Do not search system paths for non-ccapi plugins
[heimdal.git] / NEWS
blob961efbfbe84eb69bdb8f3d549439b00bc47ed6e8
1 Release Notes - Heimdal - Version Heimdal 1.6
3  Security
4  - ...
5  - kx509 realm-chopping security bug
6  - non-authorization of alias additions/removals in kadmind
8  Feature
10  - libhcrypto has new backends: CNG (Windows), PKCS#11 (mainly for
11    Solaris), and OpenSSL.  OpenSSL is now a first-class libhcrypto backend.
12    OpenSSL 1.0.x and 1.1 are both supported.
13  - HDB now supports LMDB
14  - Thread support on Windows
15  - RFC 6113  Generalized Framework for Kerberos Pre-Authentication (FAST)
16  - New GSS APIs:
17    . gss_localname
18  - Allow setting what encryption types a principal should have with
19    [kadmin] default_key_rules, see krb5.conf manpage for more info
20  - Unify libhcrypto with LTC (libtomcrypto)
21  - asn1_compile 64-bit INTEGER functionality
22  - HDB key history support including --keepold kadmin password option
23  - Improved cross-realm key rollover safety
24  - New krb5_kuserok() plug-in interface
25  - Improved MIT compatibility
26    . kadm5 API
27    . Migration from MIT KDB via "mitdb" HDB backend.
28    . Capable of writing the HDB in MIT dump format
29  - Improved Active Directory interoperability
30    . Enctype selection issues for PAC and other authz-data signatures
31    . Cross realm key rollover (kvno 0)
32  - New [kdc] enctype negotiation configuration:
33    . tgt-use-strongest-session-key
34    . svc-use-strongest-session-key
35    . preauth-use-strongest-session-key
36    . use-strongest-server-key
37  - Allow batch-mode kinit with password file
38  - SIGINFO support added to kinit cmd
39  - New kx509 configuration options:
40    . kx509_ca
41    . kca_service
42    . kx509_include_pkinit_san
43    . kx509_template
44  - Improved Heimdal library/plugin version safety
45  - Name canonicalization
46    . DNS resolver searchlist
47  - Pluggable libheimbase interface for DBs
48  - Improve IPv6 Support
49  - LDAP
50    . Bind DN and password
51    . Start TLS
52  - klist --json
53  - DIR credential cache type
54  - Many more
56  Bug fixes
57  - iprop has been revamped to fix a number of race conditions that could
58    lead to data loss
59  - Include non-loopback addresses assigned to loopback interfaces
60    when requesting tickets with addresses
61  - KDC 1DES session key selection (for AFS rxkad-k5 compatibility)
62  - Keytab file descriptor and lock leak
63  - Credential cache corruption bugs
64    (NOTE: The FILE ccache is still not entirely safe due to the
65    fundamentally unsafe design of POSIX file locking)
66  - gss_pseudo_random() interop bug
67  - Plugins are now preferentially loaded from the run-time install tree
68  - Reauthentication after password change in init_creds_password
69  - Memory leak in the client kadmin library
70  - TGS client requests renewable/forwardable/proxiable when possible.
71  - Locking issues in DB1 and DB3 HDB backends
72  - Master HDB can remain locked while waiting for network I/O
73  - Renewal/refresh logic when kinit is provided with a command
74  - KDC handling of enterprise principals
75  - Many more
77  Acknowledgements
79  This release of Heimdal includes contributions from:
80    Andrew Bartlett, Andrew Tridgell, Arran Cudbard-Bell, Arvid Requate,
81    Ben Kaduk, Dana Koch, Daniel Schepler, Eray Aslan, Fredrik Pettai,
82    Gustavo Zacarias, Harald Barth, Howard Chu, Igor Sobrado, Ingo Schwarze,
83    James Le Cuirot, James Lee, Jeffrey Altman, Jeffrey Clark, Jeffrey Hutzelman,
84    Jelmer Vernooij, Ken Dreyer, Kumar Thangavelu, Landon Fuller, Linus Nordberg,
85    Love Hörnquist Ã…strand, Luke Howard, Magnus Ahltorp, Marco Molteni,
86    Michael Meffie,  Moritz Lenz, Nico Williams, Nicolas Williams, Patrik Lundin,
87    Philip Boulain, Ragnar Sundblad, Rod Widdowson, Roland C. Dowdeswell,
88    Ross L Richardson, Russ Allbery, Samuel Thibault, Simon Wilkinson,
89    Stef Walter, Stefan Metzmacher, Steffen Jaeckel, Tollef Fog Heen, Tony Acero,
90    Viktor Dukhovni
92 Release Notes - Heimdal - Version Heimdal 1.5.3
94  Bug fixes
95  - Fix leaking file descriptors in KDC
96  - Better socket/timeout handling in libkrb5
97  - General bug fixes
98  - Build fixes
100 Release Notes - Heimdal - Version Heimdal 1.5.2
102  Security fixes
103  - CVE-2011-4862 Buffer overflow in libtelnet/encrypt.c in telnetd - escalation of privilege
104  - Check that key types strictly match - denial of service
106 Release Notes - Heimdal - Version Heimdal 1.5.1
108  Bug fixes
109  - Fix building on Solaris, requires c99
110  - Fix building on Windows
111  - Build system updates
113 Release Notes - Heimdal - Version Heimdal 1.5
115 New features
117  - Support GSS name extensions/attributes
118  - SHA512 support
119  - No Kerberos 4 support
120  - Basic support for MIT Admin protocol (SECGSS flavor)
121    in kadmind (extract keytab)
122  - Replace editline with libedit
124 Release Notes - Heimdal - Version Heimdal 1.4
126  New features
128  - Support for reading MIT database file directly
129  - KCM is polished up and now used in production
130  - NTLM first class citizen, credentials stored in KCM
131  - Table driven ASN.1 compiler, smaller!, not enabled by default
132  - Native Windows client support
134 Notes
136  - Disabled write support NDBM hdb backend (read still in there) since
137    it can't handle large records, please migrate to a diffrent backend
138    (like BDB4)
140 Release Notes - Heimdal - Version Heimdal 1.3.3
142  Bug fixes
143  - Check the GSS-API checksum exists before trying to use it [CVE-2010-1321]
144  - Check NULL pointers before dereference them [kdc]
146 Release Notes - Heimdal - Version Heimdal 1.3.2
148  Bug fixes
150  - Don't mix length when clearing hmac (could memset too much)
151  - More paranoid underrun checking when decrypting packets
152  - Check the password change requests and refuse to answer empty packets
153  - Build on OpenSolaris 
154  - Renumber AD-SIGNED-TICKET since it was stolen from US
155  - Don't cache /dev/*random file descriptor, it doesn't get unloaded
156  - Make C++ safe
157  - Misc warnings
159 Release Notes - Heimdal - Version Heimdal 1.3.1
161  Bug fixes
163  - Store KDC offset in credentials
164  - Many many more bug fixes
166 Release Notes - Heimdal - Version Heimdal 1.3.1
168  New features
170  - Make work with OpenLDAPs krb5 overlay
172 Release Notes - Heimdal - Version Heimdal 1.3
174  New features
176  - Partial support for MIT kadmind rpc protocol in kadmind
177  - Better support for finding keytab entries when using SPN aliases in the KDC
178  - Support BER in ASN.1 library (needed for CMS)
179  - Support decryption in Keychain private keys
180  - Support for new sqlite based credential cache
181  - Try both KDC referals and the common DNS reverse lookup in GSS-API
182  - Fix the KCM to not leak resources on failure
183  - Add IPv6 support to iprop
184  - Support localization of error strings in
185    kinit/klist/kdestroy and Kerberos library
186  - Remove Kerberos 4 support in application (still in KDC)
187  - Deprecate DES
188  - Support i18n password in windows domains (using UTF-8)
189  - More complete API emulation of OpenSSL in hcrypto
190  - Support for ECDSA and ECDH when linking with OpenSSL
192  API changes
194  - Support for settin friendly name on credential caches
195  - Move to using doxygen to generate documentation.
196  - Sprinkling __attribute__((depricated)) for old function to be removed
197  - Support to export LAST-REQUST information in AS-REQ
198  - Support for client deferrals in in AS-REQ
199  - Add seek support for krb5_storage.
200  - Support for split AS-REQ, first step for IA-KERB
201  - Fix many memory leaks and bugs
202  - Improved regression test
203  - Support krb5_cccol
204  - Switch to krb5_set_error_message
205  - Support krb5_crypto_*_iov    
206  - Switch to use EVP for most function
207  - Use SOCK_CLOEXEC and O_CLOEXEC (close on exec)
208  - Add support for GSS_C_DELEG_POLICY_FLAG
209  - Add krb5_cc_[gs]et_config to store data in the credential caches
210  - PTY testing application
212 Bugfixes
213  - Make building on AIX6 possible.
214  - Bugfixes in LDAP KDC code to make it more stable
215  - Make ipropd-slave reconnect when master down gown
218 Release Notes - Heimdal - Version Heimdal 1.2.1
220 * Bug
222   [HEIMDAL-147] - Heimdal 1.2 not compiling on Solaris
223   [HEIMDAL-151] - Make canned tests work again after cert expired
224   [HEIMDAL-152] - iprop test: use full hostname to avoid realm
225                   resolving errors
226   [HEIMDAL-153] - ftp: Use the correct length for unmap, msync
228 Release Notes - Heimdal - Version Heimdal 1.2
230 * Bug
232   [HEIMDAL-10] - Follow-up on bug report for SEGFAULT in
233                  gss_display_name/gss_export_name when using SPNEGO
234   [HEIMDAL-15] - Re: [Heimdal-bugs] potential bug in Heimdal 1.1
235   [HEIMDAL-17] - Remove support for depricated [libdefaults]capath
236   [HEIMDAL-52] - hdb overwrite aliases for db databases
237   [HEIMDAL-54] - Two issues which affect credentials delegation
238   [HEIMDAL-58] - sockbuf.c calls setsockopt with bad args
239   [HEIMDAL-62] - Fix printing of sig_atomic_t
240   [HEIMDAL-87] - heimdal 1.1 not building under cygwin in hcrypto
241   [HEIMDAL-105] - rcp: sync rcp with upstream bsd rcp codebase
242   [HEIMDAL-117] - Use libtool to detect symbol versioning (Debian Bug#453241)
244 * Improvement
245   [HEIMDAL-67] - Fix locking and store credential in atomic writes
246                  in the FILE credential cache
247   [HEIMDAL-106] - make compile on cygwin again
248   [HEIMDAL-107] - Replace old random key generation in des module
249                   and use it with RAND_ function instead
250   [HEIMDAL-115] - Better documentation and compatibility in hcrypto
251                   in regards to OpenSSL
253 * New Feature
254   [HEIMDAL-3] - pkinit alg agility PRF test vectors
255   [HEIMDAL-14] - Add libwind to Heimdal
256   [HEIMDAL-16] - Use libwind in hx509
257   [HEIMDAL-55] - Add flag to krb5 to not add GSS-API INT|CONF to
258                  the negotiation
259   [HEIMDAL-74] - Add support to report extended error message back
260                  in AS-REQ to support windows clients
261   [HEIMDAL-116] - test pty based application (using rkpty)
262   [HEIMDAL-120] - Use new OpenLDAP API (older deprecated)
264 * Task
265   [HEIMDAL-63] - Dont try key usage KRB5_KU_AP_REQ_AUTH for TGS-REQ.
266                  This drop compatibility with pre 0.3d KDCs.
267   [HEIMDAL-64] - kcm: first implementation of kcm-move-cache
268   [HEIMDAL-65] - Failed to compile with --disable-pk-init
269   [HEIMDAL-80] - verify that [VU#162289]: gcc silently discards some
270                  wraparound checks doesn't apply to Heimdal
272 Changes in release 1.1
274  * Read-only PKCS11 provider built-in to hx509.
276  * Documentation for hx509, hcrypto and ntlm libraries improved.
278  * Better compatibilty with Windows 2008 Server pre-releases and Vista.
280  * Mac OS X 10.5 support for native credential cache.
282  * Provide pkg-config file for Heimdal (heimdal-gssapi.pc).
284  * Bug fixes.
286 Changes in release 1.0.2
288 * Ubuntu packages.
290 * Bug fixes.
292 Changes in release 1.0.1
294  * Serveral bug fixes to iprop.
296  * Make work on platforms without dlopen.
298  * Add RFC3526 modp group14 as default.
300  * Handle [kdc] database = { } entries without realm = stanzas.
302  * Make krb5_get_renewed_creds work.
304  * Make kaserver preauth work again.
306  * Bug fixes.
308 Changes in release 1.0
310  * Add gss_pseudo_random() for mechglue and krb5.
312  * Make session key for the krbtgt be selected by the best encryption
313    type of the client.
315  * Better interoperability with other PK-INIT implementations.
317  * Inital support for Mac OS X Keychain for hx509.
319  * Alias support for inital ticket requests.
321  * Add symbol versioning to selected libraries on platforms that uses
322    GNU link editor: gssapi, hcrypto, heimntlm, hx509, krb5, and libkdc.
324  * New version of imath included in hcrypto.
326  * Fix memory leaks.
328  * Bugs fixes.
330 Changes in release 0.8.1
332  * Make ASN.1 library less paranoid to with regard to NUL in string to
333    make it inter-operate with MIT Kerberos again.
335  * Make GSS-API library work again when using gss_acquire_cred
337  * Add symbol versioning to libgssapi when using GNU ld.
339  * Fix memory leaks 
341  * Bugs fixes
343 Changes in release 0.8
345  * PK-INIT support.
347  * HDB extensions support, used by PK-INIT.
349  * New ASN.1 compiler.
351  * GSS-API mechglue from FreeBSD.
353  * Updated SPNEGO to support RFC4178.
355  * Support for Cryptosystem Negotiation Extension (RFC 4537).
357  * A new X.509 library (hx509) and related crypto functions.
359  * A new ntlm library (heimntlm) and related crypto functions.
361  * Updated the built-in crypto library with bignum support using
362    imath, support for RSA and DH and renamed it to libhcrypto.
364  * Subsystem in the KDC, digest, that will perform the digest
365    operation in the KDC, currently supports: CHAP, MS-CHAP-V2, SASL
366    DIGEST-MD5 NTLMv1 and NTLMv2.
368  * KDC will return the "response too big" error to force TCP retries
369    for large (default 1400 bytes) UDP replies.  This is common for
370    PK-INIT requests.
372  * Libkafs defaults to use 2b tokens.
374  * Default to use the API cache on Mac OS X.
376  * krb5_kuserok() also checks ~/.k5login.d directory for acl files,
377    see manpage for krb5_kuserok for description.
379  * Many, many, other updates to code and info manual and manual pages.
381  * Bug fixes
383 Changes in release 0.7.2
385 * Fix security problem in rshd that enable an attacker to overwrite
386   and change ownership of any file that root could write.
388 * Fix a DOS in telnetd. The attacker could force the server to crash
389   in a NULL de-reference before the user logged in, resulting in inetd
390   turning telnetd off because it forked too fast.
392 * Make gss_acquire_cred(GSS_C_ACCEPT) check that the requested name
393   exists in the keytab before returning success. This allows servers
394   to check if its even possible to use GSSAPI.
396 * Fix receiving end of token delegation for GSS-API. It still wrongly
397   uses subkey for sending for compatibility reasons, this will change
398   in 0.8.
400 * telnetd, login and rshd are now more verbose in logging failed and
401   successful logins.
403 * Bug fixes
405 Changes in release 0.7.1
407 * Bug fixes
409 Changes in release 0.7
411  * Support for KCM, a process based credential cache
413  * Support CCAPI credential cache
415  * SPNEGO support
417  * AES (and the gssapi conterpart, CFX) support
419  * Adding new and improve old documentation
421  * Bug fixes
423 Changes in release 0.6.6
425 * Fix security problem in rshd that enable an attacker to overwrite
426   and change ownership of any file that root could write.
428 * Fix a DOS in telnetd. The attacker could force the server to crash
429   in a NULL de-reference before the user logged in, resulting in inetd
430   turning telnetd off because it forked too fast.
432 Changes in release 0.6.5
434  * fix vulnerabilities in telnetd
436  * unbreak Kerberos 4 and kaserver
438 Changes in release 0.6.4
440  * fix vulnerabilities in telnet
442  * rshd: encryption without a separate error socket should now work
444  * telnet now uses appdefaults for the encrypt and forward/forwardable
445    settings
447  * bug fixes
449 Changes in release 0.6.3
451  * fix vulnerabilities in ftpd
453  * support for linux AFS /proc "syscalls"
455  * support for RFC3244 (Windows 2000 Kerberos Change/Set Password) in
456    kpasswdd
458  * fix possible KDC denial of service
460  * bug fixes
462 Changes in release 0.6.2
464  * Fix possible buffer overrun in v4 kadmin (which now defaults to off)
466 Changes in release 0.6.1
468  * Fixed ARCFOUR suppport
470  * Cross realm vulnerability
472  * kdc: fix denial of service attack
474  * kdc: stop clients from renewing tickets into the future
476  * bug fixes
477         
478 Changes in release 0.6
480 * The DES3 GSS-API mechanism has been changed to inter-operate with
481   other GSSAPI implementations. See man page for gssapi(3) how to turn
482   on generation of correct MIC messages. Next major release of heimdal 
483   will generate correct MIC by default.
485 * More complete GSS-API support
487 * Better AFS support: kdc (524) supports 2b; 524 in kdc and AFS
488   support in applications no longer requires Kerberos 4 libs
490 * Kerberos 4 support in kdc defaults to turned off (includes ka and 524)
492 * other bug fixes
494 Changes in release 0.5.2
496  * kdc: add option for disabling v4 cross-realm (defaults to off)
498  * bug fixes
500 Changes in release 0.5.1
502  * kadmind: fix remote exploit
504  * kadmind: add option to disable kerberos 4
506  * kdc: make sure kaserver token life is positive
508  * telnet: use the session key if there is no subkey
510  * fix EPSV parsing in ftp
512  * other bug fixes
514 Changes in release 0.5
516  * add --detach option to kdc
518  * allow setting forward and forwardable option in telnet from
519    .telnetrc, with override from command line
521  * accept addresses with or without ports in krb5_rd_cred
523  * make it work with modern openssl
525  * use our own string2key function even with openssl (that handles weak
526    keys incorrectly)
528  * more system-specific requirements in login
530  * do not use getlogin() to determine root in su
532  * telnet: abort if telnetd does not support encryption
534  * update autoconf to 2.53
536  * update config.guess, config.sub
538  * other bug fixes
540 Changes in release 0.4e
542  * improve libcrypto and database autoconf tests
544  * do not care about salting of server principals when serving v4 requests
546  * some improvements to gssapi library
548  * test for existing compile_et/libcom_err
550  * portability fixes
552  * bug fixes
554 Changes in release 0.4d
556  * fix some problems when using libcrypto from openssl
558  * handle /dev/ptmx `unix98' ptys on Linux
560  * add some forgotten man pages
562  * rsh: clean-up and add man page
564  * fix -A and -a in builtin-ls in tpd
566  * fix building problem on Irix
568  * make `ktutil get' more efficient
570  * bug fixes
572 Changes in release 0.4c
574  * fix buffer overrun in telnetd
576  * repair some of the v4 fallback code in kinit
578  * add more shared library dependencies
580  * simplify and fix hprop handling of v4 databases
582  * fix some building problems (osf's sia and osfc2 login)
584  * bug fixes
586 Changes in release 0.4b
588  * update the shared library version numbers correctly
590 Changes in release 0.4a
592  * corrected key used for checksum in mk_safe, unfortunately this
593    makes it backwards incompatible
595  * update to autoconf 2.50, libtool 1.4
597  * re-write dns/config lookups (krb5_krbhst API)
599  * make order of using subkeys consistent
601  * add man page links
603  * add more man pages
605  * remove rfc2052 support, now only rfc2782 is supported
607  * always build with kaserver protocol support in the KDC (assuming
608    KRB4 is enabled) and support for reading kaserver databases in
609    hprop
611 Changes in release 0.3f
613  * change default keytab to ANY:FILE:/etc/krb5.keytab,krb4:/etc/srvtab,
614    the new keytab type that tries both of these in order (SRVTAB is
615    also an alias for krb4:)
617  * improve error reporting and error handling (error messages should
618    be more detailed and more useful)
620  * improve building with openssl
622  * add kadmin -K, rcp -F 
624  * fix two incorrect weak DES keys
626  * fix building of kaserver compat in KDC
628  * the API is closer to what MIT krb5 is using
630  * more compatible with windows 2000
632  * removed some memory leaks
634  * bug fixes
636 Changes in release 0.3e
638  * rcp program included
640  * fix buffer overrun in ftpd
642  * handle omitted sequence numbers as zeroes to handle MIT krb5 that
643    cannot generate zero sequence numbers
645  * handle v4 /.k files better
647  * configure/portability fixes
649  * fixes in parsing of options to kadmin (sub-)commands
651  * handle errors in kadmin load better
653  * bug fixes
655 Changes in release 0.3d
657  * add krb5-config
659  * fix a bug in 3des gss-api mechanism, making it compatible with the
660    specification and the MIT implementation
662  * make telnetd only allow a specific list of environment variables to
663    stop it from setting `sensitive' variables
665  * try to use an existing libdes
667  * lib/krb5, kdc: use correct usage type for ap-req messages.  This
668    should improve compatability with MIT krb5 when using 3DES
669    encryption types
671  * kdc: fix memory allocation problem
673  * update config.guess and config.sub
675  * lib/roken: more stuff implemented
677  * bug fixes and portability enhancements
679 Changes in release 0.3c
681  * lib/krb5: memory caches now support the resolve operation
683  * appl/login: set PATH to some sane default
685  * kadmind: handle several realms
687  * bug fixes (including memory leaks)
689 Changes in release 0.3b
691  * kdc: prefer default-salted keys on v5 requests
693  * kdc: lowercase hostnames in v4 mode
695  * hprop: handle more types of MIT salts
697  * lib/krb5: fix memory leak
699  * bug fixes
701 Changes in release 0.3a:
703  * implement arcfour-hmac-md5 to interoperate with W2K
705  * modularise the handling of the master key, and allow for other
706    encryption types. This makes it easier to import a database from
707    some other source without having to re-encrypt all keys.
709  * allow for better control over which encryption types are created
711  * make kinit fallback to v4 if given a v4 KDC
713  * make klist work better with v4 and v5, and add some more MIT
714    compatibility options
716  * make the kdc listen on the krb524 (4444) port for compatibility
717    with MIT krb5 clients
719  * implement more DCE/DFS support, enabled with --enable-dce, see
720    lib/kdfs and appl/dceutils
722  * make the sequence numbers work correctly
724  * bug fixes
726 Changes in release 0.2t:
728  * bug fixes
730 Changes in release 0.2s:
732  * add OpenLDAP support in hdb
734  * login will get v4 tickets when it receives forwarded tickets
736  * xnlock supports both v5 and v4
738  * repair source routing for telnet
740  * fix building problems with krb4 (krb_mk_req)
742  * bug fixes
744 Changes in release 0.2r:
746  * fix realloc memory corruption bug in kdc
748  * `add --key' and `cpw --key' in kadmin
750  * klist supports listing v4 tickets
752  * update config.guess and config.sub
754  * make v4 -> v5 principal name conversion more robust
756  * support for anonymous tickets
758  * new man-pages
760  * telnetd: do not negotiate KERBEROS5 authentication if there's no keytab.
762  * use and set expiration and not password expiration when dumping
763    to/from ka server databases / krb4 databases
765  * make the code happier with 64-bit time_t
767  * follow RFC2782 and by default do not look for non-underscore SRV names
769 Changes in release 0.2q:
771  * bug fix in tcp-handling in kdc
773  * bug fix in expand_hostname
775 Changes in release 0.2p:
777  * bug fix in `kadmin load/merge'
779  * bug fix in krb5_parse_address
781 Changes in release 0.2o:
783  * gss_{import,export}_sec_context added to libgssapi
785  * new option --addresses to kdc (for listening on an explicit set of
786    addresses)
788  * bug fixes in the krb4 and kaserver emulation part of the kdc
790  * other bug fixes
792 Changes in release 0.2n:
794  * more robust parsing of dump files in kadmin
795  * changed default timestamp format for log messages to extended ISO
796    8601 format (Y-M-DTH:M:S)
797  * changed md4/md5/sha1 APIes to be de-facto `standard'
798  * always make hostname into lower-case before creating principal
799  * small bits of more MIT-compatability
800  * bug fixes
802 Changes in release 0.2m:
804  * handle glibc's getaddrinfo() that returns several ai_canonname
806  * new endian test
808  * man pages fixes
810 Changes in release 0.2l:
812  * bug fixes
814 Changes in release 0.2k:
816  * better IPv6 test
818  * make struct sockaddr_storage in roken work better on alphas
820  * some missing [hn]to[hn]s fixed.
822  * allow users to change their own passwords with kadmin (with initial
823    tickets)
825  * fix stupid bug in parsing KDC specification
827  * add `ktutil change' and `ktutil purge'
829 Changes in release 0.2j:
831  * builds on Irix
833  * ftpd works in passive mode
835  * should build on cygwin
837  * work around broken IPv6-code on OpenBSD 2.6, also add configure
838    option --disable-ipv6
840 Changes in release 0.2i:
842  * use getaddrinfo in the missing places.
844  * fix SRV lookup for admin server
846  * use get{addr,name}info everywhere.  and implement it in terms of
847    getipnodeby{name,addr} (which uses gethostbyname{,2} and
848    gethostbyaddr)
850 Changes in release 0.2h:
852  * fix typo in kx (now compiles)
854 Changes in release 0.2g:
856  * lots of bug fixes:
857    * push works
858    * repair appl/test programs
859    * sockaddr_storage works on solaris (alignment issues)
860    * works better with non-roken getaddrinfo
861    * rsh works
862    * some non standard C constructs removed
864 Changes in release 0.2f:
866  * support SRV records for kpasswd
867  * look for both _kerberos and krb5-realm when doing host -> realm mapping
869 Changes in release 0.2e:
871  * changed copyright notices to remove `advertising'-clause.
872  * get{addr,name}info added to roken and used in the other code
873    (this makes things work much better with hosts with both v4 and v6
874     addresses, among other things)
875  * do pre-auth for both password and key-based get_in_tkt
876  * support for having several databases
877  * new command `del_enctype' in kadmin
878  * strptime (and new strftime) add to roken
879  * more paranoia about finding libdb
880  * bug fixes
882 Changes in release 0.2d:
884  * new configuration option [libdefaults]default_etypes_des
885  * internal ls in ftpd builds without KRB4
886  * kx/rsh/push/pop_debug tries v5 and v4 consistenly
887  * build bug fixes
888  * other bug fixes
890 Changes in release 0.2c:
892  * bug fixes (see ChangeLog's for details)
894 Changes in release 0.2b:
896  * bug fixes
897  * actually bump shared library versions
899 Changes in release 0.2a:
901  * a new program verify_krb5_conf for checking your /etc/krb5.conf
902  * add 3DES keys when changing password
903  * support null keys in database
904  * support multiple local realms
905  * implement a keytab backend for AFS KeyFile's
906  * implement a keytab backend for v4 srvtabs
907  * implement `ktutil copy'
908  * support password quality control in v4 kadmind
909  * improvements in v4 compat kadmind
910  * handle the case of having the correct cred in the ccache but with
911    the wrong encryption type better
912  * v6-ify the remaining programs.
913  * internal ls in ftpd
914  * rename strcpy_truncate/strcat_truncate to strlcpy/strlcat
915  * add `ank --random-password' and `cpw --random-password' in kadmin
916  * some programs and documentation for trying to talk to a W2K KDC
917  * bug fixes
919 Changes in release 0.1m:
921  * support for getting default from krb5.conf for kinit/kf/rsh/telnet.
922    From Miroslav Ruda <ruda@ics.muni.cz>
923  * v6-ify hprop and hpropd
924  * support numeric addresses in krb5_mk_req
925  * shadow support in login and su. From Miroslav Ruda <ruda@ics.muni.cz>
926  * make rsh/rshd IPv6-aware
927  * make the gssapi sample applications better at reporting errors
928  * lots of bug fixes
929  * handle systems with v6-aware libc and non-v6 kernels (like Linux
930    with glibc 2.1) better
931  * hide failure of ERPT in ftp
932  * lots of bug fixes
934 Changes in release 0.1l:
936  * make ftp and ftpd IPv6-aware
937  * add inet_pton to roken
938  * more IPv6-awareness
939  * make mini_inetd v6 aware
941 Changes in release 0.1k:
943  * bump shared libraries versions
944  * add roken version of inet_ntop
945  * merge more changes to rshd
947 Changes in release 0.1j:
949  * restore back to the `old' 3DES code.  This was supposed to be done
950    in 0.1h and 0.1i but I did a CVS screw-up.
951  * make telnetd handle v6 connections
953 Changes in release 0.1i:
955  * start using `struct sockaddr_storage' which simplifies the code
956    (with a fallback definition if it's not defined)
957  * bug fixes (including in hprop and kf)
958  * don't use mawk which seems to mishandle roken.awk
959  * get_addrs should be able to handle v6 addresses on Linux (with the
960    required patch to the Linux kernel -- ask within)
961  * rshd builds with shadow passwords
963 Changes in release 0.1h:
965  * kf: new program for forwarding credentials
966  * portability fixes
967  * make forwarding credentials work with MIT code
968  * better conversion of ka database
969  * add etc/services.append
970  * correct `modified by' from kpasswdd
971  * lots of bug fixes
973 Changes in release 0.1g:
975  * kgetcred: new program for explicitly obtaining tickets
976  * configure fixes
977  * krb5-aware kx
978  * bug fixes
980 Changes in release 0.1f;
982  * experimental support for v4 kadmin protokoll in kadmind
983  * bug fixes
985 Changes in release 0.1e:
987  * try to handle old DCE and MIT kdcs
988  * support for older versions of credential cache files and keytabs
989  * postdated tickets work
990  * support for password quality checks in kpasswdd
991  * new flag --enable-kaserver for kdc
992  * renew fixes
993  * prototype su program
994  * updated (some) manpages
995  * support for KDC resource records
996  * should build with --without-krb4
997  * bug fixes
999 Changes in release 0.1d:
1001  * Support building with DB2 (uses 1.85-compat API)
1002  * Support krb5-realm.DOMAIN in DNS
1003  * new `ktutil srvcreate'
1004  * v4/kafs support in klist/kdestroy
1005  * bug fixes
1007 Changes in release 0.1c:
1009  * fix ASN.1 encoding of signed integers
1010  * somewhat working `ktutil get'
1011  * some documentation updates
1012  * update to Autoconf 2.13 and Automake 1.4
1013  * the usual bug fixes
1015 Changes in release 0.1b:
1017  * some old -> new crypto conversion utils
1018  * bug fixes
1020 Changes in release 0.1a:
1022  * new crypto code
1023  * more bug fixes
1024  * make sure we ask for DES keys in gssapi
1025  * support signed ints in ASN1
1026  * IPv6-bug fixes
1028 Changes in release 0.0u:
1030  * lots of bug fixes
1032 Changes in release 0.0t:
1034  * more robust parsing of krb5.conf
1035  * include net{read,write} in lib/roken
1036  * bug fixes
1038 Changes in release 0.0s:
1040  * kludges for parsing options to rsh
1041  * more robust parsing of krb5.conf
1042  * removed some arbitrary limits
1043  * bug fixes
1045 Changes in release 0.0r:
1047  * default options for some programs
1048  * bug fixes
1050 Changes in release 0.0q:
1052  * support for building shared libraries with libtool
1053  * bug fixes
1055 Changes in release 0.0p:
1057  * keytab moved to /etc/krb5.keytab
1058  * avoid false detection of IPv6 on Linux
1059  * Lots of more functionality in the gssapi-library
1060  * hprop can now read ka-server databases
1061  * bug fixes
1063 Changes in release 0.0o:
1065  * FTP with GSSAPI support.
1066  * Bug fixes.
1068 Changes in release 0.0n:
1070  * Incremental database propagation.
1071  * Somewhat improved kadmin ui; the stuff in admin is now removed.
1072  * Some support for using enctypes instead of keytypes.
1073  * Lots of other improvement and bug fixes, see ChangeLog for details.