Use hdb_db_dir().
[heimdal.git] / NEWS
blob681cebf70117d71a29d67b149a7f503221c9f92a
1 Changes in release 1.1
3  * Provide pkg-config file for Heimdal (heimdal-gssapi.pc).
5  * Bug fixes.
7 Changes in release 1.0.1
9  * Serveral bug fixes to iprop.
11  * Make work on platforms without dlopen.
13  * Add RFC3526 modp group14 as default.
15  * Handle [kdc] database = { } entries without realm = stanzas.
17  * Make krb5_get_renewed_creds work.
19  * Make kaserver preauth work again.
21  * Bug fixes.
23 Changes in release 1.0
25  * Add gss_pseudo_random() for mechglue and krb5.
27  * Make session key for the krbtgt be selected by the best encryption
28    type of the client.
30  * Better interoperability with other PK-INIT implementations.
32  * Inital support for Mac OS X Keychain for hx509.
34  * Alias support for inital ticket requests.
36  * Add symbol versioning to selected libraries on platforms that uses
37    GNU link editor: gssapi, hcrypto, heimntlm, hx509, krb5, and libkdc.
39  * New version of imath included in hcrypto.
41  * Fix memory leaks.
43  * Bugs fixes.
45 Changes in release 0.8.1
47  * Make ASN.1 library less paranoid to with regard to NUL in string to
48    make it inter-operate with MIT Kerberos again.
50  * Make GSS-API library work again when using gss_acquire_cred
52  * Add symbol versioning to libgssapi when using GNU ld.
54  * Fix memory leaks 
56  * Bugs fixes
58 Changes in release 0.8
60  * PK-INIT support.
62  * HDB extensions support, used by PK-INIT.
64  * New ASN.1 compiler.
66  * GSS-API mechglue from FreeBSD.
68  * Updated SPNEGO to support RFC4178.
70  * Support for Cryptosystem Negotiation Extension (RFC 4537).
72  * A new X.509 library (hx509) and related crypto functions.
74  * A new ntlm library (heimntlm) and related crypto functions.
76  * Updated the built-in crypto library with bignum support using
77    imath, support for RSA and DH and renamed it to libhcrypto.
79  * Subsystem in the KDC, digest, that will perform the digest
80    operation in the KDC, currently supports: CHAP, MS-CHAP-V2, SASL
81    DIGEST-MD5 NTLMv1 and NTLMv2.
83  * KDC will return the "response too big" error to force TCP retries
84    for large (default 1400 bytes) UDP replies.  This is common for
85    PK-INIT requests.
87  * Libkafs defaults to use 2b tokens.
89  * Default to use the API cache on Mac OS X.
91  * krb5_kuserok() also checks ~/.k5login.d directory for acl files,
92    see manpage for krb5_kuserok for description.
94  * Many, many, other updates to code and info manual and manual pages.
96  * Bug fixes
98 Changes in release 0.7.2
100 * Fix security problem in rshd that enable an attacker to overwrite
101   and change ownership of any file that root could write.
103 * Fix a DOS in telnetd. The attacker could force the server to crash
104   in a NULL de-reference before the user logged in, resulting in inetd
105   turning telnetd off because it forked too fast.
107 * Make gss_acquire_cred(GSS_C_ACCEPT) check that the requested name
108   exists in the keytab before returning success. This allows servers
109   to check if its even possible to use GSSAPI.
111 * Fix receiving end of token delegation for GSS-API. It still wrongly
112   uses subkey for sending for compatibility reasons, this will change
113   in 0.8.
115 * telnetd, login and rshd are now more verbose in logging failed and
116   successful logins.
118 * Bug fixes
120 Changes in release 0.7.1
122 * Bug fixes
124 Changes in release 0.7
126  * Support for KCM, a process based credential cache
128  * Support CCAPI credential cache
130  * SPNEGO support
132  * AES (and the gssapi conterpart, CFX) support
134  * Adding new and improve old documentation
136  * Bug fixes
138 Changes in release 0.6.6
140 * Fix security problem in rshd that enable an attacker to overwrite
141   and change ownership of any file that root could write.
143 * Fix a DOS in telnetd. The attacker could force the server to crash
144   in a NULL de-reference before the user logged in, resulting in inetd
145   turning telnetd off because it forked too fast.
147 Changes in release 0.6.5
149  * fix vulnerabilities in telnetd
151  * unbreak Kerberos 4 and kaserver
153 Changes in release 0.6.4
155  * fix vulnerabilities in telnet
157  * rshd: encryption without a separate error socket should now work
159  * telnet now uses appdefaults for the encrypt and forward/forwardable
160    settings
162  * bug fixes
164 Changes in release 0.6.3
166  * fix vulnerabilities in ftpd
168  * support for linux AFS /proc "syscalls"
170  * support for RFC3244 (Windows 2000 Kerberos Change/Set Password) in
171    kpasswdd
173  * fix possible KDC denial of service
175  * bug fixes
177 Changes in release 0.6.2
179  * Fix possible buffer overrun in v4 kadmin (which now defaults to off)
181 Changes in release 0.6.1
183  * Fixed ARCFOUR suppport
185  * Cross realm vulnerability
187  * kdc: fix denial of service attack
189  * kdc: stop clients from renewing tickets into the future
191  * bug fixes
192         
193 Changes in release 0.6
195 * The DES3 GSS-API mechanism has been changed to inter-operate with
196   other GSSAPI implementations. See man page for gssapi(3) how to turn
197   on generation of correct MIC messages. Next major release of heimdal 
198   will generate correct MIC by default.
200 * More complete GSS-API support
202 * Better AFS support: kdc (524) supports 2b; 524 in kdc and AFS
203   support in applications no longer requires Kerberos 4 libs
205 * Kerberos 4 support in kdc defaults to turned off (includes ka and 524)
207 * other bug fixes
209 Changes in release 0.5.2
211  * kdc: add option for disabling v4 cross-realm (defaults to off)
213  * bug fixes
215 Changes in release 0.5.1
217  * kadmind: fix remote exploit
219  * kadmind: add option to disable kerberos 4
221  * kdc: make sure kaserver token life is positive
223  * telnet: use the session key if there is no subkey
225  * fix EPSV parsing in ftp
227  * other bug fixes
229 Changes in release 0.5
231  * add --detach option to kdc
233  * allow setting forward and forwardable option in telnet from
234    .telnetrc, with override from command line
236  * accept addresses with or without ports in krb5_rd_cred
238  * make it work with modern openssl
240  * use our own string2key function even with openssl (that handles weak
241    keys incorrectly)
243  * more system-specific requirements in login
245  * do not use getlogin() to determine root in su
247  * telnet: abort if telnetd does not support encryption
249  * update autoconf to 2.53
251  * update config.guess, config.sub
253  * other bug fixes
255 Changes in release 0.4e
257  * improve libcrypto and database autoconf tests
259  * do not care about salting of server principals when serving v4 requests
261  * some improvements to gssapi library
263  * test for existing compile_et/libcom_err
265  * portability fixes
267  * bug fixes
269 Changes in release 0.4d
271  * fix some problems when using libcrypto from openssl
273  * handle /dev/ptmx `unix98' ptys on Linux
275  * add some forgotten man pages
277  * rsh: clean-up and add man page
279  * fix -A and -a in builtin-ls in tpd
281  * fix building problem on Irix
283  * make `ktutil get' more efficient
285  * bug fixes
287 Changes in release 0.4c
289  * fix buffer overrun in telnetd
291  * repair some of the v4 fallback code in kinit
293  * add more shared library dependencies
295  * simplify and fix hprop handling of v4 databases
297  * fix some building problems (osf's sia and osfc2 login)
299  * bug fixes
301 Changes in release 0.4b
303  * update the shared library version numbers correctly
305 Changes in release 0.4a
307  * corrected key used for checksum in mk_safe, unfortunately this
308    makes it backwards incompatible
310  * update to autoconf 2.50, libtool 1.4
312  * re-write dns/config lookups (krb5_krbhst API)
314  * make order of using subkeys consistent
316  * add man page links
318  * add more man pages
320  * remove rfc2052 support, now only rfc2782 is supported
322  * always build with kaserver protocol support in the KDC (assuming
323    KRB4 is enabled) and support for reading kaserver databases in
324    hprop
326 Changes in release 0.3f
328  * change default keytab to ANY:FILE:/etc/krb5.keytab,krb4:/etc/srvtab,
329    the new keytab type that tries both of these in order (SRVTAB is
330    also an alias for krb4:)
332  * improve error reporting and error handling (error messages should
333    be more detailed and more useful)
335  * improve building with openssl
337  * add kadmin -K, rcp -F 
339  * fix two incorrect weak DES keys
341  * fix building of kaserver compat in KDC
343  * the API is closer to what MIT krb5 is using
345  * more compatible with windows 2000
347  * removed some memory leaks
349  * bug fixes
351 Changes in release 0.3e
353  * rcp program included
355  * fix buffer overrun in ftpd
357  * handle omitted sequence numbers as zeroes to handle MIT krb5 that
358    cannot generate zero sequence numbers
360  * handle v4 /.k files better
362  * configure/portability fixes
364  * fixes in parsing of options to kadmin (sub-)commands
366  * handle errors in kadmin load better
368  * bug fixes
370 Changes in release 0.3d
372  * add krb5-config
374  * fix a bug in 3des gss-api mechanism, making it compatible with the
375    specification and the MIT implementation
377  * make telnetd only allow a specific list of environment variables to
378    stop it from setting `sensitive' variables
380  * try to use an existing libdes
382  * lib/krb5, kdc: use correct usage type for ap-req messages.  This
383    should improve compatability with MIT krb5 when using 3DES
384    encryption types
386  * kdc: fix memory allocation problem
388  * update config.guess and config.sub
390  * lib/roken: more stuff implemented
392  * bug fixes and portability enhancements
394 Changes in release 0.3c
396  * lib/krb5: memory caches now support the resolve operation
398  * appl/login: set PATH to some sane default
400  * kadmind: handle several realms
402  * bug fixes (including memory leaks)
404 Changes in release 0.3b
406  * kdc: prefer default-salted keys on v5 requests
408  * kdc: lowercase hostnames in v4 mode
410  * hprop: handle more types of MIT salts
412  * lib/krb5: fix memory leak
414  * bug fixes
416 Changes in release 0.3a:
418  * implement arcfour-hmac-md5 to interoperate with W2K
420  * modularise the handling of the master key, and allow for other
421    encryption types. This makes it easier to import a database from
422    some other source without having to re-encrypt all keys.
424  * allow for better control over which encryption types are created
426  * make kinit fallback to v4 if given a v4 KDC
428  * make klist work better with v4 and v5, and add some more MIT
429    compatibility options
431  * make the kdc listen on the krb524 (4444) port for compatibility
432    with MIT krb5 clients
434  * implement more DCE/DFS support, enabled with --enable-dce, see
435    lib/kdfs and appl/dceutils
437  * make the sequence numbers work correctly
439  * bug fixes
441 Changes in release 0.2t:
443  * bug fixes
445 Changes in release 0.2s:
447  * add OpenLDAP support in hdb
449  * login will get v4 tickets when it receives forwarded tickets
451  * xnlock supports both v5 and v4
453  * repair source routing for telnet
455  * fix building problems with krb4 (krb_mk_req)
457  * bug fixes
459 Changes in release 0.2r:
461  * fix realloc memory corruption bug in kdc
463  * `add --key' and `cpw --key' in kadmin
465  * klist supports listing v4 tickets
467  * update config.guess and config.sub
469  * make v4 -> v5 principal name conversion more robust
471  * support for anonymous tickets
473  * new man-pages
475  * telnetd: do not negotiate KERBEROS5 authentication if there's no keytab.
477  * use and set expiration and not password expiration when dumping
478    to/from ka server databases / krb4 databases
480  * make the code happier with 64-bit time_t
482  * follow RFC2782 and by default do not look for non-underscore SRV names
484 Changes in release 0.2q:
486  * bug fix in tcp-handling in kdc
488  * bug fix in expand_hostname
490 Changes in release 0.2p:
492  * bug fix in `kadmin load/merge'
494  * bug fix in krb5_parse_address
496 Changes in release 0.2o:
498  * gss_{import,export}_sec_context added to libgssapi
500  * new option --addresses to kdc (for listening on an explicit set of
501    addresses)
503  * bug fixes in the krb4 and kaserver emulation part of the kdc
505  * other bug fixes
507 Changes in release 0.2n:
509  * more robust parsing of dump files in kadmin
510  * changed default timestamp format for log messages to extended ISO
511    8601 format (Y-M-DTH:M:S)
512  * changed md4/md5/sha1 APIes to be de-facto `standard'
513  * always make hostname into lower-case before creating principal
514  * small bits of more MIT-compatability
515  * bug fixes
517 Changes in release 0.2m:
519  * handle glibc's getaddrinfo() that returns several ai_canonname
521  * new endian test
523  * man pages fixes
525 Changes in release 0.2l:
527  * bug fixes
529 Changes in release 0.2k:
531  * better IPv6 test
533  * make struct sockaddr_storage in roken work better on alphas
535  * some missing [hn]to[hn]s fixed.
537  * allow users to change their own passwords with kadmin (with initial
538    tickets)
540  * fix stupid bug in parsing KDC specification
542  * add `ktutil change' and `ktutil purge'
544 Changes in release 0.2j:
546  * builds on Irix
548  * ftpd works in passive mode
550  * should build on cygwin
552  * work around broken IPv6-code on OpenBSD 2.6, also add configure
553    option --disable-ipv6
555 Changes in release 0.2i:
557  * use getaddrinfo in the missing places.
559  * fix SRV lookup for admin server
561  * use get{addr,name}info everywhere.  and implement it in terms of
562    getipnodeby{name,addr} (which uses gethostbyname{,2} and
563    gethostbyaddr)
565 Changes in release 0.2h:
567  * fix typo in kx (now compiles)
569 Changes in release 0.2g:
571  * lots of bug fixes:
572    * push works
573    * repair appl/test programs
574    * sockaddr_storage works on solaris (alignment issues)
575    * works better with non-roken getaddrinfo
576    * rsh works
577    * some non standard C constructs removed
579 Changes in release 0.2f:
581  * support SRV records for kpasswd
582  * look for both _kerberos and krb5-realm when doing host -> realm mapping
584 Changes in release 0.2e:
586  * changed copyright notices to remove `advertising'-clause.
587  * get{addr,name}info added to roken and used in the other code
588    (this makes things work much better with hosts with both v4 and v6
589     addresses, among other things)
590  * do pre-auth for both password and key-based get_in_tkt
591  * support for having several databases
592  * new command `del_enctype' in kadmin
593  * strptime (and new strftime) add to roken
594  * more paranoia about finding libdb
595  * bug fixes
597 Changes in release 0.2d:
599  * new configuration option [libdefaults]default_etypes_des
600  * internal ls in ftpd builds without KRB4
601  * kx/rsh/push/pop_debug tries v5 and v4 consistenly
602  * build bug fixes
603  * other bug fixes
605 Changes in release 0.2c:
607  * bug fixes (see ChangeLog's for details)
609 Changes in release 0.2b:
611  * bug fixes
612  * actually bump shared library versions
614 Changes in release 0.2a:
616  * a new program verify_krb5_conf for checking your /etc/krb5.conf
617  * add 3DES keys when changing password
618  * support null keys in database
619  * support multiple local realms
620  * implement a keytab backend for AFS KeyFile's
621  * implement a keytab backend for v4 srvtabs
622  * implement `ktutil copy'
623  * support password quality control in v4 kadmind
624  * improvements in v4 compat kadmind
625  * handle the case of having the correct cred in the ccache but with
626    the wrong encryption type better
627  * v6-ify the remaining programs.
628  * internal ls in ftpd
629  * rename strcpy_truncate/strcat_truncate to strlcpy/strlcat
630  * add `ank --random-password' and `cpw --random-password' in kadmin
631  * some programs and documentation for trying to talk to a W2K KDC
632  * bug fixes
634 Changes in release 0.1m:
636  * support for getting default from krb5.conf for kinit/kf/rsh/telnet.
637    From Miroslav Ruda <ruda@ics.muni.cz>
638  * v6-ify hprop and hpropd
639  * support numeric addresses in krb5_mk_req
640  * shadow support in login and su. From Miroslav Ruda <ruda@ics.muni.cz>
641  * make rsh/rshd IPv6-aware
642  * make the gssapi sample applications better at reporting errors
643  * lots of bug fixes
644  * handle systems with v6-aware libc and non-v6 kernels (like Linux
645    with glibc 2.1) better
646  * hide failure of ERPT in ftp
647  * lots of bug fixes
649 Changes in release 0.1l:
651  * make ftp and ftpd IPv6-aware
652  * add inet_pton to roken
653  * more IPv6-awareness
654  * make mini_inetd v6 aware
656 Changes in release 0.1k:
658  * bump shared libraries versions
659  * add roken version of inet_ntop
660  * merge more changes to rshd
662 Changes in release 0.1j:
664  * restore back to the `old' 3DES code.  This was supposed to be done
665    in 0.1h and 0.1i but I did a CVS screw-up.
666  * make telnetd handle v6 connections
668 Changes in release 0.1i:
670  * start using `struct sockaddr_storage' which simplifies the code
671    (with a fallback definition if it's not defined)
672  * bug fixes (including in hprop and kf)
673  * don't use mawk which seems to mishandle roken.awk
674  * get_addrs should be able to handle v6 addresses on Linux (with the
675    required patch to the Linux kernel -- ask within)
676  * rshd builds with shadow passwords
678 Changes in release 0.1h:
680  * kf: new program for forwarding credentials
681  * portability fixes
682  * make forwarding credentials work with MIT code
683  * better conversion of ka database
684  * add etc/services.append
685  * correct `modified by' from kpasswdd
686  * lots of bug fixes
688 Changes in release 0.1g:
690  * kgetcred: new program for explicitly obtaining tickets
691  * configure fixes
692  * krb5-aware kx
693  * bug fixes
695 Changes in release 0.1f;
697  * experimental support for v4 kadmin protokoll in kadmind
698  * bug fixes
700 Changes in release 0.1e:
702  * try to handle old DCE and MIT kdcs
703  * support for older versions of credential cache files and keytabs
704  * postdated tickets work
705  * support for password quality checks in kpasswdd
706  * new flag --enable-kaserver for kdc
707  * renew fixes
708  * prototype su program
709  * updated (some) manpages
710  * support for KDC resource records
711  * should build with --without-krb4
712  * bug fixes
714 Changes in release 0.1d:
716  * Support building with DB2 (uses 1.85-compat API)
717  * Support krb5-realm.DOMAIN in DNS
718  * new `ktutil srvcreate'
719  * v4/kafs support in klist/kdestroy
720  * bug fixes
722 Changes in release 0.1c:
724  * fix ASN.1 encoding of signed integers
725  * somewhat working `ktutil get'
726  * some documentation updates
727  * update to Autoconf 2.13 and Automake 1.4
728  * the usual bug fixes
730 Changes in release 0.1b:
732  * some old -> new crypto conversion utils
733  * bug fixes
735 Changes in release 0.1a:
737  * new crypto code
738  * more bug fixes
739  * make sure we ask for DES keys in gssapi
740  * support signed ints in ASN1
741  * IPv6-bug fixes
743 Changes in release 0.0u:
745  * lots of bug fixes
747 Changes in release 0.0t:
749  * more robust parsing of krb5.conf
750  * include net{read,write} in lib/roken
751  * bug fixes
753 Changes in release 0.0s:
755  * kludges for parsing options to rsh
756  * more robust parsing of krb5.conf
757  * removed some arbitrary limits
758  * bug fixes
760 Changes in release 0.0r:
762  * default options for some programs
763  * bug fixes
765 Changes in release 0.0q:
767  * support for building shared libraries with libtool
768  * bug fixes
770 Changes in release 0.0p:
772  * keytab moved to /etc/krb5.keytab
773  * avoid false detection of IPv6 on Linux
774  * Lots of more functionality in the gssapi-library
775  * hprop can now read ka-server databases
776  * bug fixes
778 Changes in release 0.0o:
780  * FTP with GSSAPI support.
781  * Bug fixes.
783 Changes in release 0.0n:
785  * Incremental database propagation.
786  * Somewhat improved kadmin ui; the stuff in admin is now removed.
787  * Some support for using enctypes instead of keytypes.
788  * Lots of other improvement and bug fixes, see ChangeLog for details.