resurrect password change support again
[heimdal.git] / NEWS
blobb495ab29af5306a9771843048345b7a63ff7dc03
1 Release Notes - Heimdal - Version Heimdal 1.6
3  Security
4  - ...
5  - kx509 realm-chopping security bug
7  Feature
9  - RFC 6113  Generalized Framework for Kerberos Pre-Authentication (FAST)
10  - New GSS APIs:
11    . gss_localname
12  - Allow setting what encryption types a principal should have with
13    [kadmin] default_key_rules, see krb5.conf manpage for more info
14  - Unify libhcrypto with LTC (libtomcrypto)
15  - asn1_compile 64-bit INTEGER functionality
16  - HDB key history support including --keepold kadmin password option
17  - Improved cross-realm key rollover safety
18  - New krb5_kuserok() plug-in interface
19  - Improved MIT compatibility
20    . kadm5 API
21    . Migration from MIT KDB via "mitdb" HDB backend.
22    . Capable of writing the HDB in MIT dump format
23  - Improved Active Directory interoperability
24    . Enctype selection issues for PAC and other authz-data signatures
25    . Cross realm key rollover (kvno 0)
26  - New [kdc] enctype negotiation configuration:
27    . tgt-use-strongest-session-key
28    . svc-use-strongest-session-key
29    . preauth-use-strongest-session-key
30    . use-strongest-server-key
31  - Allow batch-mode kinit with password file
32  - SIGINFO support added to kinit cmd
33  - New kx509 configuration options:
34    . kx509_ca
35    . kca_service
36    . kx509_include_pkinit_san
37    . kx509_template
38  - Improved Heimdal library/plugin version safety
39  - Name canonicalization
40    . DNS resolver searchlist
41  - Pluggable libheimbase interface for DBs
42  - Improve IPv6 Support
43  - LDAP
44    . Bind DN and password
45    . Start TLS
46  - klist --json
47  - DIR credential cache type
48  - Many more
50  Bug fixes
51  - Include non-loopback addresses assigned to loopback interfaces
52    when requesting tickets with addresses
53  - KDC 1DES session key selection (for AFS rxkad-k5 compatibility)
54  - Keytab file descriptor and lock leak
55  - Credential cache corruption bugs
56    (NOTE: The FILE ccache is still not entirely safe due to the
57    fundamentally unsafe design of POSIX file locking)
58  - gss_pseudo_random() interop bug
59  - Plugins are now preferentially loaded from the run-time install tree
60  - Reauthentication after password change in init_creds_password
61  - Memory leak in the client kadmin library
62  - TGS client requests renewable/forwardable/proxiable when possible.
63  - Locking issues in DB1 and DB3 HDB backends
64  - Master HDB can remain locked while waiting for network I/O
65  - Renewal/refresh logic when kinit is provided with a command
66  - KDC handling of enterprise principals
67  - Many more
69  Acknowledgements
71  This release of Heimdal includes contributions from:
72    Andrew Bartlett, Andrew Tridgell, Arran Cudbard-Bell, Arvid Requate,
73    Ben Kaduk, Dana Koch, Daniel Schepler, Eray Aslan, Fredrik Pettai,
74    Gustavo Zacarias, Harald Barth, Howard Chu, Igor Sobrado, Ingo Schwarze,
75    James Le Cuirot, James Lee, Jeffrey Altman, Jeffrey Clark, Jeffrey Hutzelman,
76    Jelmer Vernooij, Ken Dreyer, Kumar Thangavelu, Landon Fuller, Linus Nordberg,
77    Love Hörnquist Ã…strand, Luke Howard, Magnus Ahltorp, Marco Molteni,
78    Michael Meffie,  Moritz Lenz, Nico Williams, Nicolas Williams, Patrik Lundin,
79    Philip Boulain, Ragnar Sundblad, Rod Widdowson, Roland C. Dowdeswell,
80    Ross L Richardson, Russ Allbery, Samuel Thibault, Simon Wilkinson,
81    Stef Walter, Stefan Metzmacher, Steffen Jaeckel, Tollef Fog Heen, Tony Acero,
82    Viktor Dukhovni
84 Release Notes - Heimdal - Version Heimdal 1.5.3
86  Bug fixes
87  - Fix leaking file descriptors in KDC
88  - Better socket/timeout handling in libkrb5
89  - General bug fixes
90  - Build fixes
92 Release Notes - Heimdal - Version Heimdal 1.5.2
94  Security fixes
95  - CVE-2011-4862 Buffer overflow in libtelnet/encrypt.c in telnetd - escalation of privilege
96  - Check that key types strictly match - denial of service
98 Release Notes - Heimdal - Version Heimdal 1.5.1
100  Bug fixes
101  - Fix building on Solaris, requires c99
102  - Fix building on Windows
103  - Build system updates
105 Release Notes - Heimdal - Version Heimdal 1.5
107 New features
109  - Support GSS name extensions/attributes
110  - SHA512 support
111  - No Kerberos 4 support
112  - Basic support for MIT Admin protocol (SECGSS flavor)
113    in kadmind (extract keytab)
114  - Replace editline with libedit
116 Release Notes - Heimdal - Version Heimdal 1.4
118  New features
120  - Support for reading MIT database file directly
121  - KCM is polished up and now used in production
122  - NTLM first class citizen, credentials stored in KCM
123  - Table driven ASN.1 compiler, smaller!, not enabled by default
124  - Native Windows client support
126 Notes
128  - Disabled write support NDBM hdb backend (read still in there) since
129    it can't handle large records, please migrate to a diffrent backend
130    (like BDB4)
132 Release Notes - Heimdal - Version Heimdal 1.3.3
134  Bug fixes
135  - Check the GSS-API checksum exists before trying to use it [CVE-2010-1321]
136  - Check NULL pointers before dereference them [kdc]
138 Release Notes - Heimdal - Version Heimdal 1.3.2
140  Bug fixes
142  - Don't mix length when clearing hmac (could memset too much)
143  - More paranoid underrun checking when decrypting packets
144  - Check the password change requests and refuse to answer empty packets
145  - Build on OpenSolaris 
146  - Renumber AD-SIGNED-TICKET since it was stolen from US
147  - Don't cache /dev/*random file descriptor, it doesn't get unloaded
148  - Make C++ safe
149  - Misc warnings
151 Release Notes - Heimdal - Version Heimdal 1.3.1
153  Bug fixes
155  - Store KDC offset in credentials
156  - Many many more bug fixes
158 Release Notes - Heimdal - Version Heimdal 1.3.1
160  New features
162  - Make work with OpenLDAPs krb5 overlay
164 Release Notes - Heimdal - Version Heimdal 1.3
166  New features
168  - Partial support for MIT kadmind rpc protocol in kadmind
169  - Better support for finding keytab entries when using SPN aliases in the KDC
170  - Support BER in ASN.1 library (needed for CMS)
171  - Support decryption in Keychain private keys
172  - Support for new sqlite based credential cache
173  - Try both KDC referals and the common DNS reverse lookup in GSS-API
174  - Fix the KCM to not leak resources on failure
175  - Add IPv6 support to iprop
176  - Support localization of error strings in
177    kinit/klist/kdestroy and Kerberos library
178  - Remove Kerberos 4 support in application (still in KDC)
179  - Deprecate DES
180  - Support i18n password in windows domains (using UTF-8)
181  - More complete API emulation of OpenSSL in hcrypto
182  - Support for ECDSA and ECDH when linking with OpenSSL
184  API changes
186  - Support for settin friendly name on credential caches
187  - Move to using doxygen to generate documentation.
188  - Sprinkling __attribute__((depricated)) for old function to be removed
189  - Support to export LAST-REQUST information in AS-REQ
190  - Support for client deferrals in in AS-REQ
191  - Add seek support for krb5_storage.
192  - Support for split AS-REQ, first step for IA-KERB
193  - Fix many memory leaks and bugs
194  - Improved regression test
195  - Support krb5_cccol
196  - Switch to krb5_set_error_message
197  - Support krb5_crypto_*_iov    
198  - Switch to use EVP for most function
199  - Use SOCK_CLOEXEC and O_CLOEXEC (close on exec)
200  - Add support for GSS_C_DELEG_POLICY_FLAG
201  - Add krb5_cc_[gs]et_config to store data in the credential caches
202  - PTY testing application
204 Bugfixes
205  - Make building on AIX6 possible.
206  - Bugfixes in LDAP KDC code to make it more stable
207  - Make ipropd-slave reconnect when master down gown
210 Release Notes - Heimdal - Version Heimdal 1.2.1
212 * Bug
214   [HEIMDAL-147] - Heimdal 1.2 not compiling on Solaris
215   [HEIMDAL-151] - Make canned tests work again after cert expired
216   [HEIMDAL-152] - iprop test: use full hostname to avoid realm
217                   resolving errors
218   [HEIMDAL-153] - ftp: Use the correct length for unmap, msync
220 Release Notes - Heimdal - Version Heimdal 1.2
222 * Bug
224   [HEIMDAL-10] - Follow-up on bug report for SEGFAULT in
225                  gss_display_name/gss_export_name when using SPNEGO
226   [HEIMDAL-15] - Re: [Heimdal-bugs] potential bug in Heimdal 1.1
227   [HEIMDAL-17] - Remove support for depricated [libdefaults]capath
228   [HEIMDAL-52] - hdb overwrite aliases for db databases
229   [HEIMDAL-54] - Two issues which affect credentials delegation
230   [HEIMDAL-58] - sockbuf.c calls setsockopt with bad args
231   [HEIMDAL-62] - Fix printing of sig_atomic_t
232   [HEIMDAL-87] - heimdal 1.1 not building under cygwin in hcrypto
233   [HEIMDAL-105] - rcp: sync rcp with upstream bsd rcp codebase
234   [HEIMDAL-117] - Use libtool to detect symbol versioning (Debian Bug#453241)
236 * Improvement
237   [HEIMDAL-67] - Fix locking and store credential in atomic writes
238                  in the FILE credential cache
239   [HEIMDAL-106] - make compile on cygwin again
240   [HEIMDAL-107] - Replace old random key generation in des module
241                   and use it with RAND_ function instead
242   [HEIMDAL-115] - Better documentation and compatibility in hcrypto
243                   in regards to OpenSSL
245 * New Feature
246   [HEIMDAL-3] - pkinit alg agility PRF test vectors
247   [HEIMDAL-14] - Add libwind to Heimdal
248   [HEIMDAL-16] - Use libwind in hx509
249   [HEIMDAL-55] - Add flag to krb5 to not add GSS-API INT|CONF to
250                  the negotiation
251   [HEIMDAL-74] - Add support to report extended error message back
252                  in AS-REQ to support windows clients
253   [HEIMDAL-116] - test pty based application (using rkpty)
254   [HEIMDAL-120] - Use new OpenLDAP API (older deprecated)
256 * Task
257   [HEIMDAL-63] - Dont try key usage KRB5_KU_AP_REQ_AUTH for TGS-REQ.
258                  This drop compatibility with pre 0.3d KDCs.
259   [HEIMDAL-64] - kcm: first implementation of kcm-move-cache
260   [HEIMDAL-65] - Failed to compile with --disable-pk-init
261   [HEIMDAL-80] - verify that [VU#162289]: gcc silently discards some
262                  wraparound checks doesn't apply to Heimdal
264 Changes in release 1.1
266  * Read-only PKCS11 provider built-in to hx509.
268  * Documentation for hx509, hcrypto and ntlm libraries improved.
270  * Better compatibilty with Windows 2008 Server pre-releases and Vista.
272  * Mac OS X 10.5 support for native credential cache.
274  * Provide pkg-config file for Heimdal (heimdal-gssapi.pc).
276  * Bug fixes.
278 Changes in release 1.0.2
280 * Ubuntu packages.
282 * Bug fixes.
284 Changes in release 1.0.1
286  * Serveral bug fixes to iprop.
288  * Make work on platforms without dlopen.
290  * Add RFC3526 modp group14 as default.
292  * Handle [kdc] database = { } entries without realm = stanzas.
294  * Make krb5_get_renewed_creds work.
296  * Make kaserver preauth work again.
298  * Bug fixes.
300 Changes in release 1.0
302  * Add gss_pseudo_random() for mechglue and krb5.
304  * Make session key for the krbtgt be selected by the best encryption
305    type of the client.
307  * Better interoperability with other PK-INIT implementations.
309  * Inital support for Mac OS X Keychain for hx509.
311  * Alias support for inital ticket requests.
313  * Add symbol versioning to selected libraries on platforms that uses
314    GNU link editor: gssapi, hcrypto, heimntlm, hx509, krb5, and libkdc.
316  * New version of imath included in hcrypto.
318  * Fix memory leaks.
320  * Bugs fixes.
322 Changes in release 0.8.1
324  * Make ASN.1 library less paranoid to with regard to NUL in string to
325    make it inter-operate with MIT Kerberos again.
327  * Make GSS-API library work again when using gss_acquire_cred
329  * Add symbol versioning to libgssapi when using GNU ld.
331  * Fix memory leaks 
333  * Bugs fixes
335 Changes in release 0.8
337  * PK-INIT support.
339  * HDB extensions support, used by PK-INIT.
341  * New ASN.1 compiler.
343  * GSS-API mechglue from FreeBSD.
345  * Updated SPNEGO to support RFC4178.
347  * Support for Cryptosystem Negotiation Extension (RFC 4537).
349  * A new X.509 library (hx509) and related crypto functions.
351  * A new ntlm library (heimntlm) and related crypto functions.
353  * Updated the built-in crypto library with bignum support using
354    imath, support for RSA and DH and renamed it to libhcrypto.
356  * Subsystem in the KDC, digest, that will perform the digest
357    operation in the KDC, currently supports: CHAP, MS-CHAP-V2, SASL
358    DIGEST-MD5 NTLMv1 and NTLMv2.
360  * KDC will return the "response too big" error to force TCP retries
361    for large (default 1400 bytes) UDP replies.  This is common for
362    PK-INIT requests.
364  * Libkafs defaults to use 2b tokens.
366  * Default to use the API cache on Mac OS X.
368  * krb5_kuserok() also checks ~/.k5login.d directory for acl files,
369    see manpage for krb5_kuserok for description.
371  * Many, many, other updates to code and info manual and manual pages.
373  * Bug fixes
375 Changes in release 0.7.2
377 * Fix security problem in rshd that enable an attacker to overwrite
378   and change ownership of any file that root could write.
380 * Fix a DOS in telnetd. The attacker could force the server to crash
381   in a NULL de-reference before the user logged in, resulting in inetd
382   turning telnetd off because it forked too fast.
384 * Make gss_acquire_cred(GSS_C_ACCEPT) check that the requested name
385   exists in the keytab before returning success. This allows servers
386   to check if its even possible to use GSSAPI.
388 * Fix receiving end of token delegation for GSS-API. It still wrongly
389   uses subkey for sending for compatibility reasons, this will change
390   in 0.8.
392 * telnetd, login and rshd are now more verbose in logging failed and
393   successful logins.
395 * Bug fixes
397 Changes in release 0.7.1
399 * Bug fixes
401 Changes in release 0.7
403  * Support for KCM, a process based credential cache
405  * Support CCAPI credential cache
407  * SPNEGO support
409  * AES (and the gssapi conterpart, CFX) support
411  * Adding new and improve old documentation
413  * Bug fixes
415 Changes in release 0.6.6
417 * Fix security problem in rshd that enable an attacker to overwrite
418   and change ownership of any file that root could write.
420 * Fix a DOS in telnetd. The attacker could force the server to crash
421   in a NULL de-reference before the user logged in, resulting in inetd
422   turning telnetd off because it forked too fast.
424 Changes in release 0.6.5
426  * fix vulnerabilities in telnetd
428  * unbreak Kerberos 4 and kaserver
430 Changes in release 0.6.4
432  * fix vulnerabilities in telnet
434  * rshd: encryption without a separate error socket should now work
436  * telnet now uses appdefaults for the encrypt and forward/forwardable
437    settings
439  * bug fixes
441 Changes in release 0.6.3
443  * fix vulnerabilities in ftpd
445  * support for linux AFS /proc "syscalls"
447  * support for RFC3244 (Windows 2000 Kerberos Change/Set Password) in
448    kpasswdd
450  * fix possible KDC denial of service
452  * bug fixes
454 Changes in release 0.6.2
456  * Fix possible buffer overrun in v4 kadmin (which now defaults to off)
458 Changes in release 0.6.1
460  * Fixed ARCFOUR suppport
462  * Cross realm vulnerability
464  * kdc: fix denial of service attack
466  * kdc: stop clients from renewing tickets into the future
468  * bug fixes
469         
470 Changes in release 0.6
472 * The DES3 GSS-API mechanism has been changed to inter-operate with
473   other GSSAPI implementations. See man page for gssapi(3) how to turn
474   on generation of correct MIC messages. Next major release of heimdal 
475   will generate correct MIC by default.
477 * More complete GSS-API support
479 * Better AFS support: kdc (524) supports 2b; 524 in kdc and AFS
480   support in applications no longer requires Kerberos 4 libs
482 * Kerberos 4 support in kdc defaults to turned off (includes ka and 524)
484 * other bug fixes
486 Changes in release 0.5.2
488  * kdc: add option for disabling v4 cross-realm (defaults to off)
490  * bug fixes
492 Changes in release 0.5.1
494  * kadmind: fix remote exploit
496  * kadmind: add option to disable kerberos 4
498  * kdc: make sure kaserver token life is positive
500  * telnet: use the session key if there is no subkey
502  * fix EPSV parsing in ftp
504  * other bug fixes
506 Changes in release 0.5
508  * add --detach option to kdc
510  * allow setting forward and forwardable option in telnet from
511    .telnetrc, with override from command line
513  * accept addresses with or without ports in krb5_rd_cred
515  * make it work with modern openssl
517  * use our own string2key function even with openssl (that handles weak
518    keys incorrectly)
520  * more system-specific requirements in login
522  * do not use getlogin() to determine root in su
524  * telnet: abort if telnetd does not support encryption
526  * update autoconf to 2.53
528  * update config.guess, config.sub
530  * other bug fixes
532 Changes in release 0.4e
534  * improve libcrypto and database autoconf tests
536  * do not care about salting of server principals when serving v4 requests
538  * some improvements to gssapi library
540  * test for existing compile_et/libcom_err
542  * portability fixes
544  * bug fixes
546 Changes in release 0.4d
548  * fix some problems when using libcrypto from openssl
550  * handle /dev/ptmx `unix98' ptys on Linux
552  * add some forgotten man pages
554  * rsh: clean-up and add man page
556  * fix -A and -a in builtin-ls in tpd
558  * fix building problem on Irix
560  * make `ktutil get' more efficient
562  * bug fixes
564 Changes in release 0.4c
566  * fix buffer overrun in telnetd
568  * repair some of the v4 fallback code in kinit
570  * add more shared library dependencies
572  * simplify and fix hprop handling of v4 databases
574  * fix some building problems (osf's sia and osfc2 login)
576  * bug fixes
578 Changes in release 0.4b
580  * update the shared library version numbers correctly
582 Changes in release 0.4a
584  * corrected key used for checksum in mk_safe, unfortunately this
585    makes it backwards incompatible
587  * update to autoconf 2.50, libtool 1.4
589  * re-write dns/config lookups (krb5_krbhst API)
591  * make order of using subkeys consistent
593  * add man page links
595  * add more man pages
597  * remove rfc2052 support, now only rfc2782 is supported
599  * always build with kaserver protocol support in the KDC (assuming
600    KRB4 is enabled) and support for reading kaserver databases in
601    hprop
603 Changes in release 0.3f
605  * change default keytab to ANY:FILE:/etc/krb5.keytab,krb4:/etc/srvtab,
606    the new keytab type that tries both of these in order (SRVTAB is
607    also an alias for krb4:)
609  * improve error reporting and error handling (error messages should
610    be more detailed and more useful)
612  * improve building with openssl
614  * add kadmin -K, rcp -F 
616  * fix two incorrect weak DES keys
618  * fix building of kaserver compat in KDC
620  * the API is closer to what MIT krb5 is using
622  * more compatible with windows 2000
624  * removed some memory leaks
626  * bug fixes
628 Changes in release 0.3e
630  * rcp program included
632  * fix buffer overrun in ftpd
634  * handle omitted sequence numbers as zeroes to handle MIT krb5 that
635    cannot generate zero sequence numbers
637  * handle v4 /.k files better
639  * configure/portability fixes
641  * fixes in parsing of options to kadmin (sub-)commands
643  * handle errors in kadmin load better
645  * bug fixes
647 Changes in release 0.3d
649  * add krb5-config
651  * fix a bug in 3des gss-api mechanism, making it compatible with the
652    specification and the MIT implementation
654  * make telnetd only allow a specific list of environment variables to
655    stop it from setting `sensitive' variables
657  * try to use an existing libdes
659  * lib/krb5, kdc: use correct usage type for ap-req messages.  This
660    should improve compatability with MIT krb5 when using 3DES
661    encryption types
663  * kdc: fix memory allocation problem
665  * update config.guess and config.sub
667  * lib/roken: more stuff implemented
669  * bug fixes and portability enhancements
671 Changes in release 0.3c
673  * lib/krb5: memory caches now support the resolve operation
675  * appl/login: set PATH to some sane default
677  * kadmind: handle several realms
679  * bug fixes (including memory leaks)
681 Changes in release 0.3b
683  * kdc: prefer default-salted keys on v5 requests
685  * kdc: lowercase hostnames in v4 mode
687  * hprop: handle more types of MIT salts
689  * lib/krb5: fix memory leak
691  * bug fixes
693 Changes in release 0.3a:
695  * implement arcfour-hmac-md5 to interoperate with W2K
697  * modularise the handling of the master key, and allow for other
698    encryption types. This makes it easier to import a database from
699    some other source without having to re-encrypt all keys.
701  * allow for better control over which encryption types are created
703  * make kinit fallback to v4 if given a v4 KDC
705  * make klist work better with v4 and v5, and add some more MIT
706    compatibility options
708  * make the kdc listen on the krb524 (4444) port for compatibility
709    with MIT krb5 clients
711  * implement more DCE/DFS support, enabled with --enable-dce, see
712    lib/kdfs and appl/dceutils
714  * make the sequence numbers work correctly
716  * bug fixes
718 Changes in release 0.2t:
720  * bug fixes
722 Changes in release 0.2s:
724  * add OpenLDAP support in hdb
726  * login will get v4 tickets when it receives forwarded tickets
728  * xnlock supports both v5 and v4
730  * repair source routing for telnet
732  * fix building problems with krb4 (krb_mk_req)
734  * bug fixes
736 Changes in release 0.2r:
738  * fix realloc memory corruption bug in kdc
740  * `add --key' and `cpw --key' in kadmin
742  * klist supports listing v4 tickets
744  * update config.guess and config.sub
746  * make v4 -> v5 principal name conversion more robust
748  * support for anonymous tickets
750  * new man-pages
752  * telnetd: do not negotiate KERBEROS5 authentication if there's no keytab.
754  * use and set expiration and not password expiration when dumping
755    to/from ka server databases / krb4 databases
757  * make the code happier with 64-bit time_t
759  * follow RFC2782 and by default do not look for non-underscore SRV names
761 Changes in release 0.2q:
763  * bug fix in tcp-handling in kdc
765  * bug fix in expand_hostname
767 Changes in release 0.2p:
769  * bug fix in `kadmin load/merge'
771  * bug fix in krb5_parse_address
773 Changes in release 0.2o:
775  * gss_{import,export}_sec_context added to libgssapi
777  * new option --addresses to kdc (for listening on an explicit set of
778    addresses)
780  * bug fixes in the krb4 and kaserver emulation part of the kdc
782  * other bug fixes
784 Changes in release 0.2n:
786  * more robust parsing of dump files in kadmin
787  * changed default timestamp format for log messages to extended ISO
788    8601 format (Y-M-DTH:M:S)
789  * changed md4/md5/sha1 APIes to be de-facto `standard'
790  * always make hostname into lower-case before creating principal
791  * small bits of more MIT-compatability
792  * bug fixes
794 Changes in release 0.2m:
796  * handle glibc's getaddrinfo() that returns several ai_canonname
798  * new endian test
800  * man pages fixes
802 Changes in release 0.2l:
804  * bug fixes
806 Changes in release 0.2k:
808  * better IPv6 test
810  * make struct sockaddr_storage in roken work better on alphas
812  * some missing [hn]to[hn]s fixed.
814  * allow users to change their own passwords with kadmin (with initial
815    tickets)
817  * fix stupid bug in parsing KDC specification
819  * add `ktutil change' and `ktutil purge'
821 Changes in release 0.2j:
823  * builds on Irix
825  * ftpd works in passive mode
827  * should build on cygwin
829  * work around broken IPv6-code on OpenBSD 2.6, also add configure
830    option --disable-ipv6
832 Changes in release 0.2i:
834  * use getaddrinfo in the missing places.
836  * fix SRV lookup for admin server
838  * use get{addr,name}info everywhere.  and implement it in terms of
839    getipnodeby{name,addr} (which uses gethostbyname{,2} and
840    gethostbyaddr)
842 Changes in release 0.2h:
844  * fix typo in kx (now compiles)
846 Changes in release 0.2g:
848  * lots of bug fixes:
849    * push works
850    * repair appl/test programs
851    * sockaddr_storage works on solaris (alignment issues)
852    * works better with non-roken getaddrinfo
853    * rsh works
854    * some non standard C constructs removed
856 Changes in release 0.2f:
858  * support SRV records for kpasswd
859  * look for both _kerberos and krb5-realm when doing host -> realm mapping
861 Changes in release 0.2e:
863  * changed copyright notices to remove `advertising'-clause.
864  * get{addr,name}info added to roken and used in the other code
865    (this makes things work much better with hosts with both v4 and v6
866     addresses, among other things)
867  * do pre-auth for both password and key-based get_in_tkt
868  * support for having several databases
869  * new command `del_enctype' in kadmin
870  * strptime (and new strftime) add to roken
871  * more paranoia about finding libdb
872  * bug fixes
874 Changes in release 0.2d:
876  * new configuration option [libdefaults]default_etypes_des
877  * internal ls in ftpd builds without KRB4
878  * kx/rsh/push/pop_debug tries v5 and v4 consistenly
879  * build bug fixes
880  * other bug fixes
882 Changes in release 0.2c:
884  * bug fixes (see ChangeLog's for details)
886 Changes in release 0.2b:
888  * bug fixes
889  * actually bump shared library versions
891 Changes in release 0.2a:
893  * a new program verify_krb5_conf for checking your /etc/krb5.conf
894  * add 3DES keys when changing password
895  * support null keys in database
896  * support multiple local realms
897  * implement a keytab backend for AFS KeyFile's
898  * implement a keytab backend for v4 srvtabs
899  * implement `ktutil copy'
900  * support password quality control in v4 kadmind
901  * improvements in v4 compat kadmind
902  * handle the case of having the correct cred in the ccache but with
903    the wrong encryption type better
904  * v6-ify the remaining programs.
905  * internal ls in ftpd
906  * rename strcpy_truncate/strcat_truncate to strlcpy/strlcat
907  * add `ank --random-password' and `cpw --random-password' in kadmin
908  * some programs and documentation for trying to talk to a W2K KDC
909  * bug fixes
911 Changes in release 0.1m:
913  * support for getting default from krb5.conf for kinit/kf/rsh/telnet.
914    From Miroslav Ruda <ruda@ics.muni.cz>
915  * v6-ify hprop and hpropd
916  * support numeric addresses in krb5_mk_req
917  * shadow support in login and su. From Miroslav Ruda <ruda@ics.muni.cz>
918  * make rsh/rshd IPv6-aware
919  * make the gssapi sample applications better at reporting errors
920  * lots of bug fixes
921  * handle systems with v6-aware libc and non-v6 kernels (like Linux
922    with glibc 2.1) better
923  * hide failure of ERPT in ftp
924  * lots of bug fixes
926 Changes in release 0.1l:
928  * make ftp and ftpd IPv6-aware
929  * add inet_pton to roken
930  * more IPv6-awareness
931  * make mini_inetd v6 aware
933 Changes in release 0.1k:
935  * bump shared libraries versions
936  * add roken version of inet_ntop
937  * merge more changes to rshd
939 Changes in release 0.1j:
941  * restore back to the `old' 3DES code.  This was supposed to be done
942    in 0.1h and 0.1i but I did a CVS screw-up.
943  * make telnetd handle v6 connections
945 Changes in release 0.1i:
947  * start using `struct sockaddr_storage' which simplifies the code
948    (with a fallback definition if it's not defined)
949  * bug fixes (including in hprop and kf)
950  * don't use mawk which seems to mishandle roken.awk
951  * get_addrs should be able to handle v6 addresses on Linux (with the
952    required patch to the Linux kernel -- ask within)
953  * rshd builds with shadow passwords
955 Changes in release 0.1h:
957  * kf: new program for forwarding credentials
958  * portability fixes
959  * make forwarding credentials work with MIT code
960  * better conversion of ka database
961  * add etc/services.append
962  * correct `modified by' from kpasswdd
963  * lots of bug fixes
965 Changes in release 0.1g:
967  * kgetcred: new program for explicitly obtaining tickets
968  * configure fixes
969  * krb5-aware kx
970  * bug fixes
972 Changes in release 0.1f;
974  * experimental support for v4 kadmin protokoll in kadmind
975  * bug fixes
977 Changes in release 0.1e:
979  * try to handle old DCE and MIT kdcs
980  * support for older versions of credential cache files and keytabs
981  * postdated tickets work
982  * support for password quality checks in kpasswdd
983  * new flag --enable-kaserver for kdc
984  * renew fixes
985  * prototype su program
986  * updated (some) manpages
987  * support for KDC resource records
988  * should build with --without-krb4
989  * bug fixes
991 Changes in release 0.1d:
993  * Support building with DB2 (uses 1.85-compat API)
994  * Support krb5-realm.DOMAIN in DNS
995  * new `ktutil srvcreate'
996  * v4/kafs support in klist/kdestroy
997  * bug fixes
999 Changes in release 0.1c:
1001  * fix ASN.1 encoding of signed integers
1002  * somewhat working `ktutil get'
1003  * some documentation updates
1004  * update to Autoconf 2.13 and Automake 1.4
1005  * the usual bug fixes
1007 Changes in release 0.1b:
1009  * some old -> new crypto conversion utils
1010  * bug fixes
1012 Changes in release 0.1a:
1014  * new crypto code
1015  * more bug fixes
1016  * make sure we ask for DES keys in gssapi
1017  * support signed ints in ASN1
1018  * IPv6-bug fixes
1020 Changes in release 0.0u:
1022  * lots of bug fixes
1024 Changes in release 0.0t:
1026  * more robust parsing of krb5.conf
1027  * include net{read,write} in lib/roken
1028  * bug fixes
1030 Changes in release 0.0s:
1032  * kludges for parsing options to rsh
1033  * more robust parsing of krb5.conf
1034  * removed some arbitrary limits
1035  * bug fixes
1037 Changes in release 0.0r:
1039  * default options for some programs
1040  * bug fixes
1042 Changes in release 0.0q:
1044  * support for building shared libraries with libtool
1045  * bug fixes
1047 Changes in release 0.0p:
1049  * keytab moved to /etc/krb5.keytab
1050  * avoid false detection of IPv6 on Linux
1051  * Lots of more functionality in the gssapi-library
1052  * hprop can now read ka-server databases
1053  * bug fixes
1055 Changes in release 0.0o:
1057  * FTP with GSSAPI support.
1058  * Bug fixes.
1060 Changes in release 0.0n:
1062  * Incremental database propagation.
1063  * Somewhat improved kadmin ui; the stuff in admin is now removed.
1064  * Some support for using enctypes instead of keytypes.
1065  * Lots of other improvement and bug fixes, see ChangeLog for details.