new vers
[heimdal.git] / NEWS
bloba8137a3845332cc6862ea8516a9ddcfdbff331a4
1 Release Notes - Heimdal - Version Heimdal 1.5.2
3  Security fixes
4  - CVE-2011-4862 Buffer overflow in libtelnet/encrypt.c in telnetd - escalation of privilege
5  - PKINIT make sure we propagate an error code in case of wrong number of ms-san - escalation of privilege
6  - Check that key types strictly match - denial of service
8 Release Notes - Heimdal - Version Heimdal 1.5.1
10  Bug fixes
11  - Fix building on Solaris, requires c99
12  - Fix building on Windows
13  - Build system updates
15 Release Notes - Heimdal - Version Heimdal 1.5
17 New features
19  - Support GSS name extensions/attributes
20  - SHA512 support
21  - No Kerberos 4 support
22  - Basic support for MIT Admin protocol (SECGSS flavor)
23    in kadmind (extract keytab)
24  - Replace editline with libedit
26 Release Notes - Heimdal - Version Heimdal 1.4
28  New features
30  - Support for reading MIT database file directly
31  - KCM is polished up and now used in production
32  - NTLM first class citizen, credentials stored in KCM
33  - Table driven ASN.1 compiler, smaller!, not enabled by default
34  - Native Windows client support
36 Notes
38  - Disabled write support NDBM hdb backend (read still in there) since
39    it can't handle large records, please migrate to a diffrent backend
40    (like BDB4)
42 Release Notes - Heimdal - Version Heimdal 1.3.3
44  Bug fixes
45  - Check the GSS-API checksum exists before trying to use it [CVE-2010-1321]
46  - Check NULL pointers before dereference them [kdc]
48 Release Notes - Heimdal - Version Heimdal 1.3.2
50  Bug fixes
52  - Don't mix length when clearing hmac (could memset too much)
53  - More paranoid underrun checking when decrypting packets
54  - Check the password change requests and refuse to answer empty packets
55  - Build on OpenSolaris 
56  - Renumber AD-SIGNED-TICKET since it was stolen from US
57  - Don't cache /dev/*random file descriptor, it doesn't get unloaded
58  - Make C++ safe
59  - Misc warnings
61 Release Notes - Heimdal - Version Heimdal 1.3.1
63  Bug fixes
65  - Store KDC offset in credentials
66  - Many many more bug fixes
68 Release Notes - Heimdal - Version Heimdal 1.3.1
70  New features
72  - Make work with OpenLDAPs krb5 overlay
74 Release Notes - Heimdal - Version Heimdal 1.3
76  New features
78  - Partial support for MIT kadmind rpc protocol in kadmind
79  - Better support for finding keytab entries when using SPN aliases in the KDC
80  - Support BER in ASN.1 library (needed for CMS)
81  - Support decryption in Keychain private keys
82  - Support for new sqlite based credential cache
83  - Try both KDC referals and the common DNS reverse lookup in GSS-API
84  - Fix the KCM to not leak resources on failure
85  - Add IPv6 support to iprop
86  - Support localization of error strings in
87    kinit/klist/kdestroy and Kerberos library
88  - Remove Kerberos 4 support in application (still in KDC)
89  - Deprecate DES
90  - Support i18n password in windows domains (using UTF-8)
91  - More complete API emulation of OpenSSL in hcrypto
92  - Support for ECDSA and ECDH when linking with OpenSSL
94  API changes
96  - Support for settin friendly name on credential caches
97  - Move to using doxygen to generate documentation.
98  - Sprinkling __attribute__((depricated)) for old function to be removed
99  - Support to export LAST-REQUST information in AS-REQ
100  - Support for client deferrals in in AS-REQ
101  - Add seek support for krb5_storage.
102  - Support for split AS-REQ, first step for IA-KERB
103  - Fix many memory leaks and bugs
104  - Improved regression test
105  - Support krb5_cccol
106  - Switch to krb5_set_error_message
107  - Support krb5_crypto_*_iov    
108  - Switch to use EVP for most function
109  - Use SOCK_CLOEXEC and O_CLOEXEC (close on exec)
110  - Add support for GSS_C_DELEG_POLICY_FLAG
111  - Add krb5_cc_[gs]et_config to store data in the credential caches
112  - PTY testing application
114 Bugfixes
115  - Make building on AIX6 possible.
116  - Bugfixes in LDAP KDC code to make it more stable
117  - Make ipropd-slave reconnect when master down gown
120 Release Notes - Heimdal - Version Heimdal 1.2.1
122 * Bug
124   [HEIMDAL-147] - Heimdal 1.2 not compiling on Solaris
125   [HEIMDAL-151] - Make canned tests work again after cert expired
126   [HEIMDAL-152] - iprop test: use full hostname to avoid realm
127                   resolving errors
128   [HEIMDAL-153] - ftp: Use the correct length for unmap, msync
130 Release Notes - Heimdal - Version Heimdal 1.2
132 * Bug
134   [HEIMDAL-10] - Follow-up on bug report for SEGFAULT in
135                  gss_display_name/gss_export_name when using SPNEGO
136   [HEIMDAL-15] - Re: [Heimdal-bugs] potential bug in Heimdal 1.1
137   [HEIMDAL-17] - Remove support for depricated [libdefaults]capath
138   [HEIMDAL-52] - hdb overwrite aliases for db databases
139   [HEIMDAL-54] - Two issues which affect credentials delegation
140   [HEIMDAL-58] - sockbuf.c calls setsockopt with bad args
141   [HEIMDAL-62] - Fix printing of sig_atomic_t
142   [HEIMDAL-87] - heimdal 1.1 not building under cygwin in hcrypto
143   [HEIMDAL-105] - rcp: sync rcp with upstream bsd rcp codebase
144   [HEIMDAL-117] - Use libtool to detect symbol versioning (Debian Bug#453241)
146 * Improvement
147   [HEIMDAL-67] - Fix locking and store credential in atomic writes
148                  in the FILE credential cache
149   [HEIMDAL-106] - make compile on cygwin again
150   [HEIMDAL-107] - Replace old random key generation in des module
151                   and use it with RAND_ function instead
152   [HEIMDAL-115] - Better documentation and compatibility in hcrypto
153                   in regards to OpenSSL
155 * New Feature
156   [HEIMDAL-3] - pkinit alg agility PRF test vectors
157   [HEIMDAL-14] - Add libwind to Heimdal
158   [HEIMDAL-16] - Use libwind in hx509
159   [HEIMDAL-55] - Add flag to krb5 to not add GSS-API INT|CONF to
160                  the negotiation
161   [HEIMDAL-74] - Add support to report extended error message back
162                  in AS-REQ to support windows clients
163   [HEIMDAL-116] - test pty based application (using rkpty)
164   [HEIMDAL-120] - Use new OpenLDAP API (older deprecated)
166 * Task
167   [HEIMDAL-63] - Dont try key usage KRB5_KU_AP_REQ_AUTH for TGS-REQ.
168                  This drop compatibility with pre 0.3d KDCs.
169   [HEIMDAL-64] - kcm: first implementation of kcm-move-cache
170   [HEIMDAL-65] - Failed to compile with --disable-pk-init
171   [HEIMDAL-80] - verify that [VU#162289]: gcc silently discards some
172                  wraparound checks doesn't apply to Heimdal
174 Changes in release 1.1
176  * Read-only PKCS11 provider built-in to hx509.
178  * Documentation for hx509, hcrypto and ntlm libraries improved.
180  * Better compatibilty with Windows 2008 Server pre-releases and Vista.
182  * Mac OS X 10.5 support for native credential cache.
184  * Provide pkg-config file for Heimdal (heimdal-gssapi.pc).
186  * Bug fixes.
188 Changes in release 1.0.2
190 * Ubuntu packages.
192 * Bug fixes.
194 Changes in release 1.0.1
196  * Serveral bug fixes to iprop.
198  * Make work on platforms without dlopen.
200  * Add RFC3526 modp group14 as default.
202  * Handle [kdc] database = { } entries without realm = stanzas.
204  * Make krb5_get_renewed_creds work.
206  * Make kaserver preauth work again.
208  * Bug fixes.
210 Changes in release 1.0
212  * Add gss_pseudo_random() for mechglue and krb5.
214  * Make session key for the krbtgt be selected by the best encryption
215    type of the client.
217  * Better interoperability with other PK-INIT implementations.
219  * Inital support for Mac OS X Keychain for hx509.
221  * Alias support for inital ticket requests.
223  * Add symbol versioning to selected libraries on platforms that uses
224    GNU link editor: gssapi, hcrypto, heimntlm, hx509, krb5, and libkdc.
226  * New version of imath included in hcrypto.
228  * Fix memory leaks.
230  * Bugs fixes.
232 Changes in release 0.8.1
234  * Make ASN.1 library less paranoid to with regard to NUL in string to
235    make it inter-operate with MIT Kerberos again.
237  * Make GSS-API library work again when using gss_acquire_cred
239  * Add symbol versioning to libgssapi when using GNU ld.
241  * Fix memory leaks 
243  * Bugs fixes
245 Changes in release 0.8
247  * PK-INIT support.
249  * HDB extensions support, used by PK-INIT.
251  * New ASN.1 compiler.
253  * GSS-API mechglue from FreeBSD.
255  * Updated SPNEGO to support RFC4178.
257  * Support for Cryptosystem Negotiation Extension (RFC 4537).
259  * A new X.509 library (hx509) and related crypto functions.
261  * A new ntlm library (heimntlm) and related crypto functions.
263  * Updated the built-in crypto library with bignum support using
264    imath, support for RSA and DH and renamed it to libhcrypto.
266  * Subsystem in the KDC, digest, that will perform the digest
267    operation in the KDC, currently supports: CHAP, MS-CHAP-V2, SASL
268    DIGEST-MD5 NTLMv1 and NTLMv2.
270  * KDC will return the "response too big" error to force TCP retries
271    for large (default 1400 bytes) UDP replies.  This is common for
272    PK-INIT requests.
274  * Libkafs defaults to use 2b tokens.
276  * Default to use the API cache on Mac OS X.
278  * krb5_kuserok() also checks ~/.k5login.d directory for acl files,
279    see manpage for krb5_kuserok for description.
281  * Many, many, other updates to code and info manual and manual pages.
283  * Bug fixes
285 Changes in release 0.7.2
287 * Fix security problem in rshd that enable an attacker to overwrite
288   and change ownership of any file that root could write.
290 * Fix a DOS in telnetd. The attacker could force the server to crash
291   in a NULL de-reference before the user logged in, resulting in inetd
292   turning telnetd off because it forked too fast.
294 * Make gss_acquire_cred(GSS_C_ACCEPT) check that the requested name
295   exists in the keytab before returning success. This allows servers
296   to check if its even possible to use GSSAPI.
298 * Fix receiving end of token delegation for GSS-API. It still wrongly
299   uses subkey for sending for compatibility reasons, this will change
300   in 0.8.
302 * telnetd, login and rshd are now more verbose in logging failed and
303   successful logins.
305 * Bug fixes
307 Changes in release 0.7.1
309 * Bug fixes
311 Changes in release 0.7
313  * Support for KCM, a process based credential cache
315  * Support CCAPI credential cache
317  * SPNEGO support
319  * AES (and the gssapi conterpart, CFX) support
321  * Adding new and improve old documentation
323  * Bug fixes
325 Changes in release 0.6.6
327 * Fix security problem in rshd that enable an attacker to overwrite
328   and change ownership of any file that root could write.
330 * Fix a DOS in telnetd. The attacker could force the server to crash
331   in a NULL de-reference before the user logged in, resulting in inetd
332   turning telnetd off because it forked too fast.
334 Changes in release 0.6.5
336  * fix vulnerabilities in telnetd
338  * unbreak Kerberos 4 and kaserver
340 Changes in release 0.6.4
342  * fix vulnerabilities in telnet
344  * rshd: encryption without a separate error socket should now work
346  * telnet now uses appdefaults for the encrypt and forward/forwardable
347    settings
349  * bug fixes
351 Changes in release 0.6.3
353  * fix vulnerabilities in ftpd
355  * support for linux AFS /proc "syscalls"
357  * support for RFC3244 (Windows 2000 Kerberos Change/Set Password) in
358    kpasswdd
360  * fix possible KDC denial of service
362  * bug fixes
364 Changes in release 0.6.2
366  * Fix possible buffer overrun in v4 kadmin (which now defaults to off)
368 Changes in release 0.6.1
370  * Fixed ARCFOUR suppport
372  * Cross realm vulnerability
374  * kdc: fix denial of service attack
376  * kdc: stop clients from renewing tickets into the future
378  * bug fixes
379         
380 Changes in release 0.6
382 * The DES3 GSS-API mechanism has been changed to inter-operate with
383   other GSSAPI implementations. See man page for gssapi(3) how to turn
384   on generation of correct MIC messages. Next major release of heimdal 
385   will generate correct MIC by default.
387 * More complete GSS-API support
389 * Better AFS support: kdc (524) supports 2b; 524 in kdc and AFS
390   support in applications no longer requires Kerberos 4 libs
392 * Kerberos 4 support in kdc defaults to turned off (includes ka and 524)
394 * other bug fixes
396 Changes in release 0.5.2
398  * kdc: add option for disabling v4 cross-realm (defaults to off)
400  * bug fixes
402 Changes in release 0.5.1
404  * kadmind: fix remote exploit
406  * kadmind: add option to disable kerberos 4
408  * kdc: make sure kaserver token life is positive
410  * telnet: use the session key if there is no subkey
412  * fix EPSV parsing in ftp
414  * other bug fixes
416 Changes in release 0.5
418  * add --detach option to kdc
420  * allow setting forward and forwardable option in telnet from
421    .telnetrc, with override from command line
423  * accept addresses with or without ports in krb5_rd_cred
425  * make it work with modern openssl
427  * use our own string2key function even with openssl (that handles weak
428    keys incorrectly)
430  * more system-specific requirements in login
432  * do not use getlogin() to determine root in su
434  * telnet: abort if telnetd does not support encryption
436  * update autoconf to 2.53
438  * update config.guess, config.sub
440  * other bug fixes
442 Changes in release 0.4e
444  * improve libcrypto and database autoconf tests
446  * do not care about salting of server principals when serving v4 requests
448  * some improvements to gssapi library
450  * test for existing compile_et/libcom_err
452  * portability fixes
454  * bug fixes
456 Changes in release 0.4d
458  * fix some problems when using libcrypto from openssl
460  * handle /dev/ptmx `unix98' ptys on Linux
462  * add some forgotten man pages
464  * rsh: clean-up and add man page
466  * fix -A and -a in builtin-ls in tpd
468  * fix building problem on Irix
470  * make `ktutil get' more efficient
472  * bug fixes
474 Changes in release 0.4c
476  * fix buffer overrun in telnetd
478  * repair some of the v4 fallback code in kinit
480  * add more shared library dependencies
482  * simplify and fix hprop handling of v4 databases
484  * fix some building problems (osf's sia and osfc2 login)
486  * bug fixes
488 Changes in release 0.4b
490  * update the shared library version numbers correctly
492 Changes in release 0.4a
494  * corrected key used for checksum in mk_safe, unfortunately this
495    makes it backwards incompatible
497  * update to autoconf 2.50, libtool 1.4
499  * re-write dns/config lookups (krb5_krbhst API)
501  * make order of using subkeys consistent
503  * add man page links
505  * add more man pages
507  * remove rfc2052 support, now only rfc2782 is supported
509  * always build with kaserver protocol support in the KDC (assuming
510    KRB4 is enabled) and support for reading kaserver databases in
511    hprop
513 Changes in release 0.3f
515  * change default keytab to ANY:FILE:/etc/krb5.keytab,krb4:/etc/srvtab,
516    the new keytab type that tries both of these in order (SRVTAB is
517    also an alias for krb4:)
519  * improve error reporting and error handling (error messages should
520    be more detailed and more useful)
522  * improve building with openssl
524  * add kadmin -K, rcp -F 
526  * fix two incorrect weak DES keys
528  * fix building of kaserver compat in KDC
530  * the API is closer to what MIT krb5 is using
532  * more compatible with windows 2000
534  * removed some memory leaks
536  * bug fixes
538 Changes in release 0.3e
540  * rcp program included
542  * fix buffer overrun in ftpd
544  * handle omitted sequence numbers as zeroes to handle MIT krb5 that
545    cannot generate zero sequence numbers
547  * handle v4 /.k files better
549  * configure/portability fixes
551  * fixes in parsing of options to kadmin (sub-)commands
553  * handle errors in kadmin load better
555  * bug fixes
557 Changes in release 0.3d
559  * add krb5-config
561  * fix a bug in 3des gss-api mechanism, making it compatible with the
562    specification and the MIT implementation
564  * make telnetd only allow a specific list of environment variables to
565    stop it from setting `sensitive' variables
567  * try to use an existing libdes
569  * lib/krb5, kdc: use correct usage type for ap-req messages.  This
570    should improve compatability with MIT krb5 when using 3DES
571    encryption types
573  * kdc: fix memory allocation problem
575  * update config.guess and config.sub
577  * lib/roken: more stuff implemented
579  * bug fixes and portability enhancements
581 Changes in release 0.3c
583  * lib/krb5: memory caches now support the resolve operation
585  * appl/login: set PATH to some sane default
587  * kadmind: handle several realms
589  * bug fixes (including memory leaks)
591 Changes in release 0.3b
593  * kdc: prefer default-salted keys on v5 requests
595  * kdc: lowercase hostnames in v4 mode
597  * hprop: handle more types of MIT salts
599  * lib/krb5: fix memory leak
601  * bug fixes
603 Changes in release 0.3a:
605  * implement arcfour-hmac-md5 to interoperate with W2K
607  * modularise the handling of the master key, and allow for other
608    encryption types. This makes it easier to import a database from
609    some other source without having to re-encrypt all keys.
611  * allow for better control over which encryption types are created
613  * make kinit fallback to v4 if given a v4 KDC
615  * make klist work better with v4 and v5, and add some more MIT
616    compatibility options
618  * make the kdc listen on the krb524 (4444) port for compatibility
619    with MIT krb5 clients
621  * implement more DCE/DFS support, enabled with --enable-dce, see
622    lib/kdfs and appl/dceutils
624  * make the sequence numbers work correctly
626  * bug fixes
628 Changes in release 0.2t:
630  * bug fixes
632 Changes in release 0.2s:
634  * add OpenLDAP support in hdb
636  * login will get v4 tickets when it receives forwarded tickets
638  * xnlock supports both v5 and v4
640  * repair source routing for telnet
642  * fix building problems with krb4 (krb_mk_req)
644  * bug fixes
646 Changes in release 0.2r:
648  * fix realloc memory corruption bug in kdc
650  * `add --key' and `cpw --key' in kadmin
652  * klist supports listing v4 tickets
654  * update config.guess and config.sub
656  * make v4 -> v5 principal name conversion more robust
658  * support for anonymous tickets
660  * new man-pages
662  * telnetd: do not negotiate KERBEROS5 authentication if there's no keytab.
664  * use and set expiration and not password expiration when dumping
665    to/from ka server databases / krb4 databases
667  * make the code happier with 64-bit time_t
669  * follow RFC2782 and by default do not look for non-underscore SRV names
671 Changes in release 0.2q:
673  * bug fix in tcp-handling in kdc
675  * bug fix in expand_hostname
677 Changes in release 0.2p:
679  * bug fix in `kadmin load/merge'
681  * bug fix in krb5_parse_address
683 Changes in release 0.2o:
685  * gss_{import,export}_sec_context added to libgssapi
687  * new option --addresses to kdc (for listening on an explicit set of
688    addresses)
690  * bug fixes in the krb4 and kaserver emulation part of the kdc
692  * other bug fixes
694 Changes in release 0.2n:
696  * more robust parsing of dump files in kadmin
697  * changed default timestamp format for log messages to extended ISO
698    8601 format (Y-M-DTH:M:S)
699  * changed md4/md5/sha1 APIes to be de-facto `standard'
700  * always make hostname into lower-case before creating principal
701  * small bits of more MIT-compatability
702  * bug fixes
704 Changes in release 0.2m:
706  * handle glibc's getaddrinfo() that returns several ai_canonname
708  * new endian test
710  * man pages fixes
712 Changes in release 0.2l:
714  * bug fixes
716 Changes in release 0.2k:
718  * better IPv6 test
720  * make struct sockaddr_storage in roken work better on alphas
722  * some missing [hn]to[hn]s fixed.
724  * allow users to change their own passwords with kadmin (with initial
725    tickets)
727  * fix stupid bug in parsing KDC specification
729  * add `ktutil change' and `ktutil purge'
731 Changes in release 0.2j:
733  * builds on Irix
735  * ftpd works in passive mode
737  * should build on cygwin
739  * work around broken IPv6-code on OpenBSD 2.6, also add configure
740    option --disable-ipv6
742 Changes in release 0.2i:
744  * use getaddrinfo in the missing places.
746  * fix SRV lookup for admin server
748  * use get{addr,name}info everywhere.  and implement it in terms of
749    getipnodeby{name,addr} (which uses gethostbyname{,2} and
750    gethostbyaddr)
752 Changes in release 0.2h:
754  * fix typo in kx (now compiles)
756 Changes in release 0.2g:
758  * lots of bug fixes:
759    * push works
760    * repair appl/test programs
761    * sockaddr_storage works on solaris (alignment issues)
762    * works better with non-roken getaddrinfo
763    * rsh works
764    * some non standard C constructs removed
766 Changes in release 0.2f:
768  * support SRV records for kpasswd
769  * look for both _kerberos and krb5-realm when doing host -> realm mapping
771 Changes in release 0.2e:
773  * changed copyright notices to remove `advertising'-clause.
774  * get{addr,name}info added to roken and used in the other code
775    (this makes things work much better with hosts with both v4 and v6
776     addresses, among other things)
777  * do pre-auth for both password and key-based get_in_tkt
778  * support for having several databases
779  * new command `del_enctype' in kadmin
780  * strptime (and new strftime) add to roken
781  * more paranoia about finding libdb
782  * bug fixes
784 Changes in release 0.2d:
786  * new configuration option [libdefaults]default_etypes_des
787  * internal ls in ftpd builds without KRB4
788  * kx/rsh/push/pop_debug tries v5 and v4 consistenly
789  * build bug fixes
790  * other bug fixes
792 Changes in release 0.2c:
794  * bug fixes (see ChangeLog's for details)
796 Changes in release 0.2b:
798  * bug fixes
799  * actually bump shared library versions
801 Changes in release 0.2a:
803  * a new program verify_krb5_conf for checking your /etc/krb5.conf
804  * add 3DES keys when changing password
805  * support null keys in database
806  * support multiple local realms
807  * implement a keytab backend for AFS KeyFile's
808  * implement a keytab backend for v4 srvtabs
809  * implement `ktutil copy'
810  * support password quality control in v4 kadmind
811  * improvements in v4 compat kadmind
812  * handle the case of having the correct cred in the ccache but with
813    the wrong encryption type better
814  * v6-ify the remaining programs.
815  * internal ls in ftpd
816  * rename strcpy_truncate/strcat_truncate to strlcpy/strlcat
817  * add `ank --random-password' and `cpw --random-password' in kadmin
818  * some programs and documentation for trying to talk to a W2K KDC
819  * bug fixes
821 Changes in release 0.1m:
823  * support for getting default from krb5.conf for kinit/kf/rsh/telnet.
824    From Miroslav Ruda <ruda@ics.muni.cz>
825  * v6-ify hprop and hpropd
826  * support numeric addresses in krb5_mk_req
827  * shadow support in login and su. From Miroslav Ruda <ruda@ics.muni.cz>
828  * make rsh/rshd IPv6-aware
829  * make the gssapi sample applications better at reporting errors
830  * lots of bug fixes
831  * handle systems with v6-aware libc and non-v6 kernels (like Linux
832    with glibc 2.1) better
833  * hide failure of ERPT in ftp
834  * lots of bug fixes
836 Changes in release 0.1l:
838  * make ftp and ftpd IPv6-aware
839  * add inet_pton to roken
840  * more IPv6-awareness
841  * make mini_inetd v6 aware
843 Changes in release 0.1k:
845  * bump shared libraries versions
846  * add roken version of inet_ntop
847  * merge more changes to rshd
849 Changes in release 0.1j:
851  * restore back to the `old' 3DES code.  This was supposed to be done
852    in 0.1h and 0.1i but I did a CVS screw-up.
853  * make telnetd handle v6 connections
855 Changes in release 0.1i:
857  * start using `struct sockaddr_storage' which simplifies the code
858    (with a fallback definition if it's not defined)
859  * bug fixes (including in hprop and kf)
860  * don't use mawk which seems to mishandle roken.awk
861  * get_addrs should be able to handle v6 addresses on Linux (with the
862    required patch to the Linux kernel -- ask within)
863  * rshd builds with shadow passwords
865 Changes in release 0.1h:
867  * kf: new program for forwarding credentials
868  * portability fixes
869  * make forwarding credentials work with MIT code
870  * better conversion of ka database
871  * add etc/services.append
872  * correct `modified by' from kpasswdd
873  * lots of bug fixes
875 Changes in release 0.1g:
877  * kgetcred: new program for explicitly obtaining tickets
878  * configure fixes
879  * krb5-aware kx
880  * bug fixes
882 Changes in release 0.1f;
884  * experimental support for v4 kadmin protokoll in kadmind
885  * bug fixes
887 Changes in release 0.1e:
889  * try to handle old DCE and MIT kdcs
890  * support for older versions of credential cache files and keytabs
891  * postdated tickets work
892  * support for password quality checks in kpasswdd
893  * new flag --enable-kaserver for kdc
894  * renew fixes
895  * prototype su program
896  * updated (some) manpages
897  * support for KDC resource records
898  * should build with --without-krb4
899  * bug fixes
901 Changes in release 0.1d:
903  * Support building with DB2 (uses 1.85-compat API)
904  * Support krb5-realm.DOMAIN in DNS
905  * new `ktutil srvcreate'
906  * v4/kafs support in klist/kdestroy
907  * bug fixes
909 Changes in release 0.1c:
911  * fix ASN.1 encoding of signed integers
912  * somewhat working `ktutil get'
913  * some documentation updates
914  * update to Autoconf 2.13 and Automake 1.4
915  * the usual bug fixes
917 Changes in release 0.1b:
919  * some old -> new crypto conversion utils
920  * bug fixes
922 Changes in release 0.1a:
924  * new crypto code
925  * more bug fixes
926  * make sure we ask for DES keys in gssapi
927  * support signed ints in ASN1
928  * IPv6-bug fixes
930 Changes in release 0.0u:
932  * lots of bug fixes
934 Changes in release 0.0t:
936  * more robust parsing of krb5.conf
937  * include net{read,write} in lib/roken
938  * bug fixes
940 Changes in release 0.0s:
942  * kludges for parsing options to rsh
943  * more robust parsing of krb5.conf
944  * removed some arbitrary limits
945  * bug fixes
947 Changes in release 0.0r:
949  * default options for some programs
950  * bug fixes
952 Changes in release 0.0q:
954  * support for building shared libraries with libtool
955  * bug fixes
957 Changes in release 0.0p:
959  * keytab moved to /etc/krb5.keytab
960  * avoid false detection of IPv6 on Linux
961  * Lots of more functionality in the gssapi-library
962  * hprop can now read ka-server databases
963  * bug fixes
965 Changes in release 0.0o:
967  * FTP with GSSAPI support.
968  * Bug fixes.
970 Changes in release 0.0n:
972  * Incremental database propagation.
973  * Somewhat improved kadmin ui; the stuff in admin is now removed.
974  * Some support for using enctypes instead of keytypes.
975  * Lots of other improvement and bug fixes, see ChangeLog for details.