OpenSSH 7.5 がリリースされました
2017/03/20, OpenSSH 7.5 がリリースされました.
バグ修正が中心のリリースです.
- OpenSSH 7.5 Release Note 中の OpenSSH 7.5 での変更点の翻訳 – この記事にも添付します.
- OpenSSH 移植版付属文書の翻訳
https://www.openssh.com/txt/release-7.5
Future deprecation notice
=========================
将来廃止される機能の告知
We plan on retiring more legacy cryptography in future releases,
specifically:
将来のリリースでさらなるレガシーな暗号を廃止することを計画している.
具体的には:
* In the next major release (expected June-August), removing remaining
support for the SSH v.1 protocol (currently client-only and compile-
time disabled).
(6-8月に予定している) 次のメジャーリリースで, SSH v.1 プロトコルの
残っているサポートを削除する(現在クライアントのみでコンパイル時に無効
となっている).
* In the same release, removing support for Blowfish and RC4 ciphers
and the RIPE-MD160 HMAC. (These are currently run-time disabled).
同じリリースで, Blowfish と RC4 暗号, RIPE-MD160 HMAC のサポートを
削除する. (現在実行時に無効となっている).
* In the same release, removing the remaining CBC ciphers from being
offered by default in the client (These have not been offered in
sshd by default for several years).
同じリリースで, クライアントがデフォルトで提供する暗号リストに
残っている CBC 暗号を削除する (この年サーバからは提供していない).
* Refusing all RSA keys smaller than 1024 bits (the current minimum
is 768 bits)
1024 bit よりも小さい RSA 鍵を拒否する (現在の最小は 768 bit)
This list reflects our current intentions, but please check the final
release notes for future releases.
このリストは我々の現在の意図を反映している. ただし, 将来のリリースでの
最終的なリリースノートをチェックしてほしい.
Potentially-incompatible changes
================================
非互換な可能性のある変更
This release includes a number of changes that may affect existing
configurations:
このリリースは, 既存の設定に影響する変更がいくつかある.
* This release deprecates the sshd_config UsePrivilegeSeparation
option, thereby making privilege separation mandatory. Privilege
separation has been on by default for almost 15 years and
sandboxing has been on by default for almost the last five.
このリリースは sshd_config の UsePrivilegeSeparation 設定項目を
非推奨する. これにより, 特権分離は必須となる. 特権分離は,
約 15年ほどデフォルトとなっており, 最近5年間はデフォルトで
サンドボックス化されている.
* The format of several log messages emitted by the packet code has
changed to include additional information about the user and
their authentication state. Software that monitors ssh/sshd logs
may need to account for these changes. For example:
パケットコードから出力されるいくつかのログメッセージの形式を変更する.
ユーザとその認証の状態についての追加情報を含むようになる.
ssh/sshd のログをモニターするソフトウェアは, これらの変更に注意する
必要があるだろう. 例:
Connection closed by user x 1.1.1.1 port 1234 [preauth]
Connection closed by authenticating user x 10.1.1.1 port 1234 [preauth]
Connection closed by invalid user x 1.1.1.1 port 1234 [preauth]
Affected messages include connection closure, timeout, remote
disconnection, negotiation failure and some other fatal messages
generated by the packet code.
影響するメッセージには, 接続の終了, タイムアウト, リモートの切断,
(暗号などの)交渉の失敗, さらにパケットコードから生成される
その他のいくつかの致命的なメッセージが含まれる.
* [Portable OpenSSH only] This version removes support for building
against OpenSSL versions prior to 1.0.1. OpenSSL stopped supporting
versions prior to 1.0.1 over 12 months ago (i.e. they no longer
receive fixes for security bugs).
[移植版 OpenSSH のみ] このバージョンで, OpenSSL 1.0.1 より前のバージョン
に対するビルドのサポートをなくす. OpenSSL は 1.0.1 より前のバージョンの
サポートを12ヶ月前にやめている (つまり, セキュリティのバグに対する修正を
もはや OpenSSL は受けつけていない).
Changes since OpenSSH 7.4
=========================
OpenSSH 7.4 からの変更
This is a bugfix release.
これはバグ修正のリリースだ.
Security
--------
セキュリティ
* ssh(1), sshd(8): Fix weakness in CBC padding oracle countermeasures
that allowed a variant of the attack fixed in OpenSSH 7.3 to proceed.
Note that the OpenSSH client disables CBC ciphers by default, sshd
offers them as lowest-preference options and will remove them by
default entriely in the next release. Reported by Jean Paul
Degabriele, Kenny Paterson, Martin Albrecht and Torben Hansen of
Royal Holloway, University of London.
ssh(1), sshd(8): OpenSSH 7.3 で修正された攻撃の亜種が有効だった
CBC パディングオラクル対抗策の弱点を修正する. OpenSSH クライアントは
CBC 暗号モードを用いる暗号をデフォルトで無効にしていて, sshd は
CBC 暗号モードを用いる暗号を 最低の優先順位で提供していて次のリリースで
デフォルトでは完全に除く予定であることに注意. ロンドン大学
Royal Holloway の Jean Paul Degabriele と Kenny Paterson,
Martin Albrecht, Torben Hansen によって報告された.
* sftp-client(1): [portable OpenSSH only] On Cygwin, a client making
a recursive file transfer could be maniuplated by a hostile server to
perform a path-traversal attack. creating or modifying files outside
of the intended target directory. Reported by Jann Horn of Google
Project Zero.
sftp-client(1): [移植版 OpenSSH のみ] Cygwin で, ファイル転送を受け取る
クライアントが パストラバーサル攻撃を実行する悪意のあるサーバに操作
されうる. 対象のディレクトリに外部からファイルを作成されたり変更されたり
する. Google Project Zero の Jann Horn によって報告された.
New Features
------------
* ssh(1), sshd(8): Support "=-" syntax to easily remove methods from
algorithm lists, e.g. Ciphers=-*cbc. bz#2671
ssh(1), sshd(8): アルゴリズムのリストから方式を簡単の除くことができる
"=-" 構文をサポートする. たとえば Ciphers=-*cbc のように用いる. bz#2671
Bugfixes
--------
* sshd(1): Fix NULL dereference crash when key exchange start
messages are sent out of sequence.
sshd(1): 鍵交換開始がシーケンス外で送られた場合のNULL 参照展開
クラッシュを修正する.
* ssh(1), sshd(8): Allow form-feed characters to appear in
configuration files.
ssh(1), sshd(8): 設定ファイルに表われる フォームフィード文字(0x0C)
を許容する.
* sshd(8): Fix regression in OpenSSH 7.4 support for the
server-sig-algs extension, where SHA2 RSA signature methods were
not being correctly advertised. bz#2680
sshd(8): server-sig-algs 拡張に対する OpenSSH 7.4 のサポートでの
不具合を修正する. SHA2 RSA 署名法が正常に通知されていなかった.
bz#2680
* ssh(1), ssh-keygen(1): Fix a number of case-sensitivity bugs in
known_hosts processing. bz#2591 bz#2685
ssh(1), ssh-keygen(1): known_hosts 処理での多数の大文字小文字に
関するバグを修正する. bz#2591 bz#2685
* ssh(1): Allow ssh to use certificates accompanied by a private key
file but no corresponding plain *.pub public key. bz#2617
ssh(1): 関係のないプレーンな *.pub 公開鍵ではなく
秘密鍵ファイルに付随する証明書を ssh が利用する. bz#2617
* ssh(1): When updating hostkeys using the UpdateHostKeys option,
accept RSA keys if HostkeyAlgorithms contains any RSA keytype.
Previously, ssh could ignore RSA keys when only the ssh-rsa-sha2-*
methods were enabled in HostkeyAlgorithms and not the old ssh-rsa
method. bz#2650
ssh(1): UpdateHostKeys 設定項目で ホスト鍵を更新する際,
HostkeyAlgorithms が RSA 鍵タイプの1つでもサポートしていたら
RSA 鍵を受け入れる. 以前は, HostkeyAlgorithm で ssh-rsa-sha2-*
が有効な場合に ssh は RSA 鍵を無視し, より古い ssh-rsa が有効な
場合は無視しなかった. bz#2650
* ssh(1): Detect and report excessively long configuration file
lines. bz#2651
ssh(1): 過剰に長い設定ファイルの行を検出しレポートする. bz#2651
* Merge a number of fixes found by Coverity and reported via Redhat
and FreeBSD. Includes fixes for some memory and file descriptor
leaks in error paths. bz#2687
Coverity よって見付けられたり, Redhat や FreeBSD で報告された
多数の修正をマージする. 異常刑でのメモリやファイルデスクリプタの
いくつかの漏洩の修正が含まれている. bz#2687
* ssh-keyscan(1): Correctly hash hosts with a port number. bz#2692
ssh-keyscan(1): ポート番号付きのホストのハッシュが正しく動くようにする.
bz#2692
* ssh(1), sshd(8): When logging long messages to stderr, don't truncate
"\r\n" if the length of the message exceeds the buffer. bz#2688
ssh(1), sshd(8): stderr に長いメッセージをログに出す際,
メッセージの長さがバッファを超過する場合に "\r\n" で切り詰めない.
bz#2688
* ssh(1): Fully quote [host]:port in generated ProxyJump/-J command-
line; avoid confusion over IPv6 addresses and shells that treat
square bracket characters specially.
ssh(1): ProxyJump/-J コマンドラインで生成される [host]:port を
完全にカッコを付ける. 角カッコ([])文字を特別に扱う
IPv6 アドレスとシェルとの混乱を回避する.
* ssh-keygen(1): Fix corruption of known_hosts when running
"ssh-keygen -H" on a known_hosts containing already-hashed entries.
ssh-keygen(1): すでにハッシュ化されたエントリを含む known_hosts
への "ssh-keygen -H" の実行での known_hosts の破壊を修正する.
* Fix various fallout and sharp edges caused by removing SSH protocol
1 support from the server, including the server banner string being
incorrectly terminated with only \n (instead of \r\n), confusing
error messages from ssh-keyscan bz#2583 and a segfault in sshd
if protocol v.1 was enabled for the client and sshd_config
contained references to legacy keys bz#2686.
サーバから SSH プロトコル 1 を除去に起因する様々な影響を修正する.
サーババナー文字列が (\r\n の変わりに) 間違って \n で終端されていた問題や
ssh-keyscan からのエラーメッセージが混乱している問題(bz#2583),
クライアントでプロトコル v1 が有効で, sshd_config が
レガシーな鍵の参照を含む場合に sshd が segfault する問題(bz#2686)
の修正を含む.
* ssh(1), sshd(8): Free fd_set on connection timeout. bz#2683
ssh(1), sshd(8): 接続タイムアウト時に fd_set を解放する. bz#2683
* sshd(8): Fix Unix domain socket forwarding for root (regression in
OpenSSH 7.4).
(OpenSSH 7.4 でおかしくなった) root での Unix ドメインソケット転送を
修正する.
* sftp(1): Fix division by zero crash in "df" output when server
returns zero total filesystem blocks/inodes.
sftp(1): サーバが 全ファイルシステムのブロック/inode をゼロ
と返す場合に "df" の出力が 0除算でクラッシュするのを修正する.
* ssh(1), ssh-add(1), ssh-keygen(1), sshd(8): Translate OpenSSL errors
encountered during key loading to more meaningful error codes.
bz#2522 bz#2523
ssh(1), ssh-add(1), ssh-keygen(1), sshd(8): 鍵のロード時に出現する
OpenSSL エラーをより意味のあるエラーコードに翻訳する.
bz#2522 bz#2523
* ssh-keygen(1): Sanitise escape sequences in key comments sent to
printf but preserve valid UTF-8 when the locale supports it;
bz#2520
ssh-keygen(1): printf に送られる鍵コメントのエスケープシーケンスを
無害化するが, ロケールがサポートする場合は有効な UTF-8 を保持する;
bz#2520
* ssh(1), sshd(8): Return reason for port forwarding failures where
feasible rather than always "administratively prohibited". bz#2674
ssh(1), sshd(8): ポート転送の失敗の理由を 常に
"管理者によって禁止されている" ではなくよりもっともなものを返す.
bz#2674
* sshd(8): Fix deadlock when AuthorizedKeysCommand or
AuthorizedPrincipalsCommand produces a lot of output and a key is
matched early. bz#2655
sshd(8): AuthorizedKeysCommand か AuthorizedPrincipalsCommand が
たくさんの出力を生成し鍵が早くマッチする場合のデッドロックを修正する.
bz#2655
* Regression tests: several reliability fixes. bz#2654 bz#2658 bz#2659
回帰テスト: いくつかの信頼性の修正. bz#2654 bz#2658 bz#2659
* ssh(1): Fix typo in ~C error message for bad port forward
cancellation. bz#2672
ssh(1): ポート転送のキャンセルが失敗する場合の ~C エラーメッセージ
のタイプミスを修正する.
* ssh(1): Show a useful error message when included config files
can't be opened; bz#2653
ssh(1): インクルードされた設定ファイルが開けない場合に
有用なエラーメッセージを表示する. bz#2653
* sshd(8): Make sshd set GSSAPIStrictAcceptorCheck=yes as the manual page
(previously incorrectly) advertised. bz#2637
sshd(8): マニュアルページに記載されているように (以前は記載通りに設定されていなかった)
sshd に GSSAPIStrictAcceptorCheck=yes を設定する.
* sshd_config(5): Repair accidentally-deleted mention of %k token
in AuthorizedKeysCommand; bz#2656
sshd_config(5): AuthorizedKeysCommand で %k トークンの言及を
偶然に消していたのを復元する; bz#2656
* sshd(8): Remove vestiges of previously removed LOGIN_PROGRAM; bz#2665
sshd(8): 以前削除した LOGIN_PROGRAM の痕跡を削除する; bz#2665
* ssh-agent(1): Relax PKCS#11 whitelist to include libexec and
common 32-bit compatibility library directories.
ssh-agent(1): libexec と 共通の 32-bit 互換性ライブラリディレクトリを
含むように PKCS#11 ホワイトリストを緩和する
* sftp-client(1): Fix non-exploitable integer overflow in SSH2_FXP_NAME
response handling.
sftp-client(1): SSH2_FXP_NAME の応答の操作での, 攻撃はできない
整数オーバーフローを修正する.
* ssh-agent(1): Fix regression in 7.4 of deleting PKCS#11-hosted
keys. It was not possible to delete them except by specifying
their full physical path. bz#2682
ssh-agent(1): PKCS#11 でホストされた鍵を削除するの 7.4 の不具合
を修正する. 完全な物理パスを指定された場合を除いて,
鍵が削除されることはない. bz#2682
Portability
-----------
移植性
* sshd(8): Avoid sandbox errors for Linux S390 systems using an ICA
crypto coprocessor.
sshd(8): ICA 暗号コプロセッサを用いる Linux S390 システム の
サンドボックスのエラーを回避する.
* sshd(8): Fix non-exploitable weakness in seccomp-bpf sandbox arg
inspection.
sshd(8): seccomp-bpf サンドボックスの引数検査での攻撃はできない弱点
を修正する.
* ssh(1): Fix X11 forwarding on OSX where X11 was being started by
launchd. bz#2341
ssh(1): X11 が launchd で開始されている場合の OSX での X11 転送を修正する.
* ssh-keygen(1), ssh(1), sftp(1): Fix output truncation for various that
contain non-printable characters where the codeset in use is ASCII.
ssh-keygen(1), ssh(1), sftp(1): 利用しているコードセットが ASCII の場合に
表示できない文字を含む様々な(メッセージ?)についての出力の切り詰めを修正する.
* build: Fix builds that attempt to link a kerberised libldns. bz#2603
build: ケルベロス化された libldns をリンクしようとするビルドを修正する.
bz#2603
* build: Fix compilation problems caused by unconditionally defining
_XOPEN_SOURCE in wide character detection.
build: ワイド文字検出で 無条件に定義された _XOPEN_SOURCE に起因する
コンパイルの問題を修正する.
* sshd(8): Fix sandbox violations for clock_gettime VSDO syscall
fallback on some Linux/X32 kernels. bz#2142
いくつかの Linux/X32 カーネルでの clock_gettime VSDO syscall
フォールバックによるサンドボックスの破壊を修正する.