OpenSSH 7.8 リリース準備中 / Call for testing: OpenSSH 7.8

10 Aug, 2018 - 7 minutes

OpenSSH 7.8 がリリース準備中です.

Call for testing: OpenSSH 7.8

主にバグ修正のリリースです.

https://lists.mindrot.org/pipermail/openssh-unix-dev/2018-August/037046.html

Potentially-incompatible changes
================================

潜在的に非互換な変更

This release includes a number of changes that may affect existing
configurations:

このリリースは既存の設定に影響するかもしれないいくつかの変更を含む:

 * ssh-keygen(1): write OpenSSH format private keys by default
   instead of using OpenSSL's PEM format. The OpenSSH format,
   supported in OpenSSH releases since 2014 and described in the
   PROTOCOL.key file in the source distribution, offers substantially
   better protection against offline password guessing and supports
   key comments in private keys. If necessary, it is possible to write
   old PEM-style keys by adding "-m PEM" to ssh-keygen's arguments
   when generating or updating a key.

   ssh-keygen(1): デフォルトでOpenSSL の PEM 形式を使う代わりに
   OpenSSH 形式の秘密鍵を書き込む. OpenSSH 形式は,
   2014 年以降の OpenSSH のリリースでサポートされており,
   ソース配布の PROTOCOL.key ファイルで記述されている.
   この形式は, オフラインのパスワード推測に対して実質的に
   よりよい保護を提供し, 秘密鍵の中の鍵コメントをサポートしている.
   必要があれば,  鍵を生成したり更新する際に ssh-keygen の引数に
   "-m PEM" と加えることで古い PEM 形式の鍵を書き込むことが可能だ.

 * sshd(8): remove internal support for S/Key multiple factor
   authentication. S/Key may still be used via PAM or BSD auth.

   sshd(8): S/Key 多要素認証の内部サポートを除く. S/Key は
   PAM か BSD認証経由でまだ利用できるだろう.

 * ssh(1): remove vestigal support for running ssh(1) as setuid. This
   used to be required for hostbased authentication and the (long
   gone) rhosts-style authentication, but has not been necessary for
   a long time. Attempting to execute ssh as a setuid binary, or with
   uid != effective uid will now yield a fatal error at runtime.

   ssh(1): ssh(1) を setuid で走らせる痕跡のないサポートを除く.
   これは, ホストベース認証や (太古の) rhost 認証で必要とされていた
   ものだが, 長い間必要がなくなっている. ssh を setuid バイナリとして
   実行しようとしたり, uid と実効 uid が異なる状態で実効しようとすると
   今後実行時に致命的エラーを生成するようになる

 * sshd(8): the semantics of PubkeyAcceptedKeyTypes and the similar
   HostbasedAcceptedKeyTypes options have changed. These now specify
   signature algorithms that are accepted for their respective
   authentication mechanism, where previously they specified accepted
   key types. This distinction matters when using the RSA/SHA2
   signature algorithms "rsa-sha2-256", "rsa-sha2-512" and their
   certificate counterparts. Configurations that override these
   options but omit these algorithm names may cause unexpected
   authentication failures (no action is required for configurations
   that accept the default for these options).

   sshd(8): PubkeyAcceptedKeyTypes と類似の HostbasedAcceptedKeyTypes
   設定項目の形式を変更する. これらは, 今後それらそれぞれの
   認証メカニズムで受けいれる署名アルゴリズムを指定できる.
   以前は受け入れる鍵のタイプを指定していた. RSA/SHA2 の署名アルゴリズム
   "rsa-sha2-256" と "rsa-sha2-512" と それらの証明書を用いる場合に
   この区別が意味を持つ.
   これらの設定項目を上書きするがこれらのアルゴリズム名を除いた
   設定は, 予期しない認証の失敗を引き起すかもしれない.
   (これらのの設定項目についてデフォルトのままの設定であればなにも
   対応の必要はない).

 * sshd(8): the precedence of session environment variables has
   changed. ~/.ssh/environment and environment="..." options in
   authorized_keys files can no longer override SSH_* variables set
   implicitly by sshd.

   sshd(8): セッション変数の設定の優先順位を変更する. ~/.ssh/environment
   と authorized_keys 中の environment="..." オプションは,
   ssdh で暗黙的に設定される SSH_* 変数をもはや上書きできない.

 * ssh(1)/sshd(8): the default IPQoS used by ssh/sshd has changed.
   They will now use DSCP AF21 for interactive traffic and CS1 for
   bulk.  For a detailed rationale, please see the commit message:
   https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/readconf.c#rev1.284

   ssh(1)/sshd(8): ssh/sshd で用いられるデフォルトの IPQoS を変更する.
   今後 インタラクティブなトラフィックでは DSCP AF21 を用い,
   バルクなトラフィックでは CS1 を用いる. 詳細な根拠は,
   次のコミットメッセージを参照:
   https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/readconf.c#rev1.284

Changes since OpenSSH 7.7
=========================

OpenSSH 7.7 からの変更点

This is primarily a bugfix release.

これは基本的にバグ修正のリリースだ.

New Features
------------

新機能

 * ssh(1)/sshd(8): add new signature algorithms "rsa-sha2-256-cert-
   v01@openssh.com" and "rsa-sha2-512-cert-v01@openssh.com" to
   explicitly force use of RSA/SHA2 signatures in authentication.

   ssh(1)/sshd(8): 新しい署名アルゴリズム
   "rsa-sha2-256-cert-v01@openssh.com" と
   "rsa-sha2-512-cert-v01@openssh.com" を追加する.
   これらは 認証での RSA/SHA2 署名を明示的に強制する.

 * sshd(8): extend the PermitUserEnvironment option to accept a
   whitelist of environment variable names in addition to global
   "yes" or "no" settings.

   sshd(8): PermitUserEnvironment 設定項目を拡張し,
   全体の "yes" か "no" の設定に加えて, 環境変数名のホワイトリスト
   を受け入れる.

 * sshd(8): add a PermitListen directive to sshd_config(5) and a
   corresponding permitlisten= authorized_keys option that control
   which listen addresses and port numbers may be used by remote
   forwarding (ssh -R ...).

   sshd(8): sshd_config(5) に PermitListen 設定項目を追加し,
   対応する permitlisten= authorized_keys オプションを追加する.
   これらは, リモート転送 (ssh -R ...) で用いられる
   アドレスとポート番号を制御する.

 * sshd(8): add some countermeasures against timing attacks used for
   account validation/enumeration. sshd will enforce a minimum time
   or each failed authentication attempt consisting of a global 5ms
   minimum plus an additional per-user 0-4ms delay derived from a
   host secret.

   sshd(8): アカウント検証/列挙に用いられるタイミング攻撃に対する
   いくつかの対抗策を追加する. sshd は 
   全体的な 5ms と
   ホストの秘密(鍵?)から導出されるユーザごとの 追加の 0-4ms の
   によって構成される時間をすべての失敗した認証試行に強制する.

 * sshd(8): add a SetEnv directive to allow an administrator to
   explicitly specify environment variables in sshd_config.
   Variables set by SetEnv override the default and client-specified
   environment.

   sshd(8): SetEnv 設定項目で sshd_config 内の環境変数を
   管理者が明示的に指定できるようにする. SetEnv で設定された
   変数は, デフォルトやクライアントに指定された環境を上書きする.

 * ssh(1): add a SetEnv directive to request that the server sets
   an environment variable in the session. Similar to the existing
   SendEnv option, these variables are set subject to server
   configuration.

   ssh(1): SetEnv 設定項目に セッション中にサーバが環境変数を設定する要求を
   追加する. 既存の SendEnv 設定項目と同様に, これらの変数はサーバの
   設定に従って設定される.

 * ssh(1): allow "SendEnv -PATTERN" to clear environment variables
   previously marked for sending to the server. bz#1285

   ssh(1): サーバに送られたと以前マークされた環境変数を
   クリアする "SendEnv -PATTERN" を許可する.

 * ssh(1)/sshd(8): make UID available as a %-expansion everywhere
   that the username is available currently. bz#2870

   ssh(1)/sshd(8): ユーザ名が現在利用可能などこでも %-展開として
   UID を利用可能にする. bz#2870

 * ssh(1): allow setting ProxyJump=none to disable ProxyJump
   functionality. bz#2869

   ssh(1): ProxyJump を機能的に無効にする ProxyJump=none の設定を
   許可する.

Bugfixes
--------

バグ修正

 * all: substantial internal refactoring

   全体: 相当な内部のリファクタリング

 * sshd(8): avoid observable differences in request parsing that could
   be used to determine whether a target user is valid.

   sshd(8): ターゲットのユーザが有効かどうか判定するのに利用可能だった
   リクエストのパースの観測可能な差異を除く

 * ssh(1)/sshd(8): fix some memory leaks; bz#2366

   ssh(1)/sshd(8): いくつかのメモリリークの修正; bz#2366

 * ssh(1): fix a pwent clobber (introduced in openssh-7.7) that could
   occur during key loading, manifesting as crash on some platforms.

   ssh(1): (openssh-7.7 で導入されてしまった) pwent clobber 
   (ファイルディスクリプタのcloseし忘れか?) を修正.
   この問題は 鍵のロード時に発生し, いくつかのプラットフォームでは
   クラッシュする.

 * sshd_config(5): clarify documentation for AuthenticationMethods
   option; bz#2663

   sshd_config(5): AuthenticationMethods 設定項目の記述を明確にする;
   bz#2663

 * ssh(1): ensure that the public key algorithm sent in a
   public key SSH_MSG_USERAUTH_REQUEST matches the content of the
   signature blob. Previously, these could be inconsistent when a
   legacy or non-OpenSSH ssh-agent returned a RSA/SHA1 signature
   when asked to make a RSA/SHA2 signature.

   ssh(1): 公開鍵の SSH_MSG_USERAUTH_REQUEST の中で送られる
   公開鍵アルゴリズムが, その署名ブロブの内容と一致するかを補償する.
   以前, 古いないしOpenSSHでない ssh-agent が RSA/SHA2
   署名を作るように求められた場合に RSA/SHA1 署名を返す場合に
   これらは一貫していないことがありえた.

 * sshd(8): fix failures to read authorized_keys caused by faulty
   supplemental group caching. bz#2873

   sshd(8): 欠陥のある補足的なグループキャッシングにより authorized_keys
   の読み込みの失敗を修正する. bz#2873

 * scp(1): apply umask to directories, fixing potential mkdir/chmod
   race when copying directory trees bz#2839

   scp(1): ディレクトリに umask を適用する. ディレクトリツリーを
   コピーする際の潜在的な mkdir/chmod 競合を修正する. bz#2839

 * ssh-keygen(1): return correct exit code when searching for and
   hashing known_hosts entries in a single operation; bz#2772

   ssh-keygen(1): 単一の操作で known_hosts のエントリを
   検索しハッシュする際に正しい終了コードを返却する. bz#2772

 * ssh(1): prefer the ssh binary pointed to via argv[0] to $PATH when
   re-executing ssh for ProxyJump. bz#2831

   ssh(1): ProxyJump で ssh を再実行するう際に $PATH よりも
   argv[0] が指す ssh バイナリを優先する. bz#2831

 * sshd(8): do not ban PTY allocation when a sshd session is
   restricted because the user password is expired as it breaks
   password change dialog. (regression in openssh-7.7).

   sshd(8): sshd のセッションが制限されている場合に PTY 確保を
   禁止しない. ユーザのパスワードが期限切れになっている場合に
   パスワード変更の対話がうまくいかなくなるから.
   (openssh-7.7 で退行していた)

 * ssh(1)/sshd(8): fix error reporting from select() failures.

   ssh(1)/sshd(8): select() の失敗からのエラーレポートを修正する.

 * ssh(1): improve documentation for -w (tunnel) flag, emphasising
   that -w implicitly sets Tunnel=point-to-point. bz#2365

   ssh(1): -w (tunnel) フラグの文書を改善する. -w は暗黙的に
   Tunnel=point-to-point を設定することを強調する. bz#2365

 * ssh-agent(1): implement EMFILE mitigation for ssh-agent. ssh-agent
   will no longer spin when its file descriptor limit is exceeded.
   bz#2576

   ssh-agent(1): ssh-agent に EMFILE の緩和を実装する. ssh-agent は
   そのファイルディスクリププタ制限を超過した場合に空転しない
   ようになる.

 * ssh(1)/sshd(8): disable SSH2_MSG_DEBUG messages for Twisted Conch
   clients. Twisted Conch versions that lack a version number in
   their identification strings will mishandle these messages when
   running on Python 2.x (https://twistedmatrix.com/trac/ticket/9422)

   ssh(1)/sshd(8): Twisted Conch クライアントのために SSH2_MSG_DEBUG 
   メッセージを無効にする. Twisted Conch のバージョンは, その
   認識文字列にバージョン番号が欠けているので, Python 2.x 上で走らせる
   場合に SSH2_MSG_DEBUG メッセージを間違えて扱う
   (https://twistedmatrix.com/trac/ticket/9422)

 * sftp(1): notify user immediately when underlying ssh process dies
   expectedly. bz#2719

   sftp(1): 基底の ssh プロセスが予想通り死んだ場合にユーザにすぐに
   通知する.

 * ssh(1)/sshd(8): fix tunnel forwarding; regression in 7.7 release.
   bz#2855

   ssh(1)/sshd(8): トンネル転送を修正する. 7.7 リリースで退行してた.
   bz#2855

 * ssh-agent(1): don't kill ssh-agent's listening socket entirely if
   it fails to accept(2) a connection. bz#2837

   ssh-agent(1): accept(2) で接続を失敗した場合に ssh-agent が
   listen するソケットを完全には kill しない. bz#2837

 * sshd(8): relax checking of authorized_keys environment="..."
   options to allow underscores in variable names (regression
   introduced in 7.7). bz#2851

   sshd(8): authorized_keys の environment="..." オプションのチェックを
   緩和し, 変数名に アンダースコアを許す (7.7 で導入された退行).
   bz#2851

 * ssh(1): add some missing options in the configuration dump output
   (ssh -G). bz#2835

   ssh(1): 設定ダンプ出力(ssh -G)で抜けていたいくつかの設定項目を追加する.

Portability
-----------

移植性

 * sshd(8): Expose details of completed authentication to PAM auth
   modules via SSH_AUTH_INFO_0 in the PAM environment. bz#2408

   sshd(8): PAM 環境の SSH_AUTH_INFO_0 によって
   完全な認証の詳細を PAM 認証モジュールに露出する.

 * Fix compilation problems caused by fights between zlib and OpenSSL
   colliding uses of "free_func"

   zlib と OpenSSL 間の "free_func" の利用の衝突の戦いによる
   コンパイルの問題を修正する.

 * Improve detection of unsupported compiler options. Recently these
   may have manifested as "unsupported -Wl,-z,retpoline" warnings
   during linking.

   サポートされていないコンパイラのオプションの検出を改善する.
   最近 サポートされていないオプションがリンク中に
   "unsupported -Wl,-z,retpoline" の警告として明らかになっている
   場合があった.

 * sshd(8): some sandbox support for Linux/s390 bz#2752.

   sshd(8): Linux/s390 に対するいくつかのサンドボックスのサポート.
   bz#2752

 * regress tests: unbreak key-options.sh test on platforms without
   openpty(3). bz#2856

   回帰テスト: openpty(3) がないプラットフォームで key-options.sh 
   テストが壊れないようにする.

 * use getrandom(2) for PRNG seeding when built without OpenSSL.
   
   OpenSSL がない環境でビルドされた場合に PRNG のシードに
   getrandom(2) を利用する.

読んだ本

9 Jun, 2018 - 2 minutes

シャンタラム

読んでいる最中は楽しかった. 後にはあまり残らない.

男が痴漢になる理由

グラフの書き方がダメなところがあった. 内容はもっともっぽい

1000の小説とバックベアード

いまいち

雪の練習生

死の接吻はすごくいい

異次元の館の殺人

いまいち

読んだ本

29 May, 2018 - 1 minutes

虚構内存在

筒井康隆における虚構内存在についての本. なかなかおもしろかった

文化大革命と現代中国

文化大革命 なかなかよくわからない

殺劫(シャーチエ)

チベットにおける文化大革命についての本. 写真が多く興味深い

読んだ本

15 May, 2018 - 1 minutes

サッカーを100倍楽しむための審判入門

当時の日本サッカー協会審判委員長の本. ちょっと身贔屓があるが, 参考になる.

贖罪の奏鳴曲

楽しめた.

昭和史講義 1/2/3

まだまだ研究が進んでいっている. 敗戦時に書類を焼いてなければもっと楽だったのではないかと思うが

読んだ本

30 Apr, 2018 - 1 minutes

谷中村滅亡史

荒畑寒村のデビュー作. 激烈な文章だ.

大杉栄—日本で最も自由だった男

まあまあ.

飾らず、偽らず、欺かず――管野須賀子と伊藤野枝

なかなか面白かった.

世界最高のスリープコーチが教える究極の睡眠術 / 昼間のパフォーマンスを最大にする正しい眠り方

年と共に眠りの質が悪くなっている感じがあるので睡眠の本を読んでみた. リモートワークのために1日部屋から出ない日もあったので, なるべく日のあるうちに外出するようにしよう. 内容は前者のほうがよかった.

読んだ本

19 Apr, 2018 - 1 minutes

悪霊の群

山田 風太郎 と 高木 彬光の合作. 出来はよくない.

寒村自伝

いままでちゃんと読んでなかったのがもったいなかった

アーロン収容所

公民権運動などを経て意識はどう変わったのか

悪と異端者

筒井康隆のエッセイ. まだそこまで駄目になってない.

OpenSSH 7.7 がリリースされました

3 Apr, 2018 - 7 minutes

2018/04/03, OpenSSH 7.7 がリリースされました.

バグ修正が中心のリリースです.

# https://www.openssh.com/txt/release-7.7

Potentially-incompatible changes
================================

潜在的に非互換な変更

This release includes a number of changes that may affect existing
configurations:

このリリースは既存の設定に影響するかもしれない変更を若干含んでいる.

 * ssh(1)/sshd(8): Drop compatibility support for some very old SSH
   implementations, including ssh.com <=2.* and OpenSSH <= 3.*. These
   versions were all released in or before 2001 and predate the final
   SSH RFCs. The support in question isn't necessary for RFC-compliant
   SSH implementations.


   ssh(1)/sshd(8): いくつかの非常に古い SSH 実装に対する互換性サポートを
   落す. ssh.com <=2.* や OpenSSH <= .3* を含む.
   これらのバージョンすべて, 2001年以前にリリースされており 最終の
   SSH RFC よりも前のものだ. これらのサポートは, RFC 準拠の
   SSH 実装には必要ない.

Changes since OpenSSH 7.6
=========================

OpenSSH 7.6 からの変更点

This is primarily a bugfix release.

これは主にバグ修正のリリースだ.


New Features
------------

新機能

 * All: Add experimental support for PQC XMSS keys (Extended Hash-
   Based Signatures) based on the algorithm described in
   https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures-12
   The XMSS signature code is experimental and not compiled in by
   default.

   https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures-12
   に記述されているアルゴリズムに基づく PQC XMSS 鍵 (拡張ハッシュベース署名)
   の実験的サポートを追加する. XMSS 署名コードは実験的で, デフォルトでは
   コンパイルされない.

 * sshd(8): Add a "rdomain" criteria for the sshd_config Match keyword
   to allow conditional configuration that depends on which routing
   domain a connection was received on (currently supported on OpenBSD
   and Linux).

   sshd(8): sshd_config の Match のキーワードに rdomain  基準を追加する.
   これにより,  (現在 OpenBSD と Linux でサポートされている)
   接続を受けとったルーティングドメインに依存した設定が可能となる

 * sshd_config(5): Add an optional rdomain qualifier to the
   ListenAddress directive to allow listening on different routing
   domains. This is supported only on OpenBSD and Linux at present.

   sshd_config(5): rdomain 識別子を ListenAddress 設定項目に追加する.
   異なるルーティングドメインでの listen を可能にする.
   現在 OpenBSD と Linux でのみサポートされる.

 * sshd_config(5): Add RDomain directive to allow the authenticated
   session to be placed in an explicit routing domain. This is only
   supported on OpenBSD at present.

   sshd_config(5) RDomain 設定項目を追加する. 認証されたセッションを
   明示的なルーティングドメインに配置できる. 現在 OpenBSD でのみ
   サポートされる.

 * sshd(8): Add "expiry-time" option for authorized_keys files to
   allow for expiring keys.

   authorized_keys ファイルのオプションに "expiry-time" を追加する.
   鍵の期限切れを可能にする.

 * ssh(1): Add a BindInterface option to allow binding the outgoing
   connection to an interface's address (basically a more usable
   BindAddress)

   ssh(1): BindInterface オプションを追加する. 外部への接続を bind する
   インタフェースのアドレスを指定できる (基本的により便利な BindAddress
   だ)

 * ssh(1): Expose device allocated for tun/tap forwarding via a new
   %T expansion for LocalCommand. This allows LocalCommand to be used
   to prepare the interface.

   ssh(1): LocalCommand のための 新しい %T 展開により tun/tap
   転送で割り当てられたデバイスをあらわにする. これは LocalCommand
   をそのインタフェイスを準備するのに使うことができる.

 * sshd(8): Expose the device allocated for tun/tap forwarding via a
   new SSH_TUNNEL environment variable. This allows automatic setup of
   the interface and surrounding network configuration automatically on
   the server.

   新しい SSH_TUNNEL 環境変数で tun/tap 転送で割り当てられたデバイスを
   あらわにする. これにより, そのインタフェイスの自動的な設定や
   そのサーバでの自動的な周囲のネットワーク設定が可能となる.

 * ssh(1)/scp(1)/sftp(1): Add URI support to ssh, sftp and scp, e.g.
   ssh://user@host or sftp://user@host/path.  Additional connection
   parameters described in draft-ietf-secsh-scp-sftp-ssh-uri-04 are not
   implemented since the ssh fingerprint format in the draft uses the
   deprecated MD5 hash with no way to specify the any other algorithm.

   ssh(1)/scp(1)/sftp(1): ssh, sftp, scp に URI サポートを追加する.
   例えば: ssh://user@host や sftp://user@host/path.
   draft-ietf-secsh-scp-sftp-ssh-uri-04 に記述されている追加の接続パラメータは
   実装されていない. このドラフトの ssh 指紋形式が廃止予定のMD5ハッシュを
   用いていて他のアルゴリズムを指定する方法がないからだ.

 * ssh-keygen(1): Allow certificate validity intervals that specify
   only a start or stop time (instead of both or neither).

   ssh-keygen(1): 証明書の検証期間で, 開始/終了日時だけを指定できるようにする
   (両方ないし指定しないか ではなく)

 * sftp(1): Allow "cd" and "lcd" commands with no explicit path
   argument. lcd will change to the local user's home directory as
   usual. cd will change to the starting directory for session (because
   the protocol offers no way to obtain the remote user's home
   directory). bz#2760

   sftp(1): 明示的なパス引数のない "cd" と "lcd" コマンドを許可する.
   lcd は例によってローカルユーザのホームディレクトリに変更する.
   cd は セッションでの開始ディレクトリに変更する (プロトコルは
   リモートユーザのホームディレクトリを得る方法を提供していないからだ).

 * sshd(8): When doing a config test with sshd -T, only require the
   attributes that are actually used in Match criteria rather than (an
   incomplete list of) all criteria.

   sshd(8): sshd -T で設定のテストをする際, Match の基準で
   すべての基準(の不完全なリスト)ではなく実際に利用される属性のみを要求する.

Bugfixes
--------

バグ修正

 * ssh(1)/sshd(8): More strictly check signature types during key
   exchange against what was negotiated. Prevents downgrade of RSA
   signatures made with SHA-256/512 to SHA-1.

   ssh(1)/sshd(8): 鍵交換の間により厳密に署名のタイプを交渉されたものか
   どうかチェックする. RSA 署名が SHA-256/512 を用いて
   作られたものから SHA-1 で作られたものにダウングレードするのを防止する.

 * sshd(8): Fix support for client that advertise a protocol version
   of "1.99" (indicating that they are prepared to accept both SSHv1 and
   SSHv2). This was broken in OpenSSH 7.6 during the removal of SSHv1
   support. bz#2810

   sshd(8): クライアントの "1.99" プロトコルバージョンの広告のサポートを修正する
   (SSHv1 と SSHv2 両方を受けつける準備があることを示す) OpenSSH 7.6
   での SSHv1 のサポートの除去により壊れていた. bz#2810

 * ssh(1): Warn when the agent returns a ssh-rsa (SHA1) signature when
   a rsa-sha2-256/512 signature was requested. This condition is possible
   when an old or non-OpenSSH agent is in use. bz#2799

   ssh(1): rsa-sha2-256/512 署名が要求された場合にエージェントが
   ssh-rsa(SHA1) 署名を返したら警告する. 古いエージェントや OpenSSH
   でないエージェントが利用されていると, この条件がありえる. bz#2799

 * ssh-agent(1): Fix regression introduced in 7.6 that caused ssh-agent
   to fatally exit if presented an invalid signature request message.

   無効な署名要求メッセージが提示されると ssh-agent が致命的に終了する
   7.6 で導入された回帰テストの問題を修正する.

 * sshd_config(5): Accept yes/no flag options case-insensitively, as
   has been the case in ssh_config(5) for a long time. bz#2664

   sshd_config(5): yes/no のフラグ設定項目を大文字小文字を区別せず
   受付けるようにする. ssh_config(5) では長い間このようになっているように
   bz#2664

 * ssh(1): Improve error reporting for failures during connection.
   Under some circumstances misleading errors were being shown. bz#2814

   ssh(1): 接続中の失敗に対するエラーレポートを改善する. いくつかの
   状況下で, 誤解を招くエラーが表示されていた. bz#2814

 * ssh-keyscan(1): Add -D option to allow printing of results directly
   in SSHFP format. bz#2821

   ssh-keyscan(1): SSHFP 形式で直接結果を表示する -D
   オプションを追加する.

 * regress tests: fix PuTTY interop test broken in last release's SSHv1
   removal. bz#2823

   回帰テスト: 前のリリースの SSHv1 の除去で壊れた PuTTY
   相互運用性テストを修正する.

 * ssh(1): Compatibility fix for some servers that erroneously drop the
   connection when the IUTF8 (RFC8160) option is sent.

   ssh(1): IUTF8(RFC8160) オプションが送られた場合に誤って接続を落とす
   いくつかのサーバに対する互換性の修正

 * scp(1): Disable RemoteCommand and RequestTTY in the ssh session
   started by scp (sftp was already doing this.)

   scp(1): (sftp ではすでにそうしているように) scp で開始された ssh
   セッションでは RemoteCommand と RequestTTY を無効にする.

 * ssh-keygen(1): Refuse to create a certificate with an unusable
   number of principals.

   ssh-keygen(1): 利用できない数のプリンシパルを持つ証明書の作成を
   拒否する.

 * ssh-keygen(1): Fatally exit if ssh-keygen is unable to write all the
   public key during key generation. Previously it would silently
   ignore errors writing the comment and terminating newline.

   ssh-keygen(1): ssh-keygen が 鍵生成時にすべての公開鍵を保存できなければ
   致命的に終了する. 以前は, コメントを書く場合と改行で終端する場合に
   エラーを静かに無視していた.

 * ssh(1): Do not modify hostname arguments that are addresses by
   automatically forcing them to lower-case. Instead canonicalise them
   to resolve ambiguities (e.g. ::0001 => ::1) before they are matched
   against known_hosts. bz#2763

   ssh(1): ホスト名引数はIPアドレスの場合には自動的に小文字化するが,
   そうでなければ変更しない. かわりに, known_hosts にマッチさせる前に,
   あいまいさを解決するため(例えば ::0001 => ::1) ホスト名引数を正規化する.

 * ssh(1): Don't accept junk after "yes" or "no" responses to hostkey
   prompts. bz#2803

   ssh(1): ホスト鍵のプロンプトの "yes" か "no" の応答のあとにゴミを
   受け付けない. bz#2803

 * sftp(1): Have sftp print a warning about shell cleanliness when
   decoding the first packet fails, which is usually caused by shells
   polluting stdout of non-interactive startups. bz#2800

   sftp(1): 非対話の起動で標準出力が汚染されたシェルによって通常引き起こされる
   最初のパケットのデコードが失敗した場合に,
   シェルの清潔さについての警告を sftp が出力する.

 * ssh(1)/sshd(8): Switch timers in packet code from using wall-clock
   time to monotonic time, allowing the packet layer to better function
   over a clock step and avoiding possible integer overflows during
   steps.

   ssh(1)/sshd(8): パケッドコード中のタイマーで, wall-clock 時間から
   monotonic 時間を利用するように変更する. パケット層で,
   クロックのステップに対するよりより扱いが可能となり, ステップ間での
   潜在的な整数オーバーフローを回避する.

 * Numerous manual page fixes and improvements.

   たくさんのマニュアルページの修正と改善.


Portability
-----------

移植性

 * sshd(8): Correctly detect MIPS ABI in use at configure time. Fixes
   sandbox violations on some environments.

   sshd(8): configure 時に MIPS API が利用できるか正しく検知する.
   いくつかの環境でサンドボックスの破壊を修正する.

 * sshd(8): Remove UNICOS support. The hardware and software are literal
   museum pieces and support in sshd is too intrusive to justify
   maintaining.

   sshd(8): UNICOS サポートを除去する.  ハードウェアもソフトウェアも文字通りの
   博物館もので, sshd でのサポートで保守を正当化するには邪魔ものすぎる

 * All: Build and link with "retpoline" flags when available to mitigate
   the "branch target injection" style (variant 2) of the Spectre
   branch-prediction vulnerability.

   すべて: Spectre 分岐予測脆弱性の "branch target injection" スタイル(variant 2) を緩和する
   ことができる, retpoline フラグ付きでのビルドとリンク.

 * All: Add auto-generated dependency information to Makefile.

   すべて: Makefile に自動生成された依存情報を追加する.

 * Numerous fixed to the RPM spec files.

   RPM spec ファイルを沢山修正した.

読んだ本

31 Mar, 2018 - 1 minutes

反体制を生きて

荒畑寒村. 日本共産党の研究で参照されていたので存在は知っていたが未読だった. 面白い.

山川均自伝

そこそこ

異嗜食的作家論

沼正三. なかなか面白かった.

あなたのための誘拐

読ませる. オチは予想できた.

OpenSSH 7.7 リリース準備中 / Call for testing: OpenSSH 7.7

22 Mar, 2018 - 7 minutes

OpenSSH 7.7 がリリース準備中です.

Call for testing: OpenSSH 7.7

主にバグ修正のリリースです.

# https://lists.mindrot.org/pipermail/openssh-unix-dev/2018-March/036759.html

Potentially-incompatible changes
================================

潜在的に非互換な変更

This release includes a number of changes that may affect existing
configurations:

このリリースは既存の設定に影響するかもしれない変更を若干含んでいる.

 * ssh(1)/sshd(8): Drop compatibility support for some very old SSH
   implementations, including ssh.com <=2.* and OpenSSH <= 3.*.
   These versions were all released in or before 2001 and predate the
   final SSH RFCs. The support in question isn't necessary for RFC-
   compliant SSH implementations.

   ssh(1)/sshd(8): いくつかの非常に古い SSH 実装に対する互換性サポートを
   落す. ssh.com <=2.* や OpenSSH <= .3* を含む.
   これらのバージョンすべて, 2001年以前にリリースされており 最終の
   SSH RFC よりも前のものだ. これらのサポートは, RFC 準拠の
   SSH 実装には必要ない.

Changes since OpenSSH 7.6
=========================

OpenSSH 7.6 からの変更点

This is primarily a bugfix release.

これは主にバグ修正のリリースだ.


New Features
------------

新機能

 * All: Add experimental support for PQC XMSS keys (Extended Hash-
   Based Signatures) based on the algorithm described in
   https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures-12
   The XMSS signature code is experimental and not compiled in by
   default.

   https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures-12
   に記述されているアルゴリズムに基づく PQC XMSS 鍵 (拡張ハッシュベース署名)
   の実験的サポートを追加する. XMSS 署名コードは実験的で, デフォルトでは
   コンパイルされない.

 * sshd(8): Add a "rdomain" criteria for the sshd_config Match keyword
   to allow conditional configuration that depends on which routing
   domain a connection was received on (currently supported on OpenBSD
   and Linux).

   sshd(8): sshd_config の Match のキーワードに rdomain  基準を追加する.
   これにより,  (現在 OpenBSD と Linux でサポートされている)
   接続を受けとったルーティングドメインに依存した設定が可能となる

 * sshd_config(5): Add an optional rdomain qualifier to the
   ListenAddress directive to allow listening on different routing
   domains. This is supported only on OpenBSD and Linux at present.

   sshd_config(5): rdomain 識別子を ListenAddress 設定項目に追加する.
   異なるルーティングドメインでの listen を可能にする.
   現在 OpenBSD と Linux でのみサポートされる.

 * sshd_config(5): Add RDomain directive to allow the authenticated
   session to be placed in an explicit routing domain. This is only
   supported on OpenBSD at present.

   sshd_config(5) RDomain 設定項目を追加する. 認証されたセッションを
   明示的なルーティングドメインに配置できる. 現在 OpenBSD でのみ
   サポートされる.

 * sshd(8): Add "expiry-time" option for authorized_keys files to
   allow for expiring keys.

   authorized_keys ファイルのオプションに "expiry-time" を追加する.
   鍵の期限切れを可能にする.

 * ssh(1): Add a BindInterface option to allow binding the outgoing
   connection to an interface's address (basically a more usable
   BindAddress)

   ssh(1): BindInterface オプションを追加する. 外部への接続を bind する
   インタフェースのアドレスを指定できる (基本的により便利な BindAddress
   だ)

 * ssh(1): Expose device allocated for tun/tap forwarding via a new
   %T expansion for LocalCommand. This allows LocalCommand to be used
   to prepare the interface.

   ssh(1): LocalCommand のための 新しい %T 展開により tun/tap
   転送で割り当てられたデバイスをあらわにする. これは LocalCommand
   をそのインタフェイスを準備するのに使うことができる.

 * sshd(8): Expose the device allocated for tun/tap forwarding via a
   new SSH_TUNNEL environment variable. This allows automatic setup of
   the interface and surrounding network configuration automatically on
   the server.

   新しい SSH_TUNNEL 環境変数で tun/tap 転送で割り当てられたデバイスを
   あらわにする. これにより, そのインタフェイスの自動的な設定や
   そのサーバでの自動的な周囲のネットワーク設定が可能となる.

 * ssh(1)/scp(1)/sftp(1): Add URI support to ssh, sftp and scp, e.g.
   ssh://user@host or sftp://user@host/path.  Additional connection
   parameters described in draft-ietf-secsh-scp-sftp-ssh-uri-04 are not
   implemented since the ssh fingerprint format in the draft uses the
   deprecated MD5 hash with no way to specify the any other algorithm.

   ssh(1)/scp(1)/sftp(1): ssh, sftp, scp に URI サポートを追加する.
   例えば: ssh://user@host や sftp://user@host/path.
   draft-ietf-secsh-scp-sftp-ssh-uri-04 に記述されている追加の接続パラメータは
   実装されていない. このドラフトの ssh 指紋形式が廃止予定のMD5ハッシュを
   用いていて他のアルゴリズムを指定する方法がないからだ.

 * ssh-keygen(1): Allow certificate validity intervals that specify
   only a start or stop time (instead of both or neither).

   ssh-keygen(1): 証明書の検証期間で, 開始/終了日時だけを指定できるようにする
   (両方ないし指定しないか ではなく)

 * sftp(1): Allow "cd" and "lcd" commands with no explicit path
   argument. lcd will change to the local user's home directory as
   usual. cd will change to the starting directory for session (because
   the protocol offers no way to obtain the remote user's home
   directory). bz#2760

   sftp(1): 明示的なパス引数のない "cd" と "lcd" コマンドを許可する.
   lcd は例によってローカルユーザのホームディレクトリに変更する.
   cd は セッションでの開始ディレクトリに変更する (プロトコルは
   リモートユーザのホームディレクトリを得る方法を提供していないからだ).

 * sshd(8): When doing a config test with sshd -T, only require the
   attributes that are actually used in Match criteria rather than (an
   incomplete list of) all criteria.

   sshd(8): sshd -T で設定のテストをする際, Match の基準で
   すべての基準(の不完全なリスト)ではなく実際に利用される属性のみを要求する.

 * sshd(8): Fix support for client that advertise a protocol version
   of "1.99" (indicating that they are prepared to accept both SSHv1 and
   SSHv2). This was broken in OpenSSH 7.6 during the removal of SSHv1
   support. bz#2810

   sshd(8): クライアントの "1.99" プロトコルバージョンの広告のサポートを修正する
   (SSHv1 と SSHv2 両方を受けつける準備があることを示す) OpenSSH 7.6
   での SSHv1 のサポートの除去により壊れていた. bz#2810

Bugfixes
--------

バグ修正

 * ssh(1): Warn when the agent returns a ssh-rsa (SHA1) signature when
   a rsa-sha2-256/512 signature was requested. This condition is possible
   when an old or non-OpenSSH agent is in use. bz#2799

   ssh(1): rsa-sha2-256/512 署名が要求された場合にエージェントが
   ssh-rsa(SHA1) 署名を返したら警告する. 古いエージェントや OpenSSH
   でないエージェントが利用されていると, この条件がありえる. bz#2799

 * ssh(1)/sshd(8): More strictly check signature types during key
   exchange against what was negotiated. Prevents downgrade of RSA
   signatures made with SHA-256/512 to SHA-1.

   ssh(1)/sshd(8): 鍵交換の間により厳密に署名のタイプを交渉されたものか
   どうかチェックする. RSA 署名が SHA-256/512 を用いて
   作られたものから SHA-1 で作られたものにダウングレードするのを防止する.

 * ssh-agent(1): Fix regression introduce in 7.6 that caused ssh-agent
   to fatally exit if presented an invalid signature request message.

   無効な署名要求メッセージが提示されると ssh-agent が致命的に終了する
   7.6 で導入された回帰テストの問題を修正する.

 * sshd_config(5): Accept yes/no flag options case-insensitively, as
   has been the case in ssh_config(5) for a long time. bz#2664

   sshd_config(5): yes/no のフラグ設定項目を大文字小文字を区別せず
   受付けるようにする. ssh_config(5) では長い間このようになっているように
   bz#2664

 * ssh(1): Improve error reporting for failures during connection.
   Under some circumstances misleading errors were being shows. bz#2814

   ssh(1): 接続中の失敗に対するエラーレポートを改善する. いくつかの
   状況下で, 誤解を招くエラーが表示されていた. bz#2814

 * ssh-keyscan(1): Add -D option to allow printing of results directly
   in SSHFP format. bz#2821

   ssh-keyscan(1): SSHFP 形式で直接結果を表示する -D
   オプションを追加する.

 * regress tests: fix PuTTY interop test broken in last release's SSHv1
   removal. bz#2823

   回帰テスト: 前のリリースの SSHv1 の除去で壊れた PuTTY
   相互運用性テストを修正する.

 * ssh(1): Compatibility fix for some servers that erroneously drop the
   connection when the IUTF8 (RFC8160) option is sent.

   ssh(1): IUTF8(RFC8160) オプションが送られた場合に誤って接続を落とす
   いくつかのサーバに対する互換性の修正

 * scp(1): Disable RemoteCommand and RequestTTY in the ssh session
   started by scp (sftp was already doing this.)

   scp(1): (sftp ではすでにそうしているように) scp で開始された ssh
   セッションでは RemoteCommand と RequestTTY を無効にする.

 * ssh-keygen(1): Refuse to create a certificate with an unusable
   number of principals.

   ssh-keygen(1): 利用できない数のプリンシパルを持つ証明書の作成を
   拒否する.

 * ssh-keygen(1): Fatally exit if ssh-keygen is unable to write all the
   public key during key generation. Previously it would silently
   ignore errors writing the comment and terminating newline.

   ssh-keygen(1): ssh-keygen が 鍵生成時にすべての公開鍵を保存できなければ
   致命的に終了する. 以前は, コメントを書く場合と改行で終端する場合に
   エラーを静かに無視していた.

 * ssh(1): Do not modify hostname arguments that are addresses by
   automatically forcing them to lower-case. Instead canonicalise them
   to resolve ambiguities (e.g. ::0001 => ::1) before they are matched
   against known_hosts. bz#2763

   ssh(1): ホスト名引数はIPアドレスの場合には自動的に小文字化するが,
   そうでなければ変更しない. かわりに, known_hosts にマッチさせる前に,
   あいまいさを解決するため(例えば ::0001 => ::1) ホスト名引数を正規化する.

 * ssh(1): Don't accept junk after "yes" or "no" responses to hostkey
   prompts. bz#2803

   ssh(1): ホスト鍵のプロンプトの "yes" か "no" の応答のあとにゴミを
   受け付けない. bz#2803

 * sftp(1): Have sftp print a warning about shell cleanliness when
   decoding the first packet fails, which is usually caused by shells
   polluting stdout of non-interactive startups. bz#2800

   sftp(1): 非対話の起動で標準出力が汚染されたシェルによって通常引き起こされる
   最初のパケットのデコードが失敗した場合に,
   シェルの清潔さについての警告を sftp が出力する.

 * ssh(1)/sshd(8): Switch timers in packet code from using wall-clock
   time to monotonic time, allowing the packet layer to better function
   over a clock step and avoiding possible integer overflows during
   steps.

   ssh(1)/sshd(8): パケッドコード中のタイマーで, wall-clock 時間から
   monotonic 時間を利用するように変更する. パケット層で,
   クロックのステップに対するよりより扱いが可能となり, ステップ間での
   潜在的な整数オーバーフローを回避する.

 * Numerous manual page fixes and improvements.

   たくさんのマニュアルページの修正と改善.


Portability
-----------

移植性

 * sshd(8): Correctly detect MIPS ABI in use at configure time. Fixes
   sandbox violations on some environments.

   sshd(8): configure 時に MIPS API が利用できるか正しく検知する.
   いくつかの環境でサンドボックスの破壊を修正する.

 * sshd(8): Remove UNICOS support. The hardware and software are literal
   museum pieces and support in sshd is too intrusive to justify
   maintaining.

   sshd(8): UNICOS サポートを除去する.  ハードウェアもソフトウェアも文字通りの
   博物館もので, sshd でのサポートで保守を正当化するには邪魔ものすぎる

 * All: Build and link with "retpoline" flags when available to mitigate
   the "branch target injection" style (variant 2) of the Spectre
   branch-prediction vulnerability.

   すべて: Spectre 分岐予測脆弱性の "branch target injection" スタイル(variant 2) を緩和する
   ことができる, retpoline フラグ付きでのビルドとリンク.

 * All: Add auto-generated dependency information to Makefile.

   すべて: Makefile に自動生成された依存情報を追加する.

 * Numerous fixed to the RPM spec files.

   RPM spec ファイルを沢山修正した.