x
[heimdal.git] / NEWS
blob977b69ac498cc29300c6da75f6c6fe141d70bcfe
1 Changes in release 1.1
3  * Documentation for hx509, hcrypto and ntlm libraries improved.
5  * Better compatibilty with Windows 2008 Server pre-releases and Vista.
7  * Mac OS X 10.5 support for native credential cache.
9  * Provide pkg-config file for Heimdal (heimdal-gssapi.pc).
11  * Bug fixes.
13 Changes in release 1.0.2
15 * Ubuntu packages.
17 * Bug fixes.
19 Changes in release 1.0.1
21  * Serveral bug fixes to iprop.
23  * Make work on platforms without dlopen.
25  * Add RFC3526 modp group14 as default.
27  * Handle [kdc] database = { } entries without realm = stanzas.
29  * Make krb5_get_renewed_creds work.
31  * Make kaserver preauth work again.
33  * Bug fixes.
35 Changes in release 1.0
37  * Add gss_pseudo_random() for mechglue and krb5.
39  * Make session key for the krbtgt be selected by the best encryption
40    type of the client.
42  * Better interoperability with other PK-INIT implementations.
44  * Inital support for Mac OS X Keychain for hx509.
46  * Alias support for inital ticket requests.
48  * Add symbol versioning to selected libraries on platforms that uses
49    GNU link editor: gssapi, hcrypto, heimntlm, hx509, krb5, and libkdc.
51  * New version of imath included in hcrypto.
53  * Fix memory leaks.
55  * Bugs fixes.
57 Changes in release 0.8.1
59  * Make ASN.1 library less paranoid to with regard to NUL in string to
60    make it inter-operate with MIT Kerberos again.
62  * Make GSS-API library work again when using gss_acquire_cred
64  * Add symbol versioning to libgssapi when using GNU ld.
66  * Fix memory leaks 
68  * Bugs fixes
70 Changes in release 0.8
72  * PK-INIT support.
74  * HDB extensions support, used by PK-INIT.
76  * New ASN.1 compiler.
78  * GSS-API mechglue from FreeBSD.
80  * Updated SPNEGO to support RFC4178.
82  * Support for Cryptosystem Negotiation Extension (RFC 4537).
84  * A new X.509 library (hx509) and related crypto functions.
86  * A new ntlm library (heimntlm) and related crypto functions.
88  * Updated the built-in crypto library with bignum support using
89    imath, support for RSA and DH and renamed it to libhcrypto.
91  * Subsystem in the KDC, digest, that will perform the digest
92    operation in the KDC, currently supports: CHAP, MS-CHAP-V2, SASL
93    DIGEST-MD5 NTLMv1 and NTLMv2.
95  * KDC will return the "response too big" error to force TCP retries
96    for large (default 1400 bytes) UDP replies.  This is common for
97    PK-INIT requests.
99  * Libkafs defaults to use 2b tokens.
101  * Default to use the API cache on Mac OS X.
103  * krb5_kuserok() also checks ~/.k5login.d directory for acl files,
104    see manpage for krb5_kuserok for description.
106  * Many, many, other updates to code and info manual and manual pages.
108  * Bug fixes
110 Changes in release 0.7.2
112 * Fix security problem in rshd that enable an attacker to overwrite
113   and change ownership of any file that root could write.
115 * Fix a DOS in telnetd. The attacker could force the server to crash
116   in a NULL de-reference before the user logged in, resulting in inetd
117   turning telnetd off because it forked too fast.
119 * Make gss_acquire_cred(GSS_C_ACCEPT) check that the requested name
120   exists in the keytab before returning success. This allows servers
121   to check if its even possible to use GSSAPI.
123 * Fix receiving end of token delegation for GSS-API. It still wrongly
124   uses subkey for sending for compatibility reasons, this will change
125   in 0.8.
127 * telnetd, login and rshd are now more verbose in logging failed and
128   successful logins.
130 * Bug fixes
132 Changes in release 0.7.1
134 * Bug fixes
136 Changes in release 0.7
138  * Support for KCM, a process based credential cache
140  * Support CCAPI credential cache
142  * SPNEGO support
144  * AES (and the gssapi conterpart, CFX) support
146  * Adding new and improve old documentation
148  * Bug fixes
150 Changes in release 0.6.6
152 * Fix security problem in rshd that enable an attacker to overwrite
153   and change ownership of any file that root could write.
155 * Fix a DOS in telnetd. The attacker could force the server to crash
156   in a NULL de-reference before the user logged in, resulting in inetd
157   turning telnetd off because it forked too fast.
159 Changes in release 0.6.5
161  * fix vulnerabilities in telnetd
163  * unbreak Kerberos 4 and kaserver
165 Changes in release 0.6.4
167  * fix vulnerabilities in telnet
169  * rshd: encryption without a separate error socket should now work
171  * telnet now uses appdefaults for the encrypt and forward/forwardable
172    settings
174  * bug fixes
176 Changes in release 0.6.3
178  * fix vulnerabilities in ftpd
180  * support for linux AFS /proc "syscalls"
182  * support for RFC3244 (Windows 2000 Kerberos Change/Set Password) in
183    kpasswdd
185  * fix possible KDC denial of service
187  * bug fixes
189 Changes in release 0.6.2
191  * Fix possible buffer overrun in v4 kadmin (which now defaults to off)
193 Changes in release 0.6.1
195  * Fixed ARCFOUR suppport
197  * Cross realm vulnerability
199  * kdc: fix denial of service attack
201  * kdc: stop clients from renewing tickets into the future
203  * bug fixes
204         
205 Changes in release 0.6
207 * The DES3 GSS-API mechanism has been changed to inter-operate with
208   other GSSAPI implementations. See man page for gssapi(3) how to turn
209   on generation of correct MIC messages. Next major release of heimdal 
210   will generate correct MIC by default.
212 * More complete GSS-API support
214 * Better AFS support: kdc (524) supports 2b; 524 in kdc and AFS
215   support in applications no longer requires Kerberos 4 libs
217 * Kerberos 4 support in kdc defaults to turned off (includes ka and 524)
219 * other bug fixes
221 Changes in release 0.5.2
223  * kdc: add option for disabling v4 cross-realm (defaults to off)
225  * bug fixes
227 Changes in release 0.5.1
229  * kadmind: fix remote exploit
231  * kadmind: add option to disable kerberos 4
233  * kdc: make sure kaserver token life is positive
235  * telnet: use the session key if there is no subkey
237  * fix EPSV parsing in ftp
239  * other bug fixes
241 Changes in release 0.5
243  * add --detach option to kdc
245  * allow setting forward and forwardable option in telnet from
246    .telnetrc, with override from command line
248  * accept addresses with or without ports in krb5_rd_cred
250  * make it work with modern openssl
252  * use our own string2key function even with openssl (that handles weak
253    keys incorrectly)
255  * more system-specific requirements in login
257  * do not use getlogin() to determine root in su
259  * telnet: abort if telnetd does not support encryption
261  * update autoconf to 2.53
263  * update config.guess, config.sub
265  * other bug fixes
267 Changes in release 0.4e
269  * improve libcrypto and database autoconf tests
271  * do not care about salting of server principals when serving v4 requests
273  * some improvements to gssapi library
275  * test for existing compile_et/libcom_err
277  * portability fixes
279  * bug fixes
281 Changes in release 0.4d
283  * fix some problems when using libcrypto from openssl
285  * handle /dev/ptmx `unix98' ptys on Linux
287  * add some forgotten man pages
289  * rsh: clean-up and add man page
291  * fix -A and -a in builtin-ls in tpd
293  * fix building problem on Irix
295  * make `ktutil get' more efficient
297  * bug fixes
299 Changes in release 0.4c
301  * fix buffer overrun in telnetd
303  * repair some of the v4 fallback code in kinit
305  * add more shared library dependencies
307  * simplify and fix hprop handling of v4 databases
309  * fix some building problems (osf's sia and osfc2 login)
311  * bug fixes
313 Changes in release 0.4b
315  * update the shared library version numbers correctly
317 Changes in release 0.4a
319  * corrected key used for checksum in mk_safe, unfortunately this
320    makes it backwards incompatible
322  * update to autoconf 2.50, libtool 1.4
324  * re-write dns/config lookups (krb5_krbhst API)
326  * make order of using subkeys consistent
328  * add man page links
330  * add more man pages
332  * remove rfc2052 support, now only rfc2782 is supported
334  * always build with kaserver protocol support in the KDC (assuming
335    KRB4 is enabled) and support for reading kaserver databases in
336    hprop
338 Changes in release 0.3f
340  * change default keytab to ANY:FILE:/etc/krb5.keytab,krb4:/etc/srvtab,
341    the new keytab type that tries both of these in order (SRVTAB is
342    also an alias for krb4:)
344  * improve error reporting and error handling (error messages should
345    be more detailed and more useful)
347  * improve building with openssl
349  * add kadmin -K, rcp -F 
351  * fix two incorrect weak DES keys
353  * fix building of kaserver compat in KDC
355  * the API is closer to what MIT krb5 is using
357  * more compatible with windows 2000
359  * removed some memory leaks
361  * bug fixes
363 Changes in release 0.3e
365  * rcp program included
367  * fix buffer overrun in ftpd
369  * handle omitted sequence numbers as zeroes to handle MIT krb5 that
370    cannot generate zero sequence numbers
372  * handle v4 /.k files better
374  * configure/portability fixes
376  * fixes in parsing of options to kadmin (sub-)commands
378  * handle errors in kadmin load better
380  * bug fixes
382 Changes in release 0.3d
384  * add krb5-config
386  * fix a bug in 3des gss-api mechanism, making it compatible with the
387    specification and the MIT implementation
389  * make telnetd only allow a specific list of environment variables to
390    stop it from setting `sensitive' variables
392  * try to use an existing libdes
394  * lib/krb5, kdc: use correct usage type for ap-req messages.  This
395    should improve compatability with MIT krb5 when using 3DES
396    encryption types
398  * kdc: fix memory allocation problem
400  * update config.guess and config.sub
402  * lib/roken: more stuff implemented
404  * bug fixes and portability enhancements
406 Changes in release 0.3c
408  * lib/krb5: memory caches now support the resolve operation
410  * appl/login: set PATH to some sane default
412  * kadmind: handle several realms
414  * bug fixes (including memory leaks)
416 Changes in release 0.3b
418  * kdc: prefer default-salted keys on v5 requests
420  * kdc: lowercase hostnames in v4 mode
422  * hprop: handle more types of MIT salts
424  * lib/krb5: fix memory leak
426  * bug fixes
428 Changes in release 0.3a:
430  * implement arcfour-hmac-md5 to interoperate with W2K
432  * modularise the handling of the master key, and allow for other
433    encryption types. This makes it easier to import a database from
434    some other source without having to re-encrypt all keys.
436  * allow for better control over which encryption types are created
438  * make kinit fallback to v4 if given a v4 KDC
440  * make klist work better with v4 and v5, and add some more MIT
441    compatibility options
443  * make the kdc listen on the krb524 (4444) port for compatibility
444    with MIT krb5 clients
446  * implement more DCE/DFS support, enabled with --enable-dce, see
447    lib/kdfs and appl/dceutils
449  * make the sequence numbers work correctly
451  * bug fixes
453 Changes in release 0.2t:
455  * bug fixes
457 Changes in release 0.2s:
459  * add OpenLDAP support in hdb
461  * login will get v4 tickets when it receives forwarded tickets
463  * xnlock supports both v5 and v4
465  * repair source routing for telnet
467  * fix building problems with krb4 (krb_mk_req)
469  * bug fixes
471 Changes in release 0.2r:
473  * fix realloc memory corruption bug in kdc
475  * `add --key' and `cpw --key' in kadmin
477  * klist supports listing v4 tickets
479  * update config.guess and config.sub
481  * make v4 -> v5 principal name conversion more robust
483  * support for anonymous tickets
485  * new man-pages
487  * telnetd: do not negotiate KERBEROS5 authentication if there's no keytab.
489  * use and set expiration and not password expiration when dumping
490    to/from ka server databases / krb4 databases
492  * make the code happier with 64-bit time_t
494  * follow RFC2782 and by default do not look for non-underscore SRV names
496 Changes in release 0.2q:
498  * bug fix in tcp-handling in kdc
500  * bug fix in expand_hostname
502 Changes in release 0.2p:
504  * bug fix in `kadmin load/merge'
506  * bug fix in krb5_parse_address
508 Changes in release 0.2o:
510  * gss_{import,export}_sec_context added to libgssapi
512  * new option --addresses to kdc (for listening on an explicit set of
513    addresses)
515  * bug fixes in the krb4 and kaserver emulation part of the kdc
517  * other bug fixes
519 Changes in release 0.2n:
521  * more robust parsing of dump files in kadmin
522  * changed default timestamp format for log messages to extended ISO
523    8601 format (Y-M-DTH:M:S)
524  * changed md4/md5/sha1 APIes to be de-facto `standard'
525  * always make hostname into lower-case before creating principal
526  * small bits of more MIT-compatability
527  * bug fixes
529 Changes in release 0.2m:
531  * handle glibc's getaddrinfo() that returns several ai_canonname
533  * new endian test
535  * man pages fixes
537 Changes in release 0.2l:
539  * bug fixes
541 Changes in release 0.2k:
543  * better IPv6 test
545  * make struct sockaddr_storage in roken work better on alphas
547  * some missing [hn]to[hn]s fixed.
549  * allow users to change their own passwords with kadmin (with initial
550    tickets)
552  * fix stupid bug in parsing KDC specification
554  * add `ktutil change' and `ktutil purge'
556 Changes in release 0.2j:
558  * builds on Irix
560  * ftpd works in passive mode
562  * should build on cygwin
564  * work around broken IPv6-code on OpenBSD 2.6, also add configure
565    option --disable-ipv6
567 Changes in release 0.2i:
569  * use getaddrinfo in the missing places.
571  * fix SRV lookup for admin server
573  * use get{addr,name}info everywhere.  and implement it in terms of
574    getipnodeby{name,addr} (which uses gethostbyname{,2} and
575    gethostbyaddr)
577 Changes in release 0.2h:
579  * fix typo in kx (now compiles)
581 Changes in release 0.2g:
583  * lots of bug fixes:
584    * push works
585    * repair appl/test programs
586    * sockaddr_storage works on solaris (alignment issues)
587    * works better with non-roken getaddrinfo
588    * rsh works
589    * some non standard C constructs removed
591 Changes in release 0.2f:
593  * support SRV records for kpasswd
594  * look for both _kerberos and krb5-realm when doing host -> realm mapping
596 Changes in release 0.2e:
598  * changed copyright notices to remove `advertising'-clause.
599  * get{addr,name}info added to roken and used in the other code
600    (this makes things work much better with hosts with both v4 and v6
601     addresses, among other things)
602  * do pre-auth for both password and key-based get_in_tkt
603  * support for having several databases
604  * new command `del_enctype' in kadmin
605  * strptime (and new strftime) add to roken
606  * more paranoia about finding libdb
607  * bug fixes
609 Changes in release 0.2d:
611  * new configuration option [libdefaults]default_etypes_des
612  * internal ls in ftpd builds without KRB4
613  * kx/rsh/push/pop_debug tries v5 and v4 consistenly
614  * build bug fixes
615  * other bug fixes
617 Changes in release 0.2c:
619  * bug fixes (see ChangeLog's for details)
621 Changes in release 0.2b:
623  * bug fixes
624  * actually bump shared library versions
626 Changes in release 0.2a:
628  * a new program verify_krb5_conf for checking your /etc/krb5.conf
629  * add 3DES keys when changing password
630  * support null keys in database
631  * support multiple local realms
632  * implement a keytab backend for AFS KeyFile's
633  * implement a keytab backend for v4 srvtabs
634  * implement `ktutil copy'
635  * support password quality control in v4 kadmind
636  * improvements in v4 compat kadmind
637  * handle the case of having the correct cred in the ccache but with
638    the wrong encryption type better
639  * v6-ify the remaining programs.
640  * internal ls in ftpd
641  * rename strcpy_truncate/strcat_truncate to strlcpy/strlcat
642  * add `ank --random-password' and `cpw --random-password' in kadmin
643  * some programs and documentation for trying to talk to a W2K KDC
644  * bug fixes
646 Changes in release 0.1m:
648  * support for getting default from krb5.conf for kinit/kf/rsh/telnet.
649    From Miroslav Ruda <ruda@ics.muni.cz>
650  * v6-ify hprop and hpropd
651  * support numeric addresses in krb5_mk_req
652  * shadow support in login and su. From Miroslav Ruda <ruda@ics.muni.cz>
653  * make rsh/rshd IPv6-aware
654  * make the gssapi sample applications better at reporting errors
655  * lots of bug fixes
656  * handle systems with v6-aware libc and non-v6 kernels (like Linux
657    with glibc 2.1) better
658  * hide failure of ERPT in ftp
659  * lots of bug fixes
661 Changes in release 0.1l:
663  * make ftp and ftpd IPv6-aware
664  * add inet_pton to roken
665  * more IPv6-awareness
666  * make mini_inetd v6 aware
668 Changes in release 0.1k:
670  * bump shared libraries versions
671  * add roken version of inet_ntop
672  * merge more changes to rshd
674 Changes in release 0.1j:
676  * restore back to the `old' 3DES code.  This was supposed to be done
677    in 0.1h and 0.1i but I did a CVS screw-up.
678  * make telnetd handle v6 connections
680 Changes in release 0.1i:
682  * start using `struct sockaddr_storage' which simplifies the code
683    (with a fallback definition if it's not defined)
684  * bug fixes (including in hprop and kf)
685  * don't use mawk which seems to mishandle roken.awk
686  * get_addrs should be able to handle v6 addresses on Linux (with the
687    required patch to the Linux kernel -- ask within)
688  * rshd builds with shadow passwords
690 Changes in release 0.1h:
692  * kf: new program for forwarding credentials
693  * portability fixes
694  * make forwarding credentials work with MIT code
695  * better conversion of ka database
696  * add etc/services.append
697  * correct `modified by' from kpasswdd
698  * lots of bug fixes
700 Changes in release 0.1g:
702  * kgetcred: new program for explicitly obtaining tickets
703  * configure fixes
704  * krb5-aware kx
705  * bug fixes
707 Changes in release 0.1f;
709  * experimental support for v4 kadmin protokoll in kadmind
710  * bug fixes
712 Changes in release 0.1e:
714  * try to handle old DCE and MIT kdcs
715  * support for older versions of credential cache files and keytabs
716  * postdated tickets work
717  * support for password quality checks in kpasswdd
718  * new flag --enable-kaserver for kdc
719  * renew fixes
720  * prototype su program
721  * updated (some) manpages
722  * support for KDC resource records
723  * should build with --without-krb4
724  * bug fixes
726 Changes in release 0.1d:
728  * Support building with DB2 (uses 1.85-compat API)
729  * Support krb5-realm.DOMAIN in DNS
730  * new `ktutil srvcreate'
731  * v4/kafs support in klist/kdestroy
732  * bug fixes
734 Changes in release 0.1c:
736  * fix ASN.1 encoding of signed integers
737  * somewhat working `ktutil get'
738  * some documentation updates
739  * update to Autoconf 2.13 and Automake 1.4
740  * the usual bug fixes
742 Changes in release 0.1b:
744  * some old -> new crypto conversion utils
745  * bug fixes
747 Changes in release 0.1a:
749  * new crypto code
750  * more bug fixes
751  * make sure we ask for DES keys in gssapi
752  * support signed ints in ASN1
753  * IPv6-bug fixes
755 Changes in release 0.0u:
757  * lots of bug fixes
759 Changes in release 0.0t:
761  * more robust parsing of krb5.conf
762  * include net{read,write} in lib/roken
763  * bug fixes
765 Changes in release 0.0s:
767  * kludges for parsing options to rsh
768  * more robust parsing of krb5.conf
769  * removed some arbitrary limits
770  * bug fixes
772 Changes in release 0.0r:
774  * default options for some programs
775  * bug fixes
777 Changes in release 0.0q:
779  * support for building shared libraries with libtool
780  * bug fixes
782 Changes in release 0.0p:
784  * keytab moved to /etc/krb5.keytab
785  * avoid false detection of IPv6 on Linux
786  * Lots of more functionality in the gssapi-library
787  * hprop can now read ka-server databases
788  * bug fixes
790 Changes in release 0.0o:
792  * FTP with GSSAPI support.
793  * Bug fixes.
795 Changes in release 0.0n:
797  * Incremental database propagation.
798  * Somewhat improved kadmin ui; the stuff in admin is now removed.
799  * Some support for using enctypes instead of keytypes.
800  * Lots of other improvement and bug fixes, see ChangeLog for details.