Viewing all changes in revision 35.
- Committer: Bazaar Package Importer
- Date: 2010-04-06 22:38:31 UTC
- mfrom: (1.13.6 upstream)
- Revision ID: james.westby@ubuntu.com-20100406223831-gh0yqm0xpadng35o
* New upstream release (LP: #535029).
  - After a transition period of about 10 years, this release disables SSH
    protocol 1 by default.  Clients and servers that need to use the
    legacy protocol must explicitly enable it in ssh_config / sshd_config
    or on the command-line.
  - Remove the libsectok/OpenSC-based smartcard code and add support for
    PKCS#11 tokens.  This support is enabled by default in the Debian
    packaging, since it now doesn't involve additional library
    dependencies (closes: #231472, LP: #16918).
  - Add support for certificate authentication of users and hosts using a
    new, minimal OpenSSH certificate format (closes: #482806).
  - Added a 'netcat mode' to ssh(1): "ssh -W host:port ...".
  - Add the ability to revoke keys in sshd(8) and ssh(1).  (For the Debian
    package, this overlaps with the key blacklisting facility added in
    openssh 1:4.7p1-9, but with different file formats and slightly
    different scopes; for the moment, I've roughly merged the two.)
  - Various multiplexing improvements, including support for requesting
    port-forwardings via the multiplex protocol (closes: #360151).
  - Allow setting an explicit umask on the sftp-server(8) commandline to
    override whatever default the user has (closes: #496843).
  - Many sftp client improvements, including tab-completion, more options,
    and recursive transfer support for get/put (LP: #33378).  The old
    mget/mput commands never worked properly and have been removed
    (closes: #270399, #428082).
  - Do not prompt for a passphrase if we fail to open a keyfile, and log
    the reason why the open failed to debug (closes: #431538).
  - Prevent sftp from crashing when given a "-" without a command.  Also,
    allow whitespace to follow a "-" (closes: #531561).
* Fix 'debian/rules quilt-setup' to avoid writing .orig files if some
  patches apply with offsets.
* Include debian/ssh-askpass-gnome.png in the Debian tarball now that
  we're using a source format that permits this, rather than messing
  around with uudecode.
* Drop compatibility with the old gssapi mechanism used in ssh-krb5 <<
  3.8.1p1-1.  Simon Wilkinson refused this patch since the old gssapi
  mechanism was removed due to a serious security hole, and since these
  versions of ssh-krb5 are no longer security-supported by Debian I don't
  think there's any point keeping client compatibility for them.
* Fix substitution of ETC_PAM_D_SSH, following the rename in 1:4.7p1-4.
* Hardcode the location of xauth to /usr/bin/xauth rather than
  /usr/bin/X11/xauth (thanks, Aron Griffis; closes: #575725, LP: #8440).
  xauth no longer depends on x11-common, so we're no longer guaranteed to
  have the /usr/bin/X11 symlink available.  I was taking advantage of the
  /usr/bin/X11 symlink to smooth X's move to /usr/bin, but this is far
  enough in the past now that it's probably safe to just use /usr/bin.
* Remove SSHD_OOM_ADJUST configuration.  sshd now unconditionally makes
  itself non-OOM-killable, and doesn't require configuration to avoid log
  spam in virtualisation containers (closes: #555625).
* Drop Debian-specific removal of OpenSSL version check.  Upstream ignores
  the two patchlevel nybbles now, which is sufficient to address the
  original reason this change was introduced, and it appears that any
  change in the major/minor/fix nybbles would involve a new libssl package
  name.  (We'd still lose if the status nybble were ever changed, but that
  would mean somebody had packaged a development/beta version rather than
  a proper release, which doesn't appear to be normal practice.)
* Drop most of our "LogLevel SILENT" (-qq) patch.  This was originally
  introduced to match the behaviour of non-free SSH, in which -q does not
  suppress fatal errors, but matching the behaviour of OpenSSH upstream is
  much more important nowadays.  We no longer document that -q does not
  suppress fatal errors (closes: #280609).  Migrate "LogLevel SILENT" to
  "LogLevel QUIET" in sshd_config on upgrade.
* Policy version 3.8.4:
  - Add a Homepage field.
  - After a transition period of about 10 years, this release disables SSH
    protocol 1 by default.  Clients and servers that need to use the
    legacy protocol must explicitly enable it in ssh_config / sshd_config
    or on the command-line.
  - Remove the libsectok/OpenSC-based smartcard code and add support for
    PKCS#11 tokens.  This support is enabled by default in the Debian
    packaging, since it now doesn't involve additional library
    dependencies (closes: #231472, LP: #16918).
  - Add support for certificate authentication of users and hosts using a
    new, minimal OpenSSH certificate format (closes: #482806).
  - Added a 'netcat mode' to ssh(1): "ssh -W host:port ...".
  - Add the ability to revoke keys in sshd(8) and ssh(1).  (For the Debian
    package, this overlaps with the key blacklisting facility added in
    openssh 1:4.7p1-9, but with different file formats and slightly
    different scopes; for the moment, I've roughly merged the two.)
  - Various multiplexing improvements, including support for requesting
    port-forwardings via the multiplex protocol (closes: #360151).
  - Allow setting an explicit umask on the sftp-server(8) commandline to
    override whatever default the user has (closes: #496843).
  - Many sftp client improvements, including tab-completion, more options,
    and recursive transfer support for get/put (LP: #33378).  The old
    mget/mput commands never worked properly and have been removed
    (closes: #270399, #428082).
  - Do not prompt for a passphrase if we fail to open a keyfile, and log
    the reason why the open failed to debug (closes: #431538).
  - Prevent sftp from crashing when given a "-" without a command.  Also,
    allow whitespace to follow a "-" (closes: #531561).
* Fix 'debian/rules quilt-setup' to avoid writing .orig files if some
  patches apply with offsets.
* Include debian/ssh-askpass-gnome.png in the Debian tarball now that
  we're using a source format that permits this, rather than messing
  around with uudecode.
* Drop compatibility with the old gssapi mechanism used in ssh-krb5 <<
  3.8.1p1-1.  Simon Wilkinson refused this patch since the old gssapi
  mechanism was removed due to a serious security hole, and since these
  versions of ssh-krb5 are no longer security-supported by Debian I don't
  think there's any point keeping client compatibility for them.
* Fix substitution of ETC_PAM_D_SSH, following the rename in 1:4.7p1-4.
* Hardcode the location of xauth to /usr/bin/xauth rather than
  /usr/bin/X11/xauth (thanks, Aron Griffis; closes: #575725, LP: #8440).
  xauth no longer depends on x11-common, so we're no longer guaranteed to
  have the /usr/bin/X11 symlink available.  I was taking advantage of the
  /usr/bin/X11 symlink to smooth X's move to /usr/bin, but this is far
  enough in the past now that it's probably safe to just use /usr/bin.
* Remove SSHD_OOM_ADJUST configuration.  sshd now unconditionally makes
  itself non-OOM-killable, and doesn't require configuration to avoid log
  spam in virtualisation containers (closes: #555625).
* Drop Debian-specific removal of OpenSSL version check.  Upstream ignores
  the two patchlevel nybbles now, which is sufficient to address the
  original reason this change was introduced, and it appears that any
  change in the major/minor/fix nybbles would involve a new libssl package
  name.  (We'd still lose if the status nybble were ever changed, but that
  would mean somebody had packaged a development/beta version rather than
  a proper release, which doesn't appear to be normal practice.)
* Drop most of our "LogLevel SILENT" (-qq) patch.  This was originally
  introduced to match the behaviour of non-free SSH, in which -q does not
  suppress fatal errors, but matching the behaviour of OpenSSH upstream is
  much more important nowadays.  We no longer document that -q does not
  suppress fatal errors (closes: #280609).  Migrate "LogLevel SILENT" to
  "LogLevel QUIET" in sshd_config on upgrade.
* Policy version 3.8.4:
  - Add a Homepage field.
- files added:
- PROTOCOL.certkeys
- files removed:
- .pc/banner-noslash.patch
- .pc/config-guess-sub.patch
- .pc/keyfile-debug.patch
- .pc/no-constraint-fallback.patch
- .pc/no-openssl-version-check.patch
- .pc/old-gssapi.patch
- .pc/oom-adjust.patch
- .pc/oom-adjust.patch/openbsd-compat
- .pc/selinux-autoconf.patch
- .pc/sshd-ignore-sighup.patch
- files modified:
- .pc/applied-patches
expand all
collapse all
added
removed
debian/ssh-askpass-gnome.png
debian/ssh-askpass-gnome.png.uue
