OpenSSH 7.8 がリリース準備中です.
Call for testing: OpenSSH 7.8
主にバグ修正のリリースです.
https://lists.mindrot.org/pipermail/openssh-unix-dev/2018-August/037046.html
Potentially-incompatible changes
================================
潜在的に非互換な変更
This release includes a number of changes that may affect existing
configurations:
このリリースは既存の設定に影響するかもしれないいくつかの変更を含む:
* ssh-keygen(1): write OpenSSH format private keys by default
instead of using OpenSSL's PEM format. The OpenSSH format,
supported in OpenSSH releases since 2014 and described in the
PROTOCOL.key file in the source distribution, offers substantially
better protection against offline password guessing and supports
key comments in private keys. If necessary, it is possible to write
old PEM-style keys by adding "-m PEM" to ssh-keygen's arguments
when generating or updating a key.
ssh-keygen(1): デフォルトでOpenSSL の PEM 形式を使う代わりに
OpenSSH 形式の秘密鍵を書き込む. OpenSSH 形式は,
2014 年以降の OpenSSH のリリースでサポートされており,
ソース配布の PROTOCOL.key ファイルで記述されている.
この形式は, オフラインのパスワード推測に対して実質的に
よりよい保護を提供し, 秘密鍵の中の鍵コメントをサポートしている.
必要があれば, 鍵を生成したり更新する際に ssh-keygen の引数に
"-m PEM" と加えることで古い PEM 形式の鍵を書き込むことが可能だ.
* sshd(8): remove internal support for S/Key multiple factor
authentication. S/Key may still be used via PAM or BSD auth.
sshd(8): S/Key 多要素認証の内部サポートを除く. S/Key は
PAM か BSD認証経由でまだ利用できるだろう.
* ssh(1): remove vestigal support for running ssh(1) as setuid. This
used to be required for hostbased authentication and the (long
gone) rhosts-style authentication, but has not been necessary for
a long time. Attempting to execute ssh as a setuid binary, or with
uid != effective uid will now yield a fatal error at runtime.
ssh(1): ssh(1) を setuid で走らせる痕跡のないサポートを除く.
これは, ホストベース認証や (太古の) rhost 認証で必要とされていた
ものだが, 長い間必要がなくなっている. ssh を setuid バイナリとして
実行しようとしたり, uid と実効 uid が異なる状態で実効しようとすると
今後実行時に致命的エラーを生成するようになる
* sshd(8): the semantics of PubkeyAcceptedKeyTypes and the similar
HostbasedAcceptedKeyTypes options have changed. These now specify
signature algorithms that are accepted for their respective
authentication mechanism, where previously they specified accepted
key types. This distinction matters when using the RSA/SHA2
signature algorithms "rsa-sha2-256", "rsa-sha2-512" and their
certificate counterparts. Configurations that override these
options but omit these algorithm names may cause unexpected
authentication failures (no action is required for configurations
that accept the default for these options).
sshd(8): PubkeyAcceptedKeyTypes と類似の HostbasedAcceptedKeyTypes
設定項目の形式を変更する. これらは, 今後それらそれぞれの
認証メカニズムで受けいれる署名アルゴリズムを指定できる.
以前は受け入れる鍵のタイプを指定していた. RSA/SHA2 の署名アルゴリズム
"rsa-sha2-256" と "rsa-sha2-512" と それらの証明書を用いる場合に
この区別が意味を持つ.
これらの設定項目を上書きするがこれらのアルゴリズム名を除いた
設定は, 予期しない認証の失敗を引き起すかもしれない.
(これらのの設定項目についてデフォルトのままの設定であればなにも
対応の必要はない).
* sshd(8): the precedence of session environment variables has
changed. ~/.ssh/environment and environment="..." options in
authorized_keys files can no longer override SSH_* variables set
implicitly by sshd.
sshd(8): セッション変数の設定の優先順位を変更する. ~/.ssh/environment
と authorized_keys 中の environment="..." オプションは,
ssdh で暗黙的に設定される SSH_* 変数をもはや上書きできない.
* ssh(1)/sshd(8): the default IPQoS used by ssh/sshd has changed.
They will now use DSCP AF21 for interactive traffic and CS1 for
bulk. For a detailed rationale, please see the commit message:
https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/readconf.c#rev1.284
ssh(1)/sshd(8): ssh/sshd で用いられるデフォルトの IPQoS を変更する.
今後 インタラクティブなトラフィックでは DSCP AF21 を用い,
バルクなトラフィックでは CS1 を用いる. 詳細な根拠は,
次のコミットメッセージを参照:
https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/readconf.c#rev1.284
Changes since OpenSSH 7.7
=========================
OpenSSH 7.7 からの変更点
This is primarily a bugfix release.
これは基本的にバグ修正のリリースだ.
New Features
------------
新機能
* ssh(1)/sshd(8): add new signature algorithms "rsa-sha2-256-cert-
v01@openssh.com" and "rsa-sha2-512-cert-v01@openssh.com" to
explicitly force use of RSA/SHA2 signatures in authentication.
ssh(1)/sshd(8): 新しい署名アルゴリズム
"rsa-sha2-256-cert-v01@openssh.com" と
"rsa-sha2-512-cert-v01@openssh.com" を追加する.
これらは 認証での RSA/SHA2 署名を明示的に強制する.
* sshd(8): extend the PermitUserEnvironment option to accept a
whitelist of environment variable names in addition to global
"yes" or "no" settings.
sshd(8): PermitUserEnvironment 設定項目を拡張し,
全体の "yes" か "no" の設定に加えて, 環境変数名のホワイトリスト
を受け入れる.
* sshd(8): add a PermitListen directive to sshd_config(5) and a
corresponding permitlisten= authorized_keys option that control
which listen addresses and port numbers may be used by remote
forwarding (ssh -R ...).
sshd(8): sshd_config(5) に PermitListen 設定項目を追加し,
対応する permitlisten= authorized_keys オプションを追加する.
これらは, リモート転送 (ssh -R ...) で用いられる
アドレスとポート番号を制御する.
* sshd(8): add some countermeasures against timing attacks used for
account validation/enumeration. sshd will enforce a minimum time
or each failed authentication attempt consisting of a global 5ms
minimum plus an additional per-user 0-4ms delay derived from a
host secret.
sshd(8): アカウント検証/列挙に用いられるタイミング攻撃に対する
いくつかの対抗策を追加する. sshd は
全体的な 5ms と
ホストの秘密(鍵?)から導出されるユーザごとの 追加の 0-4ms の
によって構成される時間をすべての失敗した認証試行に強制する.
* sshd(8): add a SetEnv directive to allow an administrator to
explicitly specify environment variables in sshd_config.
Variables set by SetEnv override the default and client-specified
environment.
sshd(8): SetEnv 設定項目で sshd_config 内の環境変数を
管理者が明示的に指定できるようにする. SetEnv で設定された
変数は, デフォルトやクライアントに指定された環境を上書きする.
* ssh(1): add a SetEnv directive to request that the server sets
an environment variable in the session. Similar to the existing
SendEnv option, these variables are set subject to server
configuration.
ssh(1): SetEnv 設定項目に セッション中にサーバが環境変数を設定する要求を
追加する. 既存の SendEnv 設定項目と同様に, これらの変数はサーバの
設定に従って設定される.
* ssh(1): allow "SendEnv -PATTERN" to clear environment variables
previously marked for sending to the server. bz#1285
ssh(1): サーバに送られたと以前マークされた環境変数を
クリアする "SendEnv -PATTERN" を許可する.
* ssh(1)/sshd(8): make UID available as a %-expansion everywhere
that the username is available currently. bz#2870
ssh(1)/sshd(8): ユーザ名が現在利用可能などこでも %-展開として
UID を利用可能にする. bz#2870
* ssh(1): allow setting ProxyJump=none to disable ProxyJump
functionality. bz#2869
ssh(1): ProxyJump を機能的に無効にする ProxyJump=none の設定を
許可する.
Bugfixes
--------
バグ修正
* all: substantial internal refactoring
全体: 相当な内部のリファクタリング
* sshd(8): avoid observable differences in request parsing that could
be used to determine whether a target user is valid.
sshd(8): ターゲットのユーザが有効かどうか判定するのに利用可能だった
リクエストのパースの観測可能な差異を除く
* ssh(1)/sshd(8): fix some memory leaks; bz#2366
ssh(1)/sshd(8): いくつかのメモリリークの修正; bz#2366
* ssh(1): fix a pwent clobber (introduced in openssh-7.7) that could
occur during key loading, manifesting as crash on some platforms.
ssh(1): (openssh-7.7 で導入されてしまった) pwent clobber
(ファイルディスクリプタのcloseし忘れか?) を修正.
この問題は 鍵のロード時に発生し, いくつかのプラットフォームでは
クラッシュする.
* sshd_config(5): clarify documentation for AuthenticationMethods
option; bz#2663
sshd_config(5): AuthenticationMethods 設定項目の記述を明確にする;
bz#2663
* ssh(1): ensure that the public key algorithm sent in a
public key SSH_MSG_USERAUTH_REQUEST matches the content of the
signature blob. Previously, these could be inconsistent when a
legacy or non-OpenSSH ssh-agent returned a RSA/SHA1 signature
when asked to make a RSA/SHA2 signature.
ssh(1): 公開鍵の SSH_MSG_USERAUTH_REQUEST の中で送られる
公開鍵アルゴリズムが, その署名ブロブの内容と一致するかを補償する.
以前, 古いないしOpenSSHでない ssh-agent が RSA/SHA2
署名を作るように求められた場合に RSA/SHA1 署名を返す場合に
これらは一貫していないことがありえた.
* sshd(8): fix failures to read authorized_keys caused by faulty
supplemental group caching. bz#2873
sshd(8): 欠陥のある補足的なグループキャッシングにより authorized_keys
の読み込みの失敗を修正する. bz#2873
* scp(1): apply umask to directories, fixing potential mkdir/chmod
race when copying directory trees bz#2839
scp(1): ディレクトリに umask を適用する. ディレクトリツリーを
コピーする際の潜在的な mkdir/chmod 競合を修正する. bz#2839
* ssh-keygen(1): return correct exit code when searching for and
hashing known_hosts entries in a single operation; bz#2772
ssh-keygen(1): 単一の操作で known_hosts のエントリを
検索しハッシュする際に正しい終了コードを返却する. bz#2772
* ssh(1): prefer the ssh binary pointed to via argv[0] to $PATH when
re-executing ssh for ProxyJump. bz#2831
ssh(1): ProxyJump で ssh を再実行するう際に $PATH よりも
argv[0] が指す ssh バイナリを優先する. bz#2831
* sshd(8): do not ban PTY allocation when a sshd session is
restricted because the user password is expired as it breaks
password change dialog. (regression in openssh-7.7).
sshd(8): sshd のセッションが制限されている場合に PTY 確保を
禁止しない. ユーザのパスワードが期限切れになっている場合に
パスワード変更の対話がうまくいかなくなるから.
(openssh-7.7 で退行していた)
* ssh(1)/sshd(8): fix error reporting from select() failures.
ssh(1)/sshd(8): select() の失敗からのエラーレポートを修正する.
* ssh(1): improve documentation for -w (tunnel) flag, emphasising
that -w implicitly sets Tunnel=point-to-point. bz#2365
ssh(1): -w (tunnel) フラグの文書を改善する. -w は暗黙的に
Tunnel=point-to-point を設定することを強調する. bz#2365
* ssh-agent(1): implement EMFILE mitigation for ssh-agent. ssh-agent
will no longer spin when its file descriptor limit is exceeded.
bz#2576
ssh-agent(1): ssh-agent に EMFILE の緩和を実装する. ssh-agent は
そのファイルディスクリププタ制限を超過した場合に空転しない
ようになる.
* ssh(1)/sshd(8): disable SSH2_MSG_DEBUG messages for Twisted Conch
clients. Twisted Conch versions that lack a version number in
their identification strings will mishandle these messages when
running on Python 2.x (https://twistedmatrix.com/trac/ticket/9422)
ssh(1)/sshd(8): Twisted Conch クライアントのために SSH2_MSG_DEBUG
メッセージを無効にする. Twisted Conch のバージョンは, その
認識文字列にバージョン番号が欠けているので, Python 2.x 上で走らせる
場合に SSH2_MSG_DEBUG メッセージを間違えて扱う
(https://twistedmatrix.com/trac/ticket/9422)
* sftp(1): notify user immediately when underlying ssh process dies
expectedly. bz#2719
sftp(1): 基底の ssh プロセスが予想通り死んだ場合にユーザにすぐに
通知する.
* ssh(1)/sshd(8): fix tunnel forwarding; regression in 7.7 release.
bz#2855
ssh(1)/sshd(8): トンネル転送を修正する. 7.7 リリースで退行してた.
bz#2855
* ssh-agent(1): don't kill ssh-agent's listening socket entirely if
it fails to accept(2) a connection. bz#2837
ssh-agent(1): accept(2) で接続を失敗した場合に ssh-agent が
listen するソケットを完全には kill しない. bz#2837
* sshd(8): relax checking of authorized_keys environment="..."
options to allow underscores in variable names (regression
introduced in 7.7). bz#2851
sshd(8): authorized_keys の environment="..." オプションのチェックを
緩和し, 変数名に アンダースコアを許す (7.7 で導入された退行).
bz#2851
* ssh(1): add some missing options in the configuration dump output
(ssh -G). bz#2835
ssh(1): 設定ダンプ出力(ssh -G)で抜けていたいくつかの設定項目を追加する.
Portability
-----------
移植性
* sshd(8): Expose details of completed authentication to PAM auth
modules via SSH_AUTH_INFO_0 in the PAM environment. bz#2408
sshd(8): PAM 環境の SSH_AUTH_INFO_0 によって
完全な認証の詳細を PAM 認証モジュールに露出する.
* Fix compilation problems caused by fights between zlib and OpenSSL
colliding uses of "free_func"
zlib と OpenSSL 間の "free_func" の利用の衝突の戦いによる
コンパイルの問題を修正する.
* Improve detection of unsupported compiler options. Recently these
may have manifested as "unsupported -Wl,-z,retpoline" warnings
during linking.
サポートされていないコンパイラのオプションの検出を改善する.
最近 サポートされていないオプションがリンク中に
"unsupported -Wl,-z,retpoline" の警告として明らかになっている
場合があった.
* sshd(8): some sandbox support for Linux/s390 bz#2752.
sshd(8): Linux/s390 に対するいくつかのサンドボックスのサポート.
bz#2752
* regress tests: unbreak key-options.sh test on platforms without
openpty(3). bz#2856
回帰テスト: openpty(3) がないプラットフォームで key-options.sh
テストが壊れないようにする.
* use getrandom(2) for PRNG seeding when built without OpenSSL.
OpenSSL がない環境でビルドされた場合に PRNG のシードに
getrandom(2) を利用する.
シャンタラム
読んでいる最中は楽しかった. 後にはあまり残らない.
男が痴漢になる理由
グラフの書き方がダメなところがあった.
内容はもっともっぽい
1000の小説とバックベアード
いまいち
雪の練習生
死の接吻はすごくいい
異次元の館の殺人
いまいち
虚構内存在
筒井康隆における虚構内存在についての本.
なかなかおもしろかった
文化大革命と現代中国
文化大革命 なかなかよくわからない
殺劫(シャーチエ)
チベットにおける文化大革命についての本. 写真が多く興味深い
サッカーを100倍楽しむための審判入門
当時の日本サッカー協会審判委員長の本. ちょっと身贔屓があるが, 参考になる.
贖罪の奏鳴曲
楽しめた.
昭和史講義 1/2/3
まだまだ研究が進んでいっている. 敗戦時に書類を焼いてなければもっと楽だったのではないかと思うが
谷中村滅亡史
荒畑寒村のデビュー作. 激烈な文章だ.
大杉栄—日本で最も自由だった男
まあまあ.
飾らず、偽らず、欺かず――管野須賀子と伊藤野枝
なかなか面白かった.
世界最高のスリープコーチが教える究極の睡眠術 / 昼間のパフォーマンスを最大にする正しい眠り方
年と共に眠りの質が悪くなっている感じがあるので睡眠の本を読んでみた.
リモートワークのために1日部屋から出ない日もあったので, なるべく日のあるうちに外出するようにしよう.
内容は前者のほうがよかった.
悪霊の群
山田 風太郎 と 高木 彬光の合作. 出来はよくない.
寒村自伝
いままでちゃんと読んでなかったのがもったいなかった
アーロン収容所
公民権運動などを経て意識はどう変わったのか
悪と異端者
筒井康隆のエッセイ. まだそこまで駄目になってない.
2018/04/03, OpenSSH 7.7 がリリースされました.
バグ修正が中心のリリースです.
# https://www.openssh.com/txt/release-7.7
Potentially-incompatible changes
================================
潜在的に非互換な変更
This release includes a number of changes that may affect existing
configurations:
このリリースは既存の設定に影響するかもしれない変更を若干含んでいる.
* ssh(1)/sshd(8): Drop compatibility support for some very old SSH
implementations, including ssh.com <=2.* and OpenSSH <= 3.*. These
versions were all released in or before 2001 and predate the final
SSH RFCs. The support in question isn't necessary for RFC-compliant
SSH implementations.
ssh(1)/sshd(8): いくつかの非常に古い SSH 実装に対する互換性サポートを
落す. ssh.com <=2.* や OpenSSH <= .3* を含む.
これらのバージョンすべて, 2001年以前にリリースされており 最終の
SSH RFC よりも前のものだ. これらのサポートは, RFC 準拠の
SSH 実装には必要ない.
Changes since OpenSSH 7.6
=========================
OpenSSH 7.6 からの変更点
This is primarily a bugfix release.
これは主にバグ修正のリリースだ.
New Features
------------
新機能
* All: Add experimental support for PQC XMSS keys (Extended Hash-
Based Signatures) based on the algorithm described in
https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures-12
The XMSS signature code is experimental and not compiled in by
default.
https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures-12
に記述されているアルゴリズムに基づく PQC XMSS 鍵 (拡張ハッシュベース署名)
の実験的サポートを追加する. XMSS 署名コードは実験的で, デフォルトでは
コンパイルされない.
* sshd(8): Add a "rdomain" criteria for the sshd_config Match keyword
to allow conditional configuration that depends on which routing
domain a connection was received on (currently supported on OpenBSD
and Linux).
sshd(8): sshd_config の Match のキーワードに rdomain 基準を追加する.
これにより, (現在 OpenBSD と Linux でサポートされている)
接続を受けとったルーティングドメインに依存した設定が可能となる
* sshd_config(5): Add an optional rdomain qualifier to the
ListenAddress directive to allow listening on different routing
domains. This is supported only on OpenBSD and Linux at present.
sshd_config(5): rdomain 識別子を ListenAddress 設定項目に追加する.
異なるルーティングドメインでの listen を可能にする.
現在 OpenBSD と Linux でのみサポートされる.
* sshd_config(5): Add RDomain directive to allow the authenticated
session to be placed in an explicit routing domain. This is only
supported on OpenBSD at present.
sshd_config(5) RDomain 設定項目を追加する. 認証されたセッションを
明示的なルーティングドメインに配置できる. 現在 OpenBSD でのみ
サポートされる.
* sshd(8): Add "expiry-time" option for authorized_keys files to
allow for expiring keys.
authorized_keys ファイルのオプションに "expiry-time" を追加する.
鍵の期限切れを可能にする.
* ssh(1): Add a BindInterface option to allow binding the outgoing
connection to an interface's address (basically a more usable
BindAddress)
ssh(1): BindInterface オプションを追加する. 外部への接続を bind する
インタフェースのアドレスを指定できる (基本的により便利な BindAddress
だ)
* ssh(1): Expose device allocated for tun/tap forwarding via a new
%T expansion for LocalCommand. This allows LocalCommand to be used
to prepare the interface.
ssh(1): LocalCommand のための 新しい %T 展開により tun/tap
転送で割り当てられたデバイスをあらわにする. これは LocalCommand
をそのインタフェイスを準備するのに使うことができる.
* sshd(8): Expose the device allocated for tun/tap forwarding via a
new SSH_TUNNEL environment variable. This allows automatic setup of
the interface and surrounding network configuration automatically on
the server.
新しい SSH_TUNNEL 環境変数で tun/tap 転送で割り当てられたデバイスを
あらわにする. これにより, そのインタフェイスの自動的な設定や
そのサーバでの自動的な周囲のネットワーク設定が可能となる.
* ssh(1)/scp(1)/sftp(1): Add URI support to ssh, sftp and scp, e.g.
ssh://user@host or sftp://user@host/path. Additional connection
parameters described in draft-ietf-secsh-scp-sftp-ssh-uri-04 are not
implemented since the ssh fingerprint format in the draft uses the
deprecated MD5 hash with no way to specify the any other algorithm.
ssh(1)/scp(1)/sftp(1): ssh, sftp, scp に URI サポートを追加する.
例えば: ssh://user@host や sftp://user@host/path.
draft-ietf-secsh-scp-sftp-ssh-uri-04 に記述されている追加の接続パラメータは
実装されていない. このドラフトの ssh 指紋形式が廃止予定のMD5ハッシュを
用いていて他のアルゴリズムを指定する方法がないからだ.
* ssh-keygen(1): Allow certificate validity intervals that specify
only a start or stop time (instead of both or neither).
ssh-keygen(1): 証明書の検証期間で, 開始/終了日時だけを指定できるようにする
(両方ないし指定しないか ではなく)
* sftp(1): Allow "cd" and "lcd" commands with no explicit path
argument. lcd will change to the local user's home directory as
usual. cd will change to the starting directory for session (because
the protocol offers no way to obtain the remote user's home
directory). bz#2760
sftp(1): 明示的なパス引数のない "cd" と "lcd" コマンドを許可する.
lcd は例によってローカルユーザのホームディレクトリに変更する.
cd は セッションでの開始ディレクトリに変更する (プロトコルは
リモートユーザのホームディレクトリを得る方法を提供していないからだ).
* sshd(8): When doing a config test with sshd -T, only require the
attributes that are actually used in Match criteria rather than (an
incomplete list of) all criteria.
sshd(8): sshd -T で設定のテストをする際, Match の基準で
すべての基準(の不完全なリスト)ではなく実際に利用される属性のみを要求する.
Bugfixes
--------
バグ修正
* ssh(1)/sshd(8): More strictly check signature types during key
exchange against what was negotiated. Prevents downgrade of RSA
signatures made with SHA-256/512 to SHA-1.
ssh(1)/sshd(8): 鍵交換の間により厳密に署名のタイプを交渉されたものか
どうかチェックする. RSA 署名が SHA-256/512 を用いて
作られたものから SHA-1 で作られたものにダウングレードするのを防止する.
* sshd(8): Fix support for client that advertise a protocol version
of "1.99" (indicating that they are prepared to accept both SSHv1 and
SSHv2). This was broken in OpenSSH 7.6 during the removal of SSHv1
support. bz#2810
sshd(8): クライアントの "1.99" プロトコルバージョンの広告のサポートを修正する
(SSHv1 と SSHv2 両方を受けつける準備があることを示す) OpenSSH 7.6
での SSHv1 のサポートの除去により壊れていた. bz#2810
* ssh(1): Warn when the agent returns a ssh-rsa (SHA1) signature when
a rsa-sha2-256/512 signature was requested. This condition is possible
when an old or non-OpenSSH agent is in use. bz#2799
ssh(1): rsa-sha2-256/512 署名が要求された場合にエージェントが
ssh-rsa(SHA1) 署名を返したら警告する. 古いエージェントや OpenSSH
でないエージェントが利用されていると, この条件がありえる. bz#2799
* ssh-agent(1): Fix regression introduced in 7.6 that caused ssh-agent
to fatally exit if presented an invalid signature request message.
無効な署名要求メッセージが提示されると ssh-agent が致命的に終了する
7.6 で導入された回帰テストの問題を修正する.
* sshd_config(5): Accept yes/no flag options case-insensitively, as
has been the case in ssh_config(5) for a long time. bz#2664
sshd_config(5): yes/no のフラグ設定項目を大文字小文字を区別せず
受付けるようにする. ssh_config(5) では長い間このようになっているように
bz#2664
* ssh(1): Improve error reporting for failures during connection.
Under some circumstances misleading errors were being shown. bz#2814
ssh(1): 接続中の失敗に対するエラーレポートを改善する. いくつかの
状況下で, 誤解を招くエラーが表示されていた. bz#2814
* ssh-keyscan(1): Add -D option to allow printing of results directly
in SSHFP format. bz#2821
ssh-keyscan(1): SSHFP 形式で直接結果を表示する -D
オプションを追加する.
* regress tests: fix PuTTY interop test broken in last release's SSHv1
removal. bz#2823
回帰テスト: 前のリリースの SSHv1 の除去で壊れた PuTTY
相互運用性テストを修正する.
* ssh(1): Compatibility fix for some servers that erroneously drop the
connection when the IUTF8 (RFC8160) option is sent.
ssh(1): IUTF8(RFC8160) オプションが送られた場合に誤って接続を落とす
いくつかのサーバに対する互換性の修正
* scp(1): Disable RemoteCommand and RequestTTY in the ssh session
started by scp (sftp was already doing this.)
scp(1): (sftp ではすでにそうしているように) scp で開始された ssh
セッションでは RemoteCommand と RequestTTY を無効にする.
* ssh-keygen(1): Refuse to create a certificate with an unusable
number of principals.
ssh-keygen(1): 利用できない数のプリンシパルを持つ証明書の作成を
拒否する.
* ssh-keygen(1): Fatally exit if ssh-keygen is unable to write all the
public key during key generation. Previously it would silently
ignore errors writing the comment and terminating newline.
ssh-keygen(1): ssh-keygen が 鍵生成時にすべての公開鍵を保存できなければ
致命的に終了する. 以前は, コメントを書く場合と改行で終端する場合に
エラーを静かに無視していた.
* ssh(1): Do not modify hostname arguments that are addresses by
automatically forcing them to lower-case. Instead canonicalise them
to resolve ambiguities (e.g. ::0001 => ::1) before they are matched
against known_hosts. bz#2763
ssh(1): ホスト名引数はIPアドレスの場合には自動的に小文字化するが,
そうでなければ変更しない. かわりに, known_hosts にマッチさせる前に,
あいまいさを解決するため(例えば ::0001 => ::1) ホスト名引数を正規化する.
* ssh(1): Don't accept junk after "yes" or "no" responses to hostkey
prompts. bz#2803
ssh(1): ホスト鍵のプロンプトの "yes" か "no" の応答のあとにゴミを
受け付けない. bz#2803
* sftp(1): Have sftp print a warning about shell cleanliness when
decoding the first packet fails, which is usually caused by shells
polluting stdout of non-interactive startups. bz#2800
sftp(1): 非対話の起動で標準出力が汚染されたシェルによって通常引き起こされる
最初のパケットのデコードが失敗した場合に,
シェルの清潔さについての警告を sftp が出力する.
* ssh(1)/sshd(8): Switch timers in packet code from using wall-clock
time to monotonic time, allowing the packet layer to better function
over a clock step and avoiding possible integer overflows during
steps.
ssh(1)/sshd(8): パケッドコード中のタイマーで, wall-clock 時間から
monotonic 時間を利用するように変更する. パケット層で,
クロックのステップに対するよりより扱いが可能となり, ステップ間での
潜在的な整数オーバーフローを回避する.
* Numerous manual page fixes and improvements.
たくさんのマニュアルページの修正と改善.
Portability
-----------
移植性
* sshd(8): Correctly detect MIPS ABI in use at configure time. Fixes
sandbox violations on some environments.
sshd(8): configure 時に MIPS API が利用できるか正しく検知する.
いくつかの環境でサンドボックスの破壊を修正する.
* sshd(8): Remove UNICOS support. The hardware and software are literal
museum pieces and support in sshd is too intrusive to justify
maintaining.
sshd(8): UNICOS サポートを除去する. ハードウェアもソフトウェアも文字通りの
博物館もので, sshd でのサポートで保守を正当化するには邪魔ものすぎる
* All: Build and link with "retpoline" flags when available to mitigate
the "branch target injection" style (variant 2) of the Spectre
branch-prediction vulnerability.
すべて: Spectre 分岐予測脆弱性の "branch target injection" スタイル(variant 2) を緩和する
ことができる, retpoline フラグ付きでのビルドとリンク.
* All: Add auto-generated dependency information to Makefile.
すべて: Makefile に自動生成された依存情報を追加する.
* Numerous fixed to the RPM spec files.
RPM spec ファイルを沢山修正した.
反体制を生きて
荒畑寒村. 日本共産党の研究で参照されていたので存在は知っていたが未読だった.
面白い.
山川均自伝
そこそこ
異嗜食的作家論
沼正三. なかなか面白かった.
あなたのための誘拐
読ませる. オチは予想できた.
OpenSSH 7.7 がリリース準備中です.
Call for testing: OpenSSH 7.7
主にバグ修正のリリースです.
# https://lists.mindrot.org/pipermail/openssh-unix-dev/2018-March/036759.html
Potentially-incompatible changes
================================
潜在的に非互換な変更
This release includes a number of changes that may affect existing
configurations:
このリリースは既存の設定に影響するかもしれない変更を若干含んでいる.
* ssh(1)/sshd(8): Drop compatibility support for some very old SSH
implementations, including ssh.com <=2.* and OpenSSH <= 3.*.
These versions were all released in or before 2001 and predate the
final SSH RFCs. The support in question isn't necessary for RFC-
compliant SSH implementations.
ssh(1)/sshd(8): いくつかの非常に古い SSH 実装に対する互換性サポートを
落す. ssh.com <=2.* や OpenSSH <= .3* を含む.
これらのバージョンすべて, 2001年以前にリリースされており 最終の
SSH RFC よりも前のものだ. これらのサポートは, RFC 準拠の
SSH 実装には必要ない.
Changes since OpenSSH 7.6
=========================
OpenSSH 7.6 からの変更点
This is primarily a bugfix release.
これは主にバグ修正のリリースだ.
New Features
------------
新機能
* All: Add experimental support for PQC XMSS keys (Extended Hash-
Based Signatures) based on the algorithm described in
https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures-12
The XMSS signature code is experimental and not compiled in by
default.
https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures-12
に記述されているアルゴリズムに基づく PQC XMSS 鍵 (拡張ハッシュベース署名)
の実験的サポートを追加する. XMSS 署名コードは実験的で, デフォルトでは
コンパイルされない.
* sshd(8): Add a "rdomain" criteria for the sshd_config Match keyword
to allow conditional configuration that depends on which routing
domain a connection was received on (currently supported on OpenBSD
and Linux).
sshd(8): sshd_config の Match のキーワードに rdomain 基準を追加する.
これにより, (現在 OpenBSD と Linux でサポートされている)
接続を受けとったルーティングドメインに依存した設定が可能となる
* sshd_config(5): Add an optional rdomain qualifier to the
ListenAddress directive to allow listening on different routing
domains. This is supported only on OpenBSD and Linux at present.
sshd_config(5): rdomain 識別子を ListenAddress 設定項目に追加する.
異なるルーティングドメインでの listen を可能にする.
現在 OpenBSD と Linux でのみサポートされる.
* sshd_config(5): Add RDomain directive to allow the authenticated
session to be placed in an explicit routing domain. This is only
supported on OpenBSD at present.
sshd_config(5) RDomain 設定項目を追加する. 認証されたセッションを
明示的なルーティングドメインに配置できる. 現在 OpenBSD でのみ
サポートされる.
* sshd(8): Add "expiry-time" option for authorized_keys files to
allow for expiring keys.
authorized_keys ファイルのオプションに "expiry-time" を追加する.
鍵の期限切れを可能にする.
* ssh(1): Add a BindInterface option to allow binding the outgoing
connection to an interface's address (basically a more usable
BindAddress)
ssh(1): BindInterface オプションを追加する. 外部への接続を bind する
インタフェースのアドレスを指定できる (基本的により便利な BindAddress
だ)
* ssh(1): Expose device allocated for tun/tap forwarding via a new
%T expansion for LocalCommand. This allows LocalCommand to be used
to prepare the interface.
ssh(1): LocalCommand のための 新しい %T 展開により tun/tap
転送で割り当てられたデバイスをあらわにする. これは LocalCommand
をそのインタフェイスを準備するのに使うことができる.
* sshd(8): Expose the device allocated for tun/tap forwarding via a
new SSH_TUNNEL environment variable. This allows automatic setup of
the interface and surrounding network configuration automatically on
the server.
新しい SSH_TUNNEL 環境変数で tun/tap 転送で割り当てられたデバイスを
あらわにする. これにより, そのインタフェイスの自動的な設定や
そのサーバでの自動的な周囲のネットワーク設定が可能となる.
* ssh(1)/scp(1)/sftp(1): Add URI support to ssh, sftp and scp, e.g.
ssh://user@host or sftp://user@host/path. Additional connection
parameters described in draft-ietf-secsh-scp-sftp-ssh-uri-04 are not
implemented since the ssh fingerprint format in the draft uses the
deprecated MD5 hash with no way to specify the any other algorithm.
ssh(1)/scp(1)/sftp(1): ssh, sftp, scp に URI サポートを追加する.
例えば: ssh://user@host や sftp://user@host/path.
draft-ietf-secsh-scp-sftp-ssh-uri-04 に記述されている追加の接続パラメータは
実装されていない. このドラフトの ssh 指紋形式が廃止予定のMD5ハッシュを
用いていて他のアルゴリズムを指定する方法がないからだ.
* ssh-keygen(1): Allow certificate validity intervals that specify
only a start or stop time (instead of both or neither).
ssh-keygen(1): 証明書の検証期間で, 開始/終了日時だけを指定できるようにする
(両方ないし指定しないか ではなく)
* sftp(1): Allow "cd" and "lcd" commands with no explicit path
argument. lcd will change to the local user's home directory as
usual. cd will change to the starting directory for session (because
the protocol offers no way to obtain the remote user's home
directory). bz#2760
sftp(1): 明示的なパス引数のない "cd" と "lcd" コマンドを許可する.
lcd は例によってローカルユーザのホームディレクトリに変更する.
cd は セッションでの開始ディレクトリに変更する (プロトコルは
リモートユーザのホームディレクトリを得る方法を提供していないからだ).
* sshd(8): When doing a config test with sshd -T, only require the
attributes that are actually used in Match criteria rather than (an
incomplete list of) all criteria.
sshd(8): sshd -T で設定のテストをする際, Match の基準で
すべての基準(の不完全なリスト)ではなく実際に利用される属性のみを要求する.
* sshd(8): Fix support for client that advertise a protocol version
of "1.99" (indicating that they are prepared to accept both SSHv1 and
SSHv2). This was broken in OpenSSH 7.6 during the removal of SSHv1
support. bz#2810
sshd(8): クライアントの "1.99" プロトコルバージョンの広告のサポートを修正する
(SSHv1 と SSHv2 両方を受けつける準備があることを示す) OpenSSH 7.6
での SSHv1 のサポートの除去により壊れていた. bz#2810
Bugfixes
--------
バグ修正
* ssh(1): Warn when the agent returns a ssh-rsa (SHA1) signature when
a rsa-sha2-256/512 signature was requested. This condition is possible
when an old or non-OpenSSH agent is in use. bz#2799
ssh(1): rsa-sha2-256/512 署名が要求された場合にエージェントが
ssh-rsa(SHA1) 署名を返したら警告する. 古いエージェントや OpenSSH
でないエージェントが利用されていると, この条件がありえる. bz#2799
* ssh(1)/sshd(8): More strictly check signature types during key
exchange against what was negotiated. Prevents downgrade of RSA
signatures made with SHA-256/512 to SHA-1.
ssh(1)/sshd(8): 鍵交換の間により厳密に署名のタイプを交渉されたものか
どうかチェックする. RSA 署名が SHA-256/512 を用いて
作られたものから SHA-1 で作られたものにダウングレードするのを防止する.
* ssh-agent(1): Fix regression introduce in 7.6 that caused ssh-agent
to fatally exit if presented an invalid signature request message.
無効な署名要求メッセージが提示されると ssh-agent が致命的に終了する
7.6 で導入された回帰テストの問題を修正する.
* sshd_config(5): Accept yes/no flag options case-insensitively, as
has been the case in ssh_config(5) for a long time. bz#2664
sshd_config(5): yes/no のフラグ設定項目を大文字小文字を区別せず
受付けるようにする. ssh_config(5) では長い間このようになっているように
bz#2664
* ssh(1): Improve error reporting for failures during connection.
Under some circumstances misleading errors were being shows. bz#2814
ssh(1): 接続中の失敗に対するエラーレポートを改善する. いくつかの
状況下で, 誤解を招くエラーが表示されていた. bz#2814
* ssh-keyscan(1): Add -D option to allow printing of results directly
in SSHFP format. bz#2821
ssh-keyscan(1): SSHFP 形式で直接結果を表示する -D
オプションを追加する.
* regress tests: fix PuTTY interop test broken in last release's SSHv1
removal. bz#2823
回帰テスト: 前のリリースの SSHv1 の除去で壊れた PuTTY
相互運用性テストを修正する.
* ssh(1): Compatibility fix for some servers that erroneously drop the
connection when the IUTF8 (RFC8160) option is sent.
ssh(1): IUTF8(RFC8160) オプションが送られた場合に誤って接続を落とす
いくつかのサーバに対する互換性の修正
* scp(1): Disable RemoteCommand and RequestTTY in the ssh session
started by scp (sftp was already doing this.)
scp(1): (sftp ではすでにそうしているように) scp で開始された ssh
セッションでは RemoteCommand と RequestTTY を無効にする.
* ssh-keygen(1): Refuse to create a certificate with an unusable
number of principals.
ssh-keygen(1): 利用できない数のプリンシパルを持つ証明書の作成を
拒否する.
* ssh-keygen(1): Fatally exit if ssh-keygen is unable to write all the
public key during key generation. Previously it would silently
ignore errors writing the comment and terminating newline.
ssh-keygen(1): ssh-keygen が 鍵生成時にすべての公開鍵を保存できなければ
致命的に終了する. 以前は, コメントを書く場合と改行で終端する場合に
エラーを静かに無視していた.
* ssh(1): Do not modify hostname arguments that are addresses by
automatically forcing them to lower-case. Instead canonicalise them
to resolve ambiguities (e.g. ::0001 => ::1) before they are matched
against known_hosts. bz#2763
ssh(1): ホスト名引数はIPアドレスの場合には自動的に小文字化するが,
そうでなければ変更しない. かわりに, known_hosts にマッチさせる前に,
あいまいさを解決するため(例えば ::0001 => ::1) ホスト名引数を正規化する.
* ssh(1): Don't accept junk after "yes" or "no" responses to hostkey
prompts. bz#2803
ssh(1): ホスト鍵のプロンプトの "yes" か "no" の応答のあとにゴミを
受け付けない. bz#2803
* sftp(1): Have sftp print a warning about shell cleanliness when
decoding the first packet fails, which is usually caused by shells
polluting stdout of non-interactive startups. bz#2800
sftp(1): 非対話の起動で標準出力が汚染されたシェルによって通常引き起こされる
最初のパケットのデコードが失敗した場合に,
シェルの清潔さについての警告を sftp が出力する.
* ssh(1)/sshd(8): Switch timers in packet code from using wall-clock
time to monotonic time, allowing the packet layer to better function
over a clock step and avoiding possible integer overflows during
steps.
ssh(1)/sshd(8): パケッドコード中のタイマーで, wall-clock 時間から
monotonic 時間を利用するように変更する. パケット層で,
クロックのステップに対するよりより扱いが可能となり, ステップ間での
潜在的な整数オーバーフローを回避する.
* Numerous manual page fixes and improvements.
たくさんのマニュアルページの修正と改善.
Portability
-----------
移植性
* sshd(8): Correctly detect MIPS ABI in use at configure time. Fixes
sandbox violations on some environments.
sshd(8): configure 時に MIPS API が利用できるか正しく検知する.
いくつかの環境でサンドボックスの破壊を修正する.
* sshd(8): Remove UNICOS support. The hardware and software are literal
museum pieces and support in sshd is too intrusive to justify
maintaining.
sshd(8): UNICOS サポートを除去する. ハードウェアもソフトウェアも文字通りの
博物館もので, sshd でのサポートで保守を正当化するには邪魔ものすぎる
* All: Build and link with "retpoline" flags when available to mitigate
the "branch target injection" style (variant 2) of the Spectre
branch-prediction vulnerability.
すべて: Spectre 分岐予測脆弱性の "branch target injection" スタイル(variant 2) を緩和する
ことができる, retpoline フラグ付きでのビルドとリンク.
* All: Add auto-generated dependency information to Makefile.
すべて: Makefile に自動生成された依存情報を追加する.
* Numerous fixed to the RPM spec files.
RPM spec ファイルを沢山修正した.