OpenSSH 7.9 リリース準備中 / Call for testing: OpenSSH 7.9

OpenSSH 7.9 がリリース準備中です.

Call for testing: OpenSSH 7.9

主にバグ修正のリリースです.

https://lists.mindrot.org/pipermail/openssh-unix-dev/2018-October/037245.html (暫定版)

Potentially-incompatible changes
================================

潜在的に非互換な変更

This release includes a number of changes that may affect existing
configurations:

このリリースは既存の設定に影響するかもしれない変更がいくつか含まれている:

 * ssh(1), sshd(8): the setting of the new CASignatureAlgorithms
   option (see below) bans the use of DSA keys as certificate
   authorities.

   ssh(1), sshd(8): (後述する)新しい CASignatureAlgorithms の設定が
   認証局での DSA 鍵の利用を禁止する.

 * sshd(8): the authentication success/failure log message has
   changed format slightly. It now includes the certificate
   fingerprint (previously it included only key ID and CA key
   fingerprint).

   sshd(8): 認証成功/失敗ログメッセージの形式が少し変わる.
   証明書の指紋も含むようになる (以前は 鍵の ID と認証局の
   鍵の指紋のみを含んでいた).

Changes since OpenSSH 7.8
=========================

This is primarily a bugfix release.

これは主にバグ修正のリリースだ.

New Features
------------

新機能

 * ssh(1), sshd(8): allow most port numbers to be specified using
   service names from getservbyname(3) (typically /etc/services).

   ssh(1), sshd(8): (典型的に /etc/services に記載される) getservbyname(3
   からのサービス名を用いたほとんどのポート番号の指定を許可する.

 * ssh(1): allow the IdentityAgent configuration directive to accept
   environment variable names. This supports the use of multiple
   agent sockets without needing to use fixed paths.

   ssh(1): IdentityAgent 設定項目が環境変数名を受け入れる. これにより,
   固定したパスの利用を必要とせずに複数のエージェントソケットの
   利用をサポートする.

 * sshd(8): support signalling sessions via the SSH protocol.
   A limited subset of signals is supported and only for login or
   command sessions (i.e. not subsystems) that were not subject to
   a forced command via authorized_keys or sshd_config. bz#1424

   sshd(8): SSH プロトコル経由のセッションでのシグナルをサポートする.
   制限されたシグナルのサブセットがサポートされ, ログインセッションか
   authorized_keys や sshd_config でコマンドを強制されていないコマンド
   セッションでのみ利用できる (すなわちサブシステムでは無効).

 * ssh(1): support "ssh -Q sig" to list supported signature options.
   Also "ssh -Q help" to show the full set of supported queries.

   ssh(1): "ssh -Q sig" でサポートされた署名オプションを列挙する.
   また, "ssh -Q help" でサポートされた検索のフルセットを示す.

 * ssh(1), sshd(8): add a CASignatureAlgorithms option for the
   client and server configs to allow control over which signature
   formats are allowed for CAs to sign certificates. For example,
   this allows banning CAs that sign certificates using the RSA-SHA1
   signature algorithm.

   ssh(1), sshd(8): CASignatureAlgorithms 設定項目を追加する.
   クライアントとサーバの設定で, 認証局が証明書に署名する
   署名の形式を制御できるようになる. 例えば, RSA-SHA1 署名
   アルゴリズムを用いて証明書に署名する認証局を禁止できる.

 * sshd(8), ssh-keygen(1): allow key revocation lists (KRLs) to
   revoke keys specified by SHA256 hash.

   sshd(8), ssh-keygen(1): 鍵失効リスト(KRL) で SHA256 ハッシュで
   鍵を指定して無効にできる.

 * ssh-keygen(1): allow creation of key revocation lists directly
   from base64-encoded SHA256 fingerprints. This supports revoking
   keys using only the information contained in sshd(8)
   authentication log messages.

   ssh-keygen(1): base64 エンコードされた SHA256 指紋から直接
   鍵失効リストを作成できる. sshd(8) の認証ログメッセージに含まれる
   情報だけから鍵を失効できる.

Bugfixes
--------

バグ修正

 * ssh(1), ssh-keygen(1): avoid spurious "invalid format" errors when
   attempting to load PEM private keys while using an incorrect
   passphrase. bz#2901

   ssh(1), ssh-keygen(1): 不正なパスフレーズを用いて PEM 秘密鍵を
   ロードしようとした際のおかしな "invalid format" エラーを回避する.

 * sshd(8): when a channel closed message is received from a client,
   close the stderr file descriptor at the same time stdout is
   closed. This avoids stuck processes if they were waiting for
   stderr to close and were insensitive to stdin/out closing. bz#2863

   sshd(8): クライアントからチャンネルを閉じるメッセージを受け取った際に
   stdout が閉じるのと同時に stderr ファイルディスクリプタを閉じる.
   stderr が閉じられるのを待ち stdin/out が閉じられても感知しない
   プロセスが動かなくなるのを避ける. bz#2863

 * ssh(1): allow ForwardX11Timeout=0 to disable the untrusted X11
   forwarding timeout and support X11 forwarding indefinitely.
   Previously the behaviour of ForwardX11Timeout=0 was undefined.

   ssh(1): 信用されていない X11 転送のタイムアウトを無効にし 無期限に
   X11 転送をサポートする ForwardX11Timeout=0 設定が可能になる.
   以前は ForwardX11Timeout=0 の振舞いは未定義だった.

 * sshd(8): when compiled with GSSAPI support, cache supported method
   OIDs regardless of whether GSSAPI authentication is enabled in the
   main section of sshd_config. This avoids sandbox violations if
   GSSAPI authentication was later enabled in a Match block. bz#2107

   sshd(8): GSSAPI サポートありでコンパイルされた場合, sshd_config の
   メイン部分で GSSAPI が有効かどうかに関係なくサポートされた
   メソッドの OID をキャッシュする. GSSAPI 認証が後で Match ブロックで
   有効になった場合に, サンドボックスの破壊を避ける.

 * sshd(8): do not fail closed when configured with a text key
   revocation list that contains a too-short key. bz#2897

   sshd(8): 非常に短い鍵を含むテキストの鍵失効リストありで設定した
   場合に失敗しない. bz#2897
   (https://bugzilla.mindrot.org/show_bug.cgi?id=2897 によると 7.6
   以降でログインできなくなる模様)

 * ssh(1): treat connections with ProxyJump specified the same as
   ones with a ProxyCommand set with regards to hostname
   canonicalisation (i.e. don't try to canonicalise the hostname
   unless CanonicalizeHostname is set to 'always'). bz#2896

   ssh(1): ホスト名正規化に関して ProxyJump で指定された接続を
   ProxyCommand で設定された接続と同じように扱う (すなわち,
   CanonicalizeHostname が 'always' に設定されていなければ
   ホスト名の正規化を試みない). bz#2896

 * ssh(1): fix regression in OpenSSH 7.8 that could prevent public-
   key authentication using certificates hosted in a ssh-agent(1)
   or against sshd(8) from OpenSSH <7.8.

   ssh(1): OpenSSH 7.8 より前の ssh-agent(1) で保持された
   証明書にを用いたもしくは OpenSSH 7.8 より前の sshd(8)に対する
   公開鍵認証が妨げられる OpenSSH 7.8 での 退行を修正する.

Portability
-----------

移植性

 * All: support building against the openssl-1.1 API. The
   openssl-1.0 API will remain supported at least until OpenSSL
   terminates security patch support for that API version.

   すべて: openssl-1.1 API に対するビルドをサポートする. openssl-1.0
   API は 少なくとも 1.0 API へのセキュリティパッチサポートを
   OpenSSL が止めるまではサポートされるだろう.

 * sshd(8): allow the futex(2) syscall in the Linux seccomp sandbox;
   apparently required by some glibc/OpenSSL combinations.

   sshd(8): Linux seccomp サンドボックスで futex(2) システムコールを
   許可する; いくつかの glibc/OpenSSL の組合せで必要となる模様だ.

 * sshd(8): handle getgrouplist(3) returning more than
   _SC_NGROUPS_MAX groups. Some platforms consider this limit more
   as a guideline.

   sshd(8): _SC_NGROUPS_MAX よりも多いグループを返す getgrouplist(3)
   を扱う. いくつかのプラットフォームはこの制限をガイドラインとして
   考慮している.