春山です.
OpenSSH 4.2(?)のリリースが近いようです.
openssh-unix-dev での 「Call for release testing」 メール
http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=112471383912792&w=2
中にあった変更点を適当に訳しましたの紹介します.
大きなセキュリティの修正はありません.
zlibによる圧縮の開始をユーザの認証後にするようにサーバ側で設定できるのは
よいですね.
----------
- Add a new compression method that delays the start of zlib
compression until the user has been authenticated successfully. The
new method "Compression=delayed" is on by default in the server.
This eliminates the risk of another zlib vulnerability leading to
a compromise of the server by a user without authentication
credentials.
zlib圧縮の開始をユーザの認証が成功するまで遅らせる新しい圧縮法を
追加した. この新しい方法 "Compression=delayed" は, サーバで
デフォルトである. これは, ユーザが認証の前にサーバを攻撃することを
許すzlibの脆弱性による危険を除去する.
NB. Older OpenSSH (<3.5) version have a bug which will cause them
to refuse to connect to any server that does not offer compression
when the client has compression requested. Since the new "delayed"
server mode isn't supported by these older clients, they will
refuse to connect to a new server unless compression is disabled
(on the client end) or the original compression method is enabled
on the server ("Compression=yes" in sshd_config)
注意: (3.5)より古いOpenSSHのバージョンのクライアントには,
圧縮を要求された時に圧縮を提供しないサーバへの接続を
拒否してしまうバグが存在する. 新しい "delayed" サーバモードは,
これらの古いクライアントをサポートしない. クライアント側で
圧縮を無効にするか, サーバ側で元々の圧縮法を有効にする
(sshd_config で "Compression=yes") かしないと,
古いクライアントは新しいサーバへの接続を拒否する.
- Another round of proactive changes for signed vs unsigned integer
bugs has been completed, including changing the atomicio() API to
encourage safer programming. As a result of these changes, OpenSSH
is now "gcc -Wsign-compare" clean on most platforms.
符号付き整数と符号無し整数があることに起因する
バグに対する積極的な変更の再実施が完了した.
これには より安全なプログラミングを奨励する atomicio() API
の変更が含まれている. この変更の結果, OpenSSH は ほとんどの環境で
"gcc -Wsign-compare" クリーンとなった.
- Added support for the improved arcfour cipher modes from
draft-harris-ssh-arcfour-fixes-02. The improves the cipher's
resistance to a number of attacks by discarding early keystream
output.
draft-harris-ssh-arcfour-fixes-02による改善された arcfour 暗号モードの
サポートが追加された. 初期の鍵ストリームの出力を捨てることで, 多くの攻撃
に対する暗号の体制が改善される.
- Increase the default size of new RSA/DSA keys generated by
ssh-keygen from 1024 to 2048 bits.
ssh-keygenで生成される新しいRSA/DSA鍵のデフォルトのサイズが
1024bitから2048bitに増やされた.
- Many bugfixes and improvements to connection multiplexing,
including:
接続の多重化に対するたくさんのバグ修正と改善.
以下が含まれている:
- Added ControlMaster=auto/autoask options to support opportunistic
multiplexing (see the ssh_config(5) manpage for details).
日和見多重化のサポートのための ControlMaster=auto/autoask
が追加された (詳細は ssh_config(5) の man)
- The client will now gracefully fallback to starting a new TCP
connection if it cannot connect to a specified multiplexing
control socket
クライアントが 指定された多重化コントロールソケットに接続できなかったときに
新しいTCP接続を開始するフォールバックを素直にするようになった.
- Added %h (target hostname), %p (target port) and %r (remote
username) expansion sequences to ControlPath. Also allow
ControlPath=none to disable connection multiplexing.
ControlPath に %h (ターゲットのホスト) %p (ターゲットのポート)
%r (リモートユーザネーム) の表現が追加された. また, 接続の多重化
を無効にする ControlPath=none も許されるようになった.
- Implemented support for X11 and agent forwarding over multiplexed
connections. Because of protocol limitations, the slave
connections inherit the master's DISPLAY and SSH_AUTH_SOCK rather
than distinctly forwarding their own.
多重化された接続の上でのX11とエージェントの転送のサポートが実装された,
プロトコルの制約から, スレーブの接続は, それ自体が明示的に転送する
DISPLAY と SSH_AUTH_SOCK よりも, マスターのものを継承する.
- The following bugs from http://bugzilla.mindrot.org/ were closed:
http://bugzilla.mindrot.org/ からの次のバグが閉じられた.
#1025 - Correctly handle disabled special character in ttymodes
#1054 - Don't terminate connection on getpeername() failure
#1046 - AIX 5.3 Garbage on Login
#623 - Don't use $HOME in manpages
#829 - Don't allocate a tty if -n option is set
#471 - Misleading error message if /dev/tty perms wrong
#1033 - Fix compile-time warnings
#1025 - ttymode で無効にされた特別な文字を正しく処理する
#1054 - getpeername()の失敗で接続が終了させない
#1046 - AIX 5.3 でのログイン時のゴミ
#623 - man で $HOME を使わない
#829 - -n オプションが設定されているときに ttyを確保しない
#471 - /dev/ttyのパーミッションがおかしいときに, エラーメッセージが誤解を生む
#1033 - コンパイル時の警告の修正
- Lots of other improvements and fixes. Please refer to the ChangeLog
for details
他にもたくさんの改善と修正がある. 詳細は ChangeLog を参照せよ.