リリースノート Ver6.6.2以降|Tectia SSH Client/Server
- 2024.08.20 Tectia SSH 6.6.4 および Tectia Quantum SSH 6.6.4 リリース
- 2024.03.18 Tectia SSH 6.6.3 および Tectia Quantum SSH 6.6.3 リリース
- 2023.08.01 Tectia SSH 6.6.2 および Tectia Quantum SSH 6.6.2 リリース
Ver.6.6.0以前のリリースノートに関してはこちらを参照ください。
2024.08.20
SSHコミュニケーションズ・セキュリティ社(SSH社)より、Tectia SSH 6.6.4 および Tectia Quantum SSH 6.6.4がリリースされました。
Tectia Client/Server 6.6.4について
- 本バージョンは、保守にご加入いただいている既存のお客様に対し提供可能となります(バージョンアップ、追加購入のみ)。新規のお客様におかれましては、下記Tectia Quantum SSHをご購入いただく形となります。
Tectia Quantum SSH Client/Server 6.6.4について
- Tectia Quantum SSH Client/Server 6.6.4は、HP-UX(IA-64およびPA-RISC)、Solaris(SPARCおよびx86-64)、Linux(x86-64)およびWindows(x86-64)プラットフォーム上でのみ利用可能です。
- Tectia Quantum SSH Client Windows版では、日本語版GUIが使用可能となっております。
- Tectia Quantum SSH Client/Server 6.6.4は、ライセンス形態が「サブスクリプション形式」となります。従来のTectia SSH Client/Serverからの更新をご希望のお客様に関しましては、弊社SSH担当営業までお問い合わせください。
メールアドレス:info@dit.co.jp
主な新機能
6.6.4での主な新機能
本バージョンでは新機能の追加はありません。不具合修正の内容を参照ください。
不具合修正の内容
6.6.4での主な不具合修正
Tectia Client / Tectia Server / Tectia Quantum SSH Client / Tectia Quantum SSH Server
- Windows GUI:シンボリックリンクの処理に関する問題を修正しました。
Tectia Client / Tectia Quantum Client
- Windows GUI:Windowsターミナルモードにconsole-utf8が追加されました。デフォルトは引き続きconsoleになります。
console-utf8は、クライアントとサーバのコードページが衝突し、一部の非ASCII文字が正しく表示されない場合のコードページの問題を解決するのに役立ちます。 - Windows GUI: ファイル転送にて、右クリックにてアップロードする転送とキュータブを含む転送のダイアログの問題を修正しました。
- 全OS共通: sftp openコマンド(例:open user@host)の問題を修正しました。また、パスを含むURL構文がopenコマンドで使用できるようになりました(例:open sftp://user@host/path)。
Tectia Server / Tectia Quantum SSH Server
- 全OS共通:従来モード及びストリーミングモードのSFTPにおけるsft-server-g3のパス処理に関する問題を修正しました。
- Windows:sftp経由でアクセスした場合に、NTFSでマウントされたWindowsボリュームに関する問題を修正しました。
- Windows:Windowsドメインコントローラーに送信されるリクエスト数を軽減しました。ドメインコントローラーの実行に十分なリソースが割り当てられていないセットアップでは問題が発生する可能性があります。
- Linux/Unix:サーバントプロセスがハングアップし、新しい接続を拒否する問題を修正しました。
- Windows:シンボリックリンクをユーザの仮想ホームディレクトリに設定できるようになりました。
- Windows:UTF-8文字の入力処理が改善されました。
- 全OS共通:ssh-savant-g3プロセスがメモリリークする問題を修正しました。
※その他の新機能、修正点、既知の問題に関してはリリースノートをご参照ください。
2024.03.18
SSHコミュニケーションズ・セキュリティ社(SSH社)より、Tectia SSH 6.6.3 および Tectia Quantum SSH 6.6.3がリリースされました。
Tectia Client/Server 6.6.3について
- 本バージョンは、保守にご加入いただいている既存のお客様に対し提供可能となります(バージョンアップ、追加購入のみ)。新規のお客様におかれましては、下記Tectia Quantum SSHをご購入いただく形となります。
Tectia Quantum SSH Client/Server 6.6.3について
- Tectia Quantum SSH Client/Server 6.6.3は、HP-UX(IA-64およびPA-RISC)、Solaris(SPARCおよびx86-64)、Linux(x86-64)およびWindows(x86-64)プラットフォーム上でのみ利用可能です。
- Tectia Quantum SSH Client Windows版では、日本語版GUIが使用可能となっております。
- Tectia Quantum SSH Client/Server 6.6.3は、ライセンス形態が「サブスクリプション形式」となります。従来のTectia SSH Client/Serverからの更新をご希望のお客様に関しましては、弊社SSH担当営業までお問い合わせください。
メールアドレス:info@dit.co.jp
重要な変更点
6.6.3での重要な変更点
Tectia Client / Tectia Server / Tectia Quantum SSH Client / Tectia Quantum SSH Server
- MACアルゴリズムのデフォルト値からhmac-sha2-256-etm@openssh.comおよび、hmac-sha2-512-etm@openssh.comが除外されました。
また、影響度の低いCVE-2023-48795に対する厳格なKEX緩和策が実装されました。なお、Secure Shellサーバもstrict KEXをサポートする必要があることに注意してください。 - ホスト鍵生成時にデフォルトでパスフレーズ用のプロンプトが表示されなくなりました。FIPS モードでは、ランダムパスフレーズが hostkey.pass ファイルに格納され、非 FIPS モードでは空のパスフレーズになります。
- FIPSモジュールがSolaris、Linux、WindowsのOpenSSL 3.0.8に更新されました。
- FIPSモードでは、diffie-hellman-group-exchange-sha256 (DH-GEX-SHA256)およびその他のGroup交換(GEX)方式は、FIPS 140-2 NIST SP 800-56Ar3に準拠するため、鍵交換(KEX)では無効になりました。140-2 NIST SP 800-56Ar3 に準拠し、標準的なモジュラー指数(MODP)にてdiffie-hellman-group18-sha512 のようなDiffie-Hellmanグループの使用をするようになりました。
FIPSを使用するお客様は、Tectiaのコンフィグレーションにグループエクスチェンジ(GEX)メソッドが含まれていないことを確認してください。Secure Shell Serverが他の方式を提供していない場合、またはssh-broker-config.xmlでdiffie-hellman-group-exchange-*(DH-GEX-*)アルゴリズムのみが有効になっている場合、アップグレード後に「KEX negotiation failed」エラーが発生し、FIPSモードのTectiaクライアントが接続に失敗します。 - デフォルトの設定にて、AES-CTRよりもAES-GCMが優先されるようになりました。
- Rocky Linux(8、9)、Ubuntu(18.04、20.04、22.04)、Debian GNU/Linux(11、12)の公式サポート、Debian GNU/Linux(11、12)プラットフォームの公式サポートを追加しました。
主な新機能
6.6.3での主な新機能
Tectia Client / Tectia Server / Tectia Quantum SSH Client / Tectia Quantum SSH Server
- WindowsOS:SFTPでディレクトリのシンボリックリンクをサポートするようになりました。
- 全OS共通:現在実行中のブローカーのパフォーマンス・プロファイリングを確認できるようになりました。パフォーマンスはssh-broker-ctl performance show、ssh-server-ctl performance showコマンドで取得できます。
- 全OS共通:ssh-keygen-g3ツールパスフレーズの扱いを改善しました。新しい鍵の生成時に--random-passオプションが使用された場合、秘密鍵はBASE64でエンコードされたパスフレーズで保護され、.passのパスが出力されるようになりました。
Tectia Client / Tectia Quantum SSH Client
- 全OS共通:公開鍵認証が使用されている場合に、使用される署名アルゴリズムのレポートが改善されました。また、「ssh-broker-ctl connection-status ID --auth-log」に--auth-logオプションが追加されました。
- 全OS共通:コマンドラインクライアントのsshg3、sftpg3、scpg3には、 --any-algオプションが追加され、安全でないものも含めて、サポートされているアルゴリズムをすべて使用できるようになりました。また、特定のオプションでサポートされているすべてのアルゴリズムを---ciphers=any --macs=any、--kexs=any、--hostkey-algorithms=anyまたは--publickey-algorithms=anyで許可することもできます。コマンドラインでアルゴリズムが明示的に指定された場合、--any-algの代わりにそのアルゴリズムが使用されます。
Tectia Server / Tectia Quantum SSH Server
- 全OS共通:外部のホスト鍵がアドバタイズ機能により、ローテーションできるようになりました。
- 全OS共通:ssh-keygen-g3ツールパスフレーズの扱いを改善しました。--hostkeyモードでパスフレーズをプロンプトする—prompt-passオプションを追加しました。
- 全OS共通:リソースの制約があるシステムでの接続負荷のバランスを取るために、認証されていない接続の最大制限設定オプションを追加しました。
- 全OS共通:SFTP サブシステムのデバッグを改善しました。sftpdebugはデバッグ出力をサーバに向け、標準エラーを無効にします。標準エラーをクライアントに出力するにはsftpstderrdebugを使用します。また、debugおよびdebug-file属性をサーバ構成に追加しました。
- 全OS共通:SFTP ダウンロードとアップロードの制限をサーバ設定ファイルで強制できるようになりました。ファイル操作の「書き込み」、「読み込み」、「更新」を禁止するためのsftpサブシステムdisable、ストリーミングの代わりに従来のSFTPを使用するためのstreaming、rename、remove、mkdir、rmdir、setstat、symlinkなどの操作、およびdirlist(ディレクトリ一覧表示)とmmclist(MVSマスターカタログ一覧)を禁止するためのintrusiveが追加されました。
不具合修正の内容
6.6.3での主な不具合修正
Tectia Client / Tectia Quantum Client
- Windows GUI:GUIセッション中に接続を切断した後、同じホストに再接続するとファイルがアップロードされない問題を修正しました。
- Windows GUI:お気に入りのリモートフォルダを追加する際、デフォルトの.ssh2プロファイルではなく、正しいプロファイルに追加されるようになりました。
- Windows GUI:"Preserve original file time"(元のファイル時間を保持)設定が尊重されるようになりました。
- Windows GUI:ファイルの上書き保護が有効な状態でファイルを上書きしようとすると、ユーザにプロンプトメッセージが表示されない問題を修正しました。
- Windows GUI:認証プロンプトで空のパスフレーズまたはパスワードが提供された場合、クライアントは認証の試行をキャンセルし、 次のメソッドにスキップするようになりました。以前は、GUIはパスフレーズを繰り返し要求していました。
- 全OS共通:ブローカーで、SHA-1が許可されていないFIPSモードでSHA-1を試みた場合などに「署名操作に失敗しました」と表示され、接続が失敗する問題を修正しました。Key_store_sign_failedでは、特定の鍵だけが失敗し、サーバ側で認可されていれば次の公開鍵が試行されます。
Tectia Server / Tectia Quantum SSH Server
- 全OS共通:PKCS#11 プロバイダ経由で構成されたHSM ホスト鍵をallow-reuse(yes)で初期化できるようになり、サーバ構成GUIでApplyをクリックした後やssh-server-ctl reloadでの失敗を防止できるようになりました。以前はHost key algorithm negotiation failed.で鍵交換に失敗していました。
- Windows GUI: SFTP におけるネットワーク共有の処理を改善しました。以前は、高負荷時に古い接続のログオンセッションのクリーンアップに失敗すると、sft-server-g3 プロセスが起動中にハングすることがありました。その結果、SFTPセッションを開くのに時間がかかり、回復するためにサーバを再起動する必要がありました。
- Windows GUI: Windows 6.5および6.6以前のバージョンで、既存の仮想フォルダへのファイル転送中にnot a directoryまたはinvalid virtual directoryエラーが発生する、仮想ホームディレクトリに関する複数の問題を修正しました。仮想ルートまたはカスタムディレクトリが仮想ホームディレクトリとして設定されている場合も改善されました。
- Windows GUI: Server Configuration GUIで、パスワードキャッシュからユーザを削除できないことがありましたが、パスワードキャッシュからのユーザの削除に失敗しなくなりました。6.5および6.6以前のバージョンでは、ssh-server-ctlを使用してユーザを削除できました。
- Windows GUI: sft-server-g3に属性を送信する際に、コマンドラインパラメータの代わりに標準入力を使用するようになりました。以前は、長い仮想フォルダパスが設定されている場合、SFTPチャネルのオープンに失敗していました。
※その他の新機能、修正点、既知の問題に関してはリリースノートをご参照ください。
2023.08.01
SSHコミュニケーションズ・セキュリティ社(SSH社)より、Tectia SSH 6.6.2 および Tectia Quantum SSH 6.6.2がリリースされました。
Tectia Client/Server 6.6.2について
- 本バージョンは、保守にご加入いただいている既存のお客様に対し提供可能となります(バージョンアップ、追加購入のみ)。新規のお客様におかれましては、下記Tectia Quantum SSHをご購入いただく形となります。
Tectia Quantum SSH Client/Server 6.6.2について
- Tectia Quantum SSH Client/Server 6.6.2は、HP-UX(IA-64およびPA-RISC)、Solaris(SPARCおよびx86-64)、Linux(x86-64)およびWindows(x86-64)プラットフォーム上でのみ利用可能です。
- Tectia Quantum SSH Client Windows版では、日本語版GUIが使用可能となっております。
- Tectia Quantum SSH Client/Server 6.6.2は、ライセンス形態が「サブスクリプション形式」となります。従来のTectia SSH Client/Serverからの更新をご希望のお客様に関しましては、弊社SSH担当営業までお問い合わせください。
メールアドレス:info@dit.co.jp
重要な変更点
6.6.2での重要な変更点
Tectia Client / Tectia Server / Tectia Quantum SSH Client / Tectia Quantum SSH Serve
- DSAは非推奨となり、ホスト鍵アルゴリズムや公開鍵署名アルゴリズムのデフォルト値には含まれなくなりました。ホスト鍵やユーザ鍵には、他のホスト鍵アルゴリズムや署名アルゴリズムを使用することを強くお勧めします。
注意:DSA鍵による公開鍵認証は、アップグレード後の署名に失敗します。サーバ側でRSAまたは楕円曲線鍵 (ECDSAまたはEdwards Curve) のユーザ鍵を新規に生成し、認証ユーザの公開鍵を置き換えることをお勧めします。
Secure Shell ServerがDSAホスト鍵のみをIDとして持ち、ssh-broker-config.xmlでDSAアルゴリズム (ssh-dss-sha256@ssh.comなど)非推奨の鍵の使用を明示的に許可していない場合、アップグレード後に「Key Exchange failed」および「Host key algorithm negotiation failed」エラーで接続が失敗します。
サーバ固有の接続プロファイルまたは汎用のレガシー接続プロファイルを作成することをお勧めします。古いサーバに接続するときに、最後にリストされる非推奨のDSAアルゴリズムを含むプロファイルが存在する場合、DSAホスト鍵または許可されたユーザの公開鍵はサーバ側では変更できません。 - Solaris、Linux、および Windows内ではOpenSSL3.0 FIPSコンテナを使用します。RSA、ECDSAおよびEd25519鍵は、FIPSモードでサポートされています。FIPSモードで動作している場合、クライアント設定 GUIで新しい DSA鍵を生成することはできません。必要であれば、3072ビットまたは2048ビットのDSA鍵は、ssh-keygen-g3 --fips-modeで生成することができます。
- Solaris用のインストールパッケージが64ビット化されました。
- Tectia Clientでは、ホストベース認証において、常にSHA-2アルゴリズムで署名するようになったため、ユーザ認証方法としてホストベース認証を有効にしている旧サーバとは相互運用ができません。ホストベース認証を使用している環境では、クライアント側、サーバ側ともにTectiaの最新バージョンにアップグレードすることを推奨します。
Tectia Quantum SSH Client / Tectia Quantum SSH Server
- Tectia Quantum Safe Editionの一部として、SolarisのPQCアルゴリズムに対応しました。
Tectia Server / Tectia Quantum SSH Server
- Unixプラットフォームでのアップグレード中、現在の既定のホスト鍵が DSA鍵の場合、新しい既定のRSAホスト鍵 /etc/ssh2/hostkeyは自動的に生成されます。アップグレード後、古い DSAホスト鍵 /etc/ssh2/hostkey_dsa_oldは、必要に応じて追加のIDとして手動で有効にすることができます。ssh-server-config-example.xmlを参照してください。
以下は前バージョン6.6.1での内容となります。
6.6.1での重要な変更点
Tectia Client / Tectia Server / Tectia Quantum SSH Client / Tectia Quantum SSH Server
- デフォルトのRSAおよびDSAの鍵長を2048ビットから3072ビットに、ECDSAの鍵長を256ビットから384ビットに変更しました。これらの変更は、上記の認証鍵について、SSH社が推奨する新しい最小値を反映したものです。
Tectia Quantum SSH Client / Tectia Quantum SSH Server
- NISTはCRYSTALS-Kyberを選択しました。この決定を受けて、私たちは、SABERをデフォルトから削除することにしました。ただし、SABERは引き続きサポートされ、PQCハイブリッドKEX ecdh-nistp521-firesaber-sha512@ssh.comを構成で有効にすることができます。
詳細は以下をご参照ください。
https://csrc.nist.gov/Projects/post-quantum-cryptography/selected-algorithms-2022
新しいPQCハイブリッド KEXのデフォルトは以下となります。
※ ecdh-nistp521-kyber1024-sha512@ssh.com
※ curve25519-frodokem1344-sha512@ssh.com
※ sntrup761x25519-sha512@openssh.com
主な新機能
6.6.2での主な新機能
Tectia Client/Tectia Quantum Client
- 全OS共通:コマンドラインクライアントでsshg3、sftpg3、scpg3は、-publickey-algsオプションに対応するようになり、署名アルゴリズムの優先順位を指定できるようになりました。ssh-broker-config.xmlで署名アルゴリズムを指定することもできます。
- 全OS共通:複数の証明書がある場合に、ユーザ証明書のフィルタリングを改善し、ユーザ認証でサーバに受け入れられやすい証明書を簡単に提供できるようにしました。
- 全OS共通:OpenSSH 7.4でserver-sig-algs extensionが正しくないと報告された場合の互換性を確保し、ed25519またはecdsa鍵が使用できるようになりました。
Tectia Server/Tectia Quantum Server
- 全OS共通:Tectia Serverは起動時や設定変更時に、鍵長、Babble、RFC4716、SHA-256などのフィンガープリントを含む情報をServer_hostkeyメッセージに記録するようになりました。これにより、例えば、非推奨のDSAホスト鍵を持つサーバをsyslogやイベントログから特定し、変更されたホスト鍵を追跡することが容易になります。
- 全OS共通:接続固有のプロトコルアルゴリズム情報(KEX、MAC、Cipherなど)をblackboard fieldsとして利用できるようになりました。Blackboardもユーザ認証中に追加メッセージを送信するため、バナーメッセージをサポートするようになりました。
- 全OS共通:認証チェーンのセレクタ publickey-passed に ”type" 属性が追加され、より小さな鍵や望ましくないユーザ鍵タイプの使用記録や拒否が簡単にできるようになりました。
- 追加された外部マッパーはchroot化され、非特権マッパーユーザとして実行できるように改善されました。また、カスタムマッパースクリプトのエラーは、Rule_engine_warningログメッセージでより簡単に確認できるようになりました。
Tectia Quantum Client/Tectia Quantum Server
- 全OS共通:FIPSモードが有効な場合にサポートされるPQCハイブリッドKEXアルゴリズムであるcurve448-kyber1024-sha512@ssh.comが新しく追加されました。
以下は前バージョン6.6.1での内容となります。
6.6.1での主な新機能
Tectia Client / Tectia Server / Tectia Quantum SSH Client / Tectia Quantum SSH Server
- Red Hat Enterprise Linux 9のサポートを追加しました。
- ncurses 6のサポートを追加し、以前のlibncursesの依存性を排除しました。
不具合修正の内容
6.6.2での主な不具合修正
Tectia Client/Tectia Quantum Client
- 全OS共通:プロキシルールセットで、直接設定時にIPレンジが無視されなくなりました。以前設定されたプロキシは、すべてのクライアント接続に使用されます。
- 全OS共通:認証エージェント経由でEd25519ユーザ鍵を使用できるようになりました。
- 全OS共通:認証エージェントのネスト転送で、条件によっては5分待つとExternalkeyプロバイダエラーで署名失敗する不具合を修正しました。
- 全OS共通:特定の条件下で、鍵選択ポリシーとして "interactive-shy "を設定した場合に、Brokerがクラッシュすることがなくなりました。
- 全OS共通:現在有効なユーザ証明書は、デフォルトで最新のものを優先的に使用するようになりました。
- 全OS共通:複数の証明書を使用し、ユーザが証明書を選択する必要がある場合、”Prompt user to select the public key” オプションを選択しても、Brokerがクラッシュしなくなりました。
- 全OS共通:OpenSSH Agentを使用した場合に、特定の条件下でBrokerがクラッシュすることがなくなりました。
Tectia Server/Tectia Quantum Server
- Linux:systemdが使用されている場合、起動時のサーバ設定ファイルのエラーがsyslogにも報告されるようになりました。
- 全OS共通:サーバはセキュア シェル クライアントが接続を受信したとき、またはログイン猶予時間を超過してクライアントを切断したとき、最初の 7 秒以内にそのバージョンと最初の KEXINIT パケットを送信するようになりました。その後は通常のログイン猶予時間が適用されます。
- Windows:接続終了後にログオンセッションが正しくクリアされない時がある不具合を修正しました。
- 全OS共通:設定の再読み込みによってTectia Serverが新しい接続を受け付けなくなる競合状態を修正しました。
- SELinuxが有効なLinux:正しいコンテキストタイプが /var/opt/tectia に使用されるようになりました。
以下は前バージョン6.6.1での内容となります。
6.6.1での主な不具合修正
Tectia Client / Tectia Server / Tectia Quantum SSH Client / Tectia Quantum SSH Server
- RHELのRadius認証のバグを修正し、当該認証方法を利用できないバグを修正しました。
Tectia Client/Tectia Quantum Client
- 接続プロファイルのユーザ定義パスワードは、一度しか試行されないようになりました。以前は、接続プロファイルのパスワードが正しくないと、試行回数の上限まで接続を再試行するようになっていました。
- クライアントGUI接続で、パスフレーズ・タイムアウトの設定が反映されるようになりました。
- OpenSSH Agentとの互換性を向上しました。
Tectia Server/Tectia Quantum Server
- Windows:NFSでファイルを上書きしようとしても、入出力エラーで失敗することがなくなりました。従来は、SFTPクライアントがアップロードする前に、同名のファイルを削除する必要がありました。
既知の問題
Tectia Client / Tectia Server / Tectia Quantum SSH Client / Tectia Quantum SSH Server
- Windows:バーチャルフォルダ設定時、ユーザのホームディレクトリが仮想フォルダ上である場合、バーチャルフォルダのパスが誤って解決されます。
回避策:scpg3等でディレクトリのパスを指定する際、相対パスではなく仮想ルートディレクトリからの完全なパスで指定してください。
※ 本不具合は、バージョン6.5.x、および6.6.xにて発生します。今後のバージョンにて修正予定となっております。
※その他の新機能、修正点、既知の問題に関してはリリースノートをご参照ください。