リリースノート ver6.0~6.6.0|Tectia SSH ソリューション
Tectia SSH Client|Server
- 2022.12.01 Tectia Quantum SSH 6.6.0 リリース
- 2022.12.01 Tectia SSH 6.5.1および6.5.2リリース
- 2021.10.04 Tectia SSH 6.4.19リリース
- 2020.04.26 Tectia SSH 6.4.18リリース
- 2017.09.22 Tectia SSH 6.4.15リリース
- 2017.04.10 Tectia SSH 6.4.14リリース
- 2016.09.01 Tectia SSH 6.4.13リリース
- 2016.03.04 Tectia SSH 6.4.12リリース
- 2015.08.24 Tectia SSH 6.4.10リリース
- 2014.05.12 Tectia SSH 6.4.6リリース
- 2014.05.12 Tectia SSH 6.3.10リリース
- 2013.09.10 Tectia SSH 6.4.3リリース
- 2013.04.19 Tectia SSH 6.3.5リリース
- 2012.11.07 Tectia Client 6.0.20J 日本語版リリース
- 2012.11.07 Tectia 6.2.3リリース
- 2011.06.01 Tectia Client 6.0.10Jリリース
- 2011.06.01 Tectia 6.1.8リリース
- 2011.06.01 Tectia 6.0.17リリース
- 2010.04.12 SSH Tectia Client 6.0.9 日本語版リリース
- 2009.12.17 SSH Tectia 6.0.14リリース
- 2009.05.01 SSH Tectia 6.0.9リリース
- 2008.11.17 SSH Tectia 6.0.5リリース
- 2008.09.01 SSH Tectia 6.0.2リリース
- 2008.06.20 SSH Tectia 6.0.1リリース
2022.12.01
SSHコミュニケーションズ・セキュリティ社(SSH社)より、量子暗号に対応したTectia Quantum SSH 6.6.0がリリースされました。
Tectia Quantum SSH Client/Server 6.6.0について
- Tectia Quantum SSH Client/Server 6.6.0は、Linux、AIX、Windowsのx86-64プラットフォーム上でのみ利用可能です。
- Tectia Quantum SSH Client Windows版では、日本語版GUIが使用可能となっております。
- バージョン6.6.0について、現時点(2022/12)ではTectia Quantum SSH Client/Serverのみのリリースとなります。
- Tectia Quantum SSH Client/Server 6.6.0は、ライセンス形態が「サブスクリプション形式」となります。従来のTectia SSH Client/Serverからの更新をご希望のお客様に関しましては、弊社SSH担当営業までお問い合わせください。
メールアドレス:info@dit.co.jp
重要な変更点
Tectia Quantum Client/Tectia Quantum Server
- Tectia Quantum Safe Edition ライセンス ファイルは、従来の ECDH アルゴリズムと共にハイブリッド鍵交換で使用される Post Quantum Cryptography (PQC) アルゴリズム SABRE、CHRYSTALS/Kyber、FrodoKEM、および Streamlined NTRU Prime を有効にします。PQC と ECDH アルゴリズムの両方が鍵の材料となり、最強の合成鍵と少なくとも同程度には破れないセッション鍵が得られます。ハイブリッド方式は、将来的にいずれかのアルゴリズムに弱点が発見された場合、記録されたセキュアシェルセッションに対する攻撃のリスクを軽減することができます。
クライアント側のTectia Clientバージョン6.6以降またはOpenSSHバージョン9.0以上では、PQCハイブリッドKEXアルゴリズムのうち少なくとも1つをサポートし、優先的にする必要があることに注意してください。そうでない場合、デフォルトで従来のKEXアルゴリズムが使用されます。
設定を変更した6.5.1から、または6.4.xからアップグレードする場合、Post Quantum Cryptography (PQC) アルゴリズムにはTectia Quantum Safe Editionライセンスが必要であり、明示的に設定しない限り有効化されないことに注意してください。PQC ハイブリッド KEXを強制する設定手順については、設定ディレクトリにあるTectia Server のサンプルファイルssh-server-config-example.xml を参照してください。
Tectia Quantum Client
- SHA-1 ハッシュ アルゴリズムで脆弱性が発見されたため、署名と鍵交換での SHA1 アルゴリズムがTectia Clientのデフォルトから削除されました。これらのアルゴリズムは、特定のレガシー サーバに接続するときのプロファイル設定など、レガシーな理由から引き続き有効にすることができます。フォールバック設定については、システム全体の設定ディレクトリにあるTectia Clientのサンプルファイルssh-broker-config-example.xmlを参照してください。SHA-1アルゴリズムはセキュリティ上の問題から非推奨であり、レガシーへの依存が重要でない限り、有効化すべきではありません。SHA-1 アルゴリズムを有効にすることは、弊社では推奨しておりません。
* ssh-rsa (RSA/SHA1) は、公開鍵署名アルゴリズムにもホスト鍵アルゴリズムのデフォルト値にも含まれなくなりました。既存の RSA鍵には SHA2型 (例: rsa-sha2-256、ssh-rsa-sha256@ssh.com) を使用することを推奨します。
* ssh-dss (DSA/SHA1) は、公開鍵署名アルゴリズムにもホスト鍵アルゴリズムにも含まれなくなりました。既存の DSA鍵に SHA2型 (ssh-dss-sha256@ssh.com など) を使用し、追加の RSA、ED25519、または ECDSA鍵を作成して、サードパーティのクライアント/サーバとの相互運用性を向上させることを推奨します。
* diffie-hellman-group-exchange-sha1 (DH-GEX-SHA1) と diffie-hellman-group14-sha1 は、鍵交換のデフォルト値に含まれなくなりました。SHA2型 (例: diffie-hellman-group-exchange-sha256 および diffie-hellman-group14-sha256) を使用することを推奨します。
SHA2型 @ssh.com アルゴリズムは、2011 年にリリースされたバージョン 6.2.0 以降、Tectia Client/Server でサポートされています。バージョン 6.4.18 以降、標準化されています。
HMAC SHA1 アルゴリズムは、クライアントのデフォルトのままです。NIST はデジタル署名に SHA-1 を使用することを正式に非推奨にしましたが、HMAC のセキュリティは衝突に対する耐性がある基礎となるハッシュ関数に依存しないため、SHA-1 は HMAC に対して安全であると見なされています。
CBC モードの暗号は、クライアントのデフォルトに含まれなくなりました。現在のバージョンには既知の脆弱性はありませんが、GCM などのより優れたカウンター モードが利用可能です。CBC モード暗号は、クライアントの設定で有効にすることができます。この変更は、セキュリティ監査での誤検出を軽減するために行われました。可能な限り CBC モードよりも CTR モードと GCM モードを使用し、他の 2つのカウンターモードを暗号で使用できない場合にのみ CBC モードを使用することを推奨します。
主な新機能
Tectia Quantum Client/Tectia Quantum Server
- 全OS共通:Post Quantum Cryptography (PQC) のハイブリッド鍵交換アルゴリズムのサポートを追加しました。Tectia Quantum Safe Editionのライセンスがインストールされている場合、以下のPQCハイブリッドKEXアルゴリズムがサポートされ、デフォルトで有効化されます。
. ecdh-nistp521-firesaber-sha512@ssh.com
. ecdh-nistp521-kyber1024-sha512@ssh.com
. curve25519-frodokem1344-sha512@ssh.com
. sntrup761x25519-sha512@openssh.com
Tectia Client はデフォルトで、上記の順序で従来の KEX アルゴリズムよりも PQC ハイブリッド KEX アルゴリズムを優先します。 - IBM AIX 7.3 のサポートを追加しました。
不具合修正の内容
Tectia Quantum Client/Tectia Quantum Server
- 全OS共通:OCSPレスポンダに対するチェックに失敗した場合、有効なCRLが利用可能であっても、time-interval-was-invalidというエラーでCertificate_validation_failureとなる可能性のある問題を修正しました。
Tectia Quantum Client
- 全OS共通:Tectia Client Configuration GUIにおいて、プロファイルの "use proxy rule "が切り替えられた時、正しく無効化されるようになりました。
Tectia Quantum Server
- 全OS共通:証明書バリデータのキャッシュサイズ設定パラメータが300MBに増加しました。
※その他の新機能、修正点、既知の問題に関してはリリースノートをご参照ください。
2022.12.01
SSHコミュニケーションズ・セキュリティ社(SSH社)より最新バージョンのTectia SSH 6.5.1および6.5.2がリリースされました。
新機能及び、以前のバージョンで発生していたいくつかの不具合について修正があります。
Tectia Client/Server 6.5.2について
- バージョン6.5.2は、バージョン6.5.1(Linuxプラットフォーム)における不具合を修正したバージョンとなります。Linuxプラットフォームのみ存在します。不具合の詳細は以下「不具合の修正」をご参照ください。
- Linuxプラットフォーム以外のパッケージは、バージョン6.5.1となります。
重要な変更点
Tectia Client
- CTR モードの暗号 aes128-ctr、aes192-ctr、および aes256-ctr は、クライアントのデフォルト値で CBC モードの暗号よりも優先されます。また、3des-cbc がデフォルトから削除されました。
SHA-1 ハッシュ アルゴリズムで脆弱性が発見されたため、将来のリリースでは署名と鍵交換での SHA1 アルゴリズムがTectia Clientのデフォルトから削除されます。バージョン 6.4.18 以降、SHA2 はTectia Clientのデフォルト設定では SHA1 よりも優先されています。
今後のリリース:
* ssh-rsa (RSA/SHA1) は、公開鍵署名アルゴリズムにもホスト鍵アルゴリズムのデフォルト値にも含まれなくなります。既存の RSA鍵には SHA2型 (例: rsa-sha2-256、ssh-rsa-sha256@ssh.com) を使用することを推奨します。
* ssh-dss (DSA/SHA1) は、公開鍵署名アルゴリズムにもホスト鍵アルゴリズムにも含まれなくなります。既存の DSA鍵に SHA2型 (ssh-dss-sha256@ssh.com など) を使用し、追加の RSA、ED25519、または ECDSA鍵を作成して、サードパーティのクライアント/サーバとの相互運用性を向上させることを推奨します。
* diffie-hellman-group-exchange-sha1 (DH-GEX-SHA1) と diffie-hellman-group14-sha1 は、鍵交換のデフォルト値に含まれなくなります。SHA2型 (例: diffie-hellman-group-exchange-sha256 および diffie-hellman-group14-sha256) を使用することを推奨します。
SHA2型 @ssh.com アルゴリズムは、2011 年にリリースされたバージョン 6.2.0 以降、Tectia Client/Server でサポートされています。バージョン 6.4.18 以降、標準化されています。
Tectia Server
- 以前の非推奨警告の代わりに、サーバのデフォルトから SHA1 アルゴリズムを無効にしました。 これらのアルゴリズムは、従来の理由から手動で有効にすることができます。 SHA-1 アルゴリズムはセキュリティ上の問題により非推奨であり、重要なレガシー依存関係なしに有効にすべきではありません。SHA-1 アルゴリズムを有効にすることは推奨しません。
* ssh-rsa (RSA/SHA1) は、公開鍵署名アルゴリズムにもホスト鍵アルゴリズムのデフォルト値にも含まれなくなりました。既存の RSA鍵には SHA2型 (例: rsa-sha2-256、ssh-rsa-sha256@ssh.com) を使用することを推奨します。
* ssh-dss (DSA/SHA1) は、公開鍵署名アルゴリズムにもホスト鍵アルゴリズムにも含まれなくなりました。既存の DSA鍵に SHA2型 (ssh-dss-sha256@ssh.com など) を使用し、追加の RSA、ED25519、または ECDSA鍵を作成して、サードパーティのクライアント/サーバとの相互運用性を向上させることを推奨します。
* diffie-hellman-group-exchange-sha1 (DH-GEX-SHA1) と diffie-hellman-group14-sha1 は、鍵交換のデフォルト値に含まれなくなりました。SHA2型 (例: diffie-hellman-group-exchange-sha256 および diffie-hellman-group14-sha256) を使用することを推奨します。
SHA2型 @ssh.com アルゴリズムは、2011 年にリリースされたバージョン 6.2.0 以降、Tectia Client/Server でサポートされています。バージョン 6.4.18 以降、標準化されています。
HMAC SHA1 アルゴリズムは、クライアントのデフォルトのままです。NIST はデジタル署名に SHA-1 を使用することを正式に非推奨にしましたが、HMAC のセキュリティは衝突に対する耐性がある基礎となるハッシュ関数に依存しないため、SHA-1 は HMAC に対して安全であると見なされています。
CBC モードの暗号は、クライアントのデフォルトに含まれなくなりました。現在のバージョンには既知の脆弱性はありませんが、GCM などのより優れたカウンター モードが利用可能です。CBC モード暗号は、クライアントの設定で有効にすることができます。この変更は、セキュリティ監査での誤検出を軽減するために行われました。可能な限り CBC モードよりも CTR モードと GCM モードを使用し、他の 2つのカウンターモードを暗号で使用できない場合にのみ CBC モードを使用することを推奨します。
主な新機能
6.5.1での新機能
Tectia Client/Server
- Windows 11、Windows Server 2022、SUSE Linux Desktop 15、SUSE Linux Enterprise Server 15 (x86-64)のサポートを追加しました。
- 全OS共通:ユーザ証明書およびホスト証明書のx509-certificate-chainと、RFC6187で定義された標準的なX.509v3署名アルゴリズムのサポートを追加しました。以下の署名アルゴリズムとホストキーアルゴリズムがサポートされました。
. x509v3-rsa2048-sha256
. x509v3-ecdsa-sha2-nistp256
. x509v3-ecdsa-sha2-nistp384
. x509v3-ecdsa-sha2-nistp521
. x509v3-ssh-dss (サーバ側では DSA/SHA1 がデフォルトで有効になっていません)
. x509v3-ssh-rsa (サーバ側では RSA/SHA1 がデフォルトで有効になっていません) - 全OS共通:OpenSSHのユーザ証明書およびホスト証明書のサポートを追加しました。以下の署名アルゴリズムおよびホスト鍵アルゴリズムをサポートしました。
. ecdsa-sha2-nistp256-cert-v01@openssh.com
. ecdsa-sha2-nistp384-cert-v01@openssh.com
. ecdsa-sha2-nistp521-cert-v01@openssh.com
. ssh-ed25519-cert-v01@openssh.com
. rsa-sha2-256-cert-v01@openssh.com
. rsa-sha2-512-cert-v01@openssh.com
. ssh-rsa-cert-v01@openssh.com (RSA/SHA1はデフォルトでは有効になっていません)
. ssh-dss-cert-v01@openssh.com (DSA/SHA1 はデフォルトで有効になっていません) - 全OS共通:標準化されたcurve25519-sha256をサポートしないサードパーティの実装との相互運用性を高めるために、クライアントとサーバの鍵交換アルゴリズムのデフォルトにcurve25519-sha256@libssh.org を追加しました。
Tectia Client
- Windows:Tectia Clientのファイル転送GUIとターミナルGUIで、日本語文字セットShift-JISに対応しました。
- Windows:Tectia Clientのファイル転送GUIとターミナルGUIで、UTF-8に対応しました。
Tectia Server
- 全OS共通:有効期間が短い X.509v3 または OpenSSH 証明書を使用したゼロトラスト証明書ベースのユーザ認証。Just-In-Time (JIT) アクセス管理のために、アクセス制御を PrivX に委譲します。PrivX バージョン22 以降がサポートされています。
不具合修正の内容
6.5.1での不具合修正
Tectia Client
- 全OS共通:新しいホスト鍵がユーザによって保存されなかった場合、またはバッチモードにより拒否された場合に、scpg3クライアントのクラッシュにつながることがある競合状態を修正しました。
- 全OS共通:SHA2 署名アルゴリズムは、エージェント転送プロトコルバージョン 1を実装するOpenSSHエージェント転送で RSA鍵で使用できるようになりました。
Tectia Server
- Linux:Tectia Server ssh-server-ctl は、RHEL 7、8、SUSE 12、および SUSE 15 で systemd を使用してサービスを停止および開始するようになりました。
推奨コマンド:systemctl [start|stop|restart|status] ssh-server-g3
設定の更新には、ssh-server-config.xml の設定を検証する 'ssh-server-ctl reload' を推奨します。 - Windows Server:ホームディレクトリが仮想ルートとして構成されている場合、仮想フォルダへのアクセスに相対パスを使用しても失敗しなくなりました。
6.5.2での不具合修正
Tectia Server
- SELinuxが有効なLinux:バージョン6.4.xから 6.5.1 へのアップグレードに関する問題を修正しました。6.5.1 では、/tmp/ssh-server-g3 が手動で削除されていないと、アップグレードが失敗していました。
※その他の新機能、修正点、既知の問題に関してはリリースノートをご参照ください。
2021.10.04
SSHコミュニケーションズ・セキュリティ社(Tectia社)より最新バージョンのTectia SSH 6.4.19がリリースされました。
新機能及び、以前のバージョンで発生していたいくつかの不具合について修正があります。
主な新機能
Tectia SSH Client
- 全OS共通:ホスト鍵ローテーション機能のサポート。
- 全OS共通:SSHクライアントでのユーザー認証鍵の更新が簡単になりました。
* 新しい鍵ペアを作成して公開鍵を更新、SSHサーバーにアップロードし、承認された鍵から古い公開鍵を削除します。
* SSHクライアントが古い鍵を使用してサーバーにログインするときに、自動的に更新を実行します。
Tectia SSH Server
- 全OS共通:ホスト鍵ローテーション機能のサポート。この機能をサポートするSSHクライアントに新しい鍵をアドバタイズします。
* これにより、SSHクライアントは既知のホスト鍵を自動的に更新できます。
* 自動および手動の両方のホスト鍵ローテーションがサポートされています。
* hostkeys-00@openssh.comグローバルリクエストを実装します。
不具合修正の内容
Tectia SSH Client/Server
- 全OS共通:ssh-keygen-g3がTectia鍵をOpenSSH形式に変換しない問題を修正しました。
- 全OS共通:sftpg3クライアントは、AWS SFTPに接続するときに作業ディレクトリのリダイレクトを正しく処理するようになりました。
2020.04.26
SSHコミュニケーションズ・セキュリティ社(Tectia社)より最新バージョンのTectia SSH 6.4.18がリリースされました。
新機能及び、以前のバージョンで発生していたいくつかの不具合について修正があります。
主な新機能
Tectia SSH Client/Server
- Linux:Red Hat Enterprise Linux 8に対応しました。
- AIX:AIX 7.2に対応しました。
- 全OS共通:暗号化アルゴリズム「AES-GCM」を新たにサポートしました。
- 全OS共通:AES-NIをサポートしました。
- 全OS共通:OpenSSH形式の秘密鍵をサポートしました。
また、以下はバージョン6.4.17にて追加された内容です。
Tectia SSH Client/Server
- Windows:Windows Server 2019に対応しました。
不具合修正の内容
Tectia SSH Client/Server
- 全OS共通:鍵交換アルゴリズム「diffie-hellman-group-exchange」で使用するグループ値の最小サイズが、1024から2048に増加しました。
2017.09.22
SSHコミュニケーションズ・セキュリティ社(Tectia社)より最新バージョンのTectia SSH 6.4.15がリリースされました。
新機能及び、以前のバージョンで発生していたいくつかの不具合について修正があります。
主な新機能
Tectia SSH Client
- Windows:環境変数DISPLAYを使用して、デフォルトのX11ディスプレイ設定を上書きするサポートが追加されました。デフォルトは ":0"で、Windowsのコマンドラインで "set DISPLAY =:1"コマンドを発行することで変更できます。
Tectia SSH Server
- OCSP検証対象の証明書に直接関係のないレスポンダをサポートします(RFC5019、RFC6960)。これは、OCSPレスポンダがocsp-responder設定データでCA証明書を発行することによって設定されます。
- 証明書検証に関連する監査メッセージは、検証プロセス中にOCSPまたはCRLが使用されたかどうかを示します。
不具合修正の内容
Tectia SSH Client/Server
- 全てのOS: 証明書を使用したクライアント認証が有効になっている時、稀にサーバー側がクラッシュする原因となるX.509証明書検証コードの競合状態が修正されました。証明書検証ツールの構成パラメータは、最大50MBの大規模失効リストを使用できるように上向きに調整されました。
- 全てのOS: TCPソケットリスナのバックログパラメータが増加し、ポート転送速度が向上しました。
- 全てのOS: 正当な理由なく有効なCRLがローカルキャッシュから削除された場合のエラーを修正しました。
- 全てのOS: OCSPレスポンスにresponseNonce(例えば、あらかじめ作成されたもの)が含まれておらず、レスポンスthisUpdateとproducedAtタイムスタンプが予期した間隔内にない場合、OCSPレスポンスが拒否されたバグを修正しました。
Tectia SSH Server
- 全てのOS: サーバーの再設定時に秘密鍵の保存機能でメモリリークする問題を修正しました。
- Linux: ADやNISのようなネットワークユーザーディレクトリを使用するときの遅延を避けるために、getgrent(3)を呼び出すのではなく、ライブラリコールgetgrouplist(3)を使用してユーザーグループメンバシップ情報を取得します。
- 全てのOS: 証明書/ CRLキャッシュに大きなCRLが含まれていた場合、証明書/ CRLキャッシュをロードできなかったバグを修正しました。
2017.04.10
SSHコミュニケーションズ・セキュリティ社(Tectia社)より最新バージョンのTectia SSH 6.4.14がリリースされました。
新機能及び、以前のバージョンで発生していたいくつかの不具合について修正があります。
主な新機能
共通項目: Tectia SSH Client/Server
- Windows:Windows Server 2016、及びAnniversary Updateを適用したWindows 10をサポートしました。
不具合修正の内容
Tectia SSH Client
- 全てのOS: ワイルドカード(*)を使用したsftpg3 chmodコマンドは、ディレクトリ内に1つのサブディレクトリしか存在しない場合、不正なアクセス権を設定しなくなりました。
- Windows/Linux: Tectia Connections Configuration GUIを使用して接続プロファイル用に保存されたパスワードは、GUI上でマスクされるようになりました。
Tectia SSH Server
- Windows: Tectia Server上でSFTPセッションを開くときに、仮想フォルダからのネットワークリソース接続はリークされなくなりました。
2016.9.1
SSHコミュニケーションズ・セキュリティ社(Tectia社)より最新バージョンのTectia SSH 6.4.13がリリースされました。
新機能及び、以前のバージョンで発生していたいくつかの不具合について修正があります。
主な新機能
共通項目: Tectia SSH Client/ConnectSecure/Server
- 本バージョンより、以下のOSはサポート対象外となります。
IBM AIX 5.3
Oracle Solaris 9
SLED 10及び11、SLES 9 - 全てのOS: インストール時に自動生成されるホスト鍵は、デフォルトで2048bitの鍵を生成されます。
- 全てのOS: 公開鍵認証用鍵は、デフォルトでRSAアルゴリズムの鍵を生成されます。
Tectia SSH Client/Server
- Windows: Windows 10をサポートしました。
※ Tectia SSH ConnectSecureは含まれません。
不具合修正の内容
共通項目:Tectia SSH Client/ConnectSecure/Server
- Windows: 誤解を避けるために、設定GUIの"CA Certificates"ページ上の"Enable DoD PKI compliancy"機能は"Enforce digital signature in key usage"に改名されました。
- Linux: 製品パッケージから、不要なファイルlibgcc_s.so.1 及びlibstdc++.so.6を削除しました。
- Windows: 既存のインストール中に通知されるMSIインストーラ内のテキストは翻訳されません。
Tectia SSH Client/ConnectSecure
- 全てのOS: OUサブジェクト内のアンパサンドが原因でブローカーのXMLエラーとクライアントの切断が発生する証明書ベースの認証の問題を修正しました。
- 全てのOS: 非特権で実行されているコネクションブローカーが権限を昇格した時、UACを許可しているマシン上のTectia Clientは失敗しません。
Tectia SSH Server
- Unix: X11転送を開始するときに入力検証を修正しました。
システムへのシェルアクセスを持たないユーザーは、CVE-2016から3115に概説された技術を使用して制限を回避できました。緩和する要素として、修正なしでもコマンドの出力はユーザーには表示されず、したがってこの場合の脆弱性は認証されたユーザーの権限レベルを持つファイル及びアウトバウンド接続の作成に限定されています。この脆弱性は制限されたユーザーアカウントの設定に限定されています(コマンドの強制または拒否、シェルの拒否)。 - Windows: 承認ファイルの定義はTectia Server設定GUIを使用して削除することができます。
Tectia SSH ConnectSecure
- Windows: 透過的TCP/FTPトンネル及びFTPプロキシは、ConnectExを使用して宛先に接続するアプリケーションで動作します。
- Windows: ConnectSecureアンインストール時にSSH Tectia AUX\Pluginsディレクトリの30-plugin_cipher_crypticore.dllは削除されません。
2016.3.4
SSHコミュニケーションズ・セキュリティ社(Tectia社)より最新バージョンのTectia 6.4.12がリリースされました。
新機能及び、以前のバージョンで発生していたいくつかの不具合について修正があります。
主な新機能
共通項目:Tectia SSH Client/ConnectSecure/Server
- 全てのOS: KEX(鍵交換アルゴリズム)について、 diffie-hellman-group1-sha1が初期設定値から除外されました。SSH-keyfetchユーティリティは、今後diffie-hellman-group14-SHA1を使用します。
- Windows: マイクロソフト社サポート終了に伴い、Windows 2003およびXPへの対応が終了しました。
- Windows: FIPSモードで使用するOpenSSLの暗号ライブラリのバージョンを1.0.2aに更新しました。
- Windows: Tectia SSH ServerパッケージはTectia SSH
Clientのコンポーネントが含まれています。Tectia SSH Clientがインストールされている場合は、Serverのインストール内で重ねてのインストールになります。
これは、Clientのコンポーネントなしでパッケージをインストールすることが可能です。
Tectia SSH ConnectSecureとServerのインストールは、2つのパッケージが同じバージョンである場合にのみサポートされます。
※Tecta Clientを正規版として利用する場合、別途Tectia SSH Clientのライセンスが必要となります。 - Linux: Tectia SSH Client、Server、ConnectSecureが、SLES 12およびSLED 12に対応しました。
Tectia SSH Client/ConnectSecure
- Windows:Tectiaコネクション設定GUIは最大8192ビットまでの鍵を作成することができるようになりました。
Tectia SSH Server
- Windows: プライマリアクセストークンは、パスワード認証、S4U、およびDAP全体で一貫して作成されます。
不具合修正の内容
Tectia SSH Client/ConnectSecure
- 全てのOS: 断続的に自動FTPトンネルを実行した時、自動FTPトンネルが失敗する問題を修正しました。
- 全てのOS: サーバ内に空のファイルを作成し、ファイル転送がエラーを発生せずに失敗する問題を修正しました。
- 全てのOS: Brokerの設定ファイル存在しない場合で"ssh-broker-ctl reload"がクラッシュする問題を修正しました。
- Windows: Tectia SSH Client設定GUIで、コピーしたコネクションプロファイルが破損する問題を修正しました。
- Windows: Tectia SSH Client設定GUIで、名前にドットを含むプロファイルのコピーに失敗する問題を修正しました。
- Windows: デバッグレベルを8以上に設定した場合でGUIクライアントが機能しなくなる問題を修正しました。
- Windows: Tectia SSH Client設定GUIで競合する名前を持つプロファイルをコピーした場合、プロファイルは上書きされる問題を修正思案した。
- Unix: ECDSA鍵のOpenSSHエージェントの転送が機能するよう修正しました。
Tectia SSH Client/Server
- 全てのOS: FIPSモードでは、1024ビット未満の小さい鍵での暗号化は拒否されるよう修正しました。
Tectia SSH Server
- Windows: サーバ/ユーザ認証中、認証ファイルに問題が発生した場合、認証がハングする問題を修正しました。
- Windows: S4U認証において、ローカルユーザを利用することは出来ません。
2015.8.24
SSHコミュニケーションズ・セキュリティ社(Tectia社)より最新バージョンのTectia SSH 6.4.10がリリースされました。
新機能及び、以前のバージョンで発生していたいくつかの不具合について修正があります。
主な新機能
共通項目
- Windows、Linux、Solaris、HP-UX(IA-64): FIPSモードで使用するOpenSSLの暗号ライブラリのリバージョンを1.0.2aに更新しました。HP-UX(PA-RISC)及びIBM AIXはOpenSSL暗号ライブラリのバージョン0.9.8を継続利用します。
- 全OS共通: Entrustの証明書への対応が終了しました。
- Linux: Tectia SSH Client、Server、ConnectSecureがRed Hat Enterprise Linux 7に対応しました。
- 全OS共通: RFC6668として規定される標準MACのhmac-sha2-256及びhmac-sha2-512に対応しました。Tectia製品でSHA-2 MACを使用する際に他製品との互換性が向上しました。
Tectia SSH Client/ConnectSecure
- Windows: Tectia SSH 設定GUIで署名アルゴリズムを設定する機能を追加しました。
- Windows: Tectia SSHターミナルGUIのQuick Connectダイアログに「Authentication Method(認証方式)」のドロップダウン・リストを追加しました。これにより既に使用する認証方式が設定で指定されているかどうかにかかわらずこれを選択することができるようになりました。
- Windows: Tectia SSH Clientにおいて、MSCAPIでトークンに保管した証明書に対してSHA-2がサポートできるようになりました。Tectia SSH 設定GUIで署名アルゴリズムを設定する機能を追加しました。
Tectia SSH Client/Server
- Windows: Tectia SSH Client及びServerがWindows 8.1に対応しました。
Tectia SSH Server
- Unix: 管理者が失効したパスワードのルールを変更できるようにTectia SSH Serverに設定エレメントを追加しました。
※その他の新機能に関してはリリースノートをご参照ください。
不具合修正の内容
Tectia SSH Client/ConnectSecure
- 全OS共通: パスフレーズの処理が待ち状態の通信処理において、Tectia SSH Connection Broker が接続しているSSHサーバがシャットダウンした場合に、Tectia SSH Connection Brokerのクラッシュが発生する場合があった問題を修正しました。
- 全OS共通: Tectia SSH コネクション設定GUIからtransport distribution elementエレメントを削除しました。本機能はすでにサポートされていません。
- Windows: あるフォルダから別のフォルダに接続プロファイルを移行することができなかったTectiaコネクション設定GUIの問題を解決しました。
- 全OS共通: 間違った権限が設定された設定ファイル読み込んだ際にssh-broker-g3がクラッシュする問題を修正しました。
- Windows: --append optionオプション使用時と同様にssh-broker-ctl debug --log-fileも常にログ・ファイルにメッセージを追加するようになりました。この変更はWindows以外の他のプラットホームには影響しません。
Tectia SSH Server
- Linux、Solaris: "/etc/passwd"及び"/etc/shadow"にエントリの無いユーザが指定したファイルにエントリが存在する必要がない認証方式を使用した場合でもTectia SSH Serverの承認に失敗する問題を修正しました。
- Linux: 2.18-16以降のglibcライブラリのLinuxディストリビューションで認証を行った後にターミナル接続がハングアップするTectia SSH Serverの問題を修正しました。注:本バージョン発表時点では、現行サポート対象のRHEL及びSUSEのバージョンはこれより以前のglibcバージョンであるため、この問題の影響を受けません。
- 全OS共通: 複数の監査メッセージがファイル転送時にログに記録されない原因となるTectia SSH Server側の問題を修正しました。
- 全OS共通: OpenSSHベースのSCPクライアントを使用して、Tectia SSH Serverに存在していないファイルを取得しようとした場合にTectia SSH Serverが"unknown error"を返す問題を修正しました。
- 全OS共通: Tectia SSH ServerがSSH_MSG_IGNOREメッセージでライセンスIDを送信しないようにしました。これは他製品のSSHサーバがこのメッセージを処理できない場合があるためです。
- 全OS共通: 承認ファイル・オプション"idle-timeout"で発生する問題を修正しました。この設定で、指定した鍵で公開鍵認証を行う場合に認証をアボートする問題を修正しました。
※その他の修正内容、既知の問題に関しては製品リリースノートに記載されております。弊社窓口にお問い合わせ下さい。
2014.5.12
SSHコミュニケーションズ・セキュリティ社(Tectia社)より最新バージョンのTectia SSH 6.4.6がリリースされました。
新機能及び、以前のバージョンで発生していたいくつかの不具合について修正があります。
主な新機能
共通項目
- Windows:Windowsのパッケージの署名に使用する証明書がアップデートされました。新しい証明書は自身の署名にSHA-2を使用します。Windows XP Service Pack 2はSHA-2をサポートしていません。その為証明書の完全性を保障できません(KB968730)。Windows Server 2003 Service Pack 2で証明書を有効にするにはホットフィックスKB968730を適用してください。
Tectia SSH Client/Server
- Windows:Windows 8及びWindows 2012 R2をサポートしました。
Tectia SSH Server
- 全OS共通:IPアドレスのホワイトリストを使用してconnection flood DoS攻撃を軽減する "load control" 機能を実装しました。本機能は、サーバのリソースを大量に使用することで通常のサービスが中断させるDoS攻撃に直面した場合にTectia Serverの起動と動作を維持します。
- 全OS共通:Tectia SSH ServerにTectiaマッパプロトコルを追加しました。これは、Tectia SSH Serverが外部データとローカルトンネリングの制約を照合する為に、Tectia SSH Serverと外部アプリケーション間の通信を提供するツールです。
- Windows:ssh-server-ctlの新しいオプション "add-pwd-cache-user" が追加されました。このコマンドは、サーバのパスワードキャッシュデータベースに指定したユーザと入力したパスワードを追加します。
※その他の新機能に関してはリリースノートをご参照ください。
不具合修正の内容
共通項目
- Windows:セキュリティ認証パッケージが大きすぎる場合に、GSSAPI認証が失敗する問題を修正しました。
- Windows:ユーザが送信先サーバを定義するためにホスト名、完全修飾ドメイン名またはIPアドレスを使用する場合でもGSSAPI経由で認証することができるようになりました。
Tectia SSH Client/ConnectSecure
- 全OS共通:Tectia SSH ファイル転送クライアントからVShellサーバ(VanDyke)にファイルを転送する際に、改行の変換に失敗する問題を修正しました。
- 全OS共通:Tectia SSH ClientからVShellサーバ(VanDyke)にASCIIモードでファイルを転送する際に、ファイル転送が強制終了する問題を修正しました。
- 全OS共通:再帰的にファイルを転送しかつ、ファイル転送の通知文字列の指定を設定ファイルで行った場合に、メモリ内容が破損する可能性がある問題を修正しました。
- Windows:Windows 8上でsshg3を実行した際に、稀にハングアップする原因となったバグを修正しました。
Tectia SSH ConnectSecure
- 全OS共通:SFTPサーバのバナーメッセージを表示するときに、SSH-FTP-proxyで発生したメモリリークの問題を修正しました。
- Unix:IPv4を用いたパッシブモードのネイティブFTPクライアントでの透過的FTPトンネリングが動作しない問題を修正しました。
Tectia SSH Server
- 全OS共通:負荷のかかったTectia SSH ServerでTectiaマッパプロトコルを使用している場合に発生するデッドロックの問題を修正しました。
- 全OS共通:高負荷時にssh-servant-g3プロセスがクラッシュする原因となっていたバグを修正しました。
- Windows:ドメインユーザを認証する際に、特定の条件下でTectia SSH Serverでメモリリークが発生する問題を修正しました。
- Windows:ドメインユーザを認証する際に、Tectia Serverのssh-servant-g3プロセスが強制終了するバグを修正しました。
※その他の修正内容に関してはリリースノートをご参照ください。
※その他の既知の問題に関してはリリースノートをご参照ください。
2013.9.10
SSHコミュニケーションズ・セキュリティ社(Tectia社)より最新バージョンのTectia SSH 6.4.3がリリースされました。
新機能及び、以前のバージョンで発生していたいくつかの不具合について修正があります。
主な新機能
Tectia SSH Client/Server
- Windows: Tectia SSH ClientおよびServerにWindows 2012のサポートを追加しました。
※Tectia SSH ConnectSecureではサポートしておりません。
Tectia SSH Client/ConnectSecure
- 全OS共通:サーバ認証のCA証明書にオプションとして"endpoint identity check"を追加しました。さらにホスト名が証明書のホスト名に一致しない場合に証明書に対し、ask、denyもしくはacceptのオプションを追加しました。
- 全OS共通:SITE Filetype=JESを取り扱う場合に、scpg3、sftpg3及びFTP変換でJOBIDを通知するようになりました。古いバージョンのTectia及び他社製クライアントでJOBIDを取得する方法に付いてはマニュアルを参照して下さい。
- 全OS共通:クライアント側にエージェントプロトコルのバージョン1及び2のサポートを追加しました(サーバ側はすでにサポート済みです)。
Tectia SSH ConnecSecure
- 全OS共通: FTP-SFTP変換を利用して通信を行った場合にFTPクライアントにSFTPサーババナー表示を実現できる機能を追加しました。
- 全OS共通:サーバ認証のCA証明書にオプションとして"endpoint identity check"を追加しました。さらにホスト名が証明書のホスト名に一致しない場合に証明書に対し、ask、denyもしくはacceptのオプションを追加しました。
Tectia SSH Server
- AIX: AIX版のTectia Serverは常に"startsrc -s ssh-tectia-server"コマンドを使用して立ち上がります。これは2個のssh-server-g3 processesを起動し、1つはサービスランチャとなりAIX System Resource Controllerと通信を行い、2つ目は通信を処理する通常のssh-server-g3プロセスとなります。サーバが接続状態でTectia Serverを停止した場合は、AIX System Resource ControllerはTectia Serverが停止したと認識しているが、通信はいまだにアクティブなため、AIX System Resource Controllerに対しては透過的となります。
不具合修正の内容
共通項目
- 全OS共通: ssh-broker-g3 とssh-servant-g3のメモリリークが発生する問題を修正しました。メモリリークは特定の状況のGSSAPI認証時に発生していました。
- 全OS共通: Tectia SSH Client、Server、ConnectSecureで相対パス./を使用した場合に実行モジュールが起動に失敗する問題を修正しました。
Tectia SSH Client/ConnectSecure
- Windows: GSSAPI認証の他社製非標準実装に対しての互換性を持ちました。
- 全OS共通: 環境変数SSH_SFTP_CMD_GETPUT_MODEが動作しない問題を修正しました。
- 全OS共通: scpg3 option "-a"使用時にASCII変換に失敗する問題を修正しました。
- 全OS共通: SOCKSプロキシモードで動作時にTectia SSH Connection Brokerがクラッシュし、プレーンモードに戻る問題を修正しました。
- 全OS共通: Tectia SSH Connection Brokerで、接続確立直後にsocksリスナが接断状態になった場合にクラッシュする問題を修正しました。
- Windows: Windowsのコマンドプロンプトでサーバにターミナルデータを送信時に Tectia SSH Clientがエラーを無視する問題を修正しました。この問題により文字をロストする問題は無くなりました。
- 全OS共通: Tectia SSH Connection Brokerをsocksプロキシとして動作させる際にコネクションがclose_wait状態で残ってしまう問題を修正しました。
Tectia SSH ConnectSecure
- 全OS共通: IPv6で透過的なFTPトンネリングを開いた際、IPv4リスナが作られる問題を修正しました。
- Unix: 透過的なFTPトンネリング及びFTP-SFTP変換の問題を修正しました。特定のFTPクライアントでIPv4及びIPv6アドレスを使用した際に失敗する問題を修正しました。
- Windows: リモートコマンド及び外部プログラム実行時に、コマンドの標準エラーが標準出力にリダイレクトする問題を修正しました。標準エラーが標準出力にリダイレクトをしないようになりました。)
Tectia SSH Server
- Windows: GSSAPI認証を使用した場合にTectia SSH Serverがクラッシュする問題を修正しました。
- AIX: APAR IV07310の修正パッチが適用されているAIXホストで、SSHのアクティブな接続がある場合にTectia Serverのバージョンアップを行うと、サーバの再起動を行いません。
- Windows: Tectia SSH Serverが高負荷時に大幅に処理が遅くなり何らかのトレース・メッセージの出力に失敗するサーバのログの問題を解決しました。
- 全OS共通: Tectia SSH Serverの動作について、ssh-server-config-default.xml設定ファイルで起動するか、または設定ファイルが無い状態で起動した場合でTectia Serverの動作に違いがあった問題を修正しました。
- 全OS共通: 強制コマンドが指定されている承認ファイルを実行した場合に、Tectia SSH Serverで設定を再ロードするとハングアップする問題を修正しました。
- Unix: ログインがあった場合にサーバがptyの無いセッションを識別する方法を変更しました。以前はssh-を使用しましたが、たとえばAIXではutmpファイルのサイズを間違って増やすことがありました。今回よりサーバはptyセッションの動きをエミュレートするようになり、常にssh-を使用して識別するようになりました。
※その他の既知の問題に関してはリリースノートをご参照ください。
2012.11.7
SSHコミュニケーションズ・セキュリティ社(Tectia社)よりTectia Client 6.0.20J日本語バージョンがリリースされました。
新機能及び、以前のバージョンで発生していたいくつかの不具合について修正があります。
主な新機能
- Windows: 新しくサポートされたプラットフォーム、Microsoft Windows 2008 Server R2
- 全OS共通: scpg3及びsftpg3クライアントのファイル転送情報の表示方法を改善しました。以下のパラメータが導入されました。
--summary-display
--summary-format
--progress-display
--progress-line-format
--progress-line-interval. - 全OS共通: Connection Brokerの構成ディレクトリの場所を指定する新しいオプションが導入されました。
- Windows: 区切り文字の選択において以下の2つのオプションが利用可能となりました。
. 単語
. パス - Windows: 接続の切断時にターミナルウインドウをクローズする為の新たなオプションを追加しました。
- Windows: 非Windowsサーバへの接続の際にターミナルベルの設定が可能となりました。
- 全OS共通: 鍵と証明書項目に鍵が1つしかない場合はインタラクティブに確認を行わない'interactive-ask'鍵選択ポリシをサポートしました。
- 全OS共通: ユーザ名を指定しなくても、確立した接続にデフォルトのユーザ名を設定する事が出来るようになりました。
- 全OS共通: 以下のパラメータにデフォルト値をセットするため、sftpg3に新しいコマンドを追加しました。
--summary-display
--summary-format
--progress-display
--progress-line-format
--progress-line-interval.
※その他の修正内容に関してはリリースノートをご参照ください。
不具合修正の内容
- Windows: inter-process-communication用のアクセス制御を修正しました。
- Unix: viエディタ上で特定の条件化で文字列のハイライトを行うと表示上文字欠けが発生する問題を修正しました。
- 全OS共通: 非常に古いタイプのSSH サーバに接続した際にTectia clientが切断される問題を修正しました。
※その他の不具合修正に関してはリリースノートをご参照ください。
既知の問題
- 日本語版: Tectia Clientがインストールされている端末にTectia Serverをインストールした時、それが別のインストール先だとTectia ClientのBrokerが起動しません。
回避策:インストールは同じ場所に対して行ってください。
- 日本語版: 構成GUIの"ユーザ認証"⇒"鍵と証明書"から鍵に設定されているパスフレーズの変更にて、パスフレーズを間違えるとBrokerが落ちてしまいます。
- 日本語版: サーバの文字コードがJISの場合、1文字ずつ入力すると文字化けが発生します。
- 日本語版: 大容量ファイルをcatした場合文字化けする可能性があります。
- 日本語版: サーバの文字コードがEUCの場合、SJISの文字列(ファイル名など)を表示させた後のEUCの文字列が化けることがあります。
- 日本語版: 鍵作成のウィザードにて"Next"などいくつかの表示が英語のままです。
- 日本語版: 鍵作成のウィザードにて日本語ファイル名での鍵作成はできません。
※その他の既知の問題に関してはリリースノートをご参照ください。
2012.11.7
SSHコミュニケーションズ・セキュリティ社(Tectia社)より最新バージョンのTectia 6.2.3がリリースされました。
新機能及び、以前のバージョンで発生していたいくつかの不具合について修正があります。
主な新機能
共通項目
- 全OS共通: 本バージョンでは"SSH Tectia"は"Tectia"に改名されました。製品名変更による、Tectiaの機能変更はありませんが、インストールされた製品名とバージョン文字列が変更されています。
- Linux Red hat: Tectia社はRed Hat Linux OSに対するサポートポリシを変更しました。明記がない限り、サポートされているメジャーリリースのすべてのマイナーリリースバージョン及び、サービスパックをサポートします。
- Oracle Linux 5.x (x86_64): Tectia Client/Server/ConnectSecureは新たなサポートOSとして、Oracle Linux 5.xを追加しました。
- AIX: Tectia Client/Server/ConnectSecureは新たなサポートOSとして、AIX 7.1を追加しました。
- Linux: Tectia Client/Server/ConnectSecureは新たなサポートOSとして、Red hat Enterprise Linux 6.0を追加しました。
- AIX: AIX上のEntrust Authority Security Manager のサポートを終了しました。
- 全OS共通: SecShプロトコル(KEXs、MACおよび公開鍵認証、デジタル署名、ホスト鍵及びX.509証明書)にSHA-2を追加しました。SHA-2(SHA-224, SHA-256, SHA-384, SHA-512)は"FIPS PUB 180-3"のハッシュ機能に準拠しております。
- 全OS共通: KEX,MAC,公開鍵認証及びhostkeyの優先署名アルゴリズムを設定する設定項目が追加されました。
Tectia Client/Tectia ConnectSecure
- 全OS共通: sftpg3コマンドに”exit-value=VALUE”コマンドが追加されました。バッチモードでエラー発生時のsftpg3の終了値を定義します。値は0から255の間になります。もしexit-valueが0以外に設定された場合、バッチの実行は最初にエラーが発生した時点で中止となります。デフォルト値は0です。
- 全OS共通: sftpg3コマンド"ls-l"の動作が変更されました。
現在は"ls+ z"と同じように動作します。 - 全OS共通: 暗号化アルゴリズム、Macsに下記の項目がデフォルト設定から除外されました。
- seed-cbc@ssh.com
- hmac-md5
- hmac-md5-96 - 全OS共通: Agentフォワーディング機能にSHA-2がサポートされました。
- Windows: ssh-broker-gui と ssh-broker-g3の使用方法を分けました。
これによりssh-broker-guiは設定GUIを起動し、Tectiaステータスウィンドウを起動する操作を行います。又ブローカの起動、停止に関してはダミーツールとして動作します。ssh-broker-g3は他のプラットフォームでの使用方法と同様に、ブローカのみの役割を実行することとなります。
これにより、Windowsクライアントで発現する性能及び安定性の向上に寄与します。 - 全OS共通:パスワードが定義されていないユーザのログイン動作が変更されました。
Tectia Server
- 全OS共通: 新機能として"Servant Lifetime"機能が追加されました。
この機能は各”Servant”プロセスが制御できる、コネクション数を制限することができます。特定の数のコネクションを取り扱った”Servant”プロセスは停止し、新しいServantプロセスが起動します。
※Unix OSはTectia Server Ver 6.2.0で、Windows OSはTectia Server 6.2.1よりサポートしております。 - 全OS共通: Tectia Server設定および設定GUIに中間CAのサポートを追加しました。
- 全OS共通: 下記新しいログメッセージを追加しました。
“403 Version exchange failure”.
- Windows, Linux: Tectia Serverに新しいオプション "require-dns-match" が追加されました。
Tectia Server Configuration - Authentication - Public-key Authentication項目に追加されます。
その他の新機能に関してはリリースノートをご参照ください。
不具合修正の内容
共通項目
- Windows: Tectia Client/Server/ConnectSecure インストールオプションにMicrosoft Visual C++ のライブラリパッケージを追加するオプションが表示されない問題を修正しました。
- 全OS共通: FIPSモード中では、Tectia Server及び、Connection Brokerで暗号化アルゴリズム、MACSに”none”を設定することはできません。
- 全OS共通: ssh-server-g3とssh-broker-g3 バイナリのコマンドラインオプションから”allow-macs”と”allow-ciphers”を削除しました。
Tectia Client/Tectia ConnectSecure
- Windows: 監査ログに”Event log”を設定している場合発生する、Tectia Connections Configurationの異常終了の問題を修正しました。
- 全OS共通: FIPSモード時に鍵のフィンガープリントを表示させた時、"ssh-keygen-g3"ツールが異常終了する問題を修正しました。
- 全OS共通: 時々発生するssh-broker-g3プロセスの異常終了の原因となる、接続終了時の競合問題について修正しました。
- 全OS共通: ユーザ鍵のパスフレーズをクリアした場合、特定の条件化でConnect Brokerプロセスが異常終了する問題を修正しました。
- 全OS共通: ssh-keygen-g3コマンドを利用して公開鍵ファイルを作成した場合、現在はグループ書き込み権限を設定しないように修正しました。
- 全OS共通: crypto-lib モードを変更した場合、Tectia Connect Brokerを再起動する必要があります。
- Windows,Linux: 特定の状況下においてPublic-key-Authenticationウィザードで、間違った接続プロファイルを使用した場合鍵のアップロードを許可しません。
Tectia ConnectSecure
- Windows: 接続先IPアドレスがローカル・ホストのIPアドレスが含まれていた場合、Transparent Tunnelingルールが設定されていたとしても接続することは拒否されます。
- AIX: AIX6.1以降ではCapture機能を利用する場合、Enhanced Role Based Access Control (RBAC)モードを無効にするか、再設定する必要があります。
Tectia Server
- 全OS共通: 低い性能や高い負荷状態のPCで、リモートコマンド実行時に正しいリターンコードが取得できない問題を修正しました。
- 全OS共通: crypto modeを変更した場合、Tectia Serverの設定変更を行うにはプロセスを停止し再起動する必要があります。
- 全OS共通: Authorizationファイルに複数のオプションがある場合に誤った動作を行う問題を修正しました。
- Windows: Servantプロセスがクラッシュする原因となる、Servantプロセス停止時の競合状態を修正しました。
- Windows: SSHクライアントのターミナルウインドウのサイズにより、Windows上のTectia Serverへのログインに失敗する問題を修正しました。
その他の修正内容に関してはリリースノートをご参照ください。
既知の問題
共通項目
- 全OS共通: 接続を処理する際の速度が特別遅いホスト上でFIPSモードを選択すると、標準モードに比べて処理速度が遅くなります。
- Linux SE: SE linuxが無効の時にcommonパッケージのインストールを行った時下記のエラーメッセージが出力されます。
- Windows:エラーメッセージ
"An error occurred during the installation of assembly component{B708EB72-AA82-3EB7-8BB0-D845BAB35C93D}.HRESULT: 0x80070BC9"
が出力されインストールに失敗した場合、Windows アップデートを利用して必要なOSパッチを適用してください。
- Linux on IBM System z: インストールパッケージにはFIPS 140-2準拠の暗号ライブラリが含まれていません。FIPS準拠のAES、3DES、SHA暗号アルゴリズムを使うには、System zアーキテクチャによって提供される暗号ハードウェアを利用してください。Tectiaでは標準で暗号アクセラレーションが有効になっています。
/usr/bin/chcon: can't apply partial context to unlabeled file
/opt/tectia/lib/shlib/libicudata.so.40
/usr/bin/chcon: can't apply partial context to unlabeled file
/opt/tectia/lib/shlib/libicuuc.so.40
このメッセージに重要な問題はありません。
但し、commonパッケージインストール後にSElinuxを有効にする場合、以下のコマンドを実行する必要があります。
/usr/bin/chcon -t textrel_shlib_t /opt/tectia/lib/shlib/*.so
Tectia Client/Tectia ConnectSecure
- Windows: Tectia Client/ConnectSecureアップグレード時、Transparent TCP Tunneling captureコンポーネントのインストールは失敗します。
回避方法: 旧バージョンをアンインストールしてリブートしてください、その後新しいバージョンをインストールして再起動を行ってください。
- Windows: ファイルにあるパスワードを--passwordオプションを使用して指定することができません。
- Windows: Windowsエクスプローラで"登録されている拡張子を表示しない"を有効にした場合、GUIファイル転送ツールの"Upload Dialog"からファイルをアップロードすることができません。
回避策:ファイルの拡張子を表示させてください。この問題は今後のメンテナンスリリースで修正予定です。
- Windows Vista: Tectia Clientの評価バージョンにおいて、設定画面から製品版ライセンスをインポートすることができません。
回避策:手動でライセンスファイルを以下のライセンスディレクトリにコピーしてください。
"%ProgramFiles%\SSH Communications Security\SSH Tectia\SSH Tectia AUX\licenses" Tectia ConnectSecure - Windows: ローカル・ホストに対してのFTP-SFTP変換は、現時点ではWindows上での動作はサポートしておりません。
- Windows: WindowsのFTPクライアントは、FTP-SFTP変換を使用する場合下記のメッセージが出力する場合があります。
"failed to unlink workfile"
上記メッセージについてTectia ConnectSecureの動作に大きな影響はありません。 - Windows 2003: Windows 2003環境では,FTP-SFTP変換機能を利用した場合、プレーンFTPへのフォールバック機能は正しく動作しません。
- 全OS共通: FTP-SFTP変換からプレーンモードにフォールバックし通信を行った場合、Tectia Connectecureは下記の紛らわしいメッセージを出力します。
:Login successful. *** FALLBACK TO PLAIN FTP: Unable to connect to server ***
- Windows: FTP-SFTP変換機能で、プレーンFTPへのフォールバック機能を有効にしている場合、アクティブモードのFTPは正しく動作しません。
Tectia Server
- Linux: Tectia Server 6.2.0からアップグレードを行うときには、事前にTectia Serverを停止する必要があります。これはTectia Server 6.2.0のssh-server-ctlに問題がありアップグレード時に正しくTectia Serverを停止することができないためです。
Tectia Server 6.2.0から以外のアップグレードでは本現象は再現されません。 - 全OS共通: Tectia Serverの暗号化モード(FIPSモードまたはstandard mode)の変更後、再起動を行わない場合、”ssh-server-ctl”は設定変更した旨通知しますが実際には変更されていません。暗号化モードの変更はTectia Serverの再起動が必要になります。
- Windows: Windows 30以上のCPUが搭載されているWindows 2003 SP2プラットフォーム上にTectia Serverをインストールするときは正常に動作しない場合があります。これはマイクロソフト側の問題です。下記パッチを事前に適用してください。
※ http://support.microsoft.com/kb/2539164
※本パッチについて Windows 2003 SP2プラットフォームは、既にマイクロソフト社でサポート終了となっているためダウンロードすることは出来ません。 - Unix: Tectia Serverがインストールされている端末にOpenSSL 0.9.8がインストールされている場合、OpenSSLlibraryを使用しているソフトウェアでPAMを利用することができない場合があります。
回避策:(Fipsモードを利用していない場合):/opt/tectia/sshlibディレクトリに保存されている”libcrypto.so.0.9.8”ファイルのファイル名を別の名前に変更してください。(変更後はFIPS modeを利用することができなくなります。)
- 全OS共通: OpenSSHのscpコマンドを利用した場合で転送するファイル容量が4GBを超えている場合、Tectia Serverにファイル転送することはできません。
回避策:Tectia Clientのscpg3/sftpg3コマンドを利用してください。
- Windows: 公開鍵認証を利用している場合、Tectia ServerではCygwin OpenSSHとのrsync機能を利用することができません。
※その他の既知の問題に関してはリリースノートをご参照ください。
2011.6.1
Tectia社(旧:SSHコミュニケーションズ・セキュリティ社)より最新バージョンのSSH Tectia Client 6.0.10Jがリリースされました。
新機能及び、以前のバージョンで発生していたいくつかの不具合について修正があります。
主な新機能
- Microsoft Windows 7 Windows 7 x64に対応しました。
※基本機能はTectia Client 6.0.9英語版と同じとなっています。
不具合修正の内容
- Windows: CrushFTPサーバに接続時に特定のコマンドを実行するとsftpg3プロセスが強制終了される現象を修正しました。
既知の問題
- 日本語版: Tectia Clientがインストールされている端末にTectia Serverをインストールした時、インストール先ディレクトリが異なる場合Tectia ClientのBrokerが起動しません。
回避策: インストールは同じ場所に対して行ってください。
- 日本語版: 構成GUIの"ユーザ認証"⇒"鍵と証明書"から鍵に設定されているパスフレーズの変更にて、パスフレーズを間違えるとBrokerが落ちてしまいます。
- 日本語版: サーバの文字コードがJISの場合、1文字ずつ入力すると文字化けが発生します。
- 日本語版: 巨大なファイルをcatしたら文字化けする可能性があります。
- 日本語版: サーバの文字コードがEUCの場合、SJISの文字列(ファイル名など)を表示させた後のEUCの文字列が化けることがあります。
- 日本語版: 鍵作成のウィザードにていくつかの表示が英語のままです。"Next"など
- 日本語版: 鍵作成のウィザードにて日本語ファイル名での鍵作成はできません。
2011.6.1
Tectia社(旧:SSHコミュニケーションズ・セキュリティ社)より最新バージョンのTectia 6.1.8がリリースされました。
新機能及び、以前のバージョンで発生していたいくつかの不具合について修正があります。
主な新機能
Tectia Client
- SLES: SUSE Linux Enterprise Server 11 (x86, x86-64)に対応しました。
- Windows: Windows 2008 R2に対応しました。
- RedHat: RHEL 5.5 (x86, x86-64)に対応しました。
- Linux: RHEL 5.4 32 and 64 bits (x86, x86-64)に対応しました。
Tectia ConnectSecure
- SLES:SUSE Linux Enterprise Server 11 (x86, x86-64)に対応しました。
- Windows: 下記 Windows OSに対応しました。
64bit: Windows XP, Windows 2003, Windows Vista, Windows 7 and Windows 2008
32bit: Windows Vista, Windows 7, Windows 2008 - Linux: RHEL 5.4 (32,64 bits)に対応しました。
Tectia Server
- SLES: SUSE Linux Enterprise Server 11 (x86, x86-64)に対応しました。
- Windows: Windows 2008 R2に対応しました。
- RedHat: RHEL 5.5 (x86, x86-64)に対応しました。
- Windows: Windows 7 32bit,64bitに対応しました。
- Linux: RHEL 5.4 (x86, x86-64)に対応しました。
※その他の新機能に関してはリリースノートをご参照ください。
不具合修正の内容
- 全OS共通: scpg3 コマンド "+C"オプションが正常に動作できるように修正されました。
- 全OS共通: sftpg3 コマンド "+C"オプションが正常に動作できるように修正されました。
- 全OS共通: Ver 6.0の設定ファイル(ssh-broker-config.xml)を引き継ぐ場合には、Ver6.1ではログ出力がデフォルトで"出力しない"設定になっているので、"log-events"を設定して下さい。
※その他の新機能に関してはリリースノートをご参照ください。
既知の問題
- Linux SE: SE linuxが無効の時にcommonパッケージのインストールを行った時下記のエラーメッセージが出力されます。
/usr/bin/chcon: can't apply partial context to unlabeled file
/opt/tectia/lib/shlib/libicudata.so.40
/usr/bin/chcon: can't apply partial context to unlabeled file
/opt/tectia/lib/shlib/libicuuc.so.40
このメッセージに重要な問題はありません。
しかしながら、commonパッケージインストールの後にSElinux有効にするなら、以下のコマンドを実行する必要があります。
/usr/bin/chcon -t textrel_shlib_t /opt/tectia/lib/shlib/*.so - ファイルでパスワードを指定できない、--passwordオプション。
- Windowsエクスプローラで"登録されている拡張子を表示しない"を有効にした場合、GUIファイル転送ツールの"Upload Dialog"からファイルをアップロードすることができません。
回避策: ファイルの拡張子を表示させてください。この問題は今後のメンテナンスリリースで修正予定です。
- Linux on IBM System z: インストールパッケージにはFIPS 140-2準拠の暗号ライブラリが含まれていません。FIPS準拠のAES、3DES、SHA暗号アルゴリズムを使うには、System zアーキテクチャによって提供される暗号ハードウェアを利用してください。SSH Tectiaでは標準で暗号アクセラレーションが有効になっています。
- Windows Vista: SSH Tectia Clientの評価バージョンを利用し、製品版ライセンスを設定画面からインポートすることができません。
回避策: 手動でライセンスファイルを以下のライセンスディレクトリにコピーしてください。
"%ProgramFiles%\SSH Communications Security\SSH Tectia\SSH Tectia AUX\licenses"
※その他の新機能に関してはリリースノートをご参照ください。
2011.6.1
Tectia社(旧:SSHコミュニケーションズ・セキュリティ社)より最新バージョンのTectia 6.0.17がリリースされました。
新機能及び、以前のバージョンで発生していたいくつかの不具合について修正があります。
主な新機能
6.0.17について、新たに追加された新機能などはございません。
※6.0.16以前のバージョンで追加された機能に関してはリリースノートをご参照ください。
不具合修正の内容
- AIX: AIX OSにSSH Tectia Client/Server/ConnectSecure のインストール要件に変更がありました。変更内容は下記の通りになります。
. IBM AIX 5L 5.3: Technology level 10 (fix to AIX bug IDs IZ50489 and IZ14988).
Note that these fixes are also available as service packs for some earlier technology levels.
. IBM AIX 6.1: Technology level 3 (fix to AIX bug IDs IZ46727 and IZ17492).
Note that these fixes are also available as service packs for some earlier technology levels.
※その他の新機能に関してはリリースノートをご参照ください。
既知の問題
- Windows: --passwordのコマンドラインオプションを利用し、ファイルを指定したパスワード設定は利用できません。
- Windows: Windowsエクスプローラで"登録されている拡張子を表示しない"を有効にした場合、GUIファイル転送ツールの"Upload Dialog"からファイルをアップロードすることができません。
回避策: ファイルの拡張子を表示させてください。この問題は今後のメンテナンスリリースで修正予定です。 - Windows Vista: SSH Tectia Clientの評価バージョンを利用し、製品版ライセンスを設定画面からインポートすることができません。
回避策: 手動でライセンスファイルを以下のライセンスディレクトリにコピーしてください。
"%ProgramFiles%\SSH Communications Security\SSH Tectia\SSH Tectia AUX\licenses"
※その他の新機能に関してはリリースノートをご参照ください。
2010.4.12
SSHコミュニケーションズ・セキュリティ社よりTectia Client日本語版の最新バージョンである6.0.9がリリースされました。
日本語版4.3からのメジャーバージョンアップとなっており、新しいSecure ShellのアーキテクチャであるSSHG3が採用されており、高いパフォーマンスと安全な暗号化通信を提供します。
新機能
- インストーラ、GUIインタフェース、設定画面等の日本語化
- 日本語文字コードとしてEUC、JIS、SJISをサポート
- 接続先サーバ毎に設定可能な接続プロファイルの利用
- GUI、又はコマンドラインからの日本語名ファイル/フォルダのファイル転送
- 「透過的TCPトンネリング」機能を利用した既存のアプリケーション通信の暗号化
- Tectia Manager(別売)によるインストール、設定、ログの集中管理
※基本機能はTectia Client 6.0.9英語版と同じとなっています。
不具合修正の内容
- X.509証明書処理に関連する脆弱性の問題を修正しました。
- タスクトレイにあるBrokerアイコンの"状態"⇒"接続"からアクティブな接続、またはチャネルを切断するとBrokerがハングしてしまう問題が修正されました。
既知の問題
- SSH Tectia Client日本語版がインストールされている端末にSSH Tectia Serverをインストールした際に、Tectia Clientとは別のインストール先にインストールを行った場合、SSH Tectia ClientのBrokerが起動しません。
- 回避策:Tectia ClientとTectia Serverのインストールは同じ場所(推奨はデフォルトの場所)に対して行ってください。
- 構成GUIの"ユーザ認証"⇒"鍵と証明書"から鍵に設定されているパスフレーズの変更が可能ですが、設定したパスフレーズを間違えるとBrokerが落ちてしまいます。
- サーバの文字コードがJISの場合、1文字ずつ入力すると文字化けが発生します。
- 巨大なファイルをcatしたら文字化けが発生する可能性があります。
- サーバの文字コードがEUCの場合、SJISの文字列(ファイル名など)を表示させた後のEUCの文字列が化けることがあります。
- 鍵作成のウィザードにていくつかのメニュー表示が英語のままです。ウィンドウ下欄の"Next"など
- 鍵作成のウィザードにて日本語のファイル名を利用した鍵の作成はできません。
2009.12.17
SSHコミュニケーションズ・セキュリティ社より最新バージョンのSSH Tectia 6.0.14がリリースされました。
新機能及び、以前のバージョンで発生していたいくつかの不具合について修正があります。
主な新機能
Tectia Client
- Windows 7に対応しました。
※透過的TCPトンネリング機能は利用できません。
Tectia Server
- ネイティブのロード可能認証モジュール(LAM)をサポートしました。(AIXのみ)
Tectia ConnectSecure
- なし。
SSH Tectia 6.0.10~6.0.13のバージョン(弊社からは未リリース)で追加された主な新機能は以下の通りになります。
Tectia Client/Tectia ConnectSecure/Server共通
- Red Hat Enterprise Linux 5.3(x86、x86-64)とRed Hat Enterprise Linux 5.2(x86、x86-64)がサポートOSに追加されました。
Tectia Client/ConnectSecure共通
- ユーザ認証時に、利用される鍵/証明書を選択することが可能となりました。その際、サーバ証明書の発行者に基づいてクライアント証明書をフィルタすることもできるようになりました。
Tectia Server
- ターミナルセッションの動作モードの種別(コンソール、またはストリーミング)を選択することが可能となりました。(Windowsのみ)
- ”allow-from”、”deny-from”で設定できるホスト名が大文字、小文字の区別がなくなりました。
- ”quiet-login”設定の追加により、ログイン時のメッセージを抑制することができるようになりました。
不具合修正の内容
下記は6.0.14で修正された内容をピックアップしたものになります。他の内容、また6.0.13以前にて修正された内容、既知の問題等についてはリリースノートをご覧ください。
Tectia Client/Tectia ConnectSecure/Server共通
- X.509証明書処理に関連する脆弱性の問題を修正しました。
Client/ConnectSecure共通
- ユーザ認証時の鍵/証明書選択において、選択した鍵による認証が失敗した場合、メッセージが表示されるようになりました。
Server
- authorizationファイルの中で公開鍵オプションが利用された場合の動作が改善されました。
ConnectSecure
- パススルーするアプリケーションとして実行ファイルを指定した場合で、SPIコールをする時に、sshcaptureがロードされなくなりました。(Windowsのみ)
2009.5.1
SSHコミュニケーションズ・セキュリティ社より最新バージョンのSSH Tectia 6.0.9がリリースされました。
6.0.8以前で発生していた幾つかの不具合について修正があります。
主な新機能
なし
※SSH Tectia 6.0.7リリース時に追加された新機能は以下の通りになります。
Server/Client/ConnectSecure共通
- Windows:Microsoft Windows Server 2008、Server 2008 x64をサポートしました。
Server/Client共通
不具合修正の内容
下記は6.0.9で修正された内容を抜粋したものになります。
他の内容、6.0.8以前で修正された内容、また既知の問題等についてはリリースノートをご覧ください。
Server
- 全OS共通:公開鍵認証で使われるauthorized_keysファイルにて、OpenSSH形式である”from=” のオプションをサポートしました。
- 全OS共通:複数の証明書検証の要求を処理する際、ハングアップする問題を修正しました。
- 全OS共通:同時ユーザ認証の上限数を引き上げました。
- Windows:アンインストール時、sshdap.dllと関連するレジストリ情報が正しく削除されるようになりました。
- 全OS共通:矢印キーが文字をエコーバックするのを修正しました。
例、'[A[B[C[D'
Client/ConnectSecure共通
- 全OS共通:Connection Brokerが潜在的にハングアップするような状況を修正しました。
例えば、一つの公開鍵が複数の並列の接続で使われるような時がありました。 - 全OS共通:鍵プロバイダが利用されている時のConnection Brokerの安定性を向上しました。
- 全OS共通:SFTP INITメッセージが送られる前に基本的なSSH接続が閉じられる場合、クライアントが競合状態が原因で潜在的にハングアップする問題を修正しました。基本的なSSHプロトコルの突然の切断は常にハングアップを引き起こさなくなりました。
- 全OS共通:2個かそれ以上の排他的接続(exclusive connection)が同じサーバに対して行われ、サーバが鍵の更新を要求した際、接続が不意に閉じられるという問題を修正しました。
- 全OS共通:対話的認証が行われているような状況において、Connection Brokerがハングアップして終了する問題を修正しました。
ConnectSecure
- Windows:同一ホストに異なるバージョンのSSH Tectia Client/ConnectSecure/Tectia Serverをインストールすることができるようになりました。
- Windows:アンインストール時、キャプチャコンポーネントが正しく削除されるようになりました。
- 全OS共通:SSH Tectia APIの改良として、同じプロセスから複数の認証が正しく扱えるようにしました。
- 他
2008.11.17
脆弱性の内容
SSH Tectiaクライアント/サーバソリューションに影響するセキュリティの脆弱性の問題が発見されました。
この問題はSSH Tectia Client、またはSSH Tectia Serverがインストールされているシステムにおいて脆弱性を及ぼすことになります。 暗号化されたSecure Shell接続をリッスンし、ネットワーク接続(TCP)を動的に盗聴する事ができる攻撃者は、ある状況において最大4バイトの平文のデータを得ることができます。攻撃の試みはその攻撃された接続がただちに接続断となる原因となります。
この攻撃は、暗号ブロック連鎖(CBC)モードでブロック暗号アルゴリズムを使って暗号化されているプロトコルセッションに対してのみ有効となっています。
ただし、この脆弱性を突くことは非常に困難となっています。 CPNI Advisory Reference CPNI-957037
影響を受ける製品
下記バージョンが動作している全てのプラットフォームが影響を受けます。
- SSH Tectia Client/Server/ConnectSecure 6.0.4以前
- SSH Tectia Client/Server 5.3.8以前
- SSH Tectia Client/Server 5.2.4以前(*1)
- SSH Tectia Client/Server 4.4.11以前(*1)
- SSH Tectia Client/Server for z/OS 5.5.1以前
- SSH Tectia Client/Server for z/OS 6.0.1以前
- SSH Tectia Client 4.3.3-J (日本語版)以前
- SSH Tectia Client 4.3.10-K (韓国語版)以前(*1)
注:(*1)印は、現在はテクニカルサポート対象外の製品です。
対処方法
現在、ご利用の環境を確認していただき以下のどちらかの方法をご検討ください。
- 下記、修正バージョンへのバージョンアップ
- SSH Tectia Client/Server/ConnectSecure 6.0.5
- SSH Tectia Client/Server 5.3.9
- SSH Tectia Client/Server 5.2.5(*1)
- SSH Tectia Client/Server 4.4.12(*1)
- SSH Tectia Client/Server for z/OS 5.5.2
- SSH Tectia Client/Server for z/OS 6.0.2
- SSH Tectia Client 4.3.4-J (日本語版)
注:(*1)印は現在はテクニカルサポート対象外の製品です。
可能であれば5.3.9、または6.0.5へのバージョンアップをご検討ください。
- ストリーム暗号の利用
SSH Communications Security社としてはSecure Shell(SSH)のセッションでCBC(Cipher Block Chaining)モードの利用を避けることをすぐにできる回避策として推奨しております。
SSH Tectia製品においては具体的にはCryptiCoreまたはArcfour暗号化アルゴリズムのどちらかを使うことで回避が可能です。
2008.11.17
SSHコミュニケーションズ・セキュリティ社より最新バージョンのSSH Tectia 6.0.5がリリースされました。
6.0.4以前で発生していた幾つかの不具合について修正があります。
主な新機能
なし
※SSH Tectia 6.0.4リリース時に追加された新機能は以下の通りになります。
Server
- <auth-publickey>設定の下記属性は、異なる場所のカンマで区切られたリストに対応しました。
- authorization-file
- authorized-keys-directory
- openssh-authorized-keys-file - pam-account-checking-only設定オプションが追加されました。(Unix)
- PAM認証以外を使用する際の ユーザプロセス用RBAC権限設定が追加されました。(Solaris)
- ログインの失敗をオペレーティングシステムへ通知する方法を変更しました。(HP-UX, AIX)
- AIX6.1に対応しました。
- ignore-aix-login設定オプションが追加されました。設定が"yes"の場合、アカウントの「ログイン」フィールドが無視されます。(AIX)
- rc.config.dが、スタートアップスクリプトに対応しました。(HP-UX)
Client/ConnectSecure
- OpenSSH 5.xのknown_hostsファイルフォーマットを実装しました。ハッシュ/非ハッシュ形式いずれにも対応。(Unix)
- AIX6.1に対応しました。
- 保存されている既知のホストキーのタイプに基づき、鍵交換(RSA、DSA)の順番が自動的に選択されるようになりました。
不具合修正の内容
※他の不具合修正など詳細についてはリリースノートを参照してください。
Server
- Connections設定のselector で指定したIPまたはFQDNに一致した際、発生する問題を修正しました。
Server/Client/ConnectSecure
- Secure Shell プロトコルライブラリ内の転送エラーハンドリング処理を修正しました。
※SSH Tectia 6.0.4リリース時に修正された不具合は以下の通りになります。
Server/Client/ConnectSecure
- NIMディスクレスまたはデータレスのシステムと同様に、共有(書込禁止)/usr のWPARへインストールが可能になりました。(AIX)
- パッケージをデフォルトロケーション以外にインストールすることで、Crypticoreが使用できるようになりました。(Linux)
- 指定パスへのパッケージ再配置インストールが可能になりました。(pkgadd -Rオプション)(Solaris)
- 長期間で負荷のかかる処理についての安定性を改善しました。(HP-UX)
- 他
Server
- ログメッセージの出力について発生していた、いくつかの問題を解決しました。(Unix)
- 期限切れパスワードのアカウントに、パスワード変更を説明するよう修正されました。(Windows 2003)
- BERコード化された証明書をサーバの証明として使用できない問題を解決しました。
- 最終行がLF(改行コード)のみである、OpenSSH形式のauthorized_keysファイルとの非互換性を修正しました。
- 設定でcrl-prefetchを使用した時、設定ファイルの読み込み時にサーバがハングアップする問題を修正しました。
- 他
Client/ConnectSecure
- 公開鍵のファイルヘッダに”-”文字が含まれた時、brokerがクラッシュする問題を修正しました。(Linux)
- 公開鍵アップロードで、接続プロファイルの有/無いずれも動作するように修正しました。(Windows)
- --fork-into-backgroundオプションは使用できるようになりました。(Unix)
- 接続プロファイルのeuro文字およびターミナル設定が正常に動作するようになりました。(Windows)
- 管理者権限のユーザでユーザアカウントコントロールを有効に設定した場合、WindowsVistaへのインストールが可能になりました。(Tectia Clientのみ)
- 転送中に送信元ファイルのサイズが短くなっても、ファイル転送がエラーで止まることはありません。
- 他
2008.9.1
SSHコミュニケーションズ・セキュリティ社より最新バージョンのSSH Tectia 6.0.2がリリースされました。
6.0.1以前で発生していた幾つかの不具合について修正があります。
主な新機能
Server/Client /ConnectSecure
- VMware ESX Server 3.5に対応しました。
- エージェントフォワーディングでOpenSSHとの互換性が実装されました。
- tcp-connect-timeout設定オプションが追加されました。
Server
- ドメイン環境でローカルユーザに接続する際、ホスト名の省略が可能になりました。(Windows)
- ssh-server-ctlコマンドが追加され、サービスを停止することなく設定のリロードが可能になりました。(Unix)
- PAMをサポートしているプラットフォームのPAMライブラリの既存場所へのパスを追加しました。(Unix)
- 設定オプションとして、ユーザ毎のパス設定が可能になりました。(Unix)
- 遅い環境で、検索を最小にするためにNIS+ lookupsを最適化しました。(Unix)
- V4.xで利用可能であった、下記オプションを再実装しました。
AlwaysUsePAMSessionLogging
AlwaysUsePAMAccountManagement
ForcedPAMAccountManagementPasswordChange
Client
- accept-unknown-host-keysのオプション機能がV4.4.xの動作と一致するよう変更されました。
- scpg3 または sftpg3で下記オプションが使用可能になりました。
-C、+C、-c:圧縮の有/無
-i file、--identity:鍵の指定
--ciphers、--macs :暗号の指定
--tcp-connect-timeout - sftpg3モードとしてtectia、ftpおよびopensshの選択が可能になりました。
モードftpを設定した場合、get/putコマンドは、sget/sputとして実行されます。 - hostkeyの変更や新規登録がシステムログに出力されるようになりました。
ConnectSecure
- Unix 環境でTransparent TCPをサポートしました。
- ssh-tectia-ftp-conversion パッケージはssh-tectia-capture に名前を変更しました。(Unix)
- 他Clientと同様
不具合修正の内容
※他の不具合修正など詳細についてはリリースノートを参照してください。
Server
- /etc/environmentファイルの改行文字は、正常に認識されます。(Unix)
- 'xauth-path'が設定されている場合、可能なxauthリストを取得できます。 (Linux)
- 証明書確認の際、安定性の問題を引き起こしている不具合を修正しました。
- sftp接続時、"Error: No suitable license found"がサーバ側のログに出力される問題を修正しました。
- 他
Client/ConnectSecure
- SolarisでCAC カードが利用可能となるよう修正しました。
- Transparent Tunneling使用時のメモリ使用率を改善しました。
- compression レベルの設定は、動作するようになりました。
- 他
2008.6.20
SSHコミュニケーションズ・セキュリティ社より最新バージョンのSSH Tectia 6.0.1がリリースされました。
バージョン6から製品体系が変わります。詳しくは、こちらをご覧ください。
また、V6.0.0以前で発生していた幾つかの不具合について修正があります。
主な新機能
※SSH Tectia 6.0.0リリース時に追加された新機能は以下の通りになります。
Server
- サーバホスト鍵のフィンガープリントが表示されます。(Windows GUI)
- バーチャルフォルダのソートを有効にできます。(Windows GUI)
Client
- 透過的TCPトンネリング - TCPアプリケーション接続を透過的に暗号化、トンネリング
- 透過的FTPトンネリング - FTPファイル転送を透過的に暗号化、トンネリング
- 透過的FTP-SFTP変換 - FTPをSFTPに自動変換。
- パスフレーズの保持/リード(Unix)
- sftpg3 でシェルコマンド(“!”) をサポート
- sshg3の’-i’ オプションで秘密鍵の指定が可能
新たに対応されたプラットフォーム
- HP-UX 11i v3 (PA-RISC, IA64)
- SUSE Linux Enterprise Server 10 (x86, x86-64)
- SUSE Linux Enterprise Desktop 10 (x86, x86-64)
- Red Hat Enterprise Linux 5.1 (x86, x86-64)
Client
- ファイルにEOL文字がなくても、正しくASCII変換が行なわれます。(Unix)
- スクリプト実行中、許可されたコマンドを実行することが可能になりました。(Windows)
- Connect Enterprise Serverとの互換性問題を修正しました。(Windows)
- SSH Tectia serverに接続したときに発生する、ターミナルエミュレーション問題が修正されました。
- リモートコマンドの実行速度が向上しました。(Windows)
- 他
不具合修正の内容
※他の不具合修正など詳細についてはリリースノートを参照してください。
Server
- OpenSSHからTectiaサーバへsftpでファイルを転送する場合、時間がかからなくなりました。
- Unicodeを使用したグループに属したとき、ドメインユーザの認証が失敗する問題を修正しました。(Windows)
- capture.dllがマシン上にインストールされるとき、Servantプロセスは以前のように漏えいしません。
- compressionをONにし、接続受信したときに発生する、ssh-servant-g3のメモリリークの問題を修正しました。
Client
- Clientの設定を修正しても、トンネリングされているアプリケーションのデータ通信は中断されません。(Windows)
- 認証でパスフレーズなしの証明書を使用しても、失敗しません。
- sshg3 または、scpg3コマンドで無効なオプションを使用した場合は、リターンコード1を返します。
2008.1.18
脆弱性の内容
悪意のあるローカルユーザが、この脆弱性により、ローカルの特権ユーザ(root)へ昇格する可能性があります。この脆弱性にはローカルなシェルアクセスが必要です。
ただし、リモートで、この脆弱性が攻略されることはありません。
影響を受ける製品
下記バージョンが動作している全てのLinuxおよびUnixプラットフォームが影響を受けます。
- SSH Tectia Client/Server 5.0.x と 5.1.x
- SSH Tectia Client/Server 5.2.0 - 5.2.3
- SSH Tectia Client/Server 5.3.0 - 5.3.5
以下については影響を受けません。
- SSH Tectia Client/Server 4.x とそれ以前のバージョン
- SSH Tectia Client/Server IBMメインフレーム版の全てのバージョン
- SSH Tectia Client/Server Windows版の全てのバージョン
対処方法
現在、ご利用の環境を確認していただき、次のどちらかの方法をご検討ください。
- 下記、修正バージョンへのバージョンアップ
- SSH Tectia Client/Server 5.2.4
- SSH Tectia Client/Server 5.3.6
- /opt/tectia/libexec/にあるssh-signerを取り除く。
ただし、host-based authenticationが使用できなくなりますので、これを利用している場合は注意してください。
2006.2.15
SSH Tectia Server 4.4.0以前のバージョンにてSFTPサーバの脆弱性が発見されました。
scp2やsftp2によるファイル転送を可能にするSFTPサーバのプロセスにセキュリティ上の脆弱性が含まれます。
影響を受ける製品
- SSH Tectia Server 4.4.0 (AとT) - 全てのOS
- SSH Tectia Server 4.3.6 (AとT) とそれ以前のバージョン - 全てのOS
- SSH Secure Shell Server 3.2.9 とそれ以前のバージョン - 全てのOS
次の製品については影響を受けません。
- SSH Tectia Client
- SSH Tectia Connector
- SSH Tectia Server (M) -IBMメインフレーム用
- SSH Tectia Server 5.x (AとFとT)
対処方法
ご利用の環境を確認していただき次のどちらかの方法をご検討ください。
- バージョン4.3.7か4.4.2へのバージョンアップ
- SFTPサーバ機能を無効にする。注)scp2、sftp2によるファイル転送が出来ません。
方法は、/etc/ssh2/sshd2_configからsubsystem-sftpで始まる行を コメントアウトして無効化し、sshd2の再起動を実施します。 この後でバージョンアップを行った場合は再度有効化してください。
2005.7.1
Windows OS上でのSSH Tectia Serverの利用において、ホスト秘密鍵ファイルのアクセス権限にひそむ脆弱性が発見されました。
この脆弱性により管理者権限以外での秘密鍵へのアクセスを許すこととなり、 秘密鍵ファイルを外部に持ち出される可能性があります。
影響を受ける製品
- SSH Secure Shell for Windows Server (すべてのバージョン)
- SSH Tectia Server (Windows) 4.3.1 およびそれ以前のバージョン
となります。
対処方法はバージョン4.3.2へのアップデートか、ホスト秘密鍵ファイルを管理者グループからの読み込み権限だけへと変更することです。