roken: getuserinfo WIN32 fix username string termination
[heimdal.git] / NEWS
blob79efe803a78fd52271ba53814232d867e026939b
1 Release Notes - Heimdal - Version Heimdal 7.3
3  Security
5  - Fix transit path validation.  Commit f469fc6 (2010-10-02) inadvertently
6    caused the previous hop realm to not be added to the transit path
7    of issued tickets.  This may, in some cases, enable bypass of capath
8    policy in Heimdal versions 1.5 through 7.2.
10    Note, this may break sites that rely on the bug.  With the bug some
11    incomplete [capaths] worked, that should not have.  These may now break
12    authentication in some cross-realm configurations.
13    (CVE-2017-6594)
15 Release Notes - Heimdal - Version Heimdal 7.2
17  Bug fixes
18  - Portability improvements
19  - More strict parsing of encoded URI components in HTTP KDC
20  - Fixed memory leak in malloc error recovery in NTLM GSSAPI mechanism
21  - Avoid overly specific CPU info in krb5-config in aid of reproducible builds
22  - Don't do AFS string-to-key tests when feature is disabled
23  - Skip mdb_stat test when the command is not available
24  - Windows: update SHA2 timestamp server
25  - hdb: add missing export hdb_generate_key_set_password_with_ks_tuple
26  - Fix signature of hdb_generate_key_set_password()
27  - Windows: enable KX509 support in the KDC
28  - kdc: fix kx509 service principal match
29  - iprop: handle case where master sends nothing new
30  - ipropd-slave: fix incorrect error codes
31  - Allow choice of sqlite for HDB pref
32  - check-iprop: don't fail to kill daemons
33  - roken: pidfile -> rk_pidfile
34  - kdc: _kdc_do_kx509 fix use after free error
35  - Do not detect x32 as 64-bit platform.
36  - No sys/ttydefaults.h on CYGWIN
37  - Fix check-iprop races
38  - roken_detach_prep() close pipe
40 Release Notes - Heimdal - Version Heimdal 7.1
42  Security
44  - kx509 realm-chopping security bug
45  - non-authorization of alias additions/removals in kadmind
46    (CVE-2016-2400)
48  Feature
50  - iprop has been revamped to fix a number of race conditions that could
51    lead to inconsistent replication
52  - Hierarchical capath support
53  - AES Encryption with HMAC-SHA2 for Kerberos 5
54    draft-ietf-kitten-aes-cts-hmac-sha2-11
55  - hcrypto is now thread safe on all platforms
56  - libhcrypto has new backends: CNG (Windows), PKCS#11 (mainly for
57    Solaris), and OpenSSL.  OpenSSL is now a first-class libhcrypto backend.
58    OpenSSL 1.0.x and 1.1 are both supported. AES-NI used when supported by
59    backend
60  - HDB now supports LMDB
61  - Thread support on Windows
62  - RFC 6113  Generalized Framework for Kerberos Pre-Authentication (FAST)
63  - New GSS APIs:
64    . gss_localname
65  - Allow setting what encryption types a principal should have with
66    [kadmin] default_key_rules, see krb5.conf manpage for more info
67  - Unify libhcrypto with LTC (libtomcrypto)
68  - asn1_compile 64-bit INTEGER functionality
69  - HDB key history support including --keepold kadmin password option
70  - Improved cross-realm key rollover safety
71  - New krb5_kuserok() and krb5_aname_to_localname() plug-in interfaces
72  - Improved MIT compatibility
73    . kadm5 API
74    . Migration from MIT KDB via "mitdb" HDB backend
75    . Capable of writing the HDB in MIT dump format
76  - Improved Active Directory interoperability
77    . Enctype selection issues for PAC and other authz-data signatures
78    . Cross realm key rollover (kvno 0)
79  - New [kdc] enctype negotiation configuration:
80    . tgt-use-strongest-session-key
81    . svc-use-strongest-session-key
82    . preauth-use-strongest-session-key
83    . use-strongest-server-key
84  - The KDC process now uses a multi-process model improving
85    resiliency and performance
86  - Allow batch-mode kinit with password file
87  - SIGINFO support added to kinit cmd
88  - New kx509 configuration options:
89    . kx509_ca
90    . kca_service
91    . kx509_include_pkinit_san
92    . kx509_template
93  - Improved Heimdal library/plugin version safety
94  - Name canonicalization
95    . DNS resolver searchlist
96    . Improved referral support
97    . Support host:port host-based services
98  - Pluggable libheimbase interface for DBs
99  - Improve IPv6 Support
100  - LDAP
101    . Bind DN and password
102    . Start TLS
103  - klist --json
104  - DIR credential cache type
105  - Updated upstream SQLite and libedit
106  - Removed legacy applications: ftp, kx, login, popper, push, rcp, rsh,
107    telnet, xnlock
108  - Completely remove RAND_egd support
109  - Moved kadmin and ktutil to /usr/bin
110  - Stricter fcache checks (see fcache_strict_checking krb5.conf setting)
111     . use O_NOFOLLOW
112     . don't follow symlinks
113     . require cache files to be owned by the user
114     . require sensible permissions (not group/other readable)
115  - Implemented gss_store_cred()
116  - Many more
118  Bug fixes
119  - iprop has been revamped to fix a number of race conditions that could
120    lead to data loss
121  - Include non-loopback addresses assigned to loopback interfaces
122    when requesting tickets with addresses
123  - KDC 1DES session key selection (for AFS rxkad-k5 compatibility)
124  - Keytab file descriptor and lock leak
125  - Credential cache corruption bugs
126    (NOTE: The FILE ccache is still not entirely safe due to the
127    fundamentally unsafe design of POSIX file locking)
128  - gss_pseudo_random() interop bug
129  - Plugins are now preferentially loaded from the run-time install tree
130  - Reauthentication after password change in init_creds_password
131  - Memory leak in the client kadmin library
132  - TGS client requests renewable/forwardable/proxiable when possible
133  - Locking issues in DB1 and DB3 HDB backends
134  - Master HDB can remain locked while waiting for network I/O
135  - Renewal/refresh logic when kinit is provided with a command
136  - KDC handling of enterprise principals
137  - Use correct bit for anon-pkinit
138  - Many more
140  Acknowledgements
142  This release of Heimdal includes contributions from:
144     Abhinav Upadhyay        Heath Kehoe             Nico Williams
145     Andreas Schneider       Henry Jacques           Patrik Lundin
146     Andrew Bartlett         Howard Chu              Philip Boulain
147     Andrew Tridgell         Igor Sobrado            Ragnar Sundblad
148     Antoine Jacoutot        Ingo Schwarze           Remi Ferrand
149     Arran Cudbard-Bell      Jakub Čajka             Rod Widdowson
150     Arvid Requate           James Le Cuirot         Rok Papež
151     Asanka Herath           James Lee               Roland C. Dowdeswell
152     Ben Kaduk               Jeffrey Altman          Ross L Richardson
153     Benjamin Kaduk          Jeffrey Clark           Russ Allbery
154     Bernard Spil            Jeffrey Hutzelman       Samuel Cabrero
155     Brian May               Jelmer Vernooij         Samuel Thibault
156     Chas Williams           Ken Dreyer              Santosh Kumar Pradhan
157     Chaskiel Grundman       Kiran S J               Sean Davis
158     Dana Koch               Kumar Thangavelu        Sergio Gelato
159     Daniel Schepler         Landon Fuller           Simon Wilkinson
160     David Mulder            Linus Nordberg          Stef Walter
161     Douglas Bagnall         Love Hörnquist Åstrand  Stefan Metzmacher
162     Ed Maste                Luke Howard             Steffen Jaeckel
163     Eray Aslan              Magnus Ahltorp          Timothy Pearson
164     Florian Best            Marc Balmer             Tollef Fog Heen
165     Fredrik Pettai          Marcin Cieślak          Tony Acero
166     Greg Hudson             Marco Molteni           Uri Simchoni
167     Gustavo Zacarias        Matthieu Hautreux       Viktor Dukhovni
168     Günther Deschner        Michael Meffie          Volker Lendecke
169     Harald Barth            Moritz Lenz
171 Release Notes - Heimdal - Version Heimdal 1.5.3
173  Bug fixes
174  - Fix leaking file descriptors in KDC
175  - Better socket/timeout handling in libkrb5
176  - General bug fixes
177  - Build fixes
179 Release Notes - Heimdal - Version Heimdal 1.5.2
181  Security fixes
182  - CVE-2011-4862 Buffer overflow in libtelnet/encrypt.c in telnetd - escalation of privilege
183  - Check that key types strictly match - denial of service
185 Release Notes - Heimdal - Version Heimdal 1.5.1
187  Bug fixes
188  - Fix building on Solaris, requires c99
189  - Fix building on Windows
190  - Build system updates
192 Release Notes - Heimdal - Version Heimdal 1.5
194 New features
196  - Support GSS name extensions/attributes
197  - SHA512 support
198  - No Kerberos 4 support
199  - Basic support for MIT Admin protocol (SECGSS flavor)
200    in kadmind (extract keytab)
201  - Replace editline with libedit
203 Release Notes - Heimdal - Version Heimdal 1.4
205  New features
207  - Support for reading MIT database file directly
208  - KCM is polished up and now used in production
209  - NTLM first class citizen, credentials stored in KCM
210  - Table driven ASN.1 compiler, smaller!, not enabled by default
211  - Native Windows client support
213 Notes
215  - Disabled write support NDBM hdb backend (read still in there) since
216    it can't handle large records, please migrate to a diffrent backend
217    (like BDB4)
219 Release Notes - Heimdal - Version Heimdal 1.3.3
221  Bug fixes
222  - Check the GSS-API checksum exists before trying to use it [CVE-2010-1321]
223  - Check NULL pointers before dereference them [kdc]
225 Release Notes - Heimdal - Version Heimdal 1.3.2
227  Bug fixes
229  - Don't mix length when clearing hmac (could memset too much)
230  - More paranoid underrun checking when decrypting packets
231  - Check the password change requests and refuse to answer empty packets
232  - Build on OpenSolaris 
233  - Renumber AD-SIGNED-TICKET since it was stolen from US
234  - Don't cache /dev/*random file descriptor, it doesn't get unloaded
235  - Make C++ safe
236  - Misc warnings
238 Release Notes - Heimdal - Version Heimdal 1.3.1
240  Bug fixes
242  - Store KDC offset in credentials
243  - Many many more bug fixes
245 Release Notes - Heimdal - Version Heimdal 1.3.1
247  New features
249  - Make work with OpenLDAPs krb5 overlay
251 Release Notes - Heimdal - Version Heimdal 1.3
253  New features
255  - Partial support for MIT kadmind rpc protocol in kadmind
256  - Better support for finding keytab entries when using SPN aliases in the KDC
257  - Support BER in ASN.1 library (needed for CMS)
258  - Support decryption in Keychain private keys
259  - Support for new sqlite based credential cache
260  - Try both KDC referals and the common DNS reverse lookup in GSS-API
261  - Fix the KCM to not leak resources on failure
262  - Add IPv6 support to iprop
263  - Support localization of error strings in
264    kinit/klist/kdestroy and Kerberos library
265  - Remove Kerberos 4 support in application (still in KDC)
266  - Deprecate DES
267  - Support i18n password in windows domains (using UTF-8)
268  - More complete API emulation of OpenSSL in hcrypto
269  - Support for ECDSA and ECDH when linking with OpenSSL
271  API changes
273  - Support for settin friendly name on credential caches
274  - Move to using doxygen to generate documentation.
275  - Sprinkling __attribute__((__deprecated__)) for old function to be removed
276  - Support to export LAST-REQUST information in AS-REQ
277  - Support for client deferrals in in AS-REQ
278  - Add seek support for krb5_storage.
279  - Support for split AS-REQ, first step for IA-KERB
280  - Fix many memory leaks and bugs
281  - Improved regression test
282  - Support krb5_cccol
283  - Switch to krb5_set_error_message
284  - Support krb5_crypto_*_iov    
285  - Switch to use EVP for most function
286  - Use SOCK_CLOEXEC and O_CLOEXEC (close on exec)
287  - Add support for GSS_C_DELEG_POLICY_FLAG
288  - Add krb5_cc_[gs]et_config to store data in the credential caches
289  - PTY testing application
291 Bugfixes
292  - Make building on AIX6 possible.
293  - Bugfixes in LDAP KDC code to make it more stable
294  - Make ipropd-slave reconnect when master down gown
297 Release Notes - Heimdal - Version Heimdal 1.2.1
299 * Bug
301   [HEIMDAL-147] - Heimdal 1.2 not compiling on Solaris
302   [HEIMDAL-151] - Make canned tests work again after cert expired
303   [HEIMDAL-152] - iprop test: use full hostname to avoid realm
304                   resolving errors
305   [HEIMDAL-153] - ftp: Use the correct length for unmap, msync
307 Release Notes - Heimdal - Version Heimdal 1.2
309 * Bug
311   [HEIMDAL-10] - Follow-up on bug report for SEGFAULT in
312                  gss_display_name/gss_export_name when using SPNEGO
313   [HEIMDAL-15] - Re: [Heimdal-bugs] potential bug in Heimdal 1.1
314   [HEIMDAL-17] - Remove support for depricated [libdefaults]capath
315   [HEIMDAL-52] - hdb overwrite aliases for db databases
316   [HEIMDAL-54] - Two issues which affect credentials delegation
317   [HEIMDAL-58] - sockbuf.c calls setsockopt with bad args
318   [HEIMDAL-62] - Fix printing of sig_atomic_t
319   [HEIMDAL-87] - heimdal 1.1 not building under cygwin in hcrypto
320   [HEIMDAL-105] - rcp: sync rcp with upstream bsd rcp codebase
321   [HEIMDAL-117] - Use libtool to detect symbol versioning (Debian Bug#453241)
323 * Improvement
324   [HEIMDAL-67] - Fix locking and store credential in atomic writes
325                  in the FILE credential cache
326   [HEIMDAL-106] - make compile on cygwin again
327   [HEIMDAL-107] - Replace old random key generation in des module
328                   and use it with RAND_ function instead
329   [HEIMDAL-115] - Better documentation and compatibility in hcrypto
330                   in regards to OpenSSL
332 * New Feature
333   [HEIMDAL-3] - pkinit alg agility PRF test vectors
334   [HEIMDAL-14] - Add libwind to Heimdal
335   [HEIMDAL-16] - Use libwind in hx509
336   [HEIMDAL-55] - Add flag to krb5 to not add GSS-API INT|CONF to
337                  the negotiation
338   [HEIMDAL-74] - Add support to report extended error message back
339                  in AS-REQ to support windows clients
340   [HEIMDAL-116] - test pty based application (using rkpty)
341   [HEIMDAL-120] - Use new OpenLDAP API (older deprecated)
343 * Task
344   [HEIMDAL-63] - Dont try key usage KRB5_KU_AP_REQ_AUTH for TGS-REQ.
345                  This drop compatibility with pre 0.3d KDCs.
346   [HEIMDAL-64] - kcm: first implementation of kcm-move-cache
347   [HEIMDAL-65] - Failed to compile with --disable-pk-init
348   [HEIMDAL-80] - verify that [VU#162289]: gcc silently discards some
349                  wraparound checks doesn't apply to Heimdal
351 Changes in release 1.1
353  * Read-only PKCS11 provider built-in to hx509.
355  * Documentation for hx509, hcrypto and ntlm libraries improved.
357  * Better compatibilty with Windows 2008 Server pre-releases and Vista.
359  * Mac OS X 10.5 support for native credential cache.
361  * Provide pkg-config file for Heimdal (heimdal-gssapi.pc).
363  * Bug fixes.
365 Changes in release 1.0.2
367 * Ubuntu packages.
369 * Bug fixes.
371 Changes in release 1.0.1
373  * Serveral bug fixes to iprop.
375  * Make work on platforms without dlopen.
377  * Add RFC3526 modp group14 as default.
379  * Handle [kdc] database = { } entries without realm = stanzas.
381  * Make krb5_get_renewed_creds work.
383  * Make kaserver preauth work again.
385  * Bug fixes.
387 Changes in release 1.0
389  * Add gss_pseudo_random() for mechglue and krb5.
391  * Make session key for the krbtgt be selected by the best encryption
392    type of the client.
394  * Better interoperability with other PK-INIT implementations.
396  * Inital support for Mac OS X Keychain for hx509.
398  * Alias support for inital ticket requests.
400  * Add symbol versioning to selected libraries on platforms that uses
401    GNU link editor: gssapi, hcrypto, heimntlm, hx509, krb5, and libkdc.
403  * New version of imath included in hcrypto.
405  * Fix memory leaks.
407  * Bugs fixes.
409 Changes in release 0.8.1
411  * Make ASN.1 library less paranoid to with regard to NUL in string to
412    make it inter-operate with MIT Kerberos again.
414  * Make GSS-API library work again when using gss_acquire_cred
416  * Add symbol versioning to libgssapi when using GNU ld.
418  * Fix memory leaks 
420  * Bugs fixes
422 Changes in release 0.8
424  * PK-INIT support.
426  * HDB extensions support, used by PK-INIT.
428  * New ASN.1 compiler.
430  * GSS-API mechglue from FreeBSD.
432  * Updated SPNEGO to support RFC4178.
434  * Support for Cryptosystem Negotiation Extension (RFC 4537).
436  * A new X.509 library (hx509) and related crypto functions.
438  * A new ntlm library (heimntlm) and related crypto functions.
440  * Updated the built-in crypto library with bignum support using
441    imath, support for RSA and DH and renamed it to libhcrypto.
443  * Subsystem in the KDC, digest, that will perform the digest
444    operation in the KDC, currently supports: CHAP, MS-CHAP-V2, SASL
445    DIGEST-MD5 NTLMv1 and NTLMv2.
447  * KDC will return the "response too big" error to force TCP retries
448    for large (default 1400 bytes) UDP replies.  This is common for
449    PK-INIT requests.
451  * Libkafs defaults to use 2b tokens.
453  * Default to use the API cache on Mac OS X.
455  * krb5_kuserok() also checks ~/.k5login.d directory for acl files,
456    see manpage for krb5_kuserok for description.
458  * Many, many, other updates to code and info manual and manual pages.
460  * Bug fixes
462 Changes in release 0.7.2
464 * Fix security problem in rshd that enable an attacker to overwrite
465   and change ownership of any file that root could write.
467 * Fix a DOS in telnetd. The attacker could force the server to crash
468   in a NULL de-reference before the user logged in, resulting in inetd
469   turning telnetd off because it forked too fast.
471 * Make gss_acquire_cred(GSS_C_ACCEPT) check that the requested name
472   exists in the keytab before returning success. This allows servers
473   to check if its even possible to use GSSAPI.
475 * Fix receiving end of token delegation for GSS-API. It still wrongly
476   uses subkey for sending for compatibility reasons, this will change
477   in 0.8.
479 * telnetd, login and rshd are now more verbose in logging failed and
480   successful logins.
482 * Bug fixes
484 Changes in release 0.7.1
486 * Bug fixes
488 Changes in release 0.7
490  * Support for KCM, a process based credential cache
492  * Support CCAPI credential cache
494  * SPNEGO support
496  * AES (and the gssapi conterpart, CFX) support
498  * Adding new and improve old documentation
500  * Bug fixes
502 Changes in release 0.6.6
504 * Fix security problem in rshd that enable an attacker to overwrite
505   and change ownership of any file that root could write.
507 * Fix a DOS in telnetd. The attacker could force the server to crash
508   in a NULL de-reference before the user logged in, resulting in inetd
509   turning telnetd off because it forked too fast.
511 Changes in release 0.6.5
513  * fix vulnerabilities in telnetd
515  * unbreak Kerberos 4 and kaserver
517 Changes in release 0.6.4
519  * fix vulnerabilities in telnet
521  * rshd: encryption without a separate error socket should now work
523  * telnet now uses appdefaults for the encrypt and forward/forwardable
524    settings
526  * bug fixes
528 Changes in release 0.6.3
530  * fix vulnerabilities in ftpd
532  * support for linux AFS /proc "syscalls"
534  * support for RFC3244 (Windows 2000 Kerberos Change/Set Password) in
535    kpasswdd
537  * fix possible KDC denial of service
539  * bug fixes
541 Changes in release 0.6.2
543  * Fix possible buffer overrun in v4 kadmin (which now defaults to off)
545 Changes in release 0.6.1
547  * Fixed ARCFOUR suppport
549  * Cross realm vulnerability
551  * kdc: fix denial of service attack
553  * kdc: stop clients from renewing tickets into the future
555  * bug fixes
556         
557 Changes in release 0.6
559 * The DES3 GSS-API mechanism has been changed to inter-operate with
560   other GSSAPI implementations. See man page for gssapi(3) how to turn
561   on generation of correct MIC messages. Next major release of heimdal 
562   will generate correct MIC by default.
564 * More complete GSS-API support
566 * Better AFS support: kdc (524) supports 2b; 524 in kdc and AFS
567   support in applications no longer requires Kerberos 4 libs
569 * Kerberos 4 support in kdc defaults to turned off (includes ka and 524)
571 * other bug fixes
573 Changes in release 0.5.2
575  * kdc: add option for disabling v4 cross-realm (defaults to off)
577  * bug fixes
579 Changes in release 0.5.1
581  * kadmind: fix remote exploit
583  * kadmind: add option to disable kerberos 4
585  * kdc: make sure kaserver token life is positive
587  * telnet: use the session key if there is no subkey
589  * fix EPSV parsing in ftp
591  * other bug fixes
593 Changes in release 0.5
595  * add --detach option to kdc
597  * allow setting forward and forwardable option in telnet from
598    .telnetrc, with override from command line
600  * accept addresses with or without ports in krb5_rd_cred
602  * make it work with modern openssl
604  * use our own string2key function even with openssl (that handles weak
605    keys incorrectly)
607  * more system-specific requirements in login
609  * do not use getlogin() to determine root in su
611  * telnet: abort if telnetd does not support encryption
613  * update autoconf to 2.53
615  * update config.guess, config.sub
617  * other bug fixes
619 Changes in release 0.4e
621  * improve libcrypto and database autoconf tests
623  * do not care about salting of server principals when serving v4 requests
625  * some improvements to gssapi library
627  * test for existing compile_et/libcom_err
629  * portability fixes
631  * bug fixes
633 Changes in release 0.4d
635  * fix some problems when using libcrypto from openssl
637  * handle /dev/ptmx `unix98' ptys on Linux
639  * add some forgotten man pages
641  * rsh: clean-up and add man page
643  * fix -A and -a in builtin-ls in tpd
645  * fix building problem on Irix
647  * make `ktutil get' more efficient
649  * bug fixes
651 Changes in release 0.4c
653  * fix buffer overrun in telnetd
655  * repair some of the v4 fallback code in kinit
657  * add more shared library dependencies
659  * simplify and fix hprop handling of v4 databases
661  * fix some building problems (osf's sia and osfc2 login)
663  * bug fixes
665 Changes in release 0.4b
667  * update the shared library version numbers correctly
669 Changes in release 0.4a
671  * corrected key used for checksum in mk_safe, unfortunately this
672    makes it backwards incompatible
674  * update to autoconf 2.50, libtool 1.4
676  * re-write dns/config lookups (krb5_krbhst API)
678  * make order of using subkeys consistent
680  * add man page links
682  * add more man pages
684  * remove rfc2052 support, now only rfc2782 is supported
686  * always build with kaserver protocol support in the KDC (assuming
687    KRB4 is enabled) and support for reading kaserver databases in
688    hprop
690 Changes in release 0.3f
692  * change default keytab to ANY:FILE:/etc/krb5.keytab,krb4:/etc/srvtab,
693    the new keytab type that tries both of these in order (SRVTAB is
694    also an alias for krb4:)
696  * improve error reporting and error handling (error messages should
697    be more detailed and more useful)
699  * improve building with openssl
701  * add kadmin -K, rcp -F 
703  * fix two incorrect weak DES keys
705  * fix building of kaserver compat in KDC
707  * the API is closer to what MIT krb5 is using
709  * more compatible with windows 2000
711  * removed some memory leaks
713  * bug fixes
715 Changes in release 0.3e
717  * rcp program included
719  * fix buffer overrun in ftpd
721  * handle omitted sequence numbers as zeroes to handle MIT krb5 that
722    cannot generate zero sequence numbers
724  * handle v4 /.k files better
726  * configure/portability fixes
728  * fixes in parsing of options to kadmin (sub-)commands
730  * handle errors in kadmin load better
732  * bug fixes
734 Changes in release 0.3d
736  * add krb5-config
738  * fix a bug in 3des gss-api mechanism, making it compatible with the
739    specification and the MIT implementation
741  * make telnetd only allow a specific list of environment variables to
742    stop it from setting `sensitive' variables
744  * try to use an existing libdes
746  * lib/krb5, kdc: use correct usage type for ap-req messages.  This
747    should improve compatability with MIT krb5 when using 3DES
748    encryption types
750  * kdc: fix memory allocation problem
752  * update config.guess and config.sub
754  * lib/roken: more stuff implemented
756  * bug fixes and portability enhancements
758 Changes in release 0.3c
760  * lib/krb5: memory caches now support the resolve operation
762  * appl/login: set PATH to some sane default
764  * kadmind: handle several realms
766  * bug fixes (including memory leaks)
768 Changes in release 0.3b
770  * kdc: prefer default-salted keys on v5 requests
772  * kdc: lowercase hostnames in v4 mode
774  * hprop: handle more types of MIT salts
776  * lib/krb5: fix memory leak
778  * bug fixes
780 Changes in release 0.3a:
782  * implement arcfour-hmac-md5 to interoperate with W2K
784  * modularise the handling of the master key, and allow for other
785    encryption types. This makes it easier to import a database from
786    some other source without having to re-encrypt all keys.
788  * allow for better control over which encryption types are created
790  * make kinit fallback to v4 if given a v4 KDC
792  * make klist work better with v4 and v5, and add some more MIT
793    compatibility options
795  * make the kdc listen on the krb524 (4444) port for compatibility
796    with MIT krb5 clients
798  * implement more DCE/DFS support, enabled with --enable-dce, see
799    lib/kdfs and appl/dceutils
801  * make the sequence numbers work correctly
803  * bug fixes
805 Changes in release 0.2t:
807  * bug fixes
809 Changes in release 0.2s:
811  * add OpenLDAP support in hdb
813  * login will get v4 tickets when it receives forwarded tickets
815  * xnlock supports both v5 and v4
817  * repair source routing for telnet
819  * fix building problems with krb4 (krb_mk_req)
821  * bug fixes
823 Changes in release 0.2r:
825  * fix realloc memory corruption bug in kdc
827  * `add --key' and `cpw --key' in kadmin
829  * klist supports listing v4 tickets
831  * update config.guess and config.sub
833  * make v4 -> v5 principal name conversion more robust
835  * support for anonymous tickets
837  * new man-pages
839  * telnetd: do not negotiate KERBEROS5 authentication if there's no keytab.
841  * use and set expiration and not password expiration when dumping
842    to/from ka server databases / krb4 databases
844  * make the code happier with 64-bit time_t
846  * follow RFC2782 and by default do not look for non-underscore SRV names
848 Changes in release 0.2q:
850  * bug fix in tcp-handling in kdc
852  * bug fix in expand_hostname
854 Changes in release 0.2p:
856  * bug fix in `kadmin load/merge'
858  * bug fix in krb5_parse_address
860 Changes in release 0.2o:
862  * gss_{import,export}_sec_context added to libgssapi
864  * new option --addresses to kdc (for listening on an explicit set of
865    addresses)
867  * bug fixes in the krb4 and kaserver emulation part of the kdc
869  * other bug fixes
871 Changes in release 0.2n:
873  * more robust parsing of dump files in kadmin
874  * changed default timestamp format for log messages to extended ISO
875    8601 format (Y-M-DTH:M:S)
876  * changed md4/md5/sha1 APIes to be de-facto `standard'
877  * always make hostname into lower-case before creating principal
878  * small bits of more MIT-compatability
879  * bug fixes
881 Changes in release 0.2m:
883  * handle glibc's getaddrinfo() that returns several ai_canonname
885  * new endian test
887  * man pages fixes
889 Changes in release 0.2l:
891  * bug fixes
893 Changes in release 0.2k:
895  * better IPv6 test
897  * make struct sockaddr_storage in roken work better on alphas
899  * some missing [hn]to[hn]s fixed.
901  * allow users to change their own passwords with kadmin (with initial
902    tickets)
904  * fix stupid bug in parsing KDC specification
906  * add `ktutil change' and `ktutil purge'
908 Changes in release 0.2j:
910  * builds on Irix
912  * ftpd works in passive mode
914  * should build on cygwin
916  * work around broken IPv6-code on OpenBSD 2.6, also add configure
917    option --disable-ipv6
919 Changes in release 0.2i:
921  * use getaddrinfo in the missing places.
923  * fix SRV lookup for admin server
925  * use get{addr,name}info everywhere.  and implement it in terms of
926    getipnodeby{name,addr} (which uses gethostbyname{,2} and
927    gethostbyaddr)
929 Changes in release 0.2h:
931  * fix typo in kx (now compiles)
933 Changes in release 0.2g:
935  * lots of bug fixes:
936    * push works
937    * repair appl/test programs
938    * sockaddr_storage works on solaris (alignment issues)
939    * works better with non-roken getaddrinfo
940    * rsh works
941    * some non standard C constructs removed
943 Changes in release 0.2f:
945  * support SRV records for kpasswd
946  * look for both _kerberos and krb5-realm when doing host -> realm mapping
948 Changes in release 0.2e:
950  * changed copyright notices to remove `advertising'-clause.
951  * get{addr,name}info added to roken and used in the other code
952    (this makes things work much better with hosts with both v4 and v6
953     addresses, among other things)
954  * do pre-auth for both password and key-based get_in_tkt
955  * support for having several databases
956  * new command `del_enctype' in kadmin
957  * strptime (and new strftime) add to roken
958  * more paranoia about finding libdb
959  * bug fixes
961 Changes in release 0.2d:
963  * new configuration option [libdefaults]default_etypes_des
964  * internal ls in ftpd builds without KRB4
965  * kx/rsh/push/pop_debug tries v5 and v4 consistenly
966  * build bug fixes
967  * other bug fixes
969 Changes in release 0.2c:
971  * bug fixes (see ChangeLog's for details)
973 Changes in release 0.2b:
975  * bug fixes
976  * actually bump shared library versions
978 Changes in release 0.2a:
980  * a new program verify_krb5_conf for checking your /etc/krb5.conf
981  * add 3DES keys when changing password
982  * support null keys in database
983  * support multiple local realms
984  * implement a keytab backend for AFS KeyFile's
985  * implement a keytab backend for v4 srvtabs
986  * implement `ktutil copy'
987  * support password quality control in v4 kadmind
988  * improvements in v4 compat kadmind
989  * handle the case of having the correct cred in the ccache but with
990    the wrong encryption type better
991  * v6-ify the remaining programs.
992  * internal ls in ftpd
993  * rename strcpy_truncate/strcat_truncate to strlcpy/strlcat
994  * add `ank --random-password' and `cpw --random-password' in kadmin
995  * some programs and documentation for trying to talk to a W2K KDC
996  * bug fixes
998 Changes in release 0.1m:
1000  * support for getting default from krb5.conf for kinit/kf/rsh/telnet.
1001    From Miroslav Ruda <ruda@ics.muni.cz>
1002  * v6-ify hprop and hpropd
1003  * support numeric addresses in krb5_mk_req
1004  * shadow support in login and su. From Miroslav Ruda <ruda@ics.muni.cz>
1005  * make rsh/rshd IPv6-aware
1006  * make the gssapi sample applications better at reporting errors
1007  * lots of bug fixes
1008  * handle systems with v6-aware libc and non-v6 kernels (like Linux
1009    with glibc 2.1) better
1010  * hide failure of ERPT in ftp
1011  * lots of bug fixes
1013 Changes in release 0.1l:
1015  * make ftp and ftpd IPv6-aware
1016  * add inet_pton to roken
1017  * more IPv6-awareness
1018  * make mini_inetd v6 aware
1020 Changes in release 0.1k:
1022  * bump shared libraries versions
1023  * add roken version of inet_ntop
1024  * merge more changes to rshd
1026 Changes in release 0.1j:
1028  * restore back to the `old' 3DES code.  This was supposed to be done
1029    in 0.1h and 0.1i but I did a CVS screw-up.
1030  * make telnetd handle v6 connections
1032 Changes in release 0.1i:
1034  * start using `struct sockaddr_storage' which simplifies the code
1035    (with a fallback definition if it's not defined)
1036  * bug fixes (including in hprop and kf)
1037  * don't use mawk which seems to mishandle roken.awk
1038  * get_addrs should be able to handle v6 addresses on Linux (with the
1039    required patch to the Linux kernel -- ask within)
1040  * rshd builds with shadow passwords
1042 Changes in release 0.1h:
1044  * kf: new program for forwarding credentials
1045  * portability fixes
1046  * make forwarding credentials work with MIT code
1047  * better conversion of ka database
1048  * add etc/services.append
1049  * correct `modified by' from kpasswdd
1050  * lots of bug fixes
1052 Changes in release 0.1g:
1054  * kgetcred: new program for explicitly obtaining tickets
1055  * configure fixes
1056  * krb5-aware kx
1057  * bug fixes
1059 Changes in release 0.1f;
1061  * experimental support for v4 kadmin protokoll in kadmind
1062  * bug fixes
1064 Changes in release 0.1e:
1066  * try to handle old DCE and MIT kdcs
1067  * support for older versions of credential cache files and keytabs
1068  * postdated tickets work
1069  * support for password quality checks in kpasswdd
1070  * new flag --enable-kaserver for kdc
1071  * renew fixes
1072  * prototype su program
1073  * updated (some) manpages
1074  * support for KDC resource records
1075  * should build with --without-krb4
1076  * bug fixes
1078 Changes in release 0.1d:
1080  * Support building with DB2 (uses 1.85-compat API)
1081  * Support krb5-realm.DOMAIN in DNS
1082  * new `ktutil srvcreate'
1083  * v4/kafs support in klist/kdestroy
1084  * bug fixes
1086 Changes in release 0.1c:
1088  * fix ASN.1 encoding of signed integers
1089  * somewhat working `ktutil get'
1090  * some documentation updates
1091  * update to Autoconf 2.13 and Automake 1.4
1092  * the usual bug fixes
1094 Changes in release 0.1b:
1096  * some old -> new crypto conversion utils
1097  * bug fixes
1099 Changes in release 0.1a:
1101  * new crypto code
1102  * more bug fixes
1103  * make sure we ask for DES keys in gssapi
1104  * support signed ints in ASN1
1105  * IPv6-bug fixes
1107 Changes in release 0.0u:
1109  * lots of bug fixes
1111 Changes in release 0.0t:
1113  * more robust parsing of krb5.conf
1114  * include net{read,write} in lib/roken
1115  * bug fixes
1117 Changes in release 0.0s:
1119  * kludges for parsing options to rsh
1120  * more robust parsing of krb5.conf
1121  * removed some arbitrary limits
1122  * bug fixes
1124 Changes in release 0.0r:
1126  * default options for some programs
1127  * bug fixes
1129 Changes in release 0.0q:
1131  * support for building shared libraries with libtool
1132  * bug fixes
1134 Changes in release 0.0p:
1136  * keytab moved to /etc/krb5.keytab
1137  * avoid false detection of IPv6 on Linux
1138  * Lots of more functionality in the gssapi-library
1139  * hprop can now read ka-server databases
1140  * bug fixes
1142 Changes in release 0.0o:
1144  * FTP with GSSAPI support.
1145  * Bug fixes.
1147 Changes in release 0.0n:
1149  * Incremental database propagation.
1150  * Somewhat improved kadmin ui; the stuff in admin is now removed.
1151  * Some support for using enctypes instead of keytypes.
1152  * Lots of other improvement and bug fixes, see ChangeLog for details.