuzz #20074).
ssh(1), ssh-keygen(1): 秘密証明書鍵のパース時の NULL の参照外しを
修正する (oss-fuzz #20074).
* ssh(1), sshd(8): more consistency between sets of %TOKENS are
accepted in various configuration options.
ssh(1), sshd(8): %TOKENS の集合の間の一貫性を
いろいろな設定オプション間でより一致するようにする.
* ssh(1), ssh-keygen(1): improve error messages for some common
PKCS#11 C_Login failure cases; bz#3130
ssh(1), ssh-keygen(1): PKCS#11 C_Login 失敗のいくつかの場合の
エラーメッセージを改善する; bz#3130
* ssh(1), sshd(8): make error messages for problems during SSH banner
exchange consistent with other SSH transport-layer error messages
and ensure they include the relevant IP addresses bz#3129
ssh(1), sshd(8): SSH バナー交換時の問題のエラーメッセージを
他の SSH トランスポート層エラーメッセージと一貫するようにし,
関連する IPアドレスを含むようにする. bz#3129
* various: fix a number of spelling errors in comments and debug/error
messages
いろいろ: コメントや debug/error メッセージ中のスペルミスを多数
修正する.
* ssh-keygen(1), ssh-add(1): when downloading FIDO2 resident keys
from a token, don't prompt for a PIN until the token has told us
that it needs one. Avoids double-prompting on devices that
implement on-device authentication.
ssh-keygen(1), ssh-add(1): FIDO2 resident 鍵をトークンから
ダウンロードする際, トークンが PIN が必要だと言うまでは
PIN のプロンプトを表示しない. デバイスの認証を実装しているデバイスでの
2重プロンプトを避ける.
* sshd(8), ssh-keygen(1): no-touch-required FIDO certificate option
should be an extension, not a critical option.
sshd(8), ssh-keygen(1): 接触が必要ない FIDO 証明書オプションは
拡張とする必要がある. 必須のオプションではない.
* ssh(1), ssh-keygen(1), ssh-add(1): offer a better error message
when trying to use a FIDO key function and SecurityKeyProvider is
empty.
ssh(1), ssh-keygen(1), ssh-add(1): FIDO 鍵関数を利用しようとして
SecurityKeyProvider が空の場合のエラーメッセージを改善する.
* ssh-add(1), ssh-agent(8): ensure that a key lifetime fits within
the values allowed by the wire format (u32). Prevents integer
wraparound of the timeout values. bz#3119
ssh-add(1), ssh-agent(8): 鍵の有効時間は wire format (u32) で
許可されている値の範囲内に収まることを保証する. タイムアウト値の
整数循環を防止する. bz#3119
* ssh(1): detect and prevent trivial configuration loops when using
ProxyJump. bz#3057.
ssh(1): ProxyJump を利用した 自明な設定ループを検出し防止する bz#3057
Portability
-----------
移植性
* Detect systems where signals flagged with SA_RESTART will interrupt
select(2). POSIX permits implementations to choose whether
select(2) will return when interrupted with a SA_RESTART-flagged
signal, but OpenSSH requires interrupting behaviour.
SA_RESTART フラグ付きのシグナルが select(2) に割り込むシステムを検出する.
POSIX は SA_RESTART フラグ付きのシグナルによって割り込まれた場合に
select(2) が return するかどうかを実装にまかせているが,
OpenSSH は割り込まれる振舞いを要求している.
* Several compilation fixes for HP/UX and AIX.
HP/UX と AIX でのいくつかのコンパイルの問題の修正.
* On platforms that do not support setting process-wide routing
domains (all excepting OpenBSD at present), fail to accept a
configuration attempts to set one at process start time rather than
fatally erroring at run time. bz#3126
プロセス単位のルーティングドメインの設定をサポートしないプラットフォーム
(現在 OpenBSD 以外のすべてのプラットフォーム) で, そのような設定に対して
実行時に致命的に失敗するのではなく開始時に設定しようとしたらエラーと
なるようにする. bz#3126
* Improve detection of egrep (used in regression tests) on platforms
that offer a poor default one (e.g. Solaris).
(例えば Solaris のような) 貧弱なデフォルトの egrep を提供するプラットフォーム
での egrep の検出を改善する. (egrep は回帰テストで利用している)
* A number of shell portability fixes for the regression tests.
回帰テストでの シェル移植性を多数修正する.
* Fix theoretical infinite loop in the glob(3) replacement
implementation.
glob(3) 置換実装での理論上ありえる無限ループを修正する.
* Fix seccomp sandbox compilation problems for some Linux
configurations bz#3085
いくつかの Linux の設定での seccomp サンドボックスのコンパイルの
問題を修正する bz#3085
* Improved detection of libfido2 and some compilation fixes for some
configurations when --with-security-key-builtin is selected.
libfido2 の検出改善し, --with-security-key-builtin が選択された場合の
いくつかの設定でのコンパイル時の問題を修正する.
OpenSSH 8.3 リリース準備中 / Call for testing: OpenSSH 8.3
OpenSSH 8.3 がリリース準備中です.
バグ修正がメインのリリースとなりそうです.
Security
========
セキュリティ
* scp(1): when receiving files, scp(1) could be become desynchronised
if a utimes(2) system call failed. This could allow file contents
to be interpreted as file metadata and thereby permit an adversary
to craft a file system that, when copied with scp(1) in a
configuration that caused utimes(2) to fail (e.g. under a SELinux
policy or syscall sandbox), transferred different file names and
contents to the actual file system layout.
scp(1): ファイルを受け取る際, utimes(2) システムコールが失敗すると
scp(1) は 非同期になる可能性がある. この時ファイルの内容が
ファイルのメタデータとして解釈される可能性があり, それゆえ
ファイルシステムを加工する攻撃を許してしまう.
(例えば SELinux のポリシー や システムコールサンドボックスによって)
utimes(2) が失敗しうる設定で scp(1) でのコピーされたファイルが,
実際のファイルシステムの配置とは異なるファイル名や内容でコピーされる.
Exploitation of this is not likely as utimes(2) does not fail under
normal circumstances. Successful exploitation is not silent - the
output of scp(1) would show transfer errors followed by the actual
file(s) that were received.
この問題は, utimes(2) は通常の環境で失敗しないので, 発生する蓋然性は低い.
問題が発生したときはわかりやすい - scp の出力は, 実際に転送されたファイル(群)
に続いて転送エラーを表示するだろう.
Finally, filenames returned from the peer are (since openssh-8.0)
matched against the user's requested destination, thereby
disallowing a successful exploit from writing files outside the
user's selected target glob (or directory, in the case of a
recursive transfer). This ensures that this attack can achieve no
more than a hostile peer is already able to do within the scp
protocol.
最後に, 相手方から転送されたファイル名は (openssh-8.0 から)
ユーザの要求した転送先に一致するので, ユーザが選択した対象の
glob (ないし, 再帰転送の場合は, ディレクトリ) の外側で
この問題が発生することはない. これは, この攻撃によって悪意のある
相手方が scp プロトコル内で可能なこと以上のことはできないことを
保証します.
Potentially-incompatible changes
================================
潜在的に非互換な変更
This release includes a number of changes that may affect existing
configurations:
このリリースは, 既存の設定に変更しうる変更を含んでいる.
* sftp(1): reject an argument of "-1" in the same way as ssh(1) and
scp(1) do instead of accepting and silently ignoring it.
sftp(1): コマンドライン引数 "-1" を ssh(1) と scp(1) と同様に拒否する.
これまでは受け入れて静かに無視していた.
Changes since OpenSSH 8.2
=========================
OpenSSH 8.2 からの変更
The focus of this release is bug fixing.
このリリースの焦点はバグ修正だ.
New Features
------------
新機能
* sshd(8): make IgnoreRhosts a tri-state option: "yes" to ignore
rhosts/shosts, "no" allow rhosts/shosts or (new) "shosts-only"
to allow .shosts files but not .rhosts.
ssh(8): IgnoreRhosts は 3つの状態を持つ設定項目となる. "yes" は
rhosts/shosts を無視する. "no" は rhosts/shosts を利用可能とする.
(新しい) "shosts-only" は .shosts を利用可能とするが, .rhosts は
そうしない.
* sshd(8): allow the IgnoreRhosts directive to appear anywhere in a
sshd_config, not just before any Match blocks; bz3148
sshd(8): IgnoreRhosts 設定項目を, すべての Match ブロック の前ではなく
sshd_config のどこに配置してもよいようにする. bz3148
* ssh(1): add %TOKEN percent expansion for the LocalFoward and
RemoteForward keywords when used for Unix domain socket forwarding.
bz#3014
ssh(1): ユニックスドメインソケット転送で利用する際の %TOKEN (%h など)
の展開を LocalFoward と RemoteForward で追加する. bz#3014
* all: allow loading public keys from the unencrypted envelope of a
private key file if no corresponding public key file is present.
all: 秘密鍵ファイルがあって対応する公開鍵がない場合に, 秘密鍵ファイルの
暗号化されていない envelope から公開鍵をロードできるようにする.
* ssh(1), sshd(8): prefer to use chacha20 from libcrypto where
possible instead of the (slower) portable C implementation included
in OpenSSH.
ssh(1), sshd(8): chacha20 の利用時に, 可能ならば
(より遅い) OpenSSH に含まれる (より遅く) 移植性のある C の実装よりも
libcrypto を利用する.
* ssh-keygen(1): add ability to dump the contents of a binary key
revocation list via "ssh-keygen -lQf /path" bz#3132
ssh-keygen(1): "ssh-keygen -lQf /path" によって バイナリ 鍵
失効リストの内容を出力できるようにする. bz#3132
Bugfixes
--------
バグ修正
* ssh(1): fix IdentitiesOnly=yes to also apply to keys loaded from
a PKCS11Provider; bz#3141
ssh(1): PKCS11Provider からロードされた鍵に対しても IdentitiesOnly=yes
を適用するように修正する; bz#3141
* ssh-keygen(1): avoid NULL dereference when trying to convert an
invalid RFC4716 private key.
ssh-keygen(1): 不正な RFC4716 秘密鍵を変換しようとする際に
NULL の参照を外さないようにする.
* scp(2): when performing remote-to-remote copies using "scp -3",
start the second ssh(1) channel with BatchMode=yes enabled to
avoid confusing and non-deterministic ordering of prompts.
scp(2): "scp -3" を用いて リモート-リモート コピーを実行する際,
プロンプトの混乱を招き非決定的な順番を回避できるよう
2番目の ssh(1) チャンネルを BatchMode=yes で開始する.
* ssh(1), ssh-keygen(1): when signing a challenge using a FIDO token,
perform hashing of the message to be signed in the middleware layer
rather than in OpenSSH code. This permits the use of security key
middlewares that perform the hashing implicitly, such as Windows
Hello.
ssh(1), ssh-keygen(1): FIDO トークンを用いてチャレンジに署名する際,
OpenSSH のコードよりもミドルウェアの層で署名されたメッセージの
ハッシュ化を優先して行なうようにする. Windows ハローのような,
ハッシュを暗黙的に実行するセキュリティ鍵ミドルウェアの利用が
できるようになる.
* ssh(1): fix incorrect error message for "too many known hosts
files." bz#3149
ssh(1): "too many known hosts files" に対する間違った
エラーメッセージを修正する. bz#3149
* ssh(1): make failures when establishing "Tunnel" forwarding
terminate the connection when ExitOnForwardFailure is enabled;
bz#3116
ssh(1): ExitOnForwardFailure が有効な場合に "トンネル" 転送の確立に失敗したら
接続を終了するようにする; bz#3116
* ssh-keygen(1): fix printing of fingerprints on private keys and add
a regression test for same.
ssh-keygen(1): 秘密鍵の指紋の出力を修正し, 回帰テストを追加する.
* sshd(8): document order of checking AuthorizedKeysFile (first) and
AuthorizedKeysCommand (subsequently, if the file doesn't match);
bz#3134
sshd(8): AuthorizedKeysFile (最初にチェックする) と AuthorizedKeysCommand
(ファイルがマッチしなかったら, 次に) の順番を文書化する. bz#3134
* sshd(8): document that /etc/hosts.equiv and /etc/shosts.equiv are
not considered for HostbasedAuthentication when the target user is
root; bz#3148
sshd(8): 対象ユーザが root の場合に HostbasedAuthentication で
/etc/hosts.equiv と /etc/shosts.equiv が考慮されないことを文書化する;
bz#3148
* ssh(1), ssh-keygen(1): fix NULL dereference in private certificate
key parsing (oss-fuzz #20074).
ssh(1), ssh-keygen(1): 秘密証明書鍵のパース時の NULL の参照外しを
修正する (oss-fuzz #20074).
* ssh(1), sshd(8): more consistency between sets of %TOKENS are
accepted in various configuration options.
ssh(1), sshd(8): %TOKENS の集合の間の一貫性を
いろいろな設定オプション間でより一致するようにする.
* ssh(1), ssh-keygen(1): improve error messages for some common
PKCS#11 C_Login failure cases; bz#3130
ssh(1), ssh-keygen(1): PKCS#11 C_Login 失敗のいくつかの場合の
エラーメッセージを改善する; bz#3130
* ssh(1), sshd(8): make error messages for problems during SSH banner
exchange consistent with other SSH transport-layer error messages
and ensure they include the relevant IP addresses bz#3129
ssh(1), sshd(8): SSH バナー交換時の問題のエラーメッセージを
他の SSH トランスポート層エラーメッセージと一貫するようにし,
関連する IPアドレスを含むようにする. bz#3129
* various: fix a number of spelling errors in comments and debug/error
messages
いろいろ: コメントや debug/error メッセージ中のスペルミスを多数
修正する.
* ssh-keygen(1), ssh-add(1): when downloading FIDO2 resident keys
from a token, don't prompt for a PIN until the token has told us
that it needs one. Avoids double-prompting on devices that
implement on-device authentication.
ssh-keygen(1), ssh-add(1): FIDO2 resident 鍵をトークンから
ダウンロードする際, トークンが PIN が必要だと言うまでは
PIN のプロンプトを表示しない. デバイスの認証を実装しているデバイスでの
2重プロンプトを避ける.
* sshd(8), ssh-keygen(1): no-touch-required FIDO certificate option
should be an extension, not a critical option.
sshd(8), ssh-keygen(1): 接触が必要ない FIDO 証明書オプションは
拡張とする必要がある. 必須のオプションではない.
* ssh(1), ssh-keygen(1), ssh-add(1): offer a better error message
when trying to use a FIDO key function and SecurityKeyProvider is
empty.
ssh(1), ssh-keygen(1), ssh-add(1): FIDO 鍵関数を利用しようとして
SecurityKeyProvider が空の場合のエラーメッセージを改善する.
* ssh-add(1), ssh-agent(8): ensure that a key lifetime fits within
the values allowed by the wire format (u32). Prevents integer
wraparound of the timeout values. bz#3119
ssh-add(1), ssh-agent(8): 鍵の有効時間は wire format (u32) で
許可されている値の範囲内に収まることを保証する. タイムアウト値の
整数循環を防止する. bz#3119
* ssh(1): detect and prevent trivial configuration loops when using
ProxyJump. bz#3057.
ssh(1): ProxyJump を利用した 自明な設定ループを検出し防止する bz#3057
Portability
-----------
移植性
* Detect systems where signals flagged with SA_RESTART will interrupt
select(2). POSIX permits implementations to choose whether
select(2) will return when interrupted with a SA_RESTART-flagged
signal, but OpenSSH requires interrupting behaviour.
SA_RESTART フラグ付きのシグナルが select(2) に割り込むシステムを検出する.
POSIX は SA_RESTART フラグ付きのシグナルによって割り込まれた場合に
select(2) が return するかどうかを実装にまかせているが,
OpenSSH は割り込まれる振舞いを要求している.
* Several compilation fixes for HP/UX and AIX.
HP/UX と AIX でのいくつかのコンパイルの問題の修正.
* On platforms that do not support setting process-wide routing
domains (all excepting OpenBSD at present), fail to accept a
configuration attempts to set one at process start time rather than
fatally erroring at run time. bz#3126
プロセス単位のルーティングドメインの設定をサポートしないプラットフォーム
(現在 OpenBSD 以外のすべてのプラットフォーム) で, そのような設定に対して
実行時に致命的に失敗するのではなく開始時に設定しようとしたらエラーと
なるようにする. bz#3126
* Improve detection of egrep (used in regression tests) on platforms
that offer a poor default one (e.g. Solaris).
(例えば Solaris のような) 貧弱なデフォルトの egrep を提供するプラットフォーム
での egrep の検出を改善する. (egrep は回帰テストで利用している)
* A number of shell portability fixes for the regression tests.
回帰テストでの シェル移植性を多数修正する.
* Fix theoretical infinite loop in the glob(3) replacement
implementation.
glob(3) 置換実装での理論上ありえる無限ループを修正する.
* Fix seccomp sandbox compilation problems for some Linux
configurations bz#3085
いくつかの Linux の設定での seccomp サンドボックスのコンパイルの
問題を修正する bz#3085
* Improved detection of libfido2 and some compilation fixes for some
configurations when --with-security-key-builtin is selected.
libfido2 の検出改善し, --with-security-key-builtin が選択された場合の
いくつかの設定でのコンパイル時の問題を修正する.
OpenSSH 8.2 がリリースされました
2020/02/14, OpenSSH 8.2 がリリースされました.
- OpenSSH 8.2 Release Note 中の OpenSSH 8.2 での変更点の翻訳
- この記事にも添付します.
- OpenSSH 移植版付属文書の翻訳
SHA-1 の危殆化による変更, FIDO/U2F 対応が行なわれています.
OpenSSH 8.2 リリース準備中 / Call for testing: OpenSSH 8.2
OpenSSH 8.2 がリリース準備中です.
SHA-1 の利用廃止に向けた動き, FIDO/U2F などもりだくさんです.
https://lists.mindrot.org/pipermail/openssh-unix-dev/2020-February/038215.html
Future deprecation notice
=========================
将来廃止される機能についての通知
It is now possible[1] to perform chosen-prefix attacks against the
SHA-1 algorithm for less than USD$50K. For this reason, we will be
disabling the "ssh-rsa" public key signature algorithm by default in a
near-future release.
USドル 50K より少ない金額で SHA-1 アルゴリズムに対する選択プレフィックス
攻撃が実行できることが [1] で示されている. このため, 我々は
近い将来のリリースで "ssh-rsa" 公開鍵署名アルゴリズムをデフォルトでは
無効にする予定だ.
This algorithm is unfortunately still used widely despite the
existence of better alternatives, being the only remaining public key
signature algorithm specified by the original SSH RFCs.
このアルコリズムは, よりよい代替アルゴリズムがあるにもかかわらず
もともとの SSH RFC で定義された公開鍵署名アルゴリズムのの中で
ただ1つ残ったアルゴリズムとして,
不幸なことにいまだ広く用いられている.
The better alternatives include:
次に示すものがよりよい代替だ:
* The RFC8332 RSA SHA-2 signature algorithms rsa-sha2-256/512. These
algorithms have the advantage of using the same key type as
"ssh-rsa" but use the safe SHA-2 hash algorithms. These have been
supported since OpenSSH 7.2 and are already used by default if the
client and server support them.
RFC8332 の RSA SHA-2 署名アルゴリズム rsa-sha-256/512.
これらのアルゴリズムは "ssh-rsa" と同じ鍵タイプを用いる利点があり
安全な SHA-2 ハッシュアルゴリズムを用いている. これらは
OpenSSH 7.2 以降でサポートされており, クライアントとサーバが
サポートしているならすでにデフォルトで用いられている.
* The ssh-ed25519 signature algorithm. It has been supported in
OpenSSH since release 6.5.
ssh-ed25519 署名アルゴリズム. OpenSSH 6.5 以降でサポートされている.
* The RFC5656 ECDSA algorithms: ecdsa-sha2-nistp256/384/521. These
have been supported by OpenSSH since release 5.7.
RFC5656 の ECDSA アルゴリズム: ecdsa-sha2-nistp256/384/521. These
これらは OpenSSH 5.7 以降でサポートされている.
To check whether a server is using the weak ssh-rsa public key
algorithm, for host authentication, try to connect to it after
removing the ssh-rsa algorithm from ssh(1)'s allowed list:
サーバが, ホストの認証のために, 弱い ssh-rsa 公開鍵アルゴリズムを
利用しているか検査するには, ssh(1) の許可リストから ssh-rsa
アルゴリズムを除いたあとで接続を試行すればよい.
ssh -oHostBasedKeyTypes=-ssh-rsa user@host
If the host key verification fails and no other supported host key
types are available, the the server software on that host should be
upgraded.
ホスト鍵検証が失敗し他にサポートされたホスト鍵の種類がない場合,
ホストのサーバソフトウェアをアップグレードする必要がある.
[1] "SHA-1 is a Shambles: First Chosen-Prefix Collision on SHA-1 and
Application to the PGP Web of Trust" Leurent, G and Peyrin, T
(2020) https://eprint.iacr.org/2020/014.pdf
Security
========
セキュリティ
* ssh(1), sshd(8), ssh-keygen(1): this release removes the "ssh-rsa"
(RSA/SHA1) algorithm from those accepted for certificate signatures
(i.e. the client and server CASignatureAlgorithms option) and will
use the rsa-sha2-512 signature algorithm by default when the
ssh-keygen(1) CA signs new certificates.
ssh(1), sshd(8), ssh-keygen(1): このリリースで "ssh-rsa" (RSA/SHA1)
アルゴリズムを 証明書の署名のために受け入れる署名 (すなわち,
クライアントとサーバの CASignatureAlgorithms 設定項目) から除く.
また, ssh-keygen(1) の CA が新しい証明書に署名する際の
デフォルトのアルゴリズムとして rsa-sha2-512 署名アルゴリズムを
利用する.
Certificates are at special risk to the aforementioned SHA1
collision vulnerability as an attacker has effectively unlimited
time in which to craft a collision that yields them a valid
certificate, far more than the relatively brief LoginGraceTime
window that they have to forge a host key signature.
証明書は前述の SHA1 衝突脆弱性に対して特別なリスクがある.
攻撃者は正当な署名を生成する衝突を工夫するのに,
実質的に無限の時間を使える.
ホスト鍵の署名を攻撃者が偽造するには
比較的に短時間な LoginGraceTime で指定された時間内に行なう必要がある.
OpenSSH releases prior to 7.2 do not support the newer RSA/SHA2
algorithms and will refuse to accept certificates signed by an
OpenSSH 8.2+ CA using RSA keys. Older clients/servers may use
another CA key type such as ssh-ed25519 (supported since OpenSSH
6.5) or one of the ecdsa-sha2-nistp256/384/521 types (supported
since OpenSSH 5.7) instead if they cannot be upgraded.
7.2 より前の OpenSSH のリリースは, より新しい RSA/SHA2 アルゴリズムを
をサポートしておらず, OpenSSH 8.2 以降の CA が RSA 鍵を用いて
署名した証明書を受け入れられなくなる. 古いクライアント/サーバは,
アップグレードできないならば, 代わりに (OpenSSH 6.5
以降でサポートされている) ssh-ed25519 や (OpenSSH 5.7
以降でサポートされている) ecdsa-sha2-nistp256/384/521
のうちの1つのような 別の CA 鍵タイプを利用することになる.
Potentially-incompatible changes
================================
潜在的に非互換な変更
This release includes a number of changes that may affect existing
configurations:
このリリースは既存の設定に影響するいくつかの変更がある.
* ssh(1), sshd(8): the above removal of "ssh-rsa" from the accepted
CASignatureAlgorithms list.
ssh(1), sshd(8): 前述のように CASignatureAlgorithms
で受け入れるリストから "ssh-rsa" を除去
* ssh(1), sshd(8): this release removes diffie-hellman-group14-sha1
from the default key exchange proposal for both the client and
server.
ssh(1), sshd(8): クライアントとサーバのデフォルトの鍵交換候補から
diffie-hellman-group14-sha1 をこのリリースで除く.
* ssh-keygen(1): the command-line options related to the generation
and screening of safe prime numbers used by the
diffie-hellman-group-exchange-* key exchange algorithms have
changed. Most options have been folded under the -O flag.
ssh-keygen(1): diffie-hellman-group-exchange-* 鍵交換アルゴリズムで
用いられる安全な素数の生成と選別に関連するコマンドラインオプションが
変更される. たいがいのオプションが -O フラグの下に畳み込まれる.
* sshd(8): the sshd listener process title visible to ps(1) has
changed to include information about the number of connections that
are currently attempting authentication and the limits configured
by MaxStartups.
sshd(8): ps(1) で見れるsshd のリスナープロセスのタイトルが
変更され, 現在認証を試行している接続の数と MaxStartups
で設定された制限の情報を含むようになる.
Changes since OpenSSH 8.1
=========================
OpenSSH 8.1 からの変更点
This release contains some significant new features.
このリリースはいくつかの重大な新機能を含んでいる.
FIDO/U2F Support
----------------
FIDO/U2F サポート
This release adds support for FIDO/U2F hardware authenticators to
OpenSSH. U2F/FIDO are open standards for inexpensive two-factor
authentication hardware that are widely used for website
authentication. In OpenSSH FIDO devices are supported by new public
key types "ecdsa-sk" and "ed25519-sk", along with corresponding
certificate types.
このリリースでは OpenSSH に FIDO/U2F ハードウェア認証器のサポートを
追加する. U2F/FIDO は ウェブサイトの認証に広く用いられている
安価な 2 要素認証ハードウェアのオープンな標準だ. OpenSSH では
FIDO デバイスは新しい "ecdsa-sk" と "ed25519-sk" 公開鍵鍵タイプと
関連する証明書のタイプをサポートする.
ssh-keygen(1) may be used to generate a FIDO token-backed key, after
which they may be used much like any other key type supported by
OpenSSH, so long as the hardware token is attached when the keys are
used. FIDO token also generally require the user explicitly authorise
operations by touching or tapping them.
ssh-keygen(1) は, FIDO のトークンに支援された鍵を生成するに使われるようになる.
これらの鍵が利用される際にハードウェアトークンが取り付けられているならば,
OpenSSH でサポートされた他の鍵タイプのように利用できる.
FIDO トークンはさらに, トークンに触れたり押したりすることでの
ユーザの明示的な許可を一般的に要求する.
Generating a FIDO key requires the token be attached, and will usually
require the user tap the token to confirm the operation:
FIDO キーの生成にはトークンが取り付けられていることが必要で,
ユーザがトークンをタップしての操作の確認が通常要求される.
$ ssh-keygen -t ecdsa-sk -f ~/.ssh/id_ecdsa_sk
Generating public/private ecdsa-sk key pair.
You may need to touch your security key to authorize key generation.
Enter file in which to save the key (/home/djm/.ssh/id_ecdsa_sk):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/djm/.ssh/id_ecdsa_sk
Your public key has been saved in /home/djm/.ssh/id_ecdsa_sk.pub
This will yield a public and private key-pair. The private key file
should be useless to an attacker who does not have access to the
physical token. After generation, this key may be used like any other
supported key in OpenSSH and may be listed in authorized_keys, added
to ssh-agent(1), etc. The only additional stipulation is that the FIDO
token that the key belongs to must be attached when the key is used.
公開鍵と秘密鍵のペアが生成される. 秘密鍵ファイルは物理トークンにアクセス
できない攻撃者には利用できないはずだ. 生成のあと, この鍵は OpenSSH の
他のサポートされた鍵のように利用できる. authorized_keys ファイルに列挙でき,
ssh-agent(1) に追加できる, などなど. 唯一の追加の条件は,
鍵を利用する際に鍵が属している FIDO トークンが取り付けられていなければならない
ことだ.
FIDO tokens are most commonly connected via USB but may be attached
via other means such as Bluetooth or NFC. In OpenSSH, communication
with the token is managed via a middleware library, specified by the
SecurityKeyProvider directive in ssh/sshd_config(5). OpenSSH includes
a middleware with support for USB tokens that is may be enabled in
portable OpenSSH via the --with-security-key-builtin configure flag
(it is enabled automatically in OpenBSD). This internal middleware
requires that libfido2 (https://github.com/Yubico/libfido2) and its
dependencies be installed. If the built-in middleware is enabled then
it will be used by default.
FIDO トークンは たいがい USB を用いて接続されるが, Bluetooth や
NFC といった手段でも取り付けられる. OpenSSH では, トークンとの通信は
ssh/sshd_config(5) の SecurityKeyProvider 設定項目で指定された
ミドルウェアライブラリで管理される. OpenSSH は USB トークンの
サポートのためのミドウウェアを含んでいて, 移植版 OpenSSH では
--with-security-key-builtin configure オプションで有効となる
(OpenBSD では自動的に有効だ). この内部ミドルウェアは
libfido2(https://github.com/Yubico/libfido2) と
このライブラリが依存するものがインストールされていることを要求する.
このビルトインミドルウェアが有効ならば デフォルトで利用される.
Note: FIDO/U2F tokens are required to implement the ECDSA-P256
"ecdsa-sk" key type, but hardware support for Ed25519 "ed25519-sk" is
less common. Similarly, not all hardware tokens support some of the
optional features such as resident keys.
注意: FIDO/U2F トークンは ECDSA-P256 "ecdsa-sk" 鍵タイプの実装が要求されている
が, Ed25519 "ed25519-sk" のハードウェアサポートはより一般的ではない.
同様に, すべてのハードウェアトークンが resident key のような
追加の特徴をサポートしているわけではない.
The protocol-level changes to support FIDO/U2F keys in SSH are
documented in the PROTOCOL.u2f file in the OpenSSH source
distribution.
SSH での FIDO/U2F 鍵のサポートのためのプロトコルレベルでの変更は
OpenSSH ソース配布の PROTOCOL.u2f ファイルに文書化されている.
There are a number of supporting changes to this feature:
この特徴のための変更は次だ:
* ssh-keygen(1): add a "no-touch-required" option when generating
FIDO-hosted keys, that disables their default behaviour of
requiring a physical touch/tap on the token during authentication.
Note: not all tokens support disabling the touch requirement.
ssh-keygen(1): FIDOに支援された鍵を生成する "no-touch-required"
オプションを追加する. 認証の間にトークン上で物理的な タッチ/タップ
を要求するデフォルトの振舞いを無効にする.
注意: すべてのトークンがタッチ要求の無効をサポートするわけではない.
* sshd(8): add a sshd_config PubkeyAuthOptions directive that
collects miscellaneous public key authentication-related options
for sshd(8). At present it supports only a single option
"no-touch-required". This causes sshd to skip its default check for
FIDO/U2F keys that the signature was authorised by a touch or press
event on the token hardware.
sshd(8): sshd_config に PubkeyAuthOptions 設定項目を追加する.
sshd(8) に対するいろいろな公開鍵認証に関連したオプションを集める.
現在唯一のオプション "no-touch-required" のみをサポートする.
これは, sshd に対してトークンハードウェアのFIDO/U2F 鍵のデフォルトのチェック
(署名がトークンハードウェア上でのタッチやプレスによって
認証されたかどうか) をスキップする.
* ssh(1), sshd(8), ssh-keygen(1): add a "no-touch-required" option
for authorized_keys and a similar extension for certificates. This
option disables the default requirement that FIDO key signatures
attest that the user touched their key to authorize them, mirroring
the similar PubkeyAuthOptions sshd_config option.
ssh(1), sshd(8), ssh-keygen(1): authorized_keys に対する
"no-touch-required" オプションと, 証明書に対する同様の拡張を追加する.
このオプションは ユーザが署名を認証するために鍵に触れたかを証明する
FIDO 鍵署名に対するデフォルトの要求を無効にする.
同様に PubkeyAuthOptions sshd_config 設定項目と対になっている.
* ssh-keygen(1): add support for the writing the FIDO attestation
information that is returned when new keys are generated via the
"-O write-attestation=/path" option. FIDO attestation certificates
may be used to verify that a FIDO key is hosted in trusted
hardware. OpenSSH does not currently make use of this information,
beyond optionally writing it to disk.
ssh-keygen(1): "-O write-attestation=/path" オプションよって新しい鍵が
生成された際に返ってくる FIDO 認証情報を書き込みのサポートを追加する.
FIDO 認証証明書は FIDO 鍵が信頼されたハードウェア上にあるかを検証するのに
用いられることがある OpenSSH は現在オプションでディスクに書き込む以外では
この情報は利用しない.
FIDO2 resident keys
-------------------
FIDO2 resident keys
FIDO/U2F OpenSSH keys consist of two parts: a "key handle" part stored
in the private key file on disk, and a per-device private key that is
unique to each FIDO/U2F token and that cannot be exported. These are
combined by the hardware at authentication time to derive the real key
that is used to sign authentication challenges.
FIDO/U2F OpenSSH 鍵は 2つの部分から構成される: "key handle" 部は
ディスク上に秘密鍵ファイル内に保存される.
デバイスごとの秘密鍵は それぞれの FIDO/U2F トークンについて唯一で
取り出すことができない. これらをハードウェアで組み合わせて認証時に
署名認証の挑戦に用いる実際の鍵を導出する.
For tokens that are required to move between computers, it can be
cumbersome to have to move the private key file first. To avoid this
requirement, tokens implementing the newer FIDO2 standard support
"resident keys", where it is possible to effectively retrieve the key
handle part of the key from the hardware.
コンピュータ間で移動する必要のあるトークンにとっては, 秘密鍵をまず
移動する必要があるのはやっかいとなりうる. この要求を避けるため,
より新しい FIDO2 標準がサポートする "resident keys" を実装したトークンは
ハードウェアから鍵の key handle 部分を効率的に取り出すことができる.
OpenSSH supports this feature, allowing resident keys to be generated
using the ssh-keygen(1) "-O resident" flag. This will produce a
public/private key pair as usual, but it will be possible to retrieve
the private key part from the token later. This may be done using
"ssh-keygen -K", which will download all available resident keys from
the tokens attached to the host and write public/private key files
for them. It is also possible to download and add resident keys
directly to ssh-agent(1) without writing files to the file-system
using "ssh-add -K".
OpenSSH はこの特徴をサポートする. ssh-keygen(1) の "-O resident"
を用いて resident keys を生成できる. これは 公開鍵/秘密鍵のペアを
通常のように生成するが, 後でトークンから秘密鍵の部分を取り出せる.
"ssh-keygen -K" を用いると, ホストに取り付けられたトークンから
すべての resident keys を ダウンロードし
公開鍵/秘密鍵ファイルに書き込む. "ssh-add -K" を用いると
ファイルシステムへファイルを書き込むことなく ssh-agent(1) に直接
resident keys をダウンロードできる.
Resident keys are indexed on the token by the application string and
user ID. By default, OpenSSH uses an application string of "ssh:" and
an empty user ID. If multiple resident keys on a single token are
desired then it may be necessary to override one or both of these
defaults using the ssh-keygen(1) "-O application=" or "-O user="
options. Note: OpenSSH will only download and use resident keys whose
application string begins with "ssh:"
resident keys は アプリケーション文字列とユーザIDにてトークン上で
インデックスされる. デフォルトで OpenSSH は アプリケーション文字列として
"ssh:" を利用する. ユーザID は利用しない(空). 1つのトークン上に複数の
resident keys を配置したいなら, ssh-keygen(1) の "-O application=" か
"-O user=" オプションを用いて デフォルトの1つないし両方を上書きする
必要がある. 注意: OpenSSH は "ssh:" で始まるアプリケーション文字列を
持つ resident keys のみをダウンロード/使用する.
Storing both parts of a key on a FIDO token increases the likelihood
of an attacker being able to use a stolen token device. For this
reason, tokens should enforce PIN authentication before allowing
download of keys, and users should set a PIN on their tokens before
creating any resident keys.
FIDO トークン上に鍵の両方の部分を保持するのは, 攻撃者が盗んだトークン
デバイスを利用できる蓋然性を増やす. このため, 鍵のダウンロードの前に
PIN 認証をトークンは強制すべきで, ユーザは resident keys を作成する前に
トークンに PIN を設定すべきだ.
Other New Features
------------------
他の新機能
* sshd(8): add an Include sshd_config keyword that allows including
additional configuration files via glob(3) patterns. bz2468
sshd(8): Include sshd_config キーワードを追加する. glob(3)
のパターンで追加の設定ファイルを含むことができる. bz2468
* ssh(1)/sshd(8): make the LE (low effort) DSCP code point available
via the IPQoS directive; bz2986,
ssh(1)/sshd(8): IPQoS 設定項目で LE(low effort) DSCP コードポイント
が利用できる. bz2986
* ssh(1): when AddKeysToAgent=yes is set and the key contains no
comment, add the key to the agent with the key's path as the
comment. bz2564
ssh(1): AddKeysToAgent=yes が設定されていて鍵にコメントがない場合,
エージェントへの鍵の追加時に鍵のパスがコメントとなる. bz2564
* ssh-keygen(1), ssh-agent(1): expose PKCS#11 key labels and X.509
subjects as key comments, rather than simply listing the PKCS#11
provider library path. PR138
ssh-keygen(1), ssh-agent(1): PKCS#11 のプロバイダライブラリ
パスを単純に列挙するのではなく, 鍵のコメントとして PKCS#11 鍵ラベルと
X.509 subject を露出する. PR138
* ssh-keygen(1): allow PEM export of DSA and ECDSA keys; bz3091
ssh-keygen(1): DSA と ECDSA 鍵の PEM エキスポートが可能になる; bz3091
* ssh(1), sshd(8): make zlib compile-time optional, available via the
Makefile.inc ZLIB flag on OpenBSD or via the --with-zlib configure
option for OpenSSH portable.
ssh(1), sshd(8): zlib がコンパイル時に選択可能になった(なしでもコンパイルできるようになった).
OpenBSD の Makefile.inc ZLIB フラグか 移植版 OpenSSH の --with-zlib configure
オプションで利用可能.
* sshd(8): when clients get denied by MaxStartups, send a
notification prior to the SSH2 protocol banner according to
RFC4253 section 4.2.
sshd(8): MaxStartups の制限でクライアントが接続できなかった場合
RFC4253 4.2 節に従い SSH2 のプロトコルバナーより前に通知を送る.
* ssh(1), ssh-agent(1): when invoking the $SSH_ASKPASS prompt
program, pass a hint to the program to describe the type of
desired prompt. The possible values are "confirm" (indicating
that a yes/no confirmation dialog with no text entry should be
shown), "none" (to indicate an informational message only), or
blank for the original ssh-askpass behaviour of requesting a
password/phrase.
ssh(1), ssh-agent(1): $SSH_ASKPASS プロンプトプログラムを起動する際
望まれるプロンプトの種類を記述するヒントをプログラムに渡す.
可能な値は "confirm" (テキストエントリが表示されない yes/no
確認ダイアログを指定), "none" (情報メッセージのみを指定), もしくは
元々のパスワード/パスフレーズを要求する ssh-askpass の振舞いのための
ブランクだ.
* ssh(1): allow forwarding a different agent socket to the path
specified by $SSH_AUTH_SOCK, by extending the existing ForwardAgent
option to accepting an explicit path or the name of an environment
variable in addition to yes/no.
ssh(1): $SSH_AUTH_SOCK で指定されたパスとは異なるエージェントソケットの
転送を可能にする. 既存の ForwardAgent 設定項目を拡張し, yes/no
だけではなく 明示的なパスや環境変数の名前を受け入れる.
* ssh-keygen(1): add a new signature operations "find-principals" to
look up the principal associated with a signature from an allowed-
signers file.
ssh-keygen(1): 新しい署名の操作 "find-principals" を追加する.
許可された署名者のファイルから署名に基づく principal を検索する.
* sshd(8): expose the number of currently-authenticating connections
along with the MaxStartups limit in the process title visible to
"ps".
sshd(8): "ps" で見えるプロセスタイトルに 現在認証中の接続数と
MaxStartups の制限を露出する.
Bugfixes
--------
バグ修正
* sshd(8): make ClientAliveCountMax=0 have sensible semantics: it
will now disable connection killing entirely rather than the
current behaviour of instantly killing the connection after the
first liveness test regardless of success. bz2627
sshd(8): ClientAliveCountMax=0 にちゃんとした意味を持たせる:
完全に接続を切断するようになる. 現在の振舞いは,
最初の生存テストのあとで成功/失敗にかかわらず接続を単に切断する.
bz2627
* sshd(8): clarify order of AllowUsers / DenyUsers vs AllowGroups /
DenyGroups in the sshd(8) manual page. bz1690
sshd(8): sshd(8) のマニュアルで, AllowUsers / DenyUsers と
AllowGroups / DenyGroups の順序を明確にする. bz1690
* sshd(8): better describe HashKnownHosts in the manual page. bz2560
sshd(8): マニュアルでの HashKnownHosts の記述を改善する. bz2560
* sshd(8): clarify that that permitopen=/PermitOpen do no name or
address translation in the manual page. bz3099
sshd(8): マニュアルでの permitopen=/PermitOpen の記述で,
名前やアドレスの変換をしないことを明確にする. bz3009
* sshd(8): allow the UpdateHostKeys feature to function when
multiple known_hosts files are in use. When updating host keys,
ssh will now search subsequent known_hosts files, but will add
updated host keys to the first specified file only. bz2738
ssh(1) な気がする.
sshd(8): 複数の known_hosts ファイルを利用する際に
UpdateHostKeys が機能するようにする. ホスト鍵を更新する際
ssh は最初以外のknown_hosts 鍵も検索するようになるが
最初に指定されたファイルにのみ更新されたホスト鍵を追加する.
bz2738
* All: replace all calls to signal(2) with a wrapper around
sigaction(2). This wrapper blocks all other signals during the
handler preventing races between handlers, and sets SA_RESTART
which should reduce the potential for short read/write operations.
すべて: sigaction(2) の wrapper で signal(2) のすべての呼び出しを
更新する. この wrapper は ハンドラ内で他のすべてのシグナルをブロックして
ハンドラ間の競合を防止し, 短い read/write 操作の可能性を減らす
SA_RESTART を指定する.
* sftp(1): fix a race condition in the SIGCHILD handler that could
turn in to a kill(-1); bz3084
sftp(1): kill(-1) で発生する SIGCHILD ハンドラの競合状態を修正する.
bz3084
* sshd(8): fix a case where valid (but extremely large) SSH channel
IDs were being incorrectly rejected. bz3098
sshd(8): 正当な(ただし非常に大きい) SSH チャンネル ID が
不正に拒否されている場合を修正する. bz3098
* ssh(1): when checking host key fingerprints as answers to new
hostkey prompts, ignore whitespace surrounding the fingerprint
itself.
ssh(1): 新しいホストキーのプロンプトの回答としてホスト鍵指紋を
チェックする際, 指紋自体の周りの空白を無視する.
* All: wait for file descriptors to be readable or writeable during
non-blocking connect, not just readable. Prevents a timeout when
the server doesn't immediately send a banner (e.g. multiplexers
like sslh)
すべて: ノンブロッキングの接続で, 読み込み可能だけではなく
読み込み可能か書き込み可能になるまでファイルデスクリプタを待つ.
サーバがすぐにバナーを送ってこない場合
(たとえば sslh のようなマルチプレクサ) のタイムアウトを防ぐ.
* sshd_config(5): document the sntrup4591761x25519-sha512@tinyssh.org
key exchange algorithm. PR#151
sshd_config(5): sntrup4591761x25519-sha512@tinyssh.org
鍵交換アルゴリズムについて記述する. PR#151
Portability
-----------
移植性
* sshd(8): multiple adjustments to the Linux seccomp sandbox:
- Non-fatally deny IPC syscalls in sandbox
- Allow clock_gettime64() in sandbox (MIPS / glibc >= 2.31)
- Allow clock_nanosleep_time64 in sandbox (ARM) bz3100
- Allow clock_nanosleep() in sandbox (recent glibc) bz3093
* sshd(8): Linux seccomp サンドボックスへの複数の調整:
- サンドボックスで IPC syscalls を致命的ではなく否定する
- サンドボックスで clock_gettime64() を許可する (MIPS / glibc >= 2.31)
- サンドボックスで clock_nanosleep_time64 を許可する (ARM) bz3100
- サンドボックスで clock_nanosleep() を許可する (recent glibc) bz3093
* Explicit check for memmem declaration and fix up declaration if the
system headers lack it. bz3102
* memmem 宣言の明示的なチェックとシステムヘッダで宣言がない場合に宣言を修正する.
bz3102
OpenSSH 8.1 がリリースされました
2019/10/09, OpenSSH 8.1 がリリースされました.
- OpenSSH 8.1 Release Note 中の OpenSSH 8.1 での変更点の翻訳
- この記事にも添付します.
- OpenSSH 移植版付属文書の翻訳
https://www.openssh.com/txt/release-8.1
Security
========
セキュリティ
* ssh(1), sshd(8), ssh-add(1), ssh-keygen(1): an exploitable integer
overflow bug was found in the private key parsing code for the XMSS
key type. This key type is still experimental and support for it is
not compiled by default. No user-facing autoconf option exists in
portable OpenSSH to enable it. This bug was found by Adam Zabrocki
and reported via SecuriTeam's SSD program.
ssh(1), sshd(8), ssh-add(1), ssh-keygen(1): XMSS 鍵タイプの秘密鍵を
をパースするコードに悪用可能な整数オーバフローが見つかった. この鍵
タイプはまだ実験的でコンパイル時にデフォルトでサポートされない.
移植版 OpenSSH にこれを有効にするユーザ向けのオプションは存在しない.
このバグは Adam Zabrocki によって発見され, SecuriTeam の SSD
プログラムによって報告された.
* ssh(1), sshd(8), ssh-agent(1): add protection for private keys at
rest in RAM against speculation and memory side-channel attacks like
Spectre, Meltdown and Rambleed. This release encrypts private keys
when they are not in use with a symmetric key that is derived from a
relatively large "prekey" consisting of random data (currently 16KB).
ssh(1), sshd(8), ssh-agent(1): RAMに存在する秘密鍵に対して,
Spectre, Meltdown, Rambleed のような推測やメモリサイドチャネル攻撃
に対する保護を追加する. ランダムなデータ (現在は 16KB) で構成される
相対的に大きな "prekey" から導出される対称鍵を秘密鍵が利用していない場合,
このリリースでは秘密鍵を暗号化する.
Potentially-incompatible changes
================================
潜在的に非互換な変更
This release includes a number of changes that may affect existing
configurations:
このリリースは既存の設定に影響するかもしれない変更をいくつか含んでいる.
* ssh-keygen(1): when acting as a CA and signing certificates with
an RSA key, default to using the rsa-sha2-512 signature algorithm.
Certificates signed by RSA keys will therefore be incompatible
with OpenSSH versions prior to 7.2 unless the default is
overridden (using "ssh-keygen -t ssh-rsa -s ...").
ssh-keygen(1): CA として振舞い RSA 鍵で証明書に署名する場合,
rsa-sha2-512 署名アルゴリズムをデフォルトで利用する.
RSA 鍵で署名された証明書は, デフォルトを上書きしないと
("ssh-keygen -t ssh-rsa -s ..." を用いる) 7.2 より前の OpenSSH
のバージョンを非互換となる.
Changes since OpenSSH 8.0
=========================
OpenSSH 8.0 からの変更
This release is focused on bug-fixing.
このリリースはバグ修正に焦点を当てている.
New Features
------------
新機能
* ssh(1): Allow %n to be expanded in ProxyCommand strings
ssh(1): ProxyCommand 文字列中の展開に %n を許可する.
* ssh(1), sshd(8): Allow prepending a list of algorithms to the
default set by starting the list with the '^' character, E.g.
"HostKeyAlgorithms ^ssh-ed25519"
ssh(1), sshd(8): '^' 文字を用いてアルゴリスムのリストを始めることで
アルゴリズムのデフォルトの集合の前にアルゴリズムのリストを追加できる.
例えば "HostKeyAlgorithms ^ssh-ed25519"
* ssh-keygen(1): add an experimental lightweight signature and
verification ability. Signatures may be made using regular ssh keys
held on disk or stored in a ssh-agent and verified against an
authorized_keys-like list of allowed keys. Signatures embed a
namespace that prevents confusion and attacks between different
usage domains (e.g. files vs email).
ssh-keygen(1): 実験的な軽量な署名と検証の能力を追加する.
署名はディスクか ssh-agent に格納された通常の ssh 鍵を用いて
作成され, 検証は authorized_keys のような許可された鍵のリストに対して
行なわれる. 署名は, 衝突や異なる利用ドメイン(例えば ファイルとEメール)
の間の攻撃を防ぐ名前空間を埋め込む.
* ssh-keygen(1): print key comment when extracting public key from a
private key. bz#3052
ssh-keygen(1): 秘密鍵から公開鍵を抽出する際に鍵のコメントを表示する.
bz#3052
* ssh-keygen(1): accept the verbose flag when searching for host keys
in known hosts (i.e. "ssh-keygen -vF host") to print the matching
host's random-art signature too. bz#3003
ssh-keygen(1)): known hosts 中のホスト鍵の検索時に verbose フラグを
受け入れる (例えば "ssh-keygen -vF host""]) このとき
ホストのランダムアートな署名も表示する. bz#3003
* All: support PKCS8 as an optional format for storage of private
keys to disk. The OpenSSH native key format remains the default,
but PKCS8 is a superior format to PEM if interoperability with
non-OpenSSH software is required, as it may use a less insecure
key derivation function than PEM's.
すべて: 秘密鍵をディスクに保存するオプションの形式として PKCS8
をサポートする. OpenSSH のネイティブな鍵形式はデフォルトのままだが,
PKCS8 は 非OpenSSH ソフトウェアとの相互互換性が要求される場合
PEM よりもすぐれた形式だ. たとえ PEM よりも より安全でない鍵導出関数
が利用されていても.
Bugfixes
--------
バグ修正
* ssh(1): if a PKCS#11 token returns no keys then try to login and
refetch them. Based on patch from Jakub Jelen; bz#2430
ssh(1): PKCS#11 トークンが鍵を返さない場合, ログインを試み
鍵をリフレッシュする. Jakub Jelen のパッチを基とする. bz#2430
* ssh(1): produce a useful error message if the user's shell is set
incorrectly during "match exec" processing. bz#2791
ssh(1): ユーザのシェルが "match exec" 処理中に不正に設定されたら
わかりやすいエラーメッセージを生成する.
* sftp(1): allow the maximum uint32 value for the argument passed
to -b which allows better error messages from later validation.
bz#3050
sftp(1): それ以降の検証からよりよいエラーメッセージを出すために
-b で渡される引数に uint32 の最大値を許可する. bz#3050
* ssh(1): avoid pledge sandbox violations in some combinations of
remote forwarding, connection multiplexing and ControlMaster.
ssh(1): リモート転送と接続の多重化と ControlMaster の組合せによる
サンドボックスの侵入を回避する.
* ssh-keyscan(1): include SHA2-variant RSA key algorithms in KEX
proposal; allows ssh-keyscan to harvest keys from servers that
disable old SHA1 ssh-rsa. bz#3029
ssh-keyscan(1): KEX の提案に SHA2に由来する RSA 鍵アルゴリズムを含む.
ssh-keyscan が 古い SHA1 ssh-rsa を無効にしたサーバから
鍵を収集することを許可する.
* sftp(1): print explicit "not modified" message if a file was
requested for resumed download but was considered already complete.
bz#2978
sftp(1): ファイルが中断されたダウンロードを要求され,
すでに完了していると 思われる場合, 明確な "not modified" メッセージを
を表示する. bz#2978
* sftp(1): fix a typo and make <esc><right> move right to the
closest end of a word just like <esc><left> moves left to the
closest beginning of a word.
sftp(1): typo を修正する. また <esc><left> が 単語の最短の
先頭まで左に移動するように, <esc><right> で単語の最短の終了
まで右に移動するようにする.
* sshd(8): cap the number of permitopen/permitlisten directives
allowed to appear on a single authorized_keys line.
sshd(8): 単一の authorized_keys 行に現れることを許す
permitopen/permitlisten 設定項目の数に上限を設ける.
* All: fix a number of memory leaks (one-off or on exit paths).
すべて: (一度限りや終了のパス上の) 多数のメモリーリークを修正する.
* Regression tests: a number of fixes and improvements, including
fixes to the interop tests, adding the ability to run most tests
on builds that disable OpenSSL support, better support for running
tests under Valgrind and a number of bug-fixes.
回帰テスト: 多数の修正と改善. 相互互換性のテストの修正や OpenSSL
サポートが無効な場合のビルドのより大くのテストの追加, Valgrind 下での
テストの実行のよりよいサポートとたくさんのバグ修正.
* ssh(1), sshd(8): check for convtime() refusing to accept times that
resolve to LONG_MAX Reported by Kirk Wolf bz2977
ssh(1), sshd(8): LONG_MAX に解決される時間を拒否するよう convtme()
のためのチェックを行なう. Kirk Wolf による報告 bz2977
* ssh(1): slightly more instructive error message when the user
specifies multiple -J options on the command-line. bz3015
ssh(1): ユーザがコマンドラインで複数の -J オプションを指定した場合に
よりわかりやすいエラーメッセージを表示する.
* ssh-agent(1): process agent requests for RSA certificate private
keys using correct signature algorithm when requested. bz3016
ssh-agent(1): 要求時に正しい署名アルゴリズムを用いる RSA
証明書秘密鍵に対する要求を処理する. bz3016
* sftp(1): check for user@host when parsing sftp target. This
allows user@[1.2.3.4] to work without a path. bz#2999
sftp(1): sftp 対象のパース時に user@host をチェックする.
これにより パスなしで user@[1.2.3.4] を許可する.
bz#2999
* sshd(8): enlarge format buffer size for certificate serial
number so the log message can record any 64-bit integer without
truncation. bz#3012
sshd(8): 証明書のシリアル番号のバッファサイズを増大し,
打ち切りなしで任意の 64ビット整数をログメッセージに記録
できるようになる. bz#3012
* sshd(8): for PermitOpen violations add the remote host and port to
be able to more easily ascertain the source of the request. Add the
same logging for PermitListen violations which where not previously
logged at all.
sshd(8): PermitOpen の違反で, リクエストのソースをより簡単に確認
できるように リモートホストとポートを追加する.
また, それまでまったくログされていない PermitListen による違反が,
同様に記録される.
* scp(1), sftp(1): use the correct POSIX format style for left
justification for the transfer progress meter. bz#3002
scp(1), sftp(1): 転送プログレムメーターの左詰めに
正しい POSIX 形式のスタイルを利用する. bz#3002
* sshd(8) when examining a configuration using sshd -T, assume any
attribute not provided by -C does not match, which allows it to work
when sshd_config contains a Match directive with or without -C.
bz#2858
sshd(8): sshd -T を用いて設定の検査をする場合, -C によって提供されない
どんな属性とも一致しないと仮定する. -C があってもなくても Match
設定項目を含む sshd_config で動作するようにする. bz#2858
* ssh(1), ssh-keygen(1): downgrade PKCS#11 "provider returned no
slots" warning from log level error to debug. This is common when
attempting to enumerate keys on smartcard readers with no cards
plugged in. bz#3058
ssh(1), ssh-keygen(1): PKCS#11 の "provider returned no slots"
警告のログレベルを error から debug にダウングレードする.
カードが挿入されていないスマートカードリーダー上での
鍵を列挙しようとする試行時の共通の振舞いだ. bz#3058
* ssh(1), ssh-keygen(1): do not unconditionally log in to PKCS#11
tokens. Avoids spurious PIN prompts for keys not selected for
authentication in ssh(1) and when listing public keys available in
a token using ssh-keygen(1). bz#3006
ssh(1), ssh-keygen(1): PKCS#11 トークンに絶対にログインしない.
ssh(1) の認証で選択されていない鍵に対する偽のPINプロンプトや
ssh-keygen(1) を用いたトークンで利用可能な公開鍵の列挙を防ぐ.
bz#3006
Portability
-----------
移植性
* ssh(1): fix SIGWINCH delivery of Solaris for multiplexed sessions
bz#3030
ssh(1): 多重化されたセッションでの SIGWINCH 転送を修正. bz#3030
* ssh(1), sshd(8): fix typo that prevented detection of Linux VRF
ssh(1), sshd(8): Linux VRF での 予防された検出での typo を修正する
* sshd(8): add no-op implementation of pam_putenv to avoid build
breakage on platforms where the PAM implementation lacks this
function (e.g. HP-UX). bz#3008
sshd(8): PAMの実装が pam_putenv を欠いている (例えば HP-UX)
プラットフォームでのビルドの失敗を回避するために pam_putenv の
なにもしない実装を追加する. ba#3008
* sftp-server(8): fix Solaris privilege sandbox from preventing
the legacy sftp rename operation from working (was refusing to
allow hard links to files owned by other users). bz#3036
sftp-server(8): (ハードリンクを他のユーザが所有するファイルに対して拒否する)
働きから レガシーな sftp の rename 操作を防止する Solaris
の特権サンドボックスを修正する. bz#3036
* All: add a proc_pidinfo()-based closefrom() for OS X to avoid
the need to brute-force close all high-numbered file descriptors.
bz#3049
すべて: proc_pidinfo() ベースの closefrom() を OS X に追加する.
すべてのファイルデスクリプタをブルートフォースで閉める必要を
回避する. bz#3049
* sshd(8): in the Linux seccomp-bpf sandbox, allow mprotect(2) with
PROT_(READ|WRITE|NONE) only. This syscall is used by some hardened
heap allocators. Github PR#142
sshd(8): Linux の seccomp-bpf サンドボックス中で, PROT_(READ|WRITE|NONE)
のみを mprotect(2) に許す. このシステムコールは, いくかの強化された
ヒープアロケーターで用いられている. Github PR#142
* sshd(8): in the Linux seccomp-bpf sandbox, allow the s390-specific
ioctl for ECC hardware support.
sshd(8): Linux の seccomp-bpf サンドボックス中で, ECC ハードウェア
サポートのために s390 特有の ioctl を許可する.
* All: use "doc" man page format if the mandoc(1) tool is present on
the system. Previously configure would not select the "doc" man
page format if mandoc was present but nroff was not.
All: mandoc(1) ツールがシステムにある場合 "doc" man ページ形式を
利用する. 以前の設定では, mandoc が存在し nroff が存在しない場合に
"doc" man ページ形式を選択していなかった.
* sshd(8): don't install duplicate STREAMS modules on Solaris; check
if STREAMS modules are already installed on a pty before installing
since when compiling with XPG>=4 they will likely be installed
already. Prevents hangs and duplicate lines on the terminal.
bz#2945 and bz#2998,
sshd(8): ソラリスで重複した STREAMS モジュールをインストールしない.
XPG>=4 でコンパイルする場合, STREAMS モジュールがインストール
されている可能性が高いのでインストール前に pty 上に STREAMS
モジュールが既にインストールされているか検査する.
ターミナル上でのハングや重複行を防ぐ. bz#2945 と bz#2998
OpenSSH 8.1 リリース準備中 / Call for testing: OpenSSH 8.1
OpenSSH 8.1 がリリース準備中です.
バグ修正に重点がおかれたリリースになる模様です.
https://lists.mindrot.org/pipermail/openssh-unix-dev/2019-October/037946.html
Security
========
セキュリティ
* ssh(1), sshd(8), ssh-agent(1): add protection for private keys at
rest in RAM against speculation and memory sidechannel attacks like
Spectre, Meltdown and Rambleed. This release encrypts private keys
when they are not in use with a symmetic key that is derived from a
relatively large "prekey" consisting of random data (currently 16KB).
Attackers must recover the entire prekey before they are able to
decrypt the protected private keys, but the current generation of
attacks have bit error rates that render this unlikely to be
practical.
ssh(1), sshd(8), ssh-agent(1): RAMに存在する秘密鍵に対して,
Spectre, Meltdown, Rambleed のような推測やメモリサイドチャネル攻撃
に対する保護を追加する. ランダムなデータ (現在は 16KB) で構成される
相対的に大きな "prekey" から導出される対称鍵を秘密鍵が利用していない場合,
このリリースでは秘密鍵を暗号化する.
攻撃者は保護された秘密鍵を復号する前に完全な prekey
を復元しなければならない, 現在の世代の攻撃はこれを実際に行なうには
ビット誤り率が高い.
Potentially-incompatible changes
================================
潜在的に非互換な変更
This release includes one change that may affect existing
configurations:
このリリースは既存の設定に影響するかもしれない変更を1つ含んでいる.
* ssh-keygen(1): when acting as a CA and signing certificates with
an RSA key, default to using the rsa-sha2-512 signature algorithm.
Certificates signed by RSA keys will therefore be incompatible
with OpenSSH versions prior to 7.2 unless the default is
overridden (using "ssh-keygen -t ssh-rsa -s ...").
ssh-keygen(1): CA として振舞い RSA 鍵で証明書に署名する場合,
rsa-sha2-512 署名アルゴリズムをデフォルトで利用する.
RSA 鍵で署名された証明書は, デフォルトを上書きしないと
("ssh-keygen -t ssh-rsa -s ..." を用いる) 7.2 より前の OpenSSH
のバージョンを非互換となる.
Changes since OpenSSH 8.0
=========================
OpenSSH 8.0 からの変更
This release is focused on bugfixing.
このリリースはバグ修正に集中している.
New Features
------------
新機能
* ssh(1): Allow %n to be expanded in ProxyCommand strings
ssh(1): ProxyCommand 文字列中の展開に %n を許可する.
* ssh(1), sshd(8): Allow prepending a list of algorithms to the
default set by starting the list with the '^' character, E.g.
"HostKeyAlgorithms ^ssh-ed25519"
ssh(1), sshd(8): '^' 文字を用いてアルゴリスムのリストを始めることで
アルゴリズムのデフォルトの集合の前にアルゴリズムのリストを追加できる.
例えば "HostKeyAlgorithms ^ssh-ed25519"
* ssh-keygen(1): add an experimental lightweight signature and
verification ability. Signatures may be made using regular ssh keys
held on disk or stored in a ssh-agent and verified against an
authorized_keys-like list of allowed keys. Signatures embed a
namespace that prevents confusion and attacks between different
usage domains (e.g. files vs email).
ssh-keygen(1): 実験的な軽量署名と検証の能力を追加する.
署名はディスクか ssh-agent に格納された通常の ssh 鍵を用いて
作成され, 検証は authorized_keys のような許可された鍵のリストに対して
行なわれる. 署名は, 衝突や異なる利用ドメイン(例えば ファイルとEメール)
の間の攻撃を防ぐ名前空間を埋め込む.
* ssh-keygen(1): print key comment when extracting publc key from a
private key. bz#3052
ssh-keygen(1): 秘密鍵から公開鍵を抽出る際に鍵のコメントを表示する.
bz#3052
* ssh-keygen(1): accept the verbose flag when searching for host keys
in known hosts (i.e. "ssh-keygen -vF host") to print the matching
host's random-art signature too. bz#3003
ssh-keygen(1)): known hosts の ホスト鍵の検索時に verbose フラグを
受け入れる (例えば "ssh-keygen -vF host""]) このとき
ホストのランダムアートな署名も表示する. bz#3003
* All: support PKCS8 as an optional format for storage of private
keys to disk. The OpenSSH native key format remains the default,
but PKCS8 is a superior format to PEM if interoperability with
non-OpenSSH software is required, as it may use a less insecure
key derivation function than PEM's.
All: 秘密鍵をディスクに保存するオプションの形式として PKCS8
をサポートする. OpenSSH のネイティブな鍵形式はデフォルトのままだが,
PKCS8 は 非OpenSSH ソフトウェアとの相互互換性が要求される場合
PEM よりもすぐれた形式だ. たとえ PRM よりも より安全でない鍵導出関数
が利用されていても.
Bugfixes
--------
バグ修正
* ssh(1): if a PKCS#11 token returns no keys then try to login and
refetch them. Based on patch from Jakub Jelen; bz#2430
ssh(1): PKCS#11 トークンが鍵を返さない場合, ログインを試み
鍵をリフレッシュする. Jakub Jelen のパッチを基とする. bz#2430
* ssh(1): produce a useful error message if the user's shell is set
incorrectly during "match exec" processing. bz#2791
ssh(1): ユーザのシェルが "match exec" 処理中に不正に設定されたら
わかりやすいエラーメッセージを生成する.
* sftp(1): allow the maximimum uint32 value for the argument passed
to -b which allows better error messages from later validation.
bz#3050
sftp(1): それ以降の検証からよりよいエラーメッセージを出すために
-b で渡される引数に uint32 の最大値を許可する.
* ssh(1): avoid pledge sandbox violations in some combinations of
remote forwarding, connection multiplexing and ControlMaster.
ssh(1): リモート転送と接続の多重化と ControlMaster の組合せによる
サンドボックスの侵入を回避する.
* ssh-keyscan(1): include SHA2-variant RSA key algorithms in KEX
proposal; allows ssh-keyscan to harvest keys from servers that
disable olde SHA1 ssh-rsa. bz#3029
ssh-keyscan(1): KEX の提案に SHA2に由来する RSA 鍵アルゴリズムを含む.
ssh-keyscan が 古い SHA1 ssh-rsa を無効にしたサーバから
鍵を収集することを許可する.
* sftp(1): print explicit "not modified" message if a file was
requested for resumed download but was considered already complete.
bz#2978
sftp(1): ファイルが中断されたダウンロードを要求され,
すでに完了していると 思われる場合, 明白な "not modified" メッセージを
を表示する. bz#2978
* sftp(1): fix a typo and make <esc><right> move right to the
closest end of a word just like <esc><left> moves left to the
closest beginning of a word.
sftp(1): typo を修正する. また <esc><left> が 単語の最短の
先頭まで左に移動するように, <esc><right> で単語の最短の終了
まで右に移動するようにする.
* sshd(8): cap the number of permiopen/permitlisten directives
allowed to appear on a single authorized_keys line.
sshd(8): 単一の authorized_keys 行に現れることを許す
permiopen/permitlisten 設定項目の数に上限を設ける.
* All: fix a number of memory leaks (one-off or on exit paths).
All: (一度限りや終了のパス上の) 多数のメモリーリークを修正する.
* Regression tests: a number of fixes and improvments, including
fixes to the interop tests, adding the ability to run most tests
on builds that disable OpenSSL support, better support for running
tests under Valgrind and a number of bugfixes.
回帰テスト: 多数の修正と改善. 相互互換性のテストの修正や OpenSSL
サポートが無効な場合のビルドのより大くのテストの追加, Valgrind 下での
テストの実行のよりよいサポートとたくさんのバグ修正.
* ssh(1), sshd(8): check for convtime() refusing to accept times that
resolve to LONG_MAX Reported by Kirk Wolf bz2977
ssh(1), sshd(8): LONG_MAX に解決される時間を拒否するよう convtme()
のためのチェックを行なう. Kirk Wolf による報告 bz#2977
* ssh(1): slightly more instructive error message when the user
specifies multiple -J options on the commandline. bz3015
ssh(1): ユーザがコマンドラインで複数の -J オプションを指定した場合に
よりわかりやすいエラーメッセージを表示する.
* ssh-agent(1): process agent requests for RSA certificate private
keys using correct signature algorithm when requested. bz3016
ssh-agent(1): 要求時に正しい署名アルゴリズムを用いる RSA
証明書秘密鍵に対する要求を処理する.
* sftp(1): check for user@host when parsing sftp target. This
allows user@[1.2.3.4] to work without a path. bz#2999
sftp(1): sftp 対象のパース時に user@host をチェッする.
これにより パスなしで user@[1.2.3.4] を許可する.
bz#2999
* sshd(8): enlarge format buffer size for certificate serial
number so the log message can record any 64-bit integer without
truncation. bz#3012
sshd(8): 証明書のシリアル番号のバッファサイズを増大し,
打ち切りなしで任意の 64ビット整数をログメッセージに記録
できるようになる.
* sshd(8): for PermitOpen violations add the remote host and port to
be able to more easily ascertain the source of the request. Add the
same logging for PermitListen violations which where not previously
logged at all.
sshd(8): PermitOpen による違反が, 要求の源をより簡単に確認できるように
リモートホストとポートを追加する.
それまでまったくログされていない PermitListen による違反が,
同様に記録される.
* scp(1), sftp(1): use the correct POSIX format style for left
justification for the transfer progress meter. bz#3002
scp(1), sftp(1): 転送プログレムメーターの左詰めに
正しい POSIX 形式のスタイルを利用する. bz#3002
* sshd(8) when examining a configureation using sshd -T, assume any
attibute not provided by -C does not match, which allows it to work
when sshd_config contains a Match directive with or without -C.
bz#2858
sshd(8): sshd -T を用いて設定の検査をする場合, -C のよって提供される
どんな属性も一致しないと仮定する. -C があってもなくても Match
設定項目を含む sshd_config で動作するようにする. bz#2858
* ssh(1), ssh-keygen(1): downgrade PKCS#11 "provider returned no
slots" warning from log level error to debug. This is common when
attempting to enumerate keys on smartcard readers with no cards
plugged in. bz#3058
ssh(1), ssh-keygen(1): デバッグのためのログレベルエラーから
PKCS#11 の "provider returned no slots" 警告のダウングレードする.
スマートカードが挿入されていない場合のスマートカードリーダーの
鍵列挙試行における共有の振舞いだ. bz#3058
* ssh(1), ssh-keygen(1): do not unconditionally log in to PKCS#11
tokens. Avoids spurious PIN prompts for keys not selected for
authentication in ssh(1) and when listing public keys available in
a token using ssh-keygen(1). bz#3006
ssh(1), ssh-keygen(1): PKCS#11 トークンに絶対にログインしない.
ssh(1) の認証で選択されていない鍵に対する偽のPINプロンプトや
ssh-keygen(1) を用いたトークンで利用可能な公開鍵の列挙を防ぐ.
Portability
-----------
移植性
* ssh(1): fix SIGWINCH delivery of Solaris for multiplexed sessions
bz#3030
ssh(1): 多重化されたセッションでの SIGWINCH 転送を修正. bz#3030
* ssh(1), sshd(8): fix typo that prevented detection of Linux VRF
ssh(1), sshd(8): Linux VRF での 予防された検出での typo を修正する
* sshd(8): add no-op implementation of pam_putenv to avoid build
breakage on platforms where the PAM implementation lacks this
function (e.g. HP-UX). bz#3008
sshd(8): PAMの実装が pam_putenv を欠いている (例えば HP-UX)
プラットフォームでのビルドの失敗を回避するために pam_putenv の
なにもしない実装を追加する. ba#3008
* sftp-server(8): fix Solaris privilege sandbox from preventing
the legacy sftp rename operation from working (was refusing to
allow hard links to files owned by other users). bz#3036
sftp-server(8): (ハードリンクを他のユーザが所有するファイルに対して拒否する)
働きから レガシーな sftp の rename 操作を防止するSolaris
の特権サンドボックスを修正する.
* All: add a proc_pidinfo()-based closefrom() for OS X to avoid
the need to brute-force close all high-numbered file descriptors.
bz#3049
proc_pidinfo() ベースの closefrom() を OS X に追加する.
すべてのファイルデスクリプタをブルートフォースで閉める必要を
回避する.
* sshd(8): in the Linux seccomp-bpf sandbox, allow mprotect(2) with
PROT_(READ|WRITE|NONE) only. This syscall is used by some hardened
heap allocators. Github PR#142
sshd(8): Linux の seccomp-bpf サンドボックス中で, PROT_(READ|WRITE|NONE)
のみを mprotect(2) に許す. このシステムコールは, いくかの強化された
ヒープアロケーターで用いられている. Github PR#142
* sshd(8): in the Linux seccomp-bpf sandbox, allow the s390-specific
ioctl for ecc hardware support.
sshd(8): Linux の seccomp-bpf サンドボックス中で, ecc のハードウェア
サポートのために s390 特有の ioctl を許可する.
* All: use "doc" man page format if the mandoc(1) tool is present on
the system. Previously configure would not select the "doc" man
page format if mandoc was present but nroff was not.
All: mandoc(1) ツールがシステムにある場合 "doc" man ページ形式を
利用する. 以前の設定では, mandoc が存在し nroff が存在しない倍に
"doc" man ページ形式を選択していなかった.
* sshd(8): don't install duplicate STREAMS modules on Solaris; check
if STREAMS modules are already installed on a pty before installing
since when compiling with XPG>=4 they will likely be installed
already. Prevents hangs and duplicate lines on the terminal.
bz#2945 and bz#2998,
sshd(8): ソラリスで重複した STREAMS モジュールをインストールしない.
XPG>=4 でコンパイルする場合, STREAMS モジュールがインストールされている可能性が高いので
インストール前に pty 上に STREAMS モジュールが既にインストールされているか
検査する. ターミナル上でのハングや重複行を防ぐ. bz#2945 と bz#2998
Dynabook UZ63/L を購入し Ubuntu 19.04 を入れた
Dynabook UZ63/L 2019冬Webモデル オニキスブルー を購入しました. Windows 10 は消し, Ubuntu 19.04 をインストールしました.
その前に 2019年夏モデル LAVIE Pro Mobile 13.3型ワイド PM750・550/NAシリーズ(モバイルパソコン) を買おうと思ってたのですが, 手続きを進めておくと HTTPS で mixed content がありブラウザで鍵マークがでなくなってしまうので断念しました.
2019年02月 引っ越し 引っ越す理由編
2019年02月 に引っ越しました. だらだらと引っ越し関係の記事を書きます.
2015年05月 から 2019年02月 までは 東京都新宿区市谷本村町に住んでいました. 前回の引っ越しでは, 会社の設立のために登記可能かつ居住可能な物件を探して すぐに見つかった物件にしました. これは運が良かったです.