Use tmp to read ac->flags value to avoid warning.
[heimdal.git] / NEWS
blobecde9221355d9b9d0db595aee7fb002366cb7701
1 Changes in release 1.2
3  * Remove support for depricated [libdefaults]capath
5  * Dont try key usage KRB5_KU_AP_REQ_AUTH for TGS-REQ. This drop
6    compatibility with pre 0.3d KDCs.
8  * Bug fixes
10 Changes in release 1.1
12  * Read-only PKCS11 provider built-in to hx509.
14  * Documentation for hx509, hcrypto and ntlm libraries improved.
16  * Better compatibilty with Windows 2008 Server pre-releases and Vista.
18  * Mac OS X 10.5 support for native credential cache.
20  * Provide pkg-config file for Heimdal (heimdal-gssapi.pc).
22  * Bug fixes.
24 Changes in release 1.0.2
26 * Ubuntu packages.
28 * Bug fixes.
30 Changes in release 1.0.1
32  * Serveral bug fixes to iprop.
34  * Make work on platforms without dlopen.
36  * Add RFC3526 modp group14 as default.
38  * Handle [kdc] database = { } entries without realm = stanzas.
40  * Make krb5_get_renewed_creds work.
42  * Make kaserver preauth work again.
44  * Bug fixes.
46 Changes in release 1.0
48  * Add gss_pseudo_random() for mechglue and krb5.
50  * Make session key for the krbtgt be selected by the best encryption
51    type of the client.
53  * Better interoperability with other PK-INIT implementations.
55  * Inital support for Mac OS X Keychain for hx509.
57  * Alias support for inital ticket requests.
59  * Add symbol versioning to selected libraries on platforms that uses
60    GNU link editor: gssapi, hcrypto, heimntlm, hx509, krb5, and libkdc.
62  * New version of imath included in hcrypto.
64  * Fix memory leaks.
66  * Bugs fixes.
68 Changes in release 0.8.1
70  * Make ASN.1 library less paranoid to with regard to NUL in string to
71    make it inter-operate with MIT Kerberos again.
73  * Make GSS-API library work again when using gss_acquire_cred
75  * Add symbol versioning to libgssapi when using GNU ld.
77  * Fix memory leaks 
79  * Bugs fixes
81 Changes in release 0.8
83  * PK-INIT support.
85  * HDB extensions support, used by PK-INIT.
87  * New ASN.1 compiler.
89  * GSS-API mechglue from FreeBSD.
91  * Updated SPNEGO to support RFC4178.
93  * Support for Cryptosystem Negotiation Extension (RFC 4537).
95  * A new X.509 library (hx509) and related crypto functions.
97  * A new ntlm library (heimntlm) and related crypto functions.
99  * Updated the built-in crypto library with bignum support using
100    imath, support for RSA and DH and renamed it to libhcrypto.
102  * Subsystem in the KDC, digest, that will perform the digest
103    operation in the KDC, currently supports: CHAP, MS-CHAP-V2, SASL
104    DIGEST-MD5 NTLMv1 and NTLMv2.
106  * KDC will return the "response too big" error to force TCP retries
107    for large (default 1400 bytes) UDP replies.  This is common for
108    PK-INIT requests.
110  * Libkafs defaults to use 2b tokens.
112  * Default to use the API cache on Mac OS X.
114  * krb5_kuserok() also checks ~/.k5login.d directory for acl files,
115    see manpage for krb5_kuserok for description.
117  * Many, many, other updates to code and info manual and manual pages.
119  * Bug fixes
121 Changes in release 0.7.2
123 * Fix security problem in rshd that enable an attacker to overwrite
124   and change ownership of any file that root could write.
126 * Fix a DOS in telnetd. The attacker could force the server to crash
127   in a NULL de-reference before the user logged in, resulting in inetd
128   turning telnetd off because it forked too fast.
130 * Make gss_acquire_cred(GSS_C_ACCEPT) check that the requested name
131   exists in the keytab before returning success. This allows servers
132   to check if its even possible to use GSSAPI.
134 * Fix receiving end of token delegation for GSS-API. It still wrongly
135   uses subkey for sending for compatibility reasons, this will change
136   in 0.8.
138 * telnetd, login and rshd are now more verbose in logging failed and
139   successful logins.
141 * Bug fixes
143 Changes in release 0.7.1
145 * Bug fixes
147 Changes in release 0.7
149  * Support for KCM, a process based credential cache
151  * Support CCAPI credential cache
153  * SPNEGO support
155  * AES (and the gssapi conterpart, CFX) support
157  * Adding new and improve old documentation
159  * Bug fixes
161 Changes in release 0.6.6
163 * Fix security problem in rshd that enable an attacker to overwrite
164   and change ownership of any file that root could write.
166 * Fix a DOS in telnetd. The attacker could force the server to crash
167   in a NULL de-reference before the user logged in, resulting in inetd
168   turning telnetd off because it forked too fast.
170 Changes in release 0.6.5
172  * fix vulnerabilities in telnetd
174  * unbreak Kerberos 4 and kaserver
176 Changes in release 0.6.4
178  * fix vulnerabilities in telnet
180  * rshd: encryption without a separate error socket should now work
182  * telnet now uses appdefaults for the encrypt and forward/forwardable
183    settings
185  * bug fixes
187 Changes in release 0.6.3
189  * fix vulnerabilities in ftpd
191  * support for linux AFS /proc "syscalls"
193  * support for RFC3244 (Windows 2000 Kerberos Change/Set Password) in
194    kpasswdd
196  * fix possible KDC denial of service
198  * bug fixes
200 Changes in release 0.6.2
202  * Fix possible buffer overrun in v4 kadmin (which now defaults to off)
204 Changes in release 0.6.1
206  * Fixed ARCFOUR suppport
208  * Cross realm vulnerability
210  * kdc: fix denial of service attack
212  * kdc: stop clients from renewing tickets into the future
214  * bug fixes
215         
216 Changes in release 0.6
218 * The DES3 GSS-API mechanism has been changed to inter-operate with
219   other GSSAPI implementations. See man page for gssapi(3) how to turn
220   on generation of correct MIC messages. Next major release of heimdal 
221   will generate correct MIC by default.
223 * More complete GSS-API support
225 * Better AFS support: kdc (524) supports 2b; 524 in kdc and AFS
226   support in applications no longer requires Kerberos 4 libs
228 * Kerberos 4 support in kdc defaults to turned off (includes ka and 524)
230 * other bug fixes
232 Changes in release 0.5.2
234  * kdc: add option for disabling v4 cross-realm (defaults to off)
236  * bug fixes
238 Changes in release 0.5.1
240  * kadmind: fix remote exploit
242  * kadmind: add option to disable kerberos 4
244  * kdc: make sure kaserver token life is positive
246  * telnet: use the session key if there is no subkey
248  * fix EPSV parsing in ftp
250  * other bug fixes
252 Changes in release 0.5
254  * add --detach option to kdc
256  * allow setting forward and forwardable option in telnet from
257    .telnetrc, with override from command line
259  * accept addresses with or without ports in krb5_rd_cred
261  * make it work with modern openssl
263  * use our own string2key function even with openssl (that handles weak
264    keys incorrectly)
266  * more system-specific requirements in login
268  * do not use getlogin() to determine root in su
270  * telnet: abort if telnetd does not support encryption
272  * update autoconf to 2.53
274  * update config.guess, config.sub
276  * other bug fixes
278 Changes in release 0.4e
280  * improve libcrypto and database autoconf tests
282  * do not care about salting of server principals when serving v4 requests
284  * some improvements to gssapi library
286  * test for existing compile_et/libcom_err
288  * portability fixes
290  * bug fixes
292 Changes in release 0.4d
294  * fix some problems when using libcrypto from openssl
296  * handle /dev/ptmx `unix98' ptys on Linux
298  * add some forgotten man pages
300  * rsh: clean-up and add man page
302  * fix -A and -a in builtin-ls in tpd
304  * fix building problem on Irix
306  * make `ktutil get' more efficient
308  * bug fixes
310 Changes in release 0.4c
312  * fix buffer overrun in telnetd
314  * repair some of the v4 fallback code in kinit
316  * add more shared library dependencies
318  * simplify and fix hprop handling of v4 databases
320  * fix some building problems (osf's sia and osfc2 login)
322  * bug fixes
324 Changes in release 0.4b
326  * update the shared library version numbers correctly
328 Changes in release 0.4a
330  * corrected key used for checksum in mk_safe, unfortunately this
331    makes it backwards incompatible
333  * update to autoconf 2.50, libtool 1.4
335  * re-write dns/config lookups (krb5_krbhst API)
337  * make order of using subkeys consistent
339  * add man page links
341  * add more man pages
343  * remove rfc2052 support, now only rfc2782 is supported
345  * always build with kaserver protocol support in the KDC (assuming
346    KRB4 is enabled) and support for reading kaserver databases in
347    hprop
349 Changes in release 0.3f
351  * change default keytab to ANY:FILE:/etc/krb5.keytab,krb4:/etc/srvtab,
352    the new keytab type that tries both of these in order (SRVTAB is
353    also an alias for krb4:)
355  * improve error reporting and error handling (error messages should
356    be more detailed and more useful)
358  * improve building with openssl
360  * add kadmin -K, rcp -F 
362  * fix two incorrect weak DES keys
364  * fix building of kaserver compat in KDC
366  * the API is closer to what MIT krb5 is using
368  * more compatible with windows 2000
370  * removed some memory leaks
372  * bug fixes
374 Changes in release 0.3e
376  * rcp program included
378  * fix buffer overrun in ftpd
380  * handle omitted sequence numbers as zeroes to handle MIT krb5 that
381    cannot generate zero sequence numbers
383  * handle v4 /.k files better
385  * configure/portability fixes
387  * fixes in parsing of options to kadmin (sub-)commands
389  * handle errors in kadmin load better
391  * bug fixes
393 Changes in release 0.3d
395  * add krb5-config
397  * fix a bug in 3des gss-api mechanism, making it compatible with the
398    specification and the MIT implementation
400  * make telnetd only allow a specific list of environment variables to
401    stop it from setting `sensitive' variables
403  * try to use an existing libdes
405  * lib/krb5, kdc: use correct usage type for ap-req messages.  This
406    should improve compatability with MIT krb5 when using 3DES
407    encryption types
409  * kdc: fix memory allocation problem
411  * update config.guess and config.sub
413  * lib/roken: more stuff implemented
415  * bug fixes and portability enhancements
417 Changes in release 0.3c
419  * lib/krb5: memory caches now support the resolve operation
421  * appl/login: set PATH to some sane default
423  * kadmind: handle several realms
425  * bug fixes (including memory leaks)
427 Changes in release 0.3b
429  * kdc: prefer default-salted keys on v5 requests
431  * kdc: lowercase hostnames in v4 mode
433  * hprop: handle more types of MIT salts
435  * lib/krb5: fix memory leak
437  * bug fixes
439 Changes in release 0.3a:
441  * implement arcfour-hmac-md5 to interoperate with W2K
443  * modularise the handling of the master key, and allow for other
444    encryption types. This makes it easier to import a database from
445    some other source without having to re-encrypt all keys.
447  * allow for better control over which encryption types are created
449  * make kinit fallback to v4 if given a v4 KDC
451  * make klist work better with v4 and v5, and add some more MIT
452    compatibility options
454  * make the kdc listen on the krb524 (4444) port for compatibility
455    with MIT krb5 clients
457  * implement more DCE/DFS support, enabled with --enable-dce, see
458    lib/kdfs and appl/dceutils
460  * make the sequence numbers work correctly
462  * bug fixes
464 Changes in release 0.2t:
466  * bug fixes
468 Changes in release 0.2s:
470  * add OpenLDAP support in hdb
472  * login will get v4 tickets when it receives forwarded tickets
474  * xnlock supports both v5 and v4
476  * repair source routing for telnet
478  * fix building problems with krb4 (krb_mk_req)
480  * bug fixes
482 Changes in release 0.2r:
484  * fix realloc memory corruption bug in kdc
486  * `add --key' and `cpw --key' in kadmin
488  * klist supports listing v4 tickets
490  * update config.guess and config.sub
492  * make v4 -> v5 principal name conversion more robust
494  * support for anonymous tickets
496  * new man-pages
498  * telnetd: do not negotiate KERBEROS5 authentication if there's no keytab.
500  * use and set expiration and not password expiration when dumping
501    to/from ka server databases / krb4 databases
503  * make the code happier with 64-bit time_t
505  * follow RFC2782 and by default do not look for non-underscore SRV names
507 Changes in release 0.2q:
509  * bug fix in tcp-handling in kdc
511  * bug fix in expand_hostname
513 Changes in release 0.2p:
515  * bug fix in `kadmin load/merge'
517  * bug fix in krb5_parse_address
519 Changes in release 0.2o:
521  * gss_{import,export}_sec_context added to libgssapi
523  * new option --addresses to kdc (for listening on an explicit set of
524    addresses)
526  * bug fixes in the krb4 and kaserver emulation part of the kdc
528  * other bug fixes
530 Changes in release 0.2n:
532  * more robust parsing of dump files in kadmin
533  * changed default timestamp format for log messages to extended ISO
534    8601 format (Y-M-DTH:M:S)
535  * changed md4/md5/sha1 APIes to be de-facto `standard'
536  * always make hostname into lower-case before creating principal
537  * small bits of more MIT-compatability
538  * bug fixes
540 Changes in release 0.2m:
542  * handle glibc's getaddrinfo() that returns several ai_canonname
544  * new endian test
546  * man pages fixes
548 Changes in release 0.2l:
550  * bug fixes
552 Changes in release 0.2k:
554  * better IPv6 test
556  * make struct sockaddr_storage in roken work better on alphas
558  * some missing [hn]to[hn]s fixed.
560  * allow users to change their own passwords with kadmin (with initial
561    tickets)
563  * fix stupid bug in parsing KDC specification
565  * add `ktutil change' and `ktutil purge'
567 Changes in release 0.2j:
569  * builds on Irix
571  * ftpd works in passive mode
573  * should build on cygwin
575  * work around broken IPv6-code on OpenBSD 2.6, also add configure
576    option --disable-ipv6
578 Changes in release 0.2i:
580  * use getaddrinfo in the missing places.
582  * fix SRV lookup for admin server
584  * use get{addr,name}info everywhere.  and implement it in terms of
585    getipnodeby{name,addr} (which uses gethostbyname{,2} and
586    gethostbyaddr)
588 Changes in release 0.2h:
590  * fix typo in kx (now compiles)
592 Changes in release 0.2g:
594  * lots of bug fixes:
595    * push works
596    * repair appl/test programs
597    * sockaddr_storage works on solaris (alignment issues)
598    * works better with non-roken getaddrinfo
599    * rsh works
600    * some non standard C constructs removed
602 Changes in release 0.2f:
604  * support SRV records for kpasswd
605  * look for both _kerberos and krb5-realm when doing host -> realm mapping
607 Changes in release 0.2e:
609  * changed copyright notices to remove `advertising'-clause.
610  * get{addr,name}info added to roken and used in the other code
611    (this makes things work much better with hosts with both v4 and v6
612     addresses, among other things)
613  * do pre-auth for both password and key-based get_in_tkt
614  * support for having several databases
615  * new command `del_enctype' in kadmin
616  * strptime (and new strftime) add to roken
617  * more paranoia about finding libdb
618  * bug fixes
620 Changes in release 0.2d:
622  * new configuration option [libdefaults]default_etypes_des
623  * internal ls in ftpd builds without KRB4
624  * kx/rsh/push/pop_debug tries v5 and v4 consistenly
625  * build bug fixes
626  * other bug fixes
628 Changes in release 0.2c:
630  * bug fixes (see ChangeLog's for details)
632 Changes in release 0.2b:
634  * bug fixes
635  * actually bump shared library versions
637 Changes in release 0.2a:
639  * a new program verify_krb5_conf for checking your /etc/krb5.conf
640  * add 3DES keys when changing password
641  * support null keys in database
642  * support multiple local realms
643  * implement a keytab backend for AFS KeyFile's
644  * implement a keytab backend for v4 srvtabs
645  * implement `ktutil copy'
646  * support password quality control in v4 kadmind
647  * improvements in v4 compat kadmind
648  * handle the case of having the correct cred in the ccache but with
649    the wrong encryption type better
650  * v6-ify the remaining programs.
651  * internal ls in ftpd
652  * rename strcpy_truncate/strcat_truncate to strlcpy/strlcat
653  * add `ank --random-password' and `cpw --random-password' in kadmin
654  * some programs and documentation for trying to talk to a W2K KDC
655  * bug fixes
657 Changes in release 0.1m:
659  * support for getting default from krb5.conf for kinit/kf/rsh/telnet.
660    From Miroslav Ruda <ruda@ics.muni.cz>
661  * v6-ify hprop and hpropd
662  * support numeric addresses in krb5_mk_req
663  * shadow support in login and su. From Miroslav Ruda <ruda@ics.muni.cz>
664  * make rsh/rshd IPv6-aware
665  * make the gssapi sample applications better at reporting errors
666  * lots of bug fixes
667  * handle systems with v6-aware libc and non-v6 kernels (like Linux
668    with glibc 2.1) better
669  * hide failure of ERPT in ftp
670  * lots of bug fixes
672 Changes in release 0.1l:
674  * make ftp and ftpd IPv6-aware
675  * add inet_pton to roken
676  * more IPv6-awareness
677  * make mini_inetd v6 aware
679 Changes in release 0.1k:
681  * bump shared libraries versions
682  * add roken version of inet_ntop
683  * merge more changes to rshd
685 Changes in release 0.1j:
687  * restore back to the `old' 3DES code.  This was supposed to be done
688    in 0.1h and 0.1i but I did a CVS screw-up.
689  * make telnetd handle v6 connections
691 Changes in release 0.1i:
693  * start using `struct sockaddr_storage' which simplifies the code
694    (with a fallback definition if it's not defined)
695  * bug fixes (including in hprop and kf)
696  * don't use mawk which seems to mishandle roken.awk
697  * get_addrs should be able to handle v6 addresses on Linux (with the
698    required patch to the Linux kernel -- ask within)
699  * rshd builds with shadow passwords
701 Changes in release 0.1h:
703  * kf: new program for forwarding credentials
704  * portability fixes
705  * make forwarding credentials work with MIT code
706  * better conversion of ka database
707  * add etc/services.append
708  * correct `modified by' from kpasswdd
709  * lots of bug fixes
711 Changes in release 0.1g:
713  * kgetcred: new program for explicitly obtaining tickets
714  * configure fixes
715  * krb5-aware kx
716  * bug fixes
718 Changes in release 0.1f;
720  * experimental support for v4 kadmin protokoll in kadmind
721  * bug fixes
723 Changes in release 0.1e:
725  * try to handle old DCE and MIT kdcs
726  * support for older versions of credential cache files and keytabs
727  * postdated tickets work
728  * support for password quality checks in kpasswdd
729  * new flag --enable-kaserver for kdc
730  * renew fixes
731  * prototype su program
732  * updated (some) manpages
733  * support for KDC resource records
734  * should build with --without-krb4
735  * bug fixes
737 Changes in release 0.1d:
739  * Support building with DB2 (uses 1.85-compat API)
740  * Support krb5-realm.DOMAIN in DNS
741  * new `ktutil srvcreate'
742  * v4/kafs support in klist/kdestroy
743  * bug fixes
745 Changes in release 0.1c:
747  * fix ASN.1 encoding of signed integers
748  * somewhat working `ktutil get'
749  * some documentation updates
750  * update to Autoconf 2.13 and Automake 1.4
751  * the usual bug fixes
753 Changes in release 0.1b:
755  * some old -> new crypto conversion utils
756  * bug fixes
758 Changes in release 0.1a:
760  * new crypto code
761  * more bug fixes
762  * make sure we ask for DES keys in gssapi
763  * support signed ints in ASN1
764  * IPv6-bug fixes
766 Changes in release 0.0u:
768  * lots of bug fixes
770 Changes in release 0.0t:
772  * more robust parsing of krb5.conf
773  * include net{read,write} in lib/roken
774  * bug fixes
776 Changes in release 0.0s:
778  * kludges for parsing options to rsh
779  * more robust parsing of krb5.conf
780  * removed some arbitrary limits
781  * bug fixes
783 Changes in release 0.0r:
785  * default options for some programs
786  * bug fixes
788 Changes in release 0.0q:
790  * support for building shared libraries with libtool
791  * bug fixes
793 Changes in release 0.0p:
795  * keytab moved to /etc/krb5.keytab
796  * avoid false detection of IPv6 on Linux
797  * Lots of more functionality in the gssapi-library
798  * hprop can now read ka-server databases
799  * bug fixes
801 Changes in release 0.0o:
803  * FTP with GSSAPI support.
804  * Bug fixes.
806 Changes in release 0.0n:
808  * Incremental database propagation.
809  * Somewhat improved kadmin ui; the stuff in admin is now removed.
810  * Some support for using enctypes instead of keytypes.
811  * Lots of other improvement and bug fixes, see ChangeLog for details.