2019年02月 引っ越し 引っ越す理由編
2019年02月 に引っ越しました. だらだらと引っ越し関係の記事を書きます.
2015年05月 から 2019年02月 までは 東京都新宿区市谷本村町に住んでいました. 前回の引っ越しでは, 会社の設立のために登記可能かつ居住可能な物件を探して すぐに見つかった物件にしました. これは運が良かったです.
OpenSSH 8.0 がリリースされました
2019/04/17, OpenSSH 8.0 がリリースされました.
- OpenSSH 8.0 Release Note 中の OpenSSH 8.0 での変更点の翻訳
- この記事にも添付します.
- OpenSSH 移植版付属文書の翻訳
https://www.openssh.com/txt/release-8.0
Security
========
セキュリティ
This release contains mitigation for a weakness in the scp(1) tool
and protocol (CVE-2019-6111): when copying files from a remote system
to a local directory, scp(1) did not verify that the filenames that
the server sent matched those requested by the client. This could
allow a hostile server to create or clobber unexpected local files
with attacker-controlled content.
このリリースは, scp(1) ツールとプロトコルの問題 (CVE-2019-6111) の緩和を含んでいる:
リモートのシステムからローカルのディレクトリにファイルをコピーする際に,
scp(1) は, サーバが送信したファイル名がクライアントによって要求されたものと
一致するかどうかを検証していない. これを利用して, 悪意のあるサーバが攻撃者が
制御する内容で予期しないローカルファイルを作成したり変更する可能性がある.
This release adds client-side checking that the filenames sent from
the server match the command-line request,
このリリースでサーバから送られたファイル名がコマンドラインの要求と
一致するかどうかのクライアント側でのチェックを追加する.
The scp protocol is outdated, inflexible and not readily fixed. We
recommend the use of more modern protocols like sftp and rsync for
file transfer instead.
scp プロトコルは時代遅れで, 柔軟性がなく, 簡単に修正できない.
ファイル転送には scp の代わりに sftp や rsync にようなより
現代的なプロトコルの利用を推奨する.
Potentially-incompatible changes
================================
潜在的に非互換な変更
This release includes a number of changes that may affect existing
configurations:
このリリースは既存の設定に影響するかもしれない変更がいくつか含まれている:
* scp(1): Relating to the above changes to scp(1); the scp protocol
relies on the remote shell for wildcard expansion, so there is no
infallible way for the client's wildcard matching to perfectly
reflect the server's. If there is a difference between client and
server wildcard expansion, the client may refuse files from the
server. For this reason, we have provided a new "-T" flag to scp
that disables these client-side checks at the risk of
reintroducing the attack described above.
scp(1): 前述の変更に関係: scp プロトコルはリモートシェル上の
ワイルドカード展開に依存している. そのため, クライアントの
ワイルドカードの一致に対してサーバのそれを反映する絶対確実な
方法は存在しない. クライアントとサーバのワイルドカード展開が
異なる場合, クライアントはサーバからのファイルを拒否するかもしれない.
このため, 我々は 新しい "-T" フラグを scp に提供する.
これは, 前述した攻撃を再導入するリスクを承知の上でこれらのクライアント側の
チェックを無効にする.
* sshd(8): Remove support for obsolete "host/port" syntax. Slash-
separated host/port was added in 2001 as an alternative to
host:port syntax for the benefit of IPv6 users. These days there
are establised standards for this like [::1]:22 and the slash
syntax is easily mistaken for CIDR notation, which OpenSSH
supports for some things. Remove the slash notation from
ListenAddress and PermitOpen; bz#2335
sshd(8): 旧式の "host/port" 構文のサポートを除く. スラッシュ区切りの
host/port は IPv6 ユーザのために host:port 構文の代替として 2001 年に
追加された. [::1]:22 のような確立した標準が最近は存在し,
スラッシュ構文は OpenSSH でもサポートしている箇所がある
CIDR 表記と間違えやすい. ListenAddress と PermitOpen から
スラッシュ表記を除く; bz#2335
Changes since OpenSSH 7.9
=========================
OpenSSH 7.9 からの変更
This release is focused on new features and internal refactoring.
このリリースは, 新しい機能と内部のリファクタリグに重点を置いている.
New Features
------------
新機能
* ssh(1), ssh-agent(1), ssh-add(1): Add support for ECDSA keys in
PKCS#11 tokens.
ssh(1), ssh-agent(1), ssh-add(1): PKCS#11 トークン中の ECDSA 鍵
のサポートを追加する.
* ssh(1), sshd(8): Add experimental quantum-computing resistant
key exchange method, based on a combination of Streamlined NTRU
Prime 4591^761 and X25519.
ssh(1), sshd(8): 実験的な量子コンピューティング耐性鍵交換法を
追加する. Streamlined NTRU 4591^761 と X25519 の組合せに基づく.
* ssh-keygen(1): Increase the default RSA key size to 3072 bits,
following NIST Special Publication 800-57's guidance for a
128-bit equivalent symmetric security level.
ssh-keygen(1): デフォルトの RSA 鍵のサイズを 3072 ビットに増やす.
128 ビットの共通鍵暗号と同等のセキュリティレベルに対する
NIST Special Publication 800-57 のガイダンスに従うため.
* ssh(1): Allow "PKCS11Provider=none" to override later instances of
the PKCS11Provider directive in ssh_config; bz#2974
ssh(1): ssh_config で PKCS11Provider 設定項目の後の設定を上書きするため
"PKCS11Provider=none" を許可する; bz#2974
* sshd(8): Add a log message for situations where a connection is
dropped for attempting to run a command but a sshd_config
ForceCommand=internal-sftp restriction is in effect; bz#2960
sshd(8): sshd_config での ForceCommand=internal-sftp 制限が有効にも
かかわらず, コマンドを走らせようとして接続が落ちる場合のログ
メッセージを追加する; bz#2960
* ssh(1): When prompting whether to record a new host key, accept
the key fingerprint as a synonym for "yes". This allows the user
to paste a fingerprint obtained out of band at the prompt and
have the client do the comparison for you.
ssh(1): 新しいホスト鍵を記録するかどうかのプロンプトを出している場合に,
鍵の指紋を "yes" の同意語として受けつける. これにより, ユーザが
外部から得た指紋をペーストしてクライアントに比較させられる.
* ssh-keygen(1): When signing multiple certificates on a single
command-line invocation, allow automatically incrementing the
certificate serial number.
ssh-keygen(1): 単一のコマンドラインから複数の証明書に署名する場合,
証明書のシリアル番号を自動的に増加させられるようになる.
* scp(1), sftp(1): Accept -J option as an alias to ProxyJump on
the scp and sftp command-lines.
scp(1), sftp(1): scp と sftp のコマンドラインで ProxyJump の
エイリアスとして -J オプションを受けつける.
* ssh-agent(1), ssh-pkcs11-helper(8), ssh-add(1): Accept "-v"
command-line flags to increase the verbosity of output; pass
verbose flags though to subprocesses, such as ssh-pkcs11-helper
started from ssh-agent.
ssh-agent(1), ssh-pkcs11-helper(8), ssh-add(1): 出力の冗長性を
増す "-v" コマンドラインオプションを受けつける. ssh-agent から
起動される ssh-pkcs11-helper の場合のように, サブプロセスへ
冗長オプションは渡される.
* ssh-add(1): Add a "-T" option to allowing testing whether keys in
an agent are usable by performing a signature and a verification.
ssh-add(1): エージェント内で鍵が署名と検証の実行に利用できるかを
テストすることを許す "-T" オプションを追加する.
* sftp-server(8): Add a "lsetstat@openssh.com" protocol extension
that replicates the functionality of the existing SSH2_FXP_SETSTAT
operation but does not follow symlinks. bz#2067
sftp-server(8): 既存の SSH2_FXP_SETSTAT の機能と同等だがシンボリックリンクは
追従しない, "lsetstat@openssh.com" プロトコル拡張を追加する.
* sftp(1): Add "-h" flag to chown/chgrp/chmod commands to request
they do not follow symlinks.
sftp(1): シンボリックリンクを追従しないように要求する "-h" フラグを
chown/chgrp/chmod コマンドに追加する.
* sshd(8): Expose $SSH_CONNECTION in the PAM environment. This makes
the connection 4-tuple available to PAM modules that wish to use
it in decision-making. bz#2741
PAM 環境で $SSH_CONNECTION を露出する. これにより, 意思決定に
$SSH_CONNECTION を利用したい PAM モジュールが 接続 4タプル
(訳注: source ip, ocsp URL, issuer name hash, serial number) を
利用できる. bz#2741
* sshd(8): Add a ssh_config "Match final" predicate Matches in same
pass as "Match canonical" but doesn't require hostname
canonicalisation be enabled. bz#2906
sshd(8): "Match canonical" と同じパスにマッチするが, ホスト名の
正規化が有効なことを要求しない "Match final" 述語を ssh_config に
追加する. bz#2906
* sftp(1): Support a prefix of '@' to suppress echo of sftp batch
commands; bz#2926
sftp(1): sftp バッチコマンドのエコーを抑制する '@' プレフィックスを
サポートする.
* ssh-keygen(1): When printing certificate contents using
"ssh-keygen -Lf /path/certificate", include the algorithm that
the CA used to sign the cert.
ssh-keygen(1): "ssh-keygen -Lf /path/certificate" を用いて
証明書の内容を出力する場合に, 証明書に署名をした CA が用いた
アルゴリズムを含める.
Bugfixes
--------
バグ修正
* sshd(8): Fix authentication failures when sshd_config contains
"AuthenticationMethods any" inside a Match block that overrides
a more restrictive default.
sshd(8): sshd_config が "AuthenticationMethods any" を Match ブロック
内に含んでいて より制約のあるデフォルトを上書きしている場合の
認証失敗を修正する.
* sshd(8): Avoid sending duplicate keepalives when ClientAliveCount
is enabled.
sshd(8): ClientAliveCount が有効な場合に重複した keepalive の送信を
やめる.
* sshd(8): Fix two race conditions related to SIGHUP daemon restart.
Remnant file descriptors in recently-forked child processes could
block the parent sshd's attempt to listen(2) to the configured
addresses. Also, the restarting parent sshd could exit before any
child processes that were awaiting their re-execution state had
completed reading it, leaving them in a fallback path.
sshd(8): SIGHUP でのデーモン再起動に関連する 2 つの競合状態を修正する.
最近フォークされた子プロセスの残りのファイルデスクリプタが
親の sshd が 設定されたアドレスで listen(2) しようとするのを
ブロックする場合があった. また, 再実行状態を待っていた子プロセスが
読み取りを完了する前に親の sshd を再起動が終了し,
フォールバックパスに子プロセスが残る場合があった.
* ssh(1): Fix stdout potentially being redirected to /dev/null when
ProxyCommand=- was in use.
ssh(1): ProxyCommand=- を利用する場合に stdout が /dev/null に
リダイレクトされる潜在的な可能性を修正する.
* sshd(8): Avoid sending SIGPIPE to child processes if they attempt
to write to stderr after their parent processes have exited;
bz#2071
sshd(8): 子プロセスが 親プロセスが終了した後で stderr に書きこもうと
する場合に SIGPIPE を 子プロセスに送るのをやめる. bz#2071
* ssh(1): Fix bad interaction between the ssh_config ConnectTimeout
and ConnectionAttempts directives - connection attempts after the
first were ignoring the requested timeout; bz#2918
ssh_config の ConnectTimeout, と ConnectionAttempts 設定項目間の
悪い相互作用を修正する. 1回目より後の接続試行で要求されたタイムアウトを
無視していた. bz#2918
* ssh-keyscan(1): Return a non-zero exit status if no keys were
found; bz#2903
ssh-keyscan(1): 鍵が見つからなかった場合に 0 でない終了ステータスを
返す. bz#2903
* scp(1): Sanitize scp filenames to allow UTF-8 characters without
terminal control sequences; bz#2434
scp(1): 端末制御シーケンスを含まない UTF-8 文字列を許すように scp の
ファイル名を無害化する; bz#2434
* sshd(8): Fix confusion between ClientAliveInterval and time-based
RekeyLimit that could cause connections to be incorrectly closed.
bz#2757
sshd(8): 接続を不正に終了させてしまう ClientAliveInterval と
時間ベースの RekeyLimit の間の混乱を修正する. bz#2757
* ssh(1), ssh-add(1): Correct some bugs in PKCS#11 token PIN
handling at initial token login. The attempt to read the PIN
could be skipped in some cases, particularly on devices with
integrated PIN readers. This would lead to an inability to
retrieve keys from these tokens. bz#2652
ssh(1), ssh-add(1): 最初のトークンログイン時の PKCS#11 トークン
PIN の扱いのいくつかのバグを修正する. いくつかの場合, 特に PIN 読み取り機が
統合されたデバイス上で, PIN の 読み取りの試行がスキップされる場合があった.
これにより, これらのトークンから鍵を取り出すことができなくなっていた.
bz#2652
* ssh(1), ssh-add(1): Support keys on PKCS#11 tokens that set the
CKA_ALWAYS_AUTHENTICATE flag by requring a fresh login after the
C_SignInit operation. bz#2638
ssh(1), ssh-add(1): C_SignInit 操作の後に新しいログインを要求する
CKA_ALWAYS_AUTHENTICATE フラグを設定する PKCS#11 トークンの鍵を
サポートする.
* ssh(1): Improve documentation for ProxyJump/-J, clarifying that
local configuration does not apply to jump hosts.
ssh(1): ProxyJump/-J の文書を改善し, ローカルの設定がホストのジャンプに
適用されないことを明確にする.
* ssh-keygen(1): Clarify manual - ssh-keygen -e only writes
public keys, not private.
ssh-keygen(1): マニュアルを明確化する. ssh-keygen -e は
公開鍵のみ書き込み, 秘密鍵に書き込まない.
* ssh(1), sshd(8): be more strict in processing protocol banners,
allowing \r characters only immediately before \n.
ssh(1), sshd(8): プロトコルバナーの処理をより厳格にする.
\r 文字は \n の直前のみ許可する.
* Various: fix a number of memory leaks, including bz#2942 and
bz#2938
いろいろ: たくさんのメモリリークを修正する, bz#2942 と bz#2938 を含む.
* scp(1), sftp(1): fix calculation of initial bandwidth limits.
Account for bytes written before the timer starts and adjust the
schedule on which recalculations are performed. Avoids an initial
burst of traffic and yields more accurate bandwidth limits;
bz#2927
scp(1), sftp(1): 最初の帯域制限の計算を修正する.
タイマーがスタートする前の書き込みバイト数を考慮し,
再計算が行なわれるスケジュールを調整する. 最初のトラフィックの
バースを防ぎ, より正確な帯域制限を生成する; bz#2927
* sshd(8): Only consider the ext-info-c extension during the initial
key eschange. It shouldn't be sent in subsequent ones, but if it
is present we should ignore it. This prevents sshd from sending a
SSH_MSG_EXT_INFO for REKEX for buggy these clients. bz#2929
sshd(8): 最初の鍵交換中の ext-intro-c 拡張のみを考慮する.
これは最初の鍵交換より後で送られるべきではないが, 送られても
無視するべきだ. これにより, バグのあるクライアントに sshd が
SSH_MSG_EXT_INFO を鍵交換のために送るのを防ぐ. bz#2929
* ssh-keygen(1): Clarify manual that ssh-keygen -F (find host in
authorized_keys) and -R (remove host from authorized_keys) options
may accept either a bare hostname or a [hostname]:port combo.
bz#2935
ssh-keygen(1): ssh-keygen -F (authorized_keys 中でホストをさがす) と
-R (authorized_keys からホストを除く) オプションが生のホスト名も
[hostname]:port の組合せも受け付けることをマニュアルで明確にする.
bz#2935
* ssh(1): Don't attempt to connect to empty SSH_AUTH_SOCK; bz#2936
ssh(1): 空の SSH_AUTH_SOCK に接続しないようにする; bz#2936
* sshd(8): Silence error messages when sshd fails to load some of
the default host keys. Failure to load an explicitly-configured
hostkey is still an error, and failure to load any host key is
still fatal. pr/103
sshd(8): sshd がデフォルトのホスト鍵のいくつかのロードに失敗した場合に
エラーメッセージを出さなくする. 明示的に設定されたホスト鍵のロードの
失敗は error のままで, どのホスト鍵のロードにも失敗したなら
fatal のまま. pr/103
* ssh(1): Redirect stderr of ProxyCommands to /dev/null when ssh is
started with ControlPersist; prevents random ProxyCommand output
from interfering with session output.
ssh(1): ssh が ControlPersist で始まったなら, ProxyCommand の stderr
は /dev/null にリダイレクトする. ランダムな ProxyCommand の出力が
セッションの出力に干渉するのを防ぐ.
* ssh(1): The ssh client was keeping a redundant ssh-agent socket
(leftover from authentication) around for the life of the
connection; bz#2912
ssh(1): ssh のクラアイントは 冗長な ssh-agent ソケット (認証からの残り)
を接続の間中保持していた; bz#2912
* sshd(8): Fix bug in HostbasedAcceptedKeyTypes and
PubkeyAcceptedKeyTypes options. If only RSA-SHA2 siganture types
were specified, then authentication would always fail for RSA keys
as the monitor checks only the base key (not the signature
algorithm) type against *AcceptedKeyTypes. bz#2746
HostbasedAcceptedKeyTypes と PubkeyAcceptedKeyTypes 設定項目の
バグを修正する. RSA-SHA2 署名タイプのみ指定された場合,
モニターが*AcceptedKeyTypes に対して (署名アルゴリズムではなく)
ベースの鍵のタイプのみをチェックし, 認証が RSA 鍵に対して常に失敗してしまう.
* ssh(1): Request correct signature types from ssh-agent when
certificate keys and RSA-SHA2 signatures are in use.
ssh(1): 証明書の鍵と RSA-SHA2 署名を利用中に ssh-agent から
正しい署名タイプを要求する.
Portability
-----------
移植性
* sshd(8): On Cygwin, run as SYSTEM where possible, using S4U for
token creation if it supports MsV1_0 S4U Logon.
sshd(8): Cygwin 上で, MsV1_0 S4U ログオンをサポートしているならば
トークンの生成に S4U を利用して, 可能ならば SYSTEM として走る
* sshd(8): On Cygwin, use custom user/group matching code that
respects the OS' behaviour of case-insensitive matching.
sshd(8): Cygwin 上で, 大文字小文字を区別しない OS の振舞いを
尊重したカスタムの user/group 一致コードを利用する.
* sshd(8): Don't set $MAIL if UsePAM=yes as PAM typically specifies
the user environment if it's enabled; bz#2937
sshd(8): PAM が有効な場合に PAM が典型的にユーザの環境を設定するように
UsePAM=yes の場合に $MAIL を設定しない. bz#2937
* sshd(8) Cygwin: Change service name to cygsshd to avoid collision
with Microsoft's OpenSSH port.
sshd(8) Cygwin: Microsoft の OpenSSH 移植と衝突しないようにサービス名を
cygssdh に変更する.
* Allow building against OpenSSL -dev (3.x)
OpenSSH 開発版 (3.x) でのビルドを可能にする
* Fix a number of build problems against version configurations and
versions of OpenSSL. Including bz#2931 and bz#2921
OpenSSL のバージョン設定とバージョンに対するビルドのたくさんの問題を
修正する. bz#2931 と bz#2921 を含む
* Improve warnings in cygwin service setup. bz#2922
cygwin のサービス設定での警告を改善する. bz#2922
* Remove hardcoded service name in cygwin setup. bz#2922
cygwin設定のでハードコードされたサービス名を除く. bz#2922
OpenSSH 8.0 リリース準備中 / Call for testing: OpenSSH 8.0
OpenSSH 8.0 がリリース準備中です.
新機能とリファクタリングに重点がおかれたリリースになる模様です.
https://lists.mindrot.org/pipermail/openssh-unix-dev/2019-March/037672.html (暫定版)
Security
========
セキュリティ
This release contains mitigation for a weakness in the scp(1) tool
and protocol (CVE-2019-6111): when copying files from a remote system
to a local directory, scp(1) did not verify that the filenames that
the server sent matched those requested by the client. This could
allow a hostile server to create or clobber unexpected local files
with attacker-controlled content.
このリリースは, scp(1) ツールとプロトコルの問題 (CVE-2019-6111) の緩和を含んでいる:
リモートのシステムからローカルのディレクトリにファイルをコピーする際に,
scp(1) は, サーバが送信したファイル名がクライアントによって要求されたものと
一致するかどうかを検証していない. これを利用して, 悪意のあるサーバが攻撃者が
制御する内容で予期しないローカルファイルを作成したり変更する可能性がある.
This release adds client-side checking that the filenames sent from
the server match the command-line request,
このリリースでサーバから送られたファイル名がコマンドラインの要求と
一致するかどうかのクライアント側でのチェックを追加する.
The scp protocol is outdated, inflexible and not readily fixed. We
recommend the use of more modern protocols like sftp and rsync for
file transfer instead.
scp プロトコルは時代遅れで, 柔軟性がなく, 簡単に修正できない.
ファイル転送には scp の代わりに sftp や rsync にようなより
現代的なプロトコルの利用を推奨する.
Potentially-incompatible changes
================================
潜在的に非互換な変更
This release includes a number of changes that may affect existing
configurations:
このリリースは既存の設定に影響するかもしれない変更がいくつか含まれている:
* scp(1): Relating to the above changes to scp(1); the scp protocol
relies on the remote shell for wildcard expansion, so there is no
infallible way for the client's wildcard matching to perfectly
reflect the server's. If there is a difference between client and
server wildcard expansion, the client may refuse files from the
server. For this reason, we have provided a new "-T" flag to scp
that disables these client-side checks at the risk of
reintroducing the attack described above.
scp(1): 前述の変更に関係: scp プロトコルはリモートシェル上の
ワイルドカード展開に依存している. そのため, クライアントの
ワイルドカードの一致に対してサーバのそれを反映する絶対確実な
方法は存在しない. クライアントとサーバのワイルドカード展開が
異なる場合, クライアントはサーバからのファイルを拒否するかもしれない.
このため, 我々は 新しい "-T" フラグを scp に提供する.
これは, 前述した攻撃を再導入するリスクを承知の上でこれらのクライアント側の
チェックを無効にする.
* sshd(8): Remove support for obsolete "host/port" syntax. Slash-
separated host/port was added in 2001 as an alternative to
host:port syntax for the benefit of IPv6 users. These days there
are establised standards for this like [::1]:22 and the slash
syntax is easily mistaken for CIDR notation, which OpenSSH
supports for some things. Remove the slash notation from
ListenAddress and PermitOpen; bz#2335
sshd(8): 旧式の "host/port" 構文のサポートを除く. スラッシュ区切りの
host/port は IPv6 ユーザのために host:port 構文の代替として 2001 年に
追加された. [::1]:22 のような確立した標準が最近は存在し,
スラッシュ構文は OpenSSH でもサポートしている箇所がある
CIDR 表記と間違えやすい. ListenAddress と PermitOpen から
スラッシュ表記を除く; bz#2335
Changes since OpenSSH 7.9
=========================
OpenSSH 7.9 からの変更
This release is focused on new features and internal refactoring.
このリリースは, 新しい機能と内部のリファクタリグに重点を置いている.
New Features
------------
新機能
* ssh(1), ssh-agent(1), ssh-add(1): Add support for ECDSA keys in
PKCS#11 tokens.
ssh(1), ssh-agent(1), ssh-add(1): PKCS#11 トークン中の ECDSA 鍵
のサポートを追加する.
* ssh(1), sshd(8): Add experimental quantum-computing resistant
key exchange method, based on a combination of Streamlined NTRU
Prime 4591^761 and X25519.
ssh(1), sshd(8): 実験的な量子コンピューティング耐性鍵交換法を
追加する. Streamlined NTRU 4591^761 と X25519 の組合せに基づく.
* ssh-keygen(1): Increase the default RSA key size to 3072 bits,
following NIST Special Publication 800-57's guidance for a
128-bit equivalent symmetric security level.
ssh-keygen(1): デフォルトの RSA 鍵のサイズを 3072 ビットに増やす.
128 ビットの共通鍵暗号と同等のセキュリティレベルに対する
NIST Special Publication 800-57 のガイダンスに従うため.
* ssh(1): Allow "PKCS11Provide=none" to override later instances of
the PKCS11Provide directive in ssh_config; bz#2974
ssh(1): ssh_config で PKCS11Provide 設定項目の後の設定を上書きするため
"PKCS11Provide=none" を許可する; bz#2974
* sshd(8): Add a log message for situations where a connection is
dropped for attempting to run a command but a sshd_config
ForceCommand=internal-sftp restriction is in effect; bz#2960
sshd(8): sshd_config での ForceCommand=internal-sftp 制限が有効にも
かかわらず, コマンドを走らせようとして接続が落ちる場合のログ
メッセージを追加する; bz#2960
* ssh(1): When prompting whether to record a new host key, accept
the key fingerprint as a synonym for "yes". This allows the user
to paste a fingerprint obtained out of band at the prompt and
have the client do the comparison for you.
ssh(1): 新しいホスト鍵を記録するかどうかのプロンプトを出している場合に,
鍵の指紋を "yes" の同意語として受けつける. これにより, ユーザが
外部から得た指紋をペーストしてクライアントに比較させられる.
* ssh-keygen(1): When signing multiple certificates on a single
command-line invocation, allow automatically incrementing the
certificate serial number.
ssh-keygen(1): 単一のコマンドラインから複数の証明書に署名する場合,
証明書のシリアル番号を自動的に増加させられるようになる.
* scp(1), sftp(1): Accept -J option as an alias to ProxyJump on
the scp and sftp command-lines.
scp(1), sftp(1): scp と sftp のコマンドラインで ProxyJump の
エイリアスとして -J オプションを受けつける.
* ssh-agent(1), ssh-pkcs11-helper(8), ssh-add(1): Accept "-v"
command-line flags to increase the verbosity of output; pass
verbose flags though to subprocesses, such as ssh-pkcs11-helper
started from ssh-agent.
ssh-agent(1), ssh-pkcs11-helper(8), ssh-add(1): 出力の冗長性を
増す "-v" コマンドラインオプションを受けつける. ssh-agent から
起動される ssh-pkcs11-helper の場合のように, サブプロセスへ
冗長オプションは渡される.
* ssh-add(1): Add a "-T" option to allowing testing whether keys in
an agent are usable by performing a signature and a verification.
ssh-add(1): エージェント内で鍵が署名と検証の実行に利用できるかを
テストすることを許す "-T" オプションを追加する.
* sftp-server(8): Add a "lsetstat@openssh.com" protocol extension
that replicates the functionality of the existing SSH2_FXP_SETSTAT
operation but does not follow symlinks. bz#2067
sftp-server(8): 既存の SSH2_FXP_SETSTAT の機能と同等だがシンボリックリンクは
追従しない, "lsetstat@openssh.com" プロトコル拡張を追加する.
* sftp(1): Add "-h" flag to chown/chgrp/chmod commands to request
they do not follow symlinks.
sftp(1): シンボリックリンクを追従しないように要求する "-h" フラグを
chown/chgrp/chmod コマンドに追加する.
* sshd(8): Expose $SSH_CONNECTION in the PAM environment. This makes
the connection 4-tuple available to PAM modules that wish to use
it in decision-making. bz#2741
PAM 環境で $SSH_CONNECTION を露出する. これにより, 意思決定に
$SSH_CONNECTION を利用したい PAM モジュールが 接続 4タプル
(訳注: source ip, ocsp URL, issuer name hash, serial number) を
利用できる. bz#2741
* sshd(8): Add a ssh_config "Match final" predicate Matches in same
pass as "Match canonical" but doesn't require hostname
canonicalisation be enabled. bz#2906
sshd(8): "Match canonical" と同じパスにマッチするが, ホスト名の
正規化が有効なことを要求しない "Match final" 述語を ssh_config に
追加する. bz#2906
* sftp(1): Support a prefix of '@' to suppress echo of sftp batch
commands; bz#2926
sftp(1): sftp バッチコマンドのエコーを抑制する '@' プレフィックスを
サポートする.
* ssh-keygen(1): When printing certificate contents using
"ssh-keygen -Lf /path/certificate", include the algorithm that
the CA used to sign the cert.
ssh-keygen(1): "ssh-keygen -Lf /path/certificate" を用いて
証明書の内容を出力する場合に, 証明書に署名をした CA が用いた
アルゴリズムを含める.
Bugfixes
--------
バグ修正
* sshd(8): Fix authentication failures when sshd_config contains
"AuthenticationMethods any" inside a Match block that overrides
a more restrictive default.
sshd(8): sshd_config が "AuthenticationMethods any" を Match ブロック
内に含んでいて より制約のあるデフォルトを上書きしている場合の
認証失敗を修正する.
* sshd(8): Avoid sending duplicate keepalives when ClientAliveCount
is enabled.
sshd(8): ClientAliveCount が有効な場合に重複した keepalive の送信を
やめる.
* sshd(8): Fix two race conditions related to SIGHUP daemon restart.
Remnant file descriptors in recently-forked child processes could
block the parent sshd's attempt to listen(2) to the configured
addresses. Also, the restarting parent sshd could exit before any
child processes that were awaiting their re-execution state had
completed reading it, leaving them in a fallback path.
sshd(8): SIGHUP でのデーモン再起動に関連する 2 つの競合状態を修正する.
最近フォークされた子プロセスの残りのファイルデスクリプタが
親の sshd が 設定されたアドレスで listen(2) しようとするのを
ブロックする場合があった. また, 再実行状態を待っていた子プロセスが
読み取りを完了する前に親の sshd を再起動が終了し,
フォールバックパスに子プロセスが残る場合があった.
* ssh(1): Fix stdout potentially being redirected to /dev/null when
ProxyCommand=- was in use.
ssh(1): ProxyCommand=- を利用する場合に stdout が /dev/null に
リダイレクトされる潜在的な可能性を修正する.
* sshd(8): Avoid sending SIGPIPE to child processes if they attempt
to write to stderr after their parent processes have exited;
bz#2071
sshd(8): 子プロセスが 親プロセスが終了した後で stderr に書きこもうと
する場合に SIGPIPE を 子プロセスに送るのをやめる. bz#2071
* ssh(1): Fix bad interaction between the ssh_config ConnectTimeout
and ConnectionAttempts directives - connection attempts after the
first were ignoring the requested timeout; bz#2918
ssh_config の ConnectTimeout, と ConnectionAttempts 設定項目間の
悪い相互作用を修正する. 1回目より後の接続試行で要求されたタイムアウトを
無視していた. bz#2918
* ssh-keyscan(1): Return a non-zero exit status if no keys were
found; bz#2903
ssh-keyscan(1): 鍵が見つからなかった場合に 0 でない終了ステータスを
返す. bz#2903
* scp(1): Sanitize scp filenames to allow UTF-8 characters without
terminal control sequences; bz#2434
scp(1): 端末制御シーケンスを含まない UTF-8 文字列を許すように scp の
ファイル名を無害化する; bz#2434
* sshd(8): Fix confusion between ClientAliveInterval and time-based
RekeyLimit that could cause connections to be incorrectly closed.
bz#2757
sshd(8): 接続を不正に終了させてしまう ClientAliveInterval と
時間ベースの RekeyLimit の間の混乱を修正する. bz#2757
* ssh(1), ssh-add(1): Correct some bugs in PKCS#11 token PIN
handling at initial token login. The attempt to read the PIN
could be skipped in some cases, particularly on devices with
integrated PIN readers. This would lead to an inability to
retrieve keys from these tokens. bz#2652
ssh(1), ssh-add(1): 最初のトークンログイン時の PKCS#11 トークン
PIN の扱いのいくつかのバグを修正する. いくつかの場合, 特に PIN 読み取り機が
統合されたデバイス上で, PIN の 読み取りの試行がスキップされる場合があった.
これにより, これらのトークンから鍵を取り出すことができなくなっていた.
bz#2652
* ssh(1), ssh-add(1): Support keys on PKCS#11 tokens that set the
CKA_ALWAYS_AUTHENTICATE flag by requring a fresh login after the
C_SignInit operation. bz#2638
ssh(1), ssh-add(1): C_SignInit 操作の後に新しいログインを要求する
CKA_ALWAYS_AUTHENTICATE フラグを設定する PKCS#11 トークンの鍵を
サポートする.
* ssh(1): Improve documentation for ProxyJump/-J, clarifying that
local configuration does not apply to jump hosts.
ssh(1): ProxyJump/-J の文書を改善し, ローカルの設定がホストのジャンプに
適用されないことを明確にする.
* ssh-keygen(1): Clarify manual - ssh-keygen -e only writes
public keys, not private.
ssh-keygen(1): マニュアルを明確化する. ssh-keygen -e は
公開鍵のみ書き込み, 秘密鍵に書き込まない.
* ssh(1), sshd(8): be more strict in processing protocol banners,
allowing \r characters only immediately before \n.
ssh(1), sshd(8): プロトコルバナーの処理をより厳格にする.
\r 文字は \n の直前のみ許可する.
* Various: fix a number of memory leaks, including bz#2942 and
bz#2938
いろいろ: たくさんのメモリリークを修正する, bz#2942 と bz#2938 を含む.
* scp(1), sftp(1): fix calculation of initial bandwidth limits.
Account for bytes written before the timer starts and adjust the
schedule on which recalculations are performed. Avoids an initial
burst of traffic and yields more accurate bandwidth limits;
bz#2927
scp(1), sftp(1): 最初の帯域制限の計算を修正する.
タイマーがスタートする前の書き込みバイト数を考慮し,
再計算が行なわれるスケジュールを調整する. 最初のトラフィックの
バースを防ぎ, より正確な帯域制限を生成する; bz#2927
* sshd(8): Only consider the ext-info-c extension during the initial
key eschange. It shouldn't be sent in subsequent ones, but if it
is present we should ignore it. This prevents sshd from sending a
SSH_MSG_EXT_INFO for REKEX for buggy these clients. bz#2929
sshd(8): 最初の鍵交換中の ext-intro-c 拡張のみを考慮する.
これは最初の鍵交換より後で送られるべきではないが, 送られても
無視するべきだ. これにより, バグのあるクライアントに sshd が
SSH_MSG_EXT_INFO を鍵交換のために送るのを防ぐ. bz#2929
* ssh-keygen(1): Clarify manual that ssh-keygen -F (find host in
authorized_keys) and -R (remove host from authorized_keys) options
may accept either a bare hostname or a [hostname]:port combo.
bz#2935
ssh-keygen(1): ssh-keygen -F (authorized_keys 中でホストをさがす) と
-R (authorized_keys からホストを除く) オプションが生のホスト名も
[hostname]:port の組合せも受け付けることをマニュアルで明確にする.
bz#2935
* ssh(1): Don't attempt to connect to empty SSH_AUTH_SOCK; bz#2936
ssh(1): 空の SSH_AUTH_SOCK に接続しないようにする; bz#2936
* sshd(8): Silence error messages when sshd fails to load some of
the default host keys. Failure to load an explicitly-configured
hostkey is still an error, and failure to load any host key is
still fatal. pr/103
sshd(8): sshd がデフォルトのホスト鍵のいくつかのロードに失敗した場合に
エラーメッセージを出さなくする. 明示的に設定されたホスト鍵のロードの
失敗は error のままで, どのホスト鍵のロードにも失敗したなら
fatal のまま. pr/103
* ssh(1): Redirect stderr of ProxyCommands to /dev/null when ssh is
started with ControlPersist; prevents random ProxyCommand output
from interfering with session output.
ssh(1): ssh が ControlPersist で始まったなら, ProxyCommand の stderr
は /dev/null にリダイレクトする. ランダムな ProxyCommand の出力が
セッションの出力に干渉するのを防ぐ.
* ssh(1): The ssh client was keeping a redundant ssh-agent socket
(leftover from authentication) around for the life of the
connection; bz#2912
ssh(1): ssh のクラアイントは 冗長な ssh-agent ソケット (認証からの残り)
を接続の間中保持していた; bz#2912
* sshd(8): Fix bug in HostbasedAcceptedKeyTypes and
PubkeyAcceptedKeyTypes options. If only RSA-SHA2 siganture types
were specified, then authentication would always fail for RSA keys
as the monitor checks only the base key (not the signature
algorithm) type against *AcceptedKeyTypes. bz#2746
HostbasedAcceptedKeyTypes と PubkeyAcceptedKeyTypes 設定項目の
バグを修正する. RSA-SHA2 署名タイプのみ指定された場合,
モニターが*AcceptedKeyTypes に対して (署名アルゴリズムではなく)
ベースの鍵のタイプのみをチェックし, 認証が RSA 鍵に対して常に失敗してしまう.
* ssh(1): Request correct signature types from ssh-agent when
certificate keys and RSA-SHA2 signatures are in use.
ssh(1): 証明書の鍵と RSA-SHA2 署名を利用中に ssh-agent から
正しい署名タイプを要求する.
Portability
-----------
移植性
* sshd(8): On Cygwin, run as SYSTEM where possible, using S4U for
token creation if it supports MsV1_0 S4U Logon.
sshd(8): Cygwin 上で, MsV1_0 S4U ログオンをサポートしているならば
トークンの生成に S4U を利用して, 可能ならば SYSTEM として走る
* sshd(8): On Cygwin, use custom user/group matching code that
respects the OS' behaviour of case-insensitive matching.
sshd(8): Cygwin 上で, 大文字小文字を区別しない OS の振舞いを
尊重したカスタムの user/group 一致コードを利用する.
* sshd(8): Don't set $MAIL if UsePAM=yes as PAM typically specifies
the user environment if it's enabled; bz#2937
sshd(8): PAM が有効な場合に PAM が典型的にユーザの環境を設定するように
UsePAM=yes の場合に $MAIL を設定しない. bz#2937
* sshd(8) Cygwin: Change service name to cygsshd to avoid collision
with Microsoft's OpenSSH port.
sshd(8) Cygwin: Microsoft の OpenSSH 移植と衝突しないようにサービス名を
cygssdh に変更する.
* Allow building against OpenSSL -dev (3.x)
OpenSSH 開発版 (3.x) でのビルドを可能にする
* Fix a number of build problems against version configurations and
versions of OpenSSL. Including bz#2931 and bz#2921
OpenSSL のバージョン設定とバージョンに対するビルドのたくさんの問題を
修正する. bz#2931 と bz#2921 を含む
* Improve warnings in cygwin service setup. bz#2922
cygwin のサービス設定での警告を改善する. bz#2922
* Remove hardcoded service name in cygwin setup. bz#2922
cygwin設定のでハードコードされたサービス名を除く. bz#2922
OpenSSH 7.9 がリリースされました
2018/10/19, OpenSSH 7.9 がリリースされました.
バグ修正が中心のリリースです.
- OpenSSH 7.9 Release Note 中の OpenSSH 7.9 での変更点の翻訳
- この記事にも添付します.
- OpenSSH 移植版付属文書の翻訳
https://www.openssh.com/txt/release-7.9
Potentially-incompatible changes
================================
潜在的に非互換な変更
This release includes a number of changes that may affect existing
configurations:
このリリースは既存の設定に影響するかもしれない変更がいくつか含まれている:
* ssh(1), sshd(8): the setting of the new CASignatureAlgorithms
option (see below) bans the use of DSA keys as certificate
authorities.
ssh(1), sshd(8): (後述する)新しい CASignatureAlgorithms の設定が
認証局での DSA 鍵の利用を禁止する.
* sshd(8): the authentication success/failure log message has
changed format slightly. It now includes the certificate
fingerprint (previously it included only key ID and CA key
fingerprint).
sshd(8): 認証成功/失敗ログメッセージの形式が少し変わる.
証明書の指紋も含むようになる (以前は 鍵の ID と認証局の
鍵の指紋のみを含んでいた).
Changes since OpenSSH 7.8
=========================
This is primarily a bugfix release.
これは主にバグ修正のリリースだ.
New Features
------------
新機能
* ssh(1), sshd(8): allow most port numbers to be specified using
service names from getservbyname(3) (typically /etc/services).
ssh(1), sshd(8): (典型的に /etc/services に記載される) getservbyname(3
からのサービス名を用いたほとんどのポート番号の指定を許可する.
* ssh(1): allow the IdentityAgent configuration directive to accept
environment variable names. This supports the use of multiple
agent sockets without needing to use fixed paths.
ssh(1): IdentityAgent 設定項目が環境変数名を受け入れる. これにより,
固定したパスの利用を必要とせずに複数のエージェントソケットの
利用をサポートする.
* sshd(8): support signalling sessions via the SSH protocol.
A limited subset of signals is supported and only for login or
command sessions (i.e. not subsystems) that were not subject to
a forced command via authorized_keys or sshd_config. bz#1424
sshd(8): SSH プロトコル経由のセッションでのシグナルをサポートする.
制限されたシグナルのサブセットがサポートされ, ログインセッションか
authorized_keys や sshd_config でコマンドを強制されていないコマンド
セッションでのみ利用できる (すなわちサブシステムでは無効).
* ssh(1): support "ssh -Q sig" to list supported signature options.
Also "ssh -Q help" to show the full set of supported queries.
ssh(1): "ssh -Q sig" でサポートされた署名オプションを列挙する.
また, "ssh -Q help" でサポートされた検索のフルセットを示す.
* ssh(1), sshd(8): add a CASignatureAlgorithms option for the
client and server configs to allow control over which signature
formats are allowed for CAs to sign certificates. For example,
this allows banning CAs that sign certificates using the RSA-SHA1
signature algorithm.
ssh(1), sshd(8): CASignatureAlgorithms 設定項目を追加する.
クライアントとサーバの設定で, 認証局が証明書に署名する
署名の形式を制御できるようになる. 例えば, RSA-SHA1 署名
アルゴリズムを用いて証明書に署名する認証局を禁止できる.
* sshd(8), ssh-keygen(1): allow key revocation lists (KRLs) to
revoke keys specified by SHA256 hash.
sshd(8), ssh-keygen(1): 鍵失効リスト(KRL) で SHA256 ハッシュで
鍵を指定して無効にできる.
* ssh-keygen(1): allow creation of key revocation lists directly
from base64-encoded SHA256 fingerprints. This supports revoking
keys using only the information contained in sshd(8)
authentication log messages.
ssh-keygen(1): base64 エンコードされた SHA256 指紋から直接
鍵失効リストを作成できる. sshd(8) の認証ログメッセージに含まれる
情報だけから鍵を失効できる.
Bugfixes
--------
バグ修正
* ssh(1), ssh-keygen(1): avoid spurious "invalid format" errors when
attempting to load PEM private keys while using an incorrect
passphrase. bz#2901
ssh(1), ssh-keygen(1): 不正なパスフレーズを用いて PEM 秘密鍵を
ロードしようとした際のおかしな "invalid format" エラーを回避する.
* sshd(8): when a channel closed message is received from a client,
close the stderr file descriptor at the same time stdout is
closed. This avoids stuck processes if they were waiting for
stderr to close and were insensitive to stdin/out closing. bz#2863
sshd(8): クライアントからチャンネルを閉じるメッセージを受け取った際に
stdout が閉じるのと同時に stderr ファイルディスクリプタを閉じる.
stderr が閉じられるのを待ち stdin/out が閉じられても感知しない
プロセスが動かなくなるのを避ける. bz#2863
* ssh(1): allow ForwardX11Timeout=0 to disable the untrusted X11
forwarding timeout and support X11 forwarding indefinitely.
Previously the behaviour of ForwardX11Timeout=0 was undefined.
ssh(1): 信用されていない X11 転送のタイムアウトを無効にし 無期限に
X11 転送をサポートする ForwardX11Timeout=0 設定が可能になる.
以前は ForwardX11Timeout=0 の振舞いは未定義だった.
* sshd(8): when compiled with GSSAPI support, cache supported method
OIDs regardless of whether GSSAPI authentication is enabled in the
main section of sshd_config. This avoids sandbox violations if
GSSAPI authentication was later enabled in a Match block. bz#2107
sshd(8): GSSAPI サポートありでコンパイルされた場合, sshd_config の
メイン部分で GSSAPI が有効かどうかに関係なくサポートされた
メソッドの OID をキャッシュする. GSSAPI 認証が後で Match ブロックで
有効になった場合に, サンドボックスの破壊を避ける.
* sshd(8): do not fail closed when configured with a text key
revocation list that contains a too-short key. bz#2897
sshd(8): 非常に短い鍵を含むテキストの鍵失効リストありで設定した
場合に失敗しない. bz#2897
(https://bugzilla.mindrot.org/show_bug.cgi?id=2897 によると 7.6
以降でログインできなくなる模様)
* ssh(1): treat connections with ProxyJump specified the same as
ones with a ProxyCommand set with regards to hostname
canonicalisation (i.e. don't try to canonicalise the hostname
unless CanonicalizeHostname is set to 'always'). bz#2896
ssh(1): ホスト名正規化に関して ProxyJump で指定された接続を
ProxyCommand で設定された接続と同じように扱う (すなわち,
CanonicalizeHostname が 'always' に設定されていなければ
ホスト名の正規化を試みない). bz#2896
* ssh(1): fix regression in OpenSSH 7.8 that could prevent public-
key authentication using certificates hosted in a ssh-agent(1)
or against sshd(8) from OpenSSH <7.8.
ssh(1): OpenSSH 7.8 より前の ssh-agent(1) で保持された
証明書にを用いたもしくは OpenSSH 7.8 より前の sshd(8)に対する
公開鍵認証が妨げられる OpenSSH 7.8 での 退行を修正する.
Portability
-----------
移植性
* All: support building against the openssl-1.1 API (releases 1.1.0g
and later). The openssl-1.0 API will remain supported at least
until OpenSSL terminates security patch support for that API version.
すべて: openssl-1.1 API (リリース 1.1.0g 以降)
に対するビルドをサポートする. openssl-1.0 API は 少なくとも
1.0 API へのセキュリティパッチサポートを
OpenSSL が止めるまではサポートされるだろう.
* sshd(8): allow the futex(2) syscall in the Linux seccomp sandbox;
apparently required by some glibc/OpenSSL combinations.
sshd(8): Linux seccomp サンドボックスで futex(2) システムコールを
許可する; いくつかの glibc/OpenSSL の組合せで必要となる模様だ.
* sshd(8): handle getgrouplist(3) returning more than
_SC_NGROUPS_MAX groups. Some platforms consider this limit more
as a guideline.
sshd(8): _SC_NGROUPS_MAX よりも多いグループを返す getgrouplist(3)
を扱う. いくつかのプラットフォームはこの制限をガイドラインとして
考慮している.
OpenSSH 7.9 リリース準備中 / Call for testing: OpenSSH 7.9
OpenSSH 7.9 がリリース準備中です.
主にバグ修正のリリースです.
https://lists.mindrot.org/pipermail/openssh-unix-dev/2018-October/037245.html (暫定版)
Potentially-incompatible changes
================================
潜在的に非互換な変更
This release includes a number of changes that may affect existing
configurations:
このリリースは既存の設定に影響するかもしれない変更がいくつか含まれている:
* ssh(1), sshd(8): the setting of the new CASignatureAlgorithms
option (see below) bans the use of DSA keys as certificate
authorities.
ssh(1), sshd(8): (後述する)新しい CASignatureAlgorithms の設定が
認証局での DSA 鍵の利用を禁止する.
* sshd(8): the authentication success/failure log message has
changed format slightly. It now includes the certificate
fingerprint (previously it included only key ID and CA key
fingerprint).
sshd(8): 認証成功/失敗ログメッセージの形式が少し変わる.
証明書の指紋も含むようになる (以前は 鍵の ID と認証局の
鍵の指紋のみを含んでいた).
Changes since OpenSSH 7.8
=========================
This is primarily a bugfix release.
これは主にバグ修正のリリースだ.
New Features
------------
新機能
* ssh(1), sshd(8): allow most port numbers to be specified using
service names from getservbyname(3) (typically /etc/services).
ssh(1), sshd(8): (典型的に /etc/services に記載される) getservbyname(3
からのサービス名を用いたほとんどのポート番号の指定を許可する.
* ssh(1): allow the IdentityAgent configuration directive to accept
environment variable names. This supports the use of multiple
agent sockets without needing to use fixed paths.
ssh(1): IdentityAgent 設定項目が環境変数名を受け入れる. これにより,
固定したパスの利用を必要とせずに複数のエージェントソケットの
利用をサポートする.
* sshd(8): support signalling sessions via the SSH protocol.
A limited subset of signals is supported and only for login or
command sessions (i.e. not subsystems) that were not subject to
a forced command via authorized_keys or sshd_config. bz#1424
sshd(8): SSH プロトコル経由のセッションでのシグナルをサポートする.
制限されたシグナルのサブセットがサポートされ, ログインセッションか
authorized_keys や sshd_config でコマンドを強制されていないコマンド
セッションでのみ利用できる (すなわちサブシステムでは無効).
* ssh(1): support "ssh -Q sig" to list supported signature options.
Also "ssh -Q help" to show the full set of supported queries.
ssh(1): "ssh -Q sig" でサポートされた署名オプションを列挙する.
また, "ssh -Q help" でサポートされた検索のフルセットを示す.
* ssh(1), sshd(8): add a CASignatureAlgorithms option for the
client and server configs to allow control over which signature
formats are allowed for CAs to sign certificates. For example,
this allows banning CAs that sign certificates using the RSA-SHA1
signature algorithm.
ssh(1), sshd(8): CASignatureAlgorithms 設定項目を追加する.
クライアントとサーバの設定で, 認証局が証明書に署名する
署名の形式を制御できるようになる. 例えば, RSA-SHA1 署名
アルゴリズムを用いて証明書に署名する認証局を禁止できる.
* sshd(8), ssh-keygen(1): allow key revocation lists (KRLs) to
revoke keys specified by SHA256 hash.
sshd(8), ssh-keygen(1): 鍵失効リスト(KRL) で SHA256 ハッシュで
鍵を指定して無効にできる.
* ssh-keygen(1): allow creation of key revocation lists directly
from base64-encoded SHA256 fingerprints. This supports revoking
keys using only the information contained in sshd(8)
authentication log messages.
ssh-keygen(1): base64 エンコードされた SHA256 指紋から直接
鍵失効リストを作成できる. sshd(8) の認証ログメッセージに含まれる
情報だけから鍵を失効できる.
Bugfixes
--------
バグ修正
* ssh(1), ssh-keygen(1): avoid spurious "invalid format" errors when
attempting to load PEM private keys while using an incorrect
passphrase. bz#2901
ssh(1), ssh-keygen(1): 不正なパスフレーズを用いて PEM 秘密鍵を
ロードしようとした際のおかしな "invalid format" エラーを回避する.
* sshd(8): when a channel closed message is received from a client,
close the stderr file descriptor at the same time stdout is
closed. This avoids stuck processes if they were waiting for
stderr to close and were insensitive to stdin/out closing. bz#2863
sshd(8): クライアントからチャンネルを閉じるメッセージを受け取った際に
stdout が閉じるのと同時に stderr ファイルディスクリプタを閉じる.
stderr が閉じられるのを待ち stdin/out が閉じられても感知しない
プロセスが動かなくなるのを避ける. bz#2863
* ssh(1): allow ForwardX11Timeout=0 to disable the untrusted X11
forwarding timeout and support X11 forwarding indefinitely.
Previously the behaviour of ForwardX11Timeout=0 was undefined.
ssh(1): 信用されていない X11 転送のタイムアウトを無効にし 無期限に
X11 転送をサポートする ForwardX11Timeout=0 設定が可能になる.
以前は ForwardX11Timeout=0 の振舞いは未定義だった.
* sshd(8): when compiled with GSSAPI support, cache supported method
OIDs regardless of whether GSSAPI authentication is enabled in the
main section of sshd_config. This avoids sandbox violations if
GSSAPI authentication was later enabled in a Match block. bz#2107
sshd(8): GSSAPI サポートありでコンパイルされた場合, sshd_config の
メイン部分で GSSAPI が有効かどうかに関係なくサポートされた
メソッドの OID をキャッシュする. GSSAPI 認証が後で Match ブロックで
有効になった場合に, サンドボックスの破壊を避ける.
* sshd(8): do not fail closed when configured with a text key
revocation list that contains a too-short key. bz#2897
sshd(8): 非常に短い鍵を含むテキストの鍵失効リストありで設定した
場合に失敗しない. bz#2897
(https://bugzilla.mindrot.org/show_bug.cgi?id=2897 によると 7.6
以降でログインできなくなる模様)
* ssh(1): treat connections with ProxyJump specified the same as
ones with a ProxyCommand set with regards to hostname
canonicalisation (i.e. don't try to canonicalise the hostname
unless CanonicalizeHostname is set to 'always'). bz#2896
ssh(1): ホスト名正規化に関して ProxyJump で指定された接続を
ProxyCommand で設定された接続と同じように扱う (すなわち,
CanonicalizeHostname が 'always' に設定されていなければ
ホスト名の正規化を試みない). bz#2896
* ssh(1): fix regression in OpenSSH 7.8 that could prevent public-
key authentication using certificates hosted in a ssh-agent(1)
or against sshd(8) from OpenSSH <7.8.
ssh(1): OpenSSH 7.8 より前の ssh-agent(1) で保持された
証明書にを用いたもしくは OpenSSH 7.8 より前の sshd(8)に対する
公開鍵認証が妨げられる OpenSSH 7.8 での 退行を修正する.
Portability
-----------
移植性
* All: support building against the openssl-1.1 API. The
openssl-1.0 API will remain supported at least until OpenSSL
terminates security patch support for that API version.
すべて: openssl-1.1 API に対するビルドをサポートする. openssl-1.0
API は 少なくとも 1.0 API へのセキュリティパッチサポートを
OpenSSL が止めるまではサポートされるだろう.
* sshd(8): allow the futex(2) syscall in the Linux seccomp sandbox;
apparently required by some glibc/OpenSSL combinations.
sshd(8): Linux seccomp サンドボックスで futex(2) システムコールを
許可する; いくつかの glibc/OpenSSL の組合せで必要となる模様だ.
* sshd(8): handle getgrouplist(3) returning more than
_SC_NGROUPS_MAX groups. Some platforms consider this limit more
as a guideline.
sshd(8): _SC_NGROUPS_MAX よりも多いグループを返す getgrouplist(3)
を扱う. いくつかのプラットフォームはこの制限をガイドラインとして
考慮している.
OpenSSH 7.8 がリリースされました
2018/08/24, OpenSSH 7.8 がリリースされました.
バグ修正が中心のリリースです.
- OpenSSH 7.8 Release Note 中の OpenSSH 7.8 での変更点の翻訳
- この記事にも添付します.
- OpenSSH 移植版付属文書の翻訳
https://www.openssh.com/txt/release-7.8
Potentially-incompatible changes
================================
潜在的に非互換な変更
This release includes a number of changes that may affect existing
configurations:
このリリースは既存の設定に影響するかもしれないいくつかの変更を含む:
* ssh-keygen(1): write OpenSSH format private keys by default
instead of using OpenSSL's PEM format. The OpenSSH format,
supported in OpenSSH releases since 2014 and described in the
PROTOCOL.key file in the source distribution, offers substantially
better protection against offline password guessing and supports
key comments in private keys. If necessary, it is possible to write
old PEM-style keys by adding "-m PEM" to ssh-keygen's arguments
when generating or updating a key.
ssh-keygen(1): デフォルトでOpenSSL の PEM 形式を使う代わりに
OpenSSH 形式の秘密鍵を書き込む. OpenSSH 形式は,
2014 年以降の OpenSSH のリリースでサポートされており,
ソース配布の PROTOCOL.key ファイルで記述されている.
この形式は, オフラインのパスワード推測に対して実質的に
よりよい保護を提供し, 秘密鍵の中の鍵コメントをサポートしている.
必要があれば, 鍵を生成したり更新する際に ssh-keygen の引数に
"-m PEM" と加えることで古い PEM 形式の鍵を書き込むことが可能だ.
* sshd(8): remove internal support for S/Key multiple factor
authentication. S/Key may still be used via PAM or BSD auth.
sshd(8): S/Key 多要素認証の内部サポートを除く. S/Key は
PAM か BSD認証経由でまだ利用できるだろう.
* ssh(1): remove vestigal support for running ssh(1) as setuid. This
used to be required for hostbased authentication and the (long
gone) rhosts-style authentication, but has not been necessary for
a long time. Attempting to execute ssh as a setuid binary, or with
uid != effective uid will now yield a fatal error at runtime.
ssh(1): ssh(1) を setuid で走らせる痕跡のないサポートを除く.
これは, ホストベース認証や (太古の) rhost 認証で必要とされていた
ものだが, 長い間必要がなくなっている. ssh を setuid バイナリとして
実行しようとしたり, uid と実効 uid が異なる状態で実効しようとすると
今後実行時に致命的エラーを生成するようになる
* sshd(8): the semantics of PubkeyAcceptedKeyTypes and the similar
HostbasedAcceptedKeyTypes options have changed. These now specify
signature algorithms that are accepted for their respective
authentication mechanism, where previously they specified accepted
key types. This distinction matters when using the RSA/SHA2
signature algorithms "rsa-sha2-256", "rsa-sha2-512" and their
certificate counterparts. Configurations that override these
options but omit these algorithm names may cause unexpected
authentication failures (no action is required for configurations
that accept the default for these options).
sshd(8): PubkeyAcceptedKeyTypes と類似の HostbasedAcceptedKeyTypes
設定項目の形式を変更する. これらは, 今後それらそれぞれの
認証メカニズムで受けいれる署名アルゴリズムを指定できる.
以前は受け入れる鍵のタイプを指定していた. RSA/SHA2 の署名アルゴリズム
"rsa-sha2-256" と "rsa-sha2-512" と それらの証明書を用いる場合に
この区別が意味を持つ.
これらの設定項目を上書きするがこれらのアルゴリズム名を除いた
設定は, 予期しない認証の失敗を引き起すかもしれない.
(これらのの設定項目についてデフォルトのままの設定であればなにも
対応の必要はない).
* sshd(8): the precedence of session environment variables has
changed. ~/.ssh/environment and environment="..." options in
authorized_keys files can no longer override SSH_* variables set
implicitly by sshd.
sshd(8): セッション変数の設定の優先順位を変更する. ~/.ssh/environment
と authorized_keys 中の environment="..." オプションは,
ssdh で暗黙的に設定される SSH_* 変数をもはや上書きできない.
* ssh(1)/sshd(8): the default IPQoS used by ssh/sshd has changed.
They will now use DSCP AF21 for interactive traffic and CS1 for
bulk. For a detailed rationale, please see the commit message:
https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/readconf.c#rev1.284
ssh(1)/sshd(8): ssh/sshd で用いられるデフォルトの IPQoS を変更する.
今後 インタラクティブなトラフィックでは DSCP AF21 を用い,
バルクなトラフィックでは CS1 を用いる. 詳細な根拠は,
次のコミットメッセージを参照:
https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/readconf.c#rev1.284
Changes since OpenSSH 7.7
=========================
OpenSSH 7.7 からの変更点
This is primarily a bugfix release.
これは基本的にバグ修正のリリースだ.
New Features
------------
新機能
* ssh(1)/sshd(8): add new signature algorithms "rsa-sha2-256-cert-
v01@openssh.com" and "rsa-sha2-512-cert-v01@openssh.com" to
explicitly force use of RSA/SHA2 signatures in authentication.
ssh(1)/sshd(8): 新しい署名アルゴリズム
"rsa-sha2-256-cert-v01@openssh.com" と
"rsa-sha2-512-cert-v01@openssh.com" を追加する.
これらは 認証での RSA/SHA2 署名を明示的に強制する.
* sshd(8): extend the PermitUserEnvironment option to accept a
whitelist of environment variable names in addition to global
"yes" or "no" settings.
sshd(8): PermitUserEnvironment 設定項目を拡張し,
全体の "yes" か "no" の設定に加えて, 環境変数名のホワイトリスト
を受け入れる.
* sshd(8): add a PermitListen directive to sshd_config(5) and a
corresponding permitlisten= authorized_keys option that control
which listen addresses and port numbers may be used by remote
forwarding (ssh -R ...).
sshd(8): sshd_config(5) に PermitListen 設定項目を追加し,
対応する permitlisten= authorized_keys オプションを追加する.
これらは, リモート転送 (ssh -R ...) で用いられる
アドレスとポート番号を制御する.
* sshd(8): add some countermeasures against timing attacks used for
account validation/enumeration. sshd will enforce a minimum time
or each failed authentication attempt consisting of a global 5ms
minimum plus an additional per-user 0-4ms delay derived from a
host secret.
sshd(8): アカウント検証/列挙に用いられるタイミング攻撃に対する
いくつかの対抗策を追加する. sshd は
全体的な 5ms と
ホストの秘密(鍵?)から導出されるユーザごとの 追加の 0-4ms の
によって構成される時間をすべての失敗した認証試行に強制する.
* sshd(8): add a SetEnv directive to allow an administrator to
explicitly specify environment variables in sshd_config.
Variables set by SetEnv override the default and client-specified
environment.
sshd(8): SetEnv 設定項目で sshd_config 内の環境変数を
管理者が明示的に指定できるようにする. SetEnv で設定された
変数は, デフォルトやクライアントに指定された環境を上書きする.
* ssh(1): add a SetEnv directive to request that the server sets
an environment variable in the session. Similar to the existing
SendEnv option, these variables are set subject to server
configuration.
ssh(1): SetEnv 設定項目に セッション中にサーバが環境変数を設定する要求を
追加する. 既存の SendEnv 設定項目と同様に, これらの変数はサーバの
設定に従って設定される.
* ssh(1): allow "SendEnv -PATTERN" to clear environment variables
previously marked for sending to the server. bz#1285
ssh(1): サーバに送られたと以前マークされた環境変数を
クリアする "SendEnv -PATTERN" を許可する.
* ssh(1)/sshd(8): make UID available as a %-expansion everywhere
that the username is available currently. bz#2870
ssh(1)/sshd(8): ユーザ名が現在利用可能などこでも %-展開として
UID を利用可能にする. bz#2870
* ssh(1): allow setting ProxyJump=none to disable ProxyJump
functionality. bz#2869
ssh(1): ProxyJump を機能的に無効にする ProxyJump=none の設定を
許可する.
Bugfixes
--------
バグ修正
* sshd(8): avoid observable differences in request parsing that could
be used to determine whether a target user is valid.
sshd(8): ターゲットのユーザが有効かどうか判定するのに利用可能だった
リクエストのパースの観測可能な差異を除く
* all: substantial internal refactoring
全体: 相当な内部のリファクタリング
* ssh(1)/sshd(8): fix some memory leaks; bz#2366
ssh(1)/sshd(8): いくつかのメモリリークの修正; bz#2366
* ssh(1): fix a pwent clobber (introduced in openssh-7.7) that could
occur during key loading, manifesting as crash on some platforms.
ssh(1): (openssh-7.7 で導入されてしまった) pwent clobber
(ファイルディスクリプタのcloseし忘れか?) を修正.
この問題は 鍵のロード時に発生し, いくつかのプラットフォームでは
クラッシュする.
* sshd_config(5): clarify documentation for AuthenticationMethods
option; bz#2663
sshd_config(5): AuthenticationMethods 設定項目の記述を明確にする;
bz#2663
* ssh(1): ensure that the public key algorithm sent in a
public key SSH_MSG_USERAUTH_REQUEST matches the content of the
signature blob. Previously, these could be inconsistent when a
legacy or non-OpenSSH ssh-agent returned a RSA/SHA1 signature
when asked to make a RSA/SHA2 signature.
ssh(1): 公開鍵の SSH_MSG_USERAUTH_REQUEST の中で送られる
公開鍵アルゴリズムが, その署名ブロブの内容と一致するかを補償する.
以前, 古いないしOpenSSHでない ssh-agent が RSA/SHA2
署名を作るように求められた場合に RSA/SHA1 署名を返す場合に
これらは一貫していないことがありえた.
* sshd(8): fix failures to read authorized_keys caused by faulty
supplemental group caching. bz#2873
sshd(8): 欠陥のある補足的なグループキャッシングにより authorized_keys
の読み込みの失敗を修正する. bz#2873
* scp(1): apply umask to directories, fixing potential mkdir/chmod
race when copying directory trees bz#2839
scp(1): ディレクトリに umask を適用する. ディレクトリツリーを
コピーする際の潜在的な mkdir/chmod 競合を修正する. bz#2839
* ssh-keygen(1): return correct exit code when searching for and
hashing known_hosts entries in a single operation; bz#2772
ssh-keygen(1): 単一の操作で known_hosts のエントリを
検索しハッシュする際に正しい終了コードを返却する. bz#2772
* ssh(1): prefer the ssh binary pointed to via argv[0] to $PATH when
re-executing ssh for ProxyJump. bz#2831
ssh(1): ProxyJump で ssh を再実行するう際に $PATH よりも
argv[0] が指す ssh バイナリを優先する. bz#2831
* sshd(8): do not ban PTY allocation when a sshd session is
restricted because the user password is expired as it breaks
password change dialog. (regression in openssh-7.7).
sshd(8): sshd のセッションが制限されている場合に PTY 確保を
禁止しない. ユーザのパスワードが期限切れになっている場合に
パスワード変更の対話がうまくいかなくなるから.
(openssh-7.7 で退行していた)
* ssh(1)/sshd(8): fix error reporting from select() failures.
ssh(1)/sshd(8): select() の失敗からのエラーレポートを修正する.
* ssh(1): improve documentation for -w (tunnel) flag, emphasising
that -w implicitly sets Tunnel=point-to-point. bz#2365
ssh(1): -w (tunnel) フラグの文書を改善する. -w は暗黙的に
Tunnel=point-to-point を設定することを強調する. bz#2365
* ssh-agent(1): implement EMFILE mitigation for ssh-agent. ssh-agent
will no longer spin when its file descriptor limit is exceeded.
bz#2576
ssh-agent(1): ssh-agent に EMFILE の緩和を実装する. ssh-agent は
そのファイルディスクリププタ制限を超過した場合に空転しない
ようになる.
* ssh(1)/sshd(8): disable SSH2_MSG_DEBUG messages for Twisted Conch
clients. Twisted Conch versions that lack a version number in
their identification strings will mishandle these messages when
running on Python 2.x (https://twistedmatrix.com/trac/ticket/9422)
ssh(1)/sshd(8): Twisted Conch クライアントのために SSH2_MSG_DEBUG
メッセージを無効にする. Twisted Conch のバージョンは, その
認識文字列にバージョン番号が欠けているので, Python 2.x 上で走らせる
場合に SSH2_MSG_DEBUG メッセージを間違えて扱う
(https://twistedmatrix.com/trac/ticket/9422)
* sftp(1): notify user immediately when underlying ssh process dies
expectedly. bz#2719
sftp(1): 基底の ssh プロセスが予想通り死んだ場合にユーザにすぐに
通知する.
* ssh(1)/sshd(8): fix tunnel forwarding; regression in 7.7 release.
bz#2855
ssh(1)/sshd(8): トンネル転送を修正する. 7.7 リリースで退行してた.
bz#2855
* ssh-agent(1): don't kill ssh-agent's listening socket entirely if
it fails to accept(2) a connection. bz#2837
ssh-agent(1): accept(2) で接続を失敗した場合に ssh-agent が
listen するソケットを完全には kill しない. bz#2837
* sshd(8): relax checking of authorized_keys environment="..."
options to allow underscores in variable names (regression
introduced in 7.7). bz#2851
sshd(8): authorized_keys の environment="..." オプションのチェックを
緩和し, 変数名に アンダースコアを許す (7.7 で導入された退行).
bz#2851
* ssh(1): add some missing options in the configuration dump output
(ssh -G). bz#2835
ssh(1): 設定ダンプ出力(ssh -G)で抜けていたいくつかの設定項目を追加する.
Portability
-----------
移植性
* sshd(8): Expose details of completed authentication to PAM auth
modules via SSH_AUTH_INFO_0 in the PAM environment. bz#2408
sshd(8): PAM 環境の SSH_AUTH_INFO_0 によって
完全な認証の詳細を PAM 認証モジュールに露出する.
* Fix compilation problems caused by fights between zlib and OpenSSL
colliding uses of "free_func"
zlib と OpenSSL 間の "free_func" の利用の衝突の戦いによる
コンパイルの問題を修正する.
* Improve detection of unsupported compiler options. Recently these
may have manifested as "unsupported -Wl,-z,retpoline" warnings
during linking.
サポートされていないコンパイラのオプションの検出を改善する.
最近 サポートされていないオプションがリンク中に
"unsupported -Wl,-z,retpoline" の警告として明らかになっている
場合があった.
* sshd(8): some sandbox support for Linux/s390 bz#2752.
sshd(8): Linux/s390 に対するいくつかのサンドボックスのサポート.
bz#2752
* regress tests: unbreak key-options.sh test on platforms without
openpty(3). bz#2856
回帰テスト: openpty(3) がないプラットフォームで key-options.sh
テストが壊れないようにする.
* use getrandom(2) for PRNG seeding when built without OpenSSL.
OpenSSL がない環境でビルドされた場合に PRNG のシードに
getrandom(2) を利用する.
OpenSSH 7.8 リリース準備中 / Call for testing: OpenSSH 7.8
OpenSSH 7.8 がリリース準備中です.
主にバグ修正のリリースです.
https://lists.mindrot.org/pipermail/openssh-unix-dev/2018-August/037046.html
Potentially-incompatible changes
================================
潜在的に非互換な変更
This release includes a number of changes that may affect existing
configurations:
このリリースは既存の設定に影響するかもしれないいくつかの変更を含む:
* ssh-keygen(1): write OpenSSH format private keys by default
instead of using OpenSSL's PEM format. The OpenSSH format,
supported in OpenSSH releases since 2014 and described in the
PROTOCOL.key file in the source distribution, offers substantially
better protection against offline password guessing and supports
key comments in private keys. If necessary, it is possible to write
old PEM-style keys by adding "-m PEM" to ssh-keygen's arguments
when generating or updating a key.
ssh-keygen(1): デフォルトでOpenSSL の PEM 形式を使う代わりに
OpenSSH 形式の秘密鍵を書き込む. OpenSSH 形式は,
2014 年以降の OpenSSH のリリースでサポートされており,
ソース配布の PROTOCOL.key ファイルで記述されている.
この形式は, オフラインのパスワード推測に対して実質的に
よりよい保護を提供し, 秘密鍵の中の鍵コメントをサポートしている.
必要があれば, 鍵を生成したり更新する際に ssh-keygen の引数に
"-m PEM" と加えることで古い PEM 形式の鍵を書き込むことが可能だ.
* sshd(8): remove internal support for S/Key multiple factor
authentication. S/Key may still be used via PAM or BSD auth.
sshd(8): S/Key 多要素認証の内部サポートを除く. S/Key は
PAM か BSD認証経由でまだ利用できるだろう.
* ssh(1): remove vestigal support for running ssh(1) as setuid. This
used to be required for hostbased authentication and the (long
gone) rhosts-style authentication, but has not been necessary for
a long time. Attempting to execute ssh as a setuid binary, or with
uid != effective uid will now yield a fatal error at runtime.
ssh(1): ssh(1) を setuid で走らせる痕跡のないサポートを除く.
これは, ホストベース認証や (太古の) rhost 認証で必要とされていた
ものだが, 長い間必要がなくなっている. ssh を setuid バイナリとして
実行しようとしたり, uid と実効 uid が異なる状態で実効しようとすると
今後実行時に致命的エラーを生成するようになる
* sshd(8): the semantics of PubkeyAcceptedKeyTypes and the similar
HostbasedAcceptedKeyTypes options have changed. These now specify
signature algorithms that are accepted for their respective
authentication mechanism, where previously they specified accepted
key types. This distinction matters when using the RSA/SHA2
signature algorithms "rsa-sha2-256", "rsa-sha2-512" and their
certificate counterparts. Configurations that override these
options but omit these algorithm names may cause unexpected
authentication failures (no action is required for configurations
that accept the default for these options).
sshd(8): PubkeyAcceptedKeyTypes と類似の HostbasedAcceptedKeyTypes
設定項目の形式を変更する. これらは, 今後それらそれぞれの
認証メカニズムで受けいれる署名アルゴリズムを指定できる.
以前は受け入れる鍵のタイプを指定していた. RSA/SHA2 の署名アルゴリズム
"rsa-sha2-256" と "rsa-sha2-512" と それらの証明書を用いる場合に
この区別が意味を持つ.
これらの設定項目を上書きするがこれらのアルゴリズム名を除いた
設定は, 予期しない認証の失敗を引き起すかもしれない.
(これらのの設定項目についてデフォルトのままの設定であればなにも
対応の必要はない).
* sshd(8): the precedence of session environment variables has
changed. ~/.ssh/environment and environment="..." options in
authorized_keys files can no longer override SSH_* variables set
implicitly by sshd.
sshd(8): セッション変数の設定の優先順位を変更する. ~/.ssh/environment
と authorized_keys 中の environment="..." オプションは,
ssdh で暗黙的に設定される SSH_* 変数をもはや上書きできない.
* ssh(1)/sshd(8): the default IPQoS used by ssh/sshd has changed.
They will now use DSCP AF21 for interactive traffic and CS1 for
bulk. For a detailed rationale, please see the commit message:
https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/readconf.c#rev1.284
ssh(1)/sshd(8): ssh/sshd で用いられるデフォルトの IPQoS を変更する.
今後 インタラクティブなトラフィックでは DSCP AF21 を用い,
バルクなトラフィックでは CS1 を用いる. 詳細な根拠は,
次のコミットメッセージを参照:
https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/readconf.c#rev1.284
Changes since OpenSSH 7.7
=========================
OpenSSH 7.7 からの変更点
This is primarily a bugfix release.
これは基本的にバグ修正のリリースだ.
New Features
------------
新機能
* ssh(1)/sshd(8): add new signature algorithms "rsa-sha2-256-cert-
v01@openssh.com" and "rsa-sha2-512-cert-v01@openssh.com" to
explicitly force use of RSA/SHA2 signatures in authentication.
ssh(1)/sshd(8): 新しい署名アルゴリズム
"rsa-sha2-256-cert-v01@openssh.com" と
"rsa-sha2-512-cert-v01@openssh.com" を追加する.
これらは 認証での RSA/SHA2 署名を明示的に強制する.
* sshd(8): extend the PermitUserEnvironment option to accept a
whitelist of environment variable names in addition to global
"yes" or "no" settings.
sshd(8): PermitUserEnvironment 設定項目を拡張し,
全体の "yes" か "no" の設定に加えて, 環境変数名のホワイトリスト
を受け入れる.
* sshd(8): add a PermitListen directive to sshd_config(5) and a
corresponding permitlisten= authorized_keys option that control
which listen addresses and port numbers may be used by remote
forwarding (ssh -R ...).
sshd(8): sshd_config(5) に PermitListen 設定項目を追加し,
対応する permitlisten= authorized_keys オプションを追加する.
これらは, リモート転送 (ssh -R ...) で用いられる
アドレスとポート番号を制御する.
* sshd(8): add some countermeasures against timing attacks used for
account validation/enumeration. sshd will enforce a minimum time
or each failed authentication attempt consisting of a global 5ms
minimum plus an additional per-user 0-4ms delay derived from a
host secret.
sshd(8): アカウント検証/列挙に用いられるタイミング攻撃に対する
いくつかの対抗策を追加する. sshd は
全体的な 5ms と
ホストの秘密(鍵?)から導出されるユーザごとの 追加の 0-4ms の
によって構成される時間をすべての失敗した認証試行に強制する.
* sshd(8): add a SetEnv directive to allow an administrator to
explicitly specify environment variables in sshd_config.
Variables set by SetEnv override the default and client-specified
environment.
sshd(8): SetEnv 設定項目で sshd_config 内の環境変数を
管理者が明示的に指定できるようにする. SetEnv で設定された
変数は, デフォルトやクライアントに指定された環境を上書きする.
* ssh(1): add a SetEnv directive to request that the server sets
an environment variable in the session. Similar to the existing
SendEnv option, these variables are set subject to server
configuration.
ssh(1): SetEnv 設定項目に セッション中にサーバが環境変数を設定する要求を
追加する. 既存の SendEnv 設定項目と同様に, これらの変数はサーバの
設定に従って設定される.
* ssh(1): allow "SendEnv -PATTERN" to clear environment variables
previously marked for sending to the server. bz#1285
ssh(1): サーバに送られたと以前マークされた環境変数を
クリアする "SendEnv -PATTERN" を許可する.
* ssh(1)/sshd(8): make UID available as a %-expansion everywhere
that the username is available currently. bz#2870
ssh(1)/sshd(8): ユーザ名が現在利用可能などこでも %-展開として
UID を利用可能にする. bz#2870
* ssh(1): allow setting ProxyJump=none to disable ProxyJump
functionality. bz#2869
ssh(1): ProxyJump を機能的に無効にする ProxyJump=none の設定を
許可する.
Bugfixes
--------
バグ修正
* all: substantial internal refactoring
全体: 相当な内部のリファクタリング
* sshd(8): avoid observable differences in request parsing that could
be used to determine whether a target user is valid.
sshd(8): ターゲットのユーザが有効かどうか判定するのに利用可能だった
リクエストのパースの観測可能な差異を除く
* ssh(1)/sshd(8): fix some memory leaks; bz#2366
ssh(1)/sshd(8): いくつかのメモリリークの修正; bz#2366
* ssh(1): fix a pwent clobber (introduced in openssh-7.7) that could
occur during key loading, manifesting as crash on some platforms.
ssh(1): (openssh-7.7 で導入されてしまった) pwent clobber
(ファイルディスクリプタのcloseし忘れか?) を修正.
この問題は 鍵のロード時に発生し, いくつかのプラットフォームでは
クラッシュする.
* sshd_config(5): clarify documentation for AuthenticationMethods
option; bz#2663
sshd_config(5): AuthenticationMethods 設定項目の記述を明確にする;
bz#2663
* ssh(1): ensure that the public key algorithm sent in a
public key SSH_MSG_USERAUTH_REQUEST matches the content of the
signature blob. Previously, these could be inconsistent when a
legacy or non-OpenSSH ssh-agent returned a RSA/SHA1 signature
when asked to make a RSA/SHA2 signature.
ssh(1): 公開鍵の SSH_MSG_USERAUTH_REQUEST の中で送られる
公開鍵アルゴリズムが, その署名ブロブの内容と一致するかを補償する.
以前, 古いないしOpenSSHでない ssh-agent が RSA/SHA2
署名を作るように求められた場合に RSA/SHA1 署名を返す場合に
これらは一貫していないことがありえた.
* sshd(8): fix failures to read authorized_keys caused by faulty
supplemental group caching. bz#2873
sshd(8): 欠陥のある補足的なグループキャッシングにより authorized_keys
の読み込みの失敗を修正する. bz#2873
* scp(1): apply umask to directories, fixing potential mkdir/chmod
race when copying directory trees bz#2839
scp(1): ディレクトリに umask を適用する. ディレクトリツリーを
コピーする際の潜在的な mkdir/chmod 競合を修正する. bz#2839
* ssh-keygen(1): return correct exit code when searching for and
hashing known_hosts entries in a single operation; bz#2772
ssh-keygen(1): 単一の操作で known_hosts のエントリを
検索しハッシュする際に正しい終了コードを返却する. bz#2772
* ssh(1): prefer the ssh binary pointed to via argv[0] to $PATH when
re-executing ssh for ProxyJump. bz#2831
ssh(1): ProxyJump で ssh を再実行するう際に $PATH よりも
argv[0] が指す ssh バイナリを優先する. bz#2831
* sshd(8): do not ban PTY allocation when a sshd session is
restricted because the user password is expired as it breaks
password change dialog. (regression in openssh-7.7).
sshd(8): sshd のセッションが制限されている場合に PTY 確保を
禁止しない. ユーザのパスワードが期限切れになっている場合に
パスワード変更の対話がうまくいかなくなるから.
(openssh-7.7 で退行していた)
* ssh(1)/sshd(8): fix error reporting from select() failures.
ssh(1)/sshd(8): select() の失敗からのエラーレポートを修正する.
* ssh(1): improve documentation for -w (tunnel) flag, emphasising
that -w implicitly sets Tunnel=point-to-point. bz#2365
ssh(1): -w (tunnel) フラグの文書を改善する. -w は暗黙的に
Tunnel=point-to-point を設定することを強調する. bz#2365
* ssh-agent(1): implement EMFILE mitigation for ssh-agent. ssh-agent
will no longer spin when its file descriptor limit is exceeded.
bz#2576
ssh-agent(1): ssh-agent に EMFILE の緩和を実装する. ssh-agent は
そのファイルディスクリププタ制限を超過した場合に空転しない
ようになる.
* ssh(1)/sshd(8): disable SSH2_MSG_DEBUG messages for Twisted Conch
clients. Twisted Conch versions that lack a version number in
their identification strings will mishandle these messages when
running on Python 2.x (https://twistedmatrix.com/trac/ticket/9422)
ssh(1)/sshd(8): Twisted Conch クライアントのために SSH2_MSG_DEBUG
メッセージを無効にする. Twisted Conch のバージョンは, その
認識文字列にバージョン番号が欠けているので, Python 2.x 上で走らせる
場合に SSH2_MSG_DEBUG メッセージを間違えて扱う
(https://twistedmatrix.com/trac/ticket/9422)
* sftp(1): notify user immediately when underlying ssh process dies
expectedly. bz#2719
sftp(1): 基底の ssh プロセスが予想通り死んだ場合にユーザにすぐに
通知する.
* ssh(1)/sshd(8): fix tunnel forwarding; regression in 7.7 release.
bz#2855
ssh(1)/sshd(8): トンネル転送を修正する. 7.7 リリースで退行してた.
bz#2855
* ssh-agent(1): don't kill ssh-agent's listening socket entirely if
it fails to accept(2) a connection. bz#2837
ssh-agent(1): accept(2) で接続を失敗した場合に ssh-agent が
listen するソケットを完全には kill しない. bz#2837
* sshd(8): relax checking of authorized_keys environment="..."
options to allow underscores in variable names (regression
introduced in 7.7). bz#2851
sshd(8): authorized_keys の environment="..." オプションのチェックを
緩和し, 変数名に アンダースコアを許す (7.7 で導入された退行).
bz#2851
* ssh(1): add some missing options in the configuration dump output
(ssh -G). bz#2835
ssh(1): 設定ダンプ出力(ssh -G)で抜けていたいくつかの設定項目を追加する.
Portability
-----------
移植性
* sshd(8): Expose details of completed authentication to PAM auth
modules via SSH_AUTH_INFO_0 in the PAM environment. bz#2408
sshd(8): PAM 環境の SSH_AUTH_INFO_0 によって
完全な認証の詳細を PAM 認証モジュールに露出する.
* Fix compilation problems caused by fights between zlib and OpenSSL
colliding uses of "free_func"
zlib と OpenSSL 間の "free_func" の利用の衝突の戦いによる
コンパイルの問題を修正する.
* Improve detection of unsupported compiler options. Recently these
may have manifested as "unsupported -Wl,-z,retpoline" warnings
during linking.
サポートされていないコンパイラのオプションの検出を改善する.
最近 サポートされていないオプションがリンク中に
"unsupported -Wl,-z,retpoline" の警告として明らかになっている
場合があった.
* sshd(8): some sandbox support for Linux/s390 bz#2752.
sshd(8): Linux/s390 に対するいくつかのサンドボックスのサポート.
bz#2752
* regress tests: unbreak key-options.sh test on platforms without
openpty(3). bz#2856
回帰テスト: openpty(3) がないプラットフォームで key-options.sh
テストが壊れないようにする.
* use getrandom(2) for PRNG seeding when built without OpenSSL.
OpenSSL がない環境でビルドされた場合に PRNG のシードに
getrandom(2) を利用する.
Wantedly を採用に利用している企業のサービスにお金を使うのはなるべく止めよう
Wantedly が DMCA を悪用してから10か月ほど経ちました
参考: DMCA悪用はなぜ問題なのか - ウォンテッドリー社の悪評隠蔽事例 - web > SEO
私の知る限り, Wantedly はこの件について弁明なりなんなりしていません.
読んだ本
シャンタラム
読んでいる最中は楽しかった. 後にはあまり残らない.
男が痴漢になる理由
グラフの書き方がダメなところがあった. 内容はもっともっぽい
1000の小説とバックベアード
いまいち
雪の練習生
死の接吻はすごくいい
異次元の館の殺人
いまいち
読んだ本
虚構内存在
筒井康隆における虚構内存在についての本. なかなかおもしろかった
文化大革命と現代中国
文化大革命 なかなかよくわからない
殺劫(シャーチエ)
チベットにおける文化大革命についての本. 写真が多く興味深い