4eaed6fecc11812b37730ce757ab8fb5b367a261
[oweals/openssl.git] / CHANGES
1
2  OpenSSL CHANGES
3  _______________
4
5  This is a high-level summary of the most important changes.
6  For a full list of changes, see the git commit log; for example,
7  https://github.com/openssl/openssl/commits/ and pick the appropriate
8  release branch.
9
10  Changes between 1.1.0g and 1.1.1 [xx XXX xxxx]
11
12   *) Added new public header file <openssl/rand_drbg.h> and documentation
13      for the RAND_DRBG API. See manual page RAND_DRBG(7) for an overview.
14      [Matthias St. Pierre]
15
16   *) QNX support removed (cannot find contributors to get their approval
17      for the license change).
18      [Rich Salz]
19
20   *) TLSv1.3 replay protection for early data has been implemented. See the
21      SSL_read_early_data() man page for further details.
22      [Matt Caswell]
23
24   *) Separated TLSv1.3 ciphersuite configuration out from TLSv1.2 ciphersuite
25      configuration. TLSv1.3 ciphersuites are not compatible with TLSv1.2 and
26      below. Similarly TLSv1.2 ciphersuites are not compatible with TLSv1.3.
27      In order to avoid issues where legacy TLSv1.2 ciphersuite configuration
28      would otherwise inadvertently disable all TLSv1.3 ciphersuites the
29      configuraton has been separated out. See the ciphers man page or the
30      SSL_CTX_set_ciphersuites() man page for more information.
31      [Matt Caswell]
32
33   *) On POSIX (BSD, Linux, ...) systems the ocsp(1) command running
34      in responder mode now supports the new "-multi" option, which
35      spawns the specified number of child processes to handle OCSP
36      requests.  The "-timeout" option now also limits the OCSP
37      responder's patience to wait to receive the full client request
38      on a newly accepted connection. Child processes are respawned
39      as needed, and the CA index file is automatically reloaded
40      when changed.  This makes it possible to run the "ocsp" responder
41      as a long-running service, making the OpenSSL CA somewhat more
42      feature-complete.  In this mode, most diagnostic messages logged
43      after entering the event loop are logged via syslog(3) rather than
44      written to stderr.
45      [Viktor Dukhovni]
46
47   *) Added support for X448 and Ed448. Heavily based on original work by
48      Mike Hamburg.
49      [Matt Caswell]
50
51   *) Extend OSSL_STORE with capabilities to search and to narrow the set of
52      objects loaded.  This adds the functions OSSL_STORE_expect() and
53      OSSL_STORE_find() as well as needed tools to construct searches and
54      get the search data out of them.
55      [Richard Levitte]
56
57   *) Support for TLSv1.3 added. Note that users upgrading from an earlier
58      version of OpenSSL should review their configuration settings to ensure
59      that they are still appropriate for TLSv1.3. For further information see:
60      https://www.openssl.org/blog/blog/2018/02/08/tlsv1.3/
61
62      NOTE: In this pre-release of OpenSSL a draft version of the
63      TLSv1.3 standard has been implemented. Implementations of different draft
64      versions of the standard do not inter-operate, and this version will not
65      inter-operate with an implementation of the final standard when it is
66      eventually published. Different pre-release versions may implement
67      different versions of the draft. The final version of OpenSSL 1.1.1 will
68      implement the final version of the standard.
69      TODO(TLS1.3): Remove the above note before final release
70      [Matt Caswell]
71
72   *) Grand redesign of the OpenSSL random generator
73
74      The default RAND method now utilizes an AES-CTR DRBG according to
75      NIST standard SP 800-90Ar1. The new random generator is essentially
76      a port of the default random generator from the OpenSSL FIPS 2.0
77      object module. It is a hybrid deterministic random bit generator
78      using an AES-CTR bit stream and which seeds and reseeds itself
79      automatically using trusted system entropy sources.
80
81      Some of its new features are:
82       o Support for multiple DRBG instances with seed chaining.
83       o Add a public DRBG instance for the default RAND method.
84       o Add a dedicated DRBG instance for generating long term private keys.
85       o Make the DRBG instances fork-safe.
86       o Keep all global DRBG instances on the secure heap if it is enabled.
87       o Add a DRBG instance to every SSL instance for lock free operation
88         and to increase unpredictability.
89      [Paul Dale, Benjamin Kaduk, Kurt Roeckx, Rich Salz, Matthias St. Pierre]
90
91   *) Changed Configure so it only says what it does and doesn't dump
92      so much data.  Instead, ./configdata.pm should be used as a script
93      to display all sorts of configuration data.
94      [Richard Levitte]
95
96   *) Added processing of "make variables" to Configure.
97      [Richard Levitte]
98
99   *) Added SHA512/224 and SHA512/256 algorithm support.
100      [Paul Dale]
101
102   *) The last traces of Netware support, first removed in 1.1.0, have
103      now been removed.
104      [Rich Salz]
105
106   *) Get rid of Makefile.shared, and in the process, make the processing
107      of certain files (rc.obj, or the .def/.map/.opt files produced from
108      the ordinal files) more visible and hopefully easier to trace and
109      debug (or make silent).
110      [Richard Levitte]
111
112   *) Make it possible to have environment variable assignments as
113      arguments to config / Configure.
114      [Richard Levitte]
115
116   *) Add multi-prime RSA (RFC 8017) support.
117      [Paul Yang]
118
119   *) Add SM3 implemented according to GB/T 32905-2016
120      [ Jack Lloyd <jack.lloyd@ribose.com>,
121        Ronald Tse <ronald.tse@ribose.com>,
122        Erick Borsboom <erick.borsboom@ribose.com> ]
123
124   *) Add 'Maximum Fragment Length' TLS extension negotiation and support
125      as documented in RFC6066.
126      Based on a patch from Tomasz Moń
127      [Filipe Raimundo da Silva]
128
129   *) Add SM4 implemented according to GB/T 32907-2016.
130      [ Jack Lloyd <jack.lloyd@ribose.com>,
131        Ronald Tse <ronald.tse@ribose.com>,
132        Erick Borsboom <erick.borsboom@ribose.com> ]
133
134   *) Reimplement -newreq-nodes and ERR_error_string_n; the
135      original author does not agree with the license change.
136      [Rich Salz]
137
138   *) Add ARIA AEAD TLS support.
139      [Jon Spillett]
140
141   *) Some macro definitions to support VS6 have been removed.  Visual
142      Studio 6 has not worked since 1.1.0
143      [Rich Salz]
144
145   *) Add ERR_clear_last_mark(), to allow callers to clear the last mark
146      without clearing the errors.
147      [Richard Levitte]
148
149   *) Add "atfork" functions.  If building on a system that without
150      pthreads, see doc/man3/OPENSSL_fork_prepare.pod for application
151      requirements.  The RAND facility now uses/requires this.
152      [Rich Salz]
153
154   *) Add SHA3.
155      [Andy Polyakov]
156
157   *) The UI API becomes a permanent and integral part of libcrypto, i.e.
158      not possible to disable entirely.  However, it's still possible to
159      disable the console reading UI method, UI_OpenSSL() (use UI_null()
160      as a fallback).
161
162      To disable, configure with 'no-ui-console'.  'no-ui' is still
163      possible to use as an alias.  Check at compile time with the
164      macro OPENSSL_NO_UI_CONSOLE.  The macro OPENSSL_NO_UI is still
165      possible to check and is an alias for OPENSSL_NO_UI_CONSOLE.
166      [Richard Levitte]
167
168   *) Add a STORE module, which implements a uniform and URI based reader of
169      stores that can contain keys, certificates, CRLs and numerous other
170      objects.  The main API is loosely based on a few stdio functions,
171      and includes OSSL_STORE_open, OSSL_STORE_load, OSSL_STORE_eof,
172      OSSL_STORE_error and OSSL_STORE_close.
173      The implementation uses backends called "loaders" to implement arbitrary
174      URI schemes.  There is one built in "loader" for the 'file' scheme.
175      [Richard Levitte]
176
177   *) Add devcrypto engine.  This has been implemented against cryptodev-linux,
178      then adjusted to work on FreeBSD 8.4 as well.
179      Enable by configuring with 'enable-devcryptoeng'.  This is done by default
180      on BSD implementations, as cryptodev.h is assumed to exist on all of them.
181      [Richard Levitte]
182
183   *) Module names can prefixed with OSSL_ or OPENSSL_.  This affects
184      util/mkerr.pl, which is adapted to allow those prefixes, leading to
185      error code calls like this:
186
187          OSSL_FOOerr(OSSL_FOO_F_SOMETHING, OSSL_FOO_R_WHATEVER);
188
189      With this change, we claim the namespaces OSSL and OPENSSL in a manner
190      that can be encoded in C.  For the foreseeable future, this will only
191      affect new modules.
192      [Richard Levitte and Tim Hudson]
193
194   *) Removed BSD cryptodev engine.
195      [Rich Salz]
196
197   *) Add a build target 'build_all_generated', to build all generated files
198      and only that.  This can be used to prepare everything that requires
199      things like perl for a system that lacks perl and then move everything
200      to that system and do the rest of the build there.
201      [Richard Levitte]
202
203   *) In the UI interface, make it possible to duplicate the user data.  This
204      can be used by engines that need to retain the data for a longer time
205      than just the call where this user data is passed.
206      [Richard Levitte]
207
208   *) Ignore the '-named_curve auto' value for compatibility of applications
209      with OpenSSL 1.0.2.
210      [Tomas Mraz <tmraz@fedoraproject.org>]
211
212   *) Fragmented SSL/TLS alerts are no longer accepted. An alert message is 2
213      bytes long. In theory it is permissible in SSLv3 - TLSv1.2 to fragment such
214      alerts across multiple records (some of which could be empty). In practice
215      it make no sense to send an empty alert record, or to fragment one. TLSv1.3
216      prohibts this altogether and other libraries (BoringSSL, NSS) do not
217      support this at all. Supporting it adds significant complexity to the
218      record layer, and its removal is unlikely to cause inter-operability
219      issues.
220      [Matt Caswell]
221
222   *) Add the ASN.1 types INT32, UINT32, INT64, UINT64 and variants prefixed
223      with Z.  These are meant to replace LONG and ZLONG and to be size safe.
224      The use of LONG and ZLONG is discouraged and scheduled for deprecation
225      in OpenSSL 1.2.0.
226      [Richard Levitte]
227
228   *) Add the 'z' and 'j' modifiers to BIO_printf() et al formatting string,
229      'z' is to be used for [s]size_t, and 'j' - with [u]int64_t.
230      [Richard Levitte, Andy Polyakov]
231
232   *) Add EC_KEY_get0_engine(), which does for EC_KEY what RSA_get0_engine()
233      does for RSA, etc.
234      [Richard Levitte]
235
236   *) Have 'config' recognise 64-bit mingw and choose 'mingw64' as the target
237      platform rather than 'mingw'.
238      [Richard Levitte]
239
240   *) The functions X509_STORE_add_cert and X509_STORE_add_crl return
241      success if they are asked to add an object which already exists
242      in the store. This change cascades to other functions which load
243      certificates and CRLs.
244      [Paul Dale]
245
246   *) x86_64 assembly pack: annotate code with DWARF CFI directives to
247      facilitate stack unwinding even from assembly subroutines.
248      [Andy Polyakov]
249
250   *) Remove VAX C specific definitions of OPENSSL_EXPORT, OPENSSL_EXTERN.
251      Also remove OPENSSL_GLOBAL entirely, as it became a no-op.
252      [Richard Levitte]
253
254   *) Remove the VMS-specific reimplementation of gmtime from crypto/o_times.c.
255      VMS C's RTL has a fully up to date gmtime() and gmtime_r() since V7.1,
256      which is the minimum version we support.
257      [Richard Levitte]
258
259   *) Certificate time validation (X509_cmp_time) enforces stricter
260      compliance with RFC 5280. Fractional seconds and timezone offsets
261      are no longer allowed.
262      [Emilia Käsper]
263
264   *) Add support for ARIA
265      [Paul Dale]
266
267   *) s_client will now send the Server Name Indication (SNI) extension by
268      default unless the new "-noservername" option is used. The server name is
269      based on the host provided to the "-connect" option unless overridden by
270      using "-servername".
271      [Matt Caswell]
272
273   *) Add support for SipHash
274      [Todd Short]
275
276   *) OpenSSL now fails if it receives an unrecognised record type in TLS1.0
277      or TLS1.1. Previously this only happened in SSLv3 and TLS1.2. This is to
278      prevent issues where no progress is being made and the peer continually
279      sends unrecognised record types, using up resources processing them.
280      [Matt Caswell]
281
282   *) 'openssl passwd' can now produce SHA256 and SHA512 based output,
283      using the algorithm defined in
284      https://www.akkadia.org/drepper/SHA-crypt.txt
285      [Richard Levitte]
286
287   *) Heartbeat support has been removed; the ABI is changed for now.
288      [Richard Levitte, Rich Salz]
289
290   *) Support for SSL_OP_NO_ENCRYPT_THEN_MAC in SSL_CONF_cmd.
291      [Emilia Käsper]
292
293   *) The RSA "null" method, which was partially supported to avoid patent
294      issues, has been replaced to always returns NULL.
295      [Rich Salz]
296
297  Changes between 1.1.0g and 1.1.0h [xx XXX xxxx]
298
299   *) Constructed ASN.1 types with a recursive definition could exceed the stack
300
301      Constructed ASN.1 types with a recursive definition (such as can be found
302      in PKCS7) could eventually exceed the stack given malicious input with
303      excessive recursion. This could result in a Denial Of Service attack. There
304      are no such structures used within SSL/TLS that come from untrusted sources
305      so this is considered safe.
306
307      This issue was reported to OpenSSL on 4th January 2018 by the OSS-fuzz
308      project.
309      (CVE-2018-0739)
310      [Matt Caswell]
311
312   *) Incorrect CRYPTO_memcmp on HP-UX PA-RISC
313
314      Because of an implementation bug the PA-RISC CRYPTO_memcmp function is
315      effectively reduced to only comparing the least significant bit of each
316      byte. This allows an attacker to forge messages that would be considered as
317      authenticated in an amount of tries lower than that guaranteed by the
318      security claims of the scheme. The module can only be compiled by the
319      HP-UX assembler, so that only HP-UX PA-RISC targets are affected.
320
321      This issue was reported to OpenSSL on 2nd March 2018 by Peter Waltenberg
322      (IBM).
323      (CVE-2018-0733)
324      [Andy Polyakov]
325
326   *) Add a build target 'build_all_generated', to build all generated files
327      and only that.  This can be used to prepare everything that requires
328      things like perl for a system that lacks perl and then move everything
329      to that system and do the rest of the build there.
330      [Richard Levitte]
331
332   *) Backport SSL_OP_NO_RENGOTIATION
333
334      OpenSSL 1.0.2 and below had the ability to disable renegotiation using the
335      (undocumented) SSL3_FLAGS_NO_RENEGOTIATE_CIPHERS flag. Due to the opacity
336      changes this is no longer possible in 1.1.0. Therefore the new
337      SSL_OP_NO_RENEGOTIATION option from 1.1.1-dev has been backported to
338      1.1.0 to provide equivalent functionality.
339
340      Note that if an application built against 1.1.0h headers (or above) is run
341      using an older version of 1.1.0 (prior to 1.1.0h) then the option will be
342      accepted but nothing will happen, i.e. renegotiation will not be prevented.
343      [Matt Caswell]
344
345   *) Removed the OS390-Unix config target.  It relied on a script that doesn't
346      exist.
347      [Rich Salz]
348
349   *) rsaz_1024_mul_avx2 overflow bug on x86_64
350
351      There is an overflow bug in the AVX2 Montgomery multiplication procedure
352      used in exponentiation with 1024-bit moduli. No EC algorithms are affected.
353      Analysis suggests that attacks against RSA and DSA as a result of this
354      defect would be very difficult to perform and are not believed likely.
355      Attacks against DH1024 are considered just feasible, because most of the
356      work necessary to deduce information about a private key may be performed
357      offline. The amount of resources required for such an attack would be
358      significant. However, for an attack on TLS to be meaningful, the server
359      would have to share the DH1024 private key among multiple clients, which is
360      no longer an option since CVE-2016-0701.
361
362      This only affects processors that support the AVX2 but not ADX extensions
363      like Intel Haswell (4th generation).
364
365      This issue was reported to OpenSSL by David Benjamin (Google). The issue
366      was originally found via the OSS-Fuzz project.
367      (CVE-2017-3738)
368      [Andy Polyakov]
369
370  Changes between 1.1.0f and 1.1.0g [2 Nov 2017]
371
372   *) bn_sqrx8x_internal carry bug on x86_64
373
374      There is a carry propagating bug in the x86_64 Montgomery squaring
375      procedure. No EC algorithms are affected. Analysis suggests that attacks
376      against RSA and DSA as a result of this defect would be very difficult to
377      perform and are not believed likely. Attacks against DH are considered just
378      feasible (although very difficult) because most of the work necessary to
379      deduce information about a private key may be performed offline. The amount
380      of resources required for such an attack would be very significant and
381      likely only accessible to a limited number of attackers. An attacker would
382      additionally need online access to an unpatched system using the target
383      private key in a scenario with persistent DH parameters and a private
384      key that is shared between multiple clients.
385
386      This only affects processors that support the BMI1, BMI2 and ADX extensions
387      like Intel Broadwell (5th generation) and later or AMD Ryzen.
388
389      This issue was reported to OpenSSL by the OSS-Fuzz project.
390      (CVE-2017-3736)
391      [Andy Polyakov]
392
393   *) Malformed X.509 IPAddressFamily could cause OOB read
394
395      If an X.509 certificate has a malformed IPAddressFamily extension,
396      OpenSSL could do a one-byte buffer overread. The most likely result
397      would be an erroneous display of the certificate in text format.
398
399      This issue was reported to OpenSSL by the OSS-Fuzz project.
400      (CVE-2017-3735)
401      [Rich Salz]
402
403  Changes between 1.1.0e and 1.1.0f [25 May 2017]
404
405   *) Have 'config' recognise 64-bit mingw and choose 'mingw64' as the target
406      platform rather than 'mingw'.
407      [Richard Levitte]
408
409   *) Remove the VMS-specific reimplementation of gmtime from crypto/o_times.c.
410      VMS C's RTL has a fully up to date gmtime() and gmtime_r() since V7.1,
411      which is the minimum version we support.
412      [Richard Levitte]
413
414  Changes between 1.1.0d and 1.1.0e [16 Feb 2017]
415
416   *) Encrypt-Then-Mac renegotiation crash
417
418      During a renegotiation handshake if the Encrypt-Then-Mac extension is
419      negotiated where it was not in the original handshake (or vice-versa) then
420      this can cause OpenSSL to crash (dependant on ciphersuite). Both clients
421      and servers are affected.
422
423      This issue was reported to OpenSSL by Joe Orton (Red Hat).
424      (CVE-2017-3733)
425      [Matt Caswell]
426
427  Changes between 1.1.0c and 1.1.0d [26 Jan 2017]
428
429   *) Truncated packet could crash via OOB read
430
431      If one side of an SSL/TLS path is running on a 32-bit host and a specific
432      cipher is being used, then a truncated packet can cause that host to
433      perform an out-of-bounds read, usually resulting in a crash.
434
435      This issue was reported to OpenSSL by Robert Święcki of Google.
436      (CVE-2017-3731)
437      [Andy Polyakov]
438
439   *) Bad (EC)DHE parameters cause a client crash
440
441      If a malicious server supplies bad parameters for a DHE or ECDHE key
442      exchange then this can result in the client attempting to dereference a
443      NULL pointer leading to a client crash. This could be exploited in a Denial
444      of Service attack.
445
446      This issue was reported to OpenSSL by Guido Vranken.
447      (CVE-2017-3730)
448      [Matt Caswell]
449
450   *) BN_mod_exp may produce incorrect results on x86_64
451
452      There is a carry propagating bug in the x86_64 Montgomery squaring
453      procedure. No EC algorithms are affected. Analysis suggests that attacks
454      against RSA and DSA as a result of this defect would be very difficult to
455      perform and are not believed likely. Attacks against DH are considered just
456      feasible (although very difficult) because most of the work necessary to
457      deduce information about a private key may be performed offline. The amount
458      of resources required for such an attack would be very significant and
459      likely only accessible to a limited number of attackers. An attacker would
460      additionally need online access to an unpatched system using the target
461      private key in a scenario with persistent DH parameters and a private
462      key that is shared between multiple clients. For example this can occur by
463      default in OpenSSL DHE based SSL/TLS ciphersuites. Note: This issue is very
464      similar to CVE-2015-3193 but must be treated as a separate problem.
465
466      This issue was reported to OpenSSL by the OSS-Fuzz project.
467      (CVE-2017-3732)
468      [Andy Polyakov]
469
470  Changes between 1.1.0b and 1.1.0c [10 Nov 2016]
471
472   *) ChaCha20/Poly1305 heap-buffer-overflow
473
474      TLS connections using *-CHACHA20-POLY1305 ciphersuites are susceptible to
475      a DoS attack by corrupting larger payloads. This can result in an OpenSSL
476      crash. This issue is not considered to be exploitable beyond a DoS.
477
478      This issue was reported to OpenSSL by Robert Święcki (Google Security Team)
479      (CVE-2016-7054)
480      [Richard Levitte]
481
482   *) CMS Null dereference
483
484      Applications parsing invalid CMS structures can crash with a NULL pointer
485      dereference. This is caused by a bug in the handling of the ASN.1 CHOICE
486      type in OpenSSL 1.1.0 which can result in a NULL value being passed to the
487      structure callback if an attempt is made to free certain invalid encodings.
488      Only CHOICE structures using a callback which do not handle NULL value are
489      affected.
490
491      This issue was reported to OpenSSL by Tyler Nighswander of ForAllSecure.
492      (CVE-2016-7053)
493      [Stephen Henson]
494
495   *) Montgomery multiplication may produce incorrect results
496
497      There is a carry propagating bug in the Broadwell-specific Montgomery
498      multiplication procedure that handles input lengths divisible by, but
499      longer than 256 bits. Analysis suggests that attacks against RSA, DSA
500      and DH private keys are impossible. This is because the subroutine in
501      question is not used in operations with the private key itself and an input
502      of the attacker's direct choice. Otherwise the bug can manifest itself as
503      transient authentication and key negotiation failures or reproducible
504      erroneous outcome of public-key operations with specially crafted input.
505      Among EC algorithms only Brainpool P-512 curves are affected and one
506      presumably can attack ECDH key negotiation. Impact was not analyzed in
507      detail, because pre-requisites for attack are considered unlikely. Namely
508      multiple clients have to choose the curve in question and the server has to
509      share the private key among them, neither of which is default behaviour.
510      Even then only clients that chose the curve will be affected.
511
512      This issue was publicly reported as transient failures and was not
513      initially recognized as a security issue. Thanks to Richard Morgan for
514      providing reproducible case.
515      (CVE-2016-7055)
516      [Andy Polyakov]
517
518   *) Removed automatic addition of RPATH in shared libraries and executables,
519      as this was a remainder from OpenSSL 1.0.x and isn't needed any more.
520      [Richard Levitte]
521
522  Changes between 1.1.0a and 1.1.0b [26 Sep 2016]
523
524   *) Fix Use After Free for large message sizes
525
526      The patch applied to address CVE-2016-6307 resulted in an issue where if a
527      message larger than approx 16k is received then the underlying buffer to
528      store the incoming message is reallocated and moved. Unfortunately a
529      dangling pointer to the old location is left which results in an attempt to
530      write to the previously freed location. This is likely to result in a
531      crash, however it could potentially lead to execution of arbitrary code.
532
533      This issue only affects OpenSSL 1.1.0a.
534
535      This issue was reported to OpenSSL by Robert Święcki.
536      (CVE-2016-6309)
537      [Matt Caswell]
538
539  Changes between 1.1.0 and 1.1.0a [22 Sep 2016]
540
541   *) OCSP Status Request extension unbounded memory growth
542
543      A malicious client can send an excessively large OCSP Status Request
544      extension. If that client continually requests renegotiation, sending a
545      large OCSP Status Request extension each time, then there will be unbounded
546      memory growth on the server. This will eventually lead to a Denial Of
547      Service attack through memory exhaustion. Servers with a default
548      configuration are vulnerable even if they do not support OCSP. Builds using
549      the "no-ocsp" build time option are not affected.
550
551      This issue was reported to OpenSSL by Shi Lei (Gear Team, Qihoo 360 Inc.)
552      (CVE-2016-6304)
553      [Matt Caswell]
554
555   *) SSL_peek() hang on empty record
556
557      OpenSSL 1.1.0 SSL/TLS will hang during a call to SSL_peek() if the peer
558      sends an empty record. This could be exploited by a malicious peer in a
559      Denial Of Service attack.
560
561      This issue was reported to OpenSSL by Alex Gaynor.
562      (CVE-2016-6305)
563      [Matt Caswell]
564
565   *) Excessive allocation of memory in tls_get_message_header() and
566      dtls1_preprocess_fragment()
567
568      A (D)TLS message includes 3 bytes for its length in the header for the
569      message. This would allow for messages up to 16Mb in length. Messages of
570      this length are excessive and OpenSSL includes a check to ensure that a
571      peer is sending reasonably sized messages in order to avoid too much memory
572      being consumed to service a connection. A flaw in the logic of version
573      1.1.0 means that memory for the message is allocated too early, prior to
574      the excessive message length check. Due to way memory is allocated in
575      OpenSSL this could mean an attacker could force up to 21Mb to be allocated
576      to service a connection. This could lead to a Denial of Service through
577      memory exhaustion. However, the excessive message length check still takes
578      place, and this would cause the connection to immediately fail. Assuming
579      that the application calls SSL_free() on the failed connection in a timely
580      manner then the 21Mb of allocated memory will then be immediately freed
581      again. Therefore the excessive memory allocation will be transitory in
582      nature. This then means that there is only a security impact if:
583
584      1) The application does not call SSL_free() in a timely manner in the event
585      that the connection fails
586      or
587      2) The application is working in a constrained environment where there is
588      very little free memory
589      or
590      3) The attacker initiates multiple connection attempts such that there are
591      multiple connections in a state where memory has been allocated for the
592      connection; SSL_free() has not yet been called; and there is insufficient
593      memory to service the multiple requests.
594
595      Except in the instance of (1) above any Denial Of Service is likely to be
596      transitory because as soon as the connection fails the memory is
597      subsequently freed again in the SSL_free() call. However there is an
598      increased risk during this period of application crashes due to the lack of
599      memory - which would then mean a more serious Denial of Service.
600
601      This issue was reported to OpenSSL by Shi Lei (Gear Team, Qihoo 360 Inc.)
602      (CVE-2016-6307 and CVE-2016-6308)
603      [Matt Caswell]
604
605   *) solaris-x86-cc, i.e. 32-bit configuration with vendor compiler,
606      had to be removed. Primary reason is that vendor assembler can't
607      assemble our modules with -KPIC flag. As result it, assembly
608      support, was not even available as option. But its lack means
609      lack of side-channel resistant code, which is incompatible with
610      security by todays standards. Fortunately gcc is readily available
611      prepackaged option, which we firmly point at...
612      [Andy Polyakov]
613
614  Changes between 1.0.2h and 1.1.0  [25 Aug 2016]
615
616   *) Windows command-line tool supports UTF-8 opt-in option for arguments
617      and console input. Setting OPENSSL_WIN32_UTF8 environment variable
618      (to any value) allows Windows user to access PKCS#12 file generated
619      with Windows CryptoAPI and protected with non-ASCII password, as well
620      as files generated under UTF-8 locale on Linux also protected with
621      non-ASCII password.
622      [Andy Polyakov]
623
624   *) To mitigate the SWEET32 attack (CVE-2016-2183), 3DES cipher suites
625      have been disabled by default and removed from DEFAULT, just like RC4.
626      See the RC4 item below to re-enable both.
627      [Rich Salz]
628
629   *) The method for finding the storage location for the Windows RAND seed file
630      has changed. First we check %RANDFILE%. If that is not set then we check
631      the directories %HOME%, %USERPROFILE% and %SYSTEMROOT% in that order. If
632      all else fails we fall back to C:\.
633      [Matt Caswell]
634
635   *) The EVP_EncryptUpdate() function has had its return type changed from void
636      to int. A return of 0 indicates and error while a return of 1 indicates
637      success.
638      [Matt Caswell]
639
640   *) The flags RSA_FLAG_NO_CONSTTIME, DSA_FLAG_NO_EXP_CONSTTIME and
641      DH_FLAG_NO_EXP_CONSTTIME which previously provided the ability to switch
642      off the constant time implementation for RSA, DSA and DH have been made
643      no-ops and deprecated.
644      [Matt Caswell]
645
646   *) Windows RAND implementation was simplified to only get entropy by
647      calling CryptGenRandom(). Various other RAND-related tickets
648      were also closed.
649      [Joseph Wylie Yandle, Rich Salz]
650
651   *) The stack and lhash API's were renamed to start with OPENSSL_SK_
652      and OPENSSL_LH_, respectively.  The old names are available
653      with API compatibility.  They new names are now completely documented.
654      [Rich Salz]
655
656   *) Unify TYPE_up_ref(obj) methods signature.
657      SSL_CTX_up_ref(), SSL_up_ref(), X509_up_ref(), EVP_PKEY_up_ref(),
658      X509_CRL_up_ref(), X509_OBJECT_up_ref_count() methods are now returning an
659      int (instead of void) like all others TYPE_up_ref() methods.
660      So now these methods also check the return value of CRYPTO_atomic_add(),
661      and the validity of object reference counter.
662      [fdasilvayy@gmail.com]
663
664   *) With Windows Visual Studio builds, the .pdb files are installed
665      alongside the installed libraries and executables.  For a static
666      library installation, ossl_static.pdb is the associate compiler
667      generated .pdb file to be used when linking programs.
668      [Richard Levitte]
669
670   *) Remove openssl.spec.  Packaging files belong with the packagers.
671      [Richard Levitte]
672
673   *) Automatic Darwin/OSX configuration has had a refresh, it will now
674      recognise x86_64 architectures automatically.  You can still decide
675      to build for a different bitness with the environment variable
676      KERNEL_BITS (can be 32 or 64), for example:
677
678          KERNEL_BITS=32 ./config
679
680      [Richard Levitte]
681
682   *) Change default algorithms in pkcs8 utility to use PKCS#5 v2.0,
683      256 bit AES and HMAC with SHA256.
684      [Steve Henson]
685
686   *) Remove support for MIPS o32 ABI on IRIX (and IRIX only).
687      [Andy Polyakov]
688
689   *) Triple-DES ciphers have been moved from HIGH to MEDIUM.
690      [Rich Salz]
691
692   *) To enable users to have their own config files and build file templates,
693      Configure looks in the directory indicated by the environment variable
694      OPENSSL_LOCAL_CONFIG_DIR as well as the in-source Configurations/
695      directory.  On VMS, OPENSSL_LOCAL_CONFIG_DIR is expected to be a logical
696      name and is used as is.
697      [Richard Levitte]
698
699   *) The following datatypes were made opaque: X509_OBJECT, X509_STORE_CTX,
700      X509_STORE, X509_LOOKUP, and X509_LOOKUP_METHOD.  The unused type
701      X509_CERT_FILE_CTX was removed.
702      [Rich Salz]
703
704   *) "shared" builds are now the default. To create only static libraries use
705      the "no-shared" Configure option.
706      [Matt Caswell]
707
708   *) Remove the no-aes, no-hmac, no-rsa, no-sha and no-md5 Configure options.
709      All of these option have not worked for some while and are fundamental
710      algorithms.
711      [Matt Caswell]
712
713   *) Make various cleanup routines no-ops and mark them as deprecated. Most
714      global cleanup functions are no longer required because they are handled
715      via auto-deinit (see OPENSSL_init_crypto and OPENSSL_init_ssl man pages).
716      Explicitly de-initing can cause problems (e.g. where a library that uses
717      OpenSSL de-inits, but an application is still using it). The affected
718      functions are CONF_modules_free(), ENGINE_cleanup(), OBJ_cleanup(),
719      EVP_cleanup(), BIO_sock_cleanup(), CRYPTO_cleanup_all_ex_data(),
720      RAND_cleanup(), SSL_COMP_free_compression_methods(), ERR_free_strings() and
721      COMP_zlib_cleanup().
722      [Matt Caswell]
723
724   *) --strict-warnings no longer enables runtime debugging options
725      such as REF_DEBUG. Instead, debug options are automatically
726      enabled with '--debug' builds.
727      [Andy Polyakov, Emilia Käsper]
728
729   *) Made DH and DH_METHOD opaque. The structures for managing DH objects
730      have been moved out of the public header files. New functions for managing
731      these have been added.
732      [Matt Caswell]
733
734   *) Made RSA and RSA_METHOD opaque. The structures for managing RSA
735      objects have been moved out of the public header files. New
736      functions for managing these have been added.
737      [Richard Levitte]
738
739   *) Made DSA and DSA_METHOD opaque. The structures for managing DSA objects
740      have been moved out of the public header files. New functions for managing
741      these have been added.
742      [Matt Caswell]
743
744   *) Made BIO and BIO_METHOD opaque. The structures for managing BIOs have been
745      moved out of the public header files. New functions for managing these
746      have been added.
747      [Matt Caswell]
748
749   *) Removed no-rijndael as a config option. Rijndael is an old name for AES.
750      [Matt Caswell]
751
752   *) Removed the mk1mf build scripts.
753      [Richard Levitte]
754
755   *) Headers are now wrapped, if necessary, with OPENSSL_NO_xxx, so
756      it is always safe to #include a header now.
757      [Rich Salz]
758
759   *) Removed the aged BC-32 config and all its supporting scripts
760      [Richard Levitte]
761
762   *) Removed support for Ultrix, Netware, and OS/2.
763      [Rich Salz]
764
765   *) Add support for HKDF.
766      [Alessandro Ghedini]
767
768   *) Add support for blake2b and blake2s
769      [Bill Cox]
770
771   *) Added support for "pipelining". Ciphers that have the
772      EVP_CIPH_FLAG_PIPELINE flag set have a capability to process multiple
773      encryptions/decryptions simultaneously. There are currently no built-in
774      ciphers with this property but the expectation is that engines will be able
775      to offer it to significantly improve throughput. Support has been extended
776      into libssl so that multiple records for a single connection can be
777      processed in one go (for >=TLS 1.1).
778      [Matt Caswell]
779
780   *) Added the AFALG engine. This is an async capable engine which is able to
781      offload work to the Linux kernel. In this initial version it only supports
782      AES128-CBC. The kernel must be version 4.1.0 or greater.
783      [Catriona Lucey]
784
785   *) OpenSSL now uses a new threading API. It is no longer necessary to
786      set locking callbacks to use OpenSSL in a multi-threaded environment. There
787      are two supported threading models: pthreads and windows threads. It is
788      also possible to configure OpenSSL at compile time for "no-threads". The
789      old threading API should no longer be used. The functions have been
790      replaced with "no-op" compatibility macros.
791      [Alessandro Ghedini, Matt Caswell]
792
793   *) Modify behavior of ALPN to invoke callback after SNI/servername
794      callback, such that updates to the SSL_CTX affect ALPN.
795      [Todd Short]
796
797   *) Add SSL_CIPHER queries for authentication and key-exchange.
798      [Todd Short]
799
800   *) Changes to the DEFAULT cipherlist:
801        - Prefer (EC)DHE handshakes over plain RSA.
802        - Prefer AEAD ciphers over legacy ciphers.
803        - Prefer ECDSA over RSA when both certificates are available.
804        - Prefer TLSv1.2 ciphers/PRF.
805        - Remove DSS, SEED, IDEA, CAMELLIA, and AES-CCM from the
806          default cipherlist.
807      [Emilia Käsper]
808
809   *) Change the ECC default curve list to be this, in order: x25519,
810      secp256r1, secp521r1, secp384r1.
811      [Rich Salz]
812
813   *) RC4 based libssl ciphersuites are now classed as "weak" ciphers and are
814      disabled by default. They can be re-enabled using the
815      enable-weak-ssl-ciphers option to Configure.
816      [Matt Caswell]
817
818   *) If the server has ALPN configured, but supports no protocols that the
819      client advertises, send a fatal "no_application_protocol" alert.
820      This behaviour is SHALL in RFC 7301, though it isn't universally
821      implemented by other servers.
822      [Emilia Käsper]
823
824   *) Add X25519 support.
825      Add ASN.1 and EVP_PKEY methods for X25519. This includes support
826      for public and private key encoding using the format documented in
827      draft-ietf-curdle-pkix-02. The corresponding EVP_PKEY method supports
828      key generation and key derivation.
829
830      TLS support complies with draft-ietf-tls-rfc4492bis-08 and uses
831      X25519(29).
832      [Steve Henson]
833
834   *) Deprecate SRP_VBASE_get_by_user.
835      SRP_VBASE_get_by_user had inconsistent memory management behaviour.
836      In order to fix an unavoidable memory leak (CVE-2016-0798),
837      SRP_VBASE_get_by_user was changed to ignore the "fake user" SRP
838      seed, even if the seed is configured.
839
840      Users should use SRP_VBASE_get1_by_user instead. Note that in
841      SRP_VBASE_get1_by_user, caller must free the returned value. Note
842      also that even though configuring the SRP seed attempts to hide
843      invalid usernames by continuing the handshake with fake
844      credentials, this behaviour is not constant time and no strong
845      guarantees are made that the handshake is indistinguishable from
846      that of a valid user.
847      [Emilia Käsper]
848
849   *) Configuration change; it's now possible to build dynamic engines
850      without having to build shared libraries and vice versa.  This
851      only applies to the engines in engines/, those in crypto/engine/
852      will always be built into libcrypto (i.e. "static").
853
854      Building dynamic engines is enabled by default; to disable, use
855      the configuration option "disable-dynamic-engine".
856
857      The only requirements for building dynamic engines are the
858      presence of the DSO module and building with position independent
859      code, so they will also automatically be disabled if configuring
860      with "disable-dso" or "disable-pic".
861
862      The macros OPENSSL_NO_STATIC_ENGINE and OPENSSL_NO_DYNAMIC_ENGINE
863      are also taken away from openssl/opensslconf.h, as they are
864      irrelevant.
865      [Richard Levitte]
866
867   *) Configuration change; if there is a known flag to compile
868      position independent code, it will always be applied on the
869      libcrypto and libssl object files, and never on the application
870      object files.  This means other libraries that use routines from
871      libcrypto / libssl can be made into shared libraries regardless
872      of how OpenSSL was configured.
873
874      If this isn't desirable, the configuration options "disable-pic"
875      or "no-pic" can be used to disable the use of PIC.  This will
876      also disable building shared libraries and dynamic engines.
877      [Richard Levitte]
878
879   *) Removed JPAKE code.  It was experimental and has no wide use.
880      [Rich Salz]
881
882   *) The INSTALL_PREFIX Makefile variable has been renamed to
883      DESTDIR.  That makes for less confusion on what this variable
884      is for.  Also, the configuration option --install_prefix is
885      removed.
886      [Richard Levitte]
887
888   *) Heartbeat for TLS has been removed and is disabled by default
889      for DTLS; configure with enable-heartbeats.  Code that uses the
890      old #define's might need to be updated.
891      [Emilia Käsper, Rich Salz]
892
893   *) Rename REF_CHECK to REF_DEBUG.
894      [Rich Salz]
895
896   *) New "unified" build system
897
898      The "unified" build system is aimed to be a common system for all
899      platforms we support.  With it comes new support for VMS.
900
901      This system builds supports building in a different directory tree
902      than the source tree.  It produces one Makefile (for unix family
903      or lookalikes), or one descrip.mms (for VMS).
904
905      The source of information to make the Makefile / descrip.mms is
906      small files called 'build.info', holding the necessary
907      information for each directory with source to compile, and a
908      template in Configurations, like unix-Makefile.tmpl or
909      descrip.mms.tmpl.
910
911      With this change, the library names were also renamed on Windows
912      and on VMS.  They now have names that are closer to the standard
913      on Unix, and include the major version number, and in certain
914      cases, the architecture they are built for.  See "Notes on shared
915      libraries" in INSTALL.
916
917      We rely heavily on the perl module Text::Template.
918      [Richard Levitte]
919
920   *) Added support for auto-initialisation and de-initialisation of the library.
921      OpenSSL no longer requires explicit init or deinit routines to be called,
922      except in certain circumstances. See the OPENSSL_init_crypto() and
923      OPENSSL_init_ssl() man pages for further information.
924      [Matt Caswell]
925
926   *) The arguments to the DTLSv1_listen function have changed. Specifically the
927      "peer" argument is now expected to be a BIO_ADDR object.
928
929   *) Rewrite of BIO networking library. The BIO library lacked consistent
930      support of IPv6, and adding it required some more extensive
931      modifications.  This introduces the BIO_ADDR and BIO_ADDRINFO types,
932      which hold all types of addresses and chains of address information.
933      It also introduces a new API, with functions like BIO_socket,
934      BIO_connect, BIO_listen, BIO_lookup and a rewrite of BIO_accept.
935      The source/sink BIOs BIO_s_connect, BIO_s_accept and BIO_s_datagram
936      have been adapted accordingly.
937      [Richard Levitte]
938
939   *) RSA_padding_check_PKCS1_type_1 now accepts inputs with and without
940      the leading 0-byte.
941      [Emilia Käsper]
942
943   *) CRIME protection: disable compression by default, even if OpenSSL is
944      compiled with zlib enabled. Applications can still enable compression
945      by calling SSL_CTX_clear_options(ctx, SSL_OP_NO_COMPRESSION), or by
946      using the SSL_CONF library to configure compression.
947      [Emilia Käsper]
948
949   *) The signature of the session callback configured with
950      SSL_CTX_sess_set_get_cb was changed. The read-only input buffer
951      was explicitly marked as 'const unsigned char*' instead of
952      'unsigned char*'.
953      [Emilia Käsper]
954
955   *) Always DPURIFY. Remove the use of uninitialized memory in the
956      RNG, and other conditional uses of DPURIFY. This makes -DPURIFY a no-op.
957      [Emilia Käsper]
958
959   *) Removed many obsolete configuration items, including
960         DES_PTR, DES_RISC1, DES_RISC2, DES_INT
961         MD2_CHAR, MD2_INT, MD2_LONG
962         BF_PTR, BF_PTR2
963         IDEA_SHORT, IDEA_LONG
964         RC2_SHORT, RC2_LONG, RC4_LONG, RC4_CHUNK, RC4_INDEX
965      [Rich Salz, with advice from Andy Polyakov]
966
967   *) Many BN internals have been moved to an internal header file.
968      [Rich Salz with help from Andy Polyakov]
969
970   *) Configuration and writing out the results from it has changed.
971      Files such as Makefile include/openssl/opensslconf.h and are now
972      produced through general templates, such as Makefile.in and
973      crypto/opensslconf.h.in and some help from the perl module
974      Text::Template.
975
976      Also, the center of configuration information is no longer
977      Makefile.  Instead, Configure produces a perl module in
978      configdata.pm which holds most of the config data (in the hash
979      table %config), the target data that comes from the target
980      configuration in one of the Configurations/*.conf files (in
981      %target).
982      [Richard Levitte]
983
984   *) To clarify their intended purposes, the Configure options
985      --prefix and --openssldir change their semantics, and become more
986      straightforward and less interdependent.
987
988      --prefix shall be used exclusively to give the location INSTALLTOP
989      where programs, scripts, libraries, include files and manuals are
990      going to be installed.  The default is now /usr/local.
991
992      --openssldir shall be used exclusively to give the default
993      location OPENSSLDIR where certificates, private keys, CRLs are
994      managed.  This is also where the default openssl.cnf gets
995      installed.
996      If the directory given with this option is a relative path, the
997      values of both the --prefix value and the --openssldir value will
998      be combined to become OPENSSLDIR.
999      The default for --openssldir is INSTALLTOP/ssl.
1000
1001      Anyone who uses --openssldir to specify where OpenSSL is to be
1002      installed MUST change to use --prefix instead.
1003      [Richard Levitte]
1004
1005   *) The GOST engine was out of date and therefore it has been removed. An up
1006      to date GOST engine is now being maintained in an external repository.
1007      See: https://wiki.openssl.org/index.php/Binaries. Libssl still retains
1008      support for GOST ciphersuites (these are only activated if a GOST engine
1009      is present).
1010      [Matt Caswell]
1011
1012   *) EGD is no longer supported by default; use enable-egd when
1013      configuring.
1014      [Ben Kaduk and Rich Salz]
1015
1016   *) The distribution now has Makefile.in files, which are used to
1017      create Makefile's when Configure is run.  *Configure must be run
1018      before trying to build now.*
1019      [Rich Salz]
1020
1021   *) The return value for SSL_CIPHER_description() for error conditions
1022      has changed.
1023      [Rich Salz]
1024
1025   *) Support for RFC6698/RFC7671 DANE TLSA peer authentication.
1026
1027      Obtaining and performing DNSSEC validation of TLSA records is
1028      the application's responsibility.  The application provides
1029      the TLSA records of its choice to OpenSSL, and these are then
1030      used to authenticate the peer.
1031
1032      The TLSA records need not even come from DNS.  They can, for
1033      example, be used to implement local end-entity certificate or
1034      trust-anchor "pinning", where the "pin" data takes the form
1035      of TLSA records, which can augment or replace verification
1036      based on the usual WebPKI public certification authorities.
1037      [Viktor Dukhovni]
1038
1039   *) Revert default OPENSSL_NO_DEPRECATED setting.  Instead OpenSSL
1040      continues to support deprecated interfaces in default builds.
1041      However, applications are strongly advised to compile their
1042      source files with -DOPENSSL_API_COMPAT=0x10100000L, which hides
1043      the declarations of all interfaces deprecated in 0.9.8, 1.0.0
1044      or the 1.1.0 releases.
1045
1046      In environments in which all applications have been ported to
1047      not use any deprecated interfaces OpenSSL's Configure script
1048      should be used with the --api=1.1.0 option to entirely remove
1049      support for the deprecated features from the library and
1050      unconditionally disable them in the installed headers.
1051      Essentially the same effect can be achieved with the "no-deprecated"
1052      argument to Configure, except that this will always restrict
1053      the build to just the latest API, rather than a fixed API
1054      version.
1055
1056      As applications are ported to future revisions of the API,
1057      they should update their compile-time OPENSSL_API_COMPAT define
1058      accordingly, but in most cases should be able to continue to
1059      compile with later releases.
1060
1061      The OPENSSL_API_COMPAT versions for 1.0.0, and 0.9.8 are
1062      0x10000000L and 0x00908000L, respectively.  However those
1063      versions did not support the OPENSSL_API_COMPAT feature, and
1064      so applications are not typically tested for explicit support
1065      of just the undeprecated features of either release.
1066      [Viktor Dukhovni]
1067
1068   *) Add support for setting the minimum and maximum supported protocol.
1069      It can bet set via the SSL_set_min_proto_version() and
1070      SSL_set_max_proto_version(), or via the SSL_CONF's MinProtocol and
1071      MaxProtocol.  It's recommended to use the new APIs to disable
1072      protocols instead of disabling individual protocols using
1073      SSL_set_options() or SSL_CONF's Protocol.  This change also
1074      removes support for disabling TLS 1.2 in the OpenSSL TLS
1075      client at compile time by defining OPENSSL_NO_TLS1_2_CLIENT.
1076      [Kurt Roeckx]
1077
1078   *) Support for ChaCha20 and Poly1305 added to libcrypto and libssl.
1079      [Andy Polyakov]
1080
1081   *) New EC_KEY_METHOD, this replaces the older ECDSA_METHOD and ECDH_METHOD
1082      and integrates ECDSA and ECDH functionality into EC. Implementations can
1083      now redirect key generation and no longer need to convert to or from
1084      ECDSA_SIG format.
1085
1086      Note: the ecdsa.h and ecdh.h headers are now no longer needed and just
1087      include the ec.h header file instead.
1088      [Steve Henson]
1089
1090   *) Remove support for all 40 and 56 bit ciphers.  This includes all the export
1091      ciphers who are no longer supported and drops support the ephemeral RSA key
1092      exchange. The LOW ciphers currently doesn't have any ciphers in it.
1093      [Kurt Roeckx]
1094
1095   *) Made EVP_MD_CTX, EVP_MD, EVP_CIPHER_CTX, EVP_CIPHER and HMAC_CTX
1096      opaque.  For HMAC_CTX, the following constructors and destructors
1097      were added:
1098
1099         HMAC_CTX *HMAC_CTX_new(void);
1100         void HMAC_CTX_free(HMAC_CTX *ctx);
1101
1102      For EVP_MD and EVP_CIPHER, complete APIs to create, fill and
1103      destroy such methods has been added.  See EVP_MD_meth_new(3) and
1104      EVP_CIPHER_meth_new(3) for documentation.
1105
1106      Additional changes:
1107      1) EVP_MD_CTX_cleanup(), EVP_CIPHER_CTX_cleanup() and
1108         HMAC_CTX_cleanup() were removed.  HMAC_CTX_reset() and
1109         EVP_MD_CTX_reset() should be called instead to reinitialise
1110         an already created structure.
1111      2) For consistency with the majority of our object creators and
1112         destructors, EVP_MD_CTX_(create|destroy) were renamed to
1113         EVP_MD_CTX_(new|free).  The old names are retained as macros
1114         for deprecated builds.
1115      [Richard Levitte]
1116
1117   *) Added ASYNC support. Libcrypto now includes the async sub-library to enable
1118      cryptographic operations to be performed asynchronously as long as an
1119      asynchronous capable engine is used. See the ASYNC_start_job() man page for
1120      further details. Libssl has also had this capability integrated with the
1121      introduction of the new mode SSL_MODE_ASYNC and associated error
1122      SSL_ERROR_WANT_ASYNC. See the SSL_CTX_set_mode() and SSL_get_error() man
1123      pages. This work was developed in partnership with Intel Corp.
1124      [Matt Caswell]
1125
1126   *) SSL_{CTX_}set_ecdh_auto() has been removed and ECDH is support is
1127      always enabled now.  If you want to disable the support you should
1128      exclude it using the list of supported ciphers. This also means that the
1129      "-no_ecdhe" option has been removed from s_server.
1130      [Kurt Roeckx]
1131
1132   *) SSL_{CTX}_set_tmp_ecdh() which can set 1 EC curve now internally calls
1133      SSL_{CTX_}set1_curves() which can set a list.
1134      [Kurt Roeckx]
1135
1136   *) Remove support for SSL_{CTX_}set_tmp_ecdh_callback().  You should set the
1137      curve you want to support using SSL_{CTX_}set1_curves().
1138      [Kurt Roeckx]
1139
1140   *) State machine rewrite. The state machine code has been significantly
1141      refactored in order to remove much duplication of code and solve issues
1142      with the old code (see ssl/statem/README for further details). This change
1143      does have some associated API changes. Notably the SSL_state() function
1144      has been removed and replaced by SSL_get_state which now returns an
1145      "OSSL_HANDSHAKE_STATE" instead of an int. SSL_set_state() has been removed
1146      altogether. The previous handshake states defined in ssl.h and ssl3.h have
1147      also been removed.
1148      [Matt Caswell]
1149
1150   *) All instances of the string "ssleay" in the public API were replaced
1151      with OpenSSL (case-matching; e.g., OPENSSL_VERSION for #define's)
1152      Some error codes related to internal RSA_eay API's were renamed.
1153      [Rich Salz]
1154
1155   *) The demo files in crypto/threads were moved to demo/threads.
1156      [Rich Salz]
1157
1158   *) Removed obsolete engines: 4758cca, aep, atalla, cswift, nuron, gmp,
1159      sureware and ubsec.
1160      [Matt Caswell, Rich Salz]
1161
1162   *) New ASN.1 embed macro.
1163
1164      New ASN.1 macro ASN1_EMBED. This is the same as ASN1_SIMPLE except the
1165      structure is not allocated: it is part of the parent. That is instead of
1166
1167      FOO *x;
1168
1169      it must be:
1170
1171      FOO x;
1172
1173      This reduces memory fragmentation and make it impossible to accidentally
1174      set a mandatory field to NULL.
1175
1176      This currently only works for some fields specifically a SEQUENCE, CHOICE,
1177      or ASN1_STRING type which is part of a parent SEQUENCE. Since it is
1178      equivalent to ASN1_SIMPLE it cannot be tagged, OPTIONAL, SET OF or
1179      SEQUENCE OF.
1180      [Steve Henson]
1181
1182   *) Remove EVP_CHECK_DES_KEY, a compile-time option that never compiled.
1183      [Emilia Käsper]
1184
1185   *) Removed DES and RC4 ciphersuites from DEFAULT. Also removed RC2 although
1186      in 1.0.2 EXPORT was already removed and the only RC2 ciphersuite is also
1187      an EXPORT one. COMPLEMENTOFDEFAULT has been updated accordingly to add
1188      DES and RC4 ciphersuites.
1189      [Matt Caswell]
1190
1191   *) Rewrite EVP_DecodeUpdate (base64 decoding) to fix several bugs.
1192      This changes the decoding behaviour for some invalid messages,
1193      though the change is mostly in the more lenient direction, and
1194      legacy behaviour is preserved as much as possible.
1195      [Emilia Käsper]
1196
1197   *) Fix no-stdio build.
1198     [ David Woodhouse <David.Woodhouse@intel.com> and also
1199       Ivan Nestlerode <ivan.nestlerode@sonos.com> ]
1200
1201   *) New testing framework
1202      The testing framework has been largely rewritten and is now using
1203      perl and the perl modules Test::Harness and an extended variant of
1204      Test::More called OpenSSL::Test to do its work.  All test scripts in
1205      test/ have been rewritten into test recipes, and all direct calls to
1206      executables in test/Makefile have become individual recipes using the
1207      simplified testing OpenSSL::Test::Simple.
1208
1209      For documentation on our testing modules, do:
1210
1211         perldoc test/testlib/OpenSSL/Test/Simple.pm
1212         perldoc test/testlib/OpenSSL/Test.pm
1213
1214      [Richard Levitte]
1215
1216   *) Revamped memory debug; only -DCRYPTO_MDEBUG and -DCRYPTO_MDEBUG_ABORT
1217      are used; the latter aborts on memory leaks (usually checked on exit).
1218      Some undocumented "set malloc, etc., hooks" functions were removed
1219      and others were changed.  All are now documented.
1220      [Rich Salz]
1221
1222   *) In DSA_generate_parameters_ex, if the provided seed is too short,
1223      return an error
1224      [Rich Salz and Ismo Puustinen <ismo.puustinen@intel.com>]
1225
1226   *) Rewrite PSK to support ECDHE_PSK, DHE_PSK and RSA_PSK. Add ciphersuites
1227      from RFC4279, RFC4785, RFC5487, RFC5489.
1228
1229      Thanks to Christian J. Dietrich and Giuseppe D'Angelo for the
1230      original RSA_PSK patch.
1231      [Steve Henson]
1232
1233   *) Dropped support for the SSL3_FLAGS_DELAY_CLIENT_FINISHED flag. This SSLeay
1234      era flag was never set throughout the codebase (only read). Also removed
1235      SSL3_FLAGS_POP_BUFFER which was only used if
1236      SSL3_FLAGS_DELAY_CLIENT_FINISHED was also set.
1237      [Matt Caswell]
1238
1239   *) Changed the default name options in the "ca", "crl", "req" and "x509"
1240      to be "oneline" instead of "compat".
1241      [Richard Levitte]
1242
1243   *) Remove SSL_OP_TLS_BLOCK_PADDING_BUG. This is SSLeay legacy, we're
1244      not aware of clients that still exhibit this bug, and the workaround
1245      hasn't been working properly for a while.
1246      [Emilia Käsper]
1247
1248   *) The return type of BIO_number_read() and BIO_number_written() as well as
1249      the corresponding num_read and num_write members in the BIO structure has
1250      changed from unsigned long to uint64_t. On platforms where an unsigned
1251      long is 32 bits (e.g. Windows) these counters could overflow if >4Gb is
1252      transferred.
1253      [Matt Caswell]
1254
1255   *) Given the pervasive nature of TLS extensions it is inadvisable to run
1256      OpenSSL without support for them. It also means that maintaining
1257      the OPENSSL_NO_TLSEXT option within the code is very invasive (and probably
1258      not well tested). Therefore the OPENSSL_NO_TLSEXT option has been removed.
1259      [Matt Caswell]
1260
1261   *) Removed support for the two export grade static DH ciphersuites
1262      EXP-DH-RSA-DES-CBC-SHA and EXP-DH-DSS-DES-CBC-SHA. These two ciphersuites
1263      were newly added (along with a number of other static DH ciphersuites) to
1264      1.0.2. However the two export ones have *never* worked since they were
1265      introduced. It seems strange in any case to be adding new export
1266      ciphersuites, and given "logjam" it also does not seem correct to fix them.
1267      [Matt Caswell]
1268
1269   *) Version negotiation has been rewritten. In particular SSLv23_method(),
1270      SSLv23_client_method() and SSLv23_server_method() have been deprecated,
1271      and turned into macros which simply call the new preferred function names
1272      TLS_method(), TLS_client_method() and TLS_server_method(). All new code
1273      should use the new names instead. Also as part of this change the ssl23.h
1274      header file has been removed.
1275      [Matt Caswell]
1276
1277   *) Support for Kerberos ciphersuites in TLS (RFC2712) has been removed. This
1278      code and the associated standard is no longer considered fit-for-purpose.
1279      [Matt Caswell]
1280
1281   *) RT2547 was closed.  When generating a private key, try to make the
1282      output file readable only by the owner.  This behavior change might
1283      be noticeable when interacting with other software.
1284
1285   *) Documented all exdata functions.  Added CRYPTO_free_ex_index.
1286      Added a test.
1287      [Rich Salz]
1288
1289   *) Added HTTP GET support to the ocsp command.
1290      [Rich Salz]
1291
1292   *) Changed default digest for the dgst and enc commands from MD5 to
1293      sha256
1294      [Rich Salz]
1295
1296   *) RAND_pseudo_bytes has been deprecated. Users should use RAND_bytes instead.
1297      [Matt Caswell]
1298
1299   *) Added support for TLS extended master secret from
1300      draft-ietf-tls-session-hash-03.txt. Thanks for Alfredo Pironti for an
1301      initial patch which was a great help during development.
1302      [Steve Henson]
1303
1304   *) All libssl internal structures have been removed from the public header
1305      files, and the OPENSSL_NO_SSL_INTERN option has been removed (since it is
1306      now redundant). Users should not attempt to access internal structures
1307      directly. Instead they should use the provided API functions.
1308      [Matt Caswell]
1309
1310   *) config has been changed so that by default OPENSSL_NO_DEPRECATED is used.
1311      Access to deprecated functions can be re-enabled by running config with
1312      "enable-deprecated". In addition applications wishing to use deprecated
1313      functions must define OPENSSL_USE_DEPRECATED. Note that this new behaviour
1314      will, by default, disable some transitive includes that previously existed
1315      in the header files (e.g. ec.h will no longer, by default, include bn.h)
1316      [Matt Caswell]
1317
1318   *) Added support for OCB mode. OpenSSL has been granted a patent license
1319      compatible with the OpenSSL license for use of OCB. Details are available
1320      at https://www.openssl.org/source/OCB-patent-grant-OpenSSL.pdf. Support
1321      for OCB can be removed by calling config with no-ocb.
1322      [Matt Caswell]
1323
1324   *) SSLv2 support has been removed.  It still supports receiving a SSLv2
1325      compatible client hello.
1326      [Kurt Roeckx]
1327
1328   *) Increased the minimal RSA keysize from 256 to 512 bits [Rich Salz],
1329      done while fixing the error code for the key-too-small case.
1330      [Annie Yousar <a.yousar@informatik.hu-berlin.de>]
1331
1332   *) CA.sh has been removed; use CA.pl instead.
1333      [Rich Salz]
1334
1335   *) Removed old DES API.
1336      [Rich Salz]
1337
1338   *) Remove various unsupported platforms:
1339         Sony NEWS4
1340         BEOS and BEOS_R5
1341         NeXT
1342         SUNOS
1343         MPE/iX
1344         Sinix/ReliantUNIX RM400
1345         DGUX
1346         NCR
1347         Tandem
1348         Cray
1349         16-bit platforms such as WIN16
1350      [Rich Salz]
1351
1352   *) Clean up OPENSSL_NO_xxx #define's
1353         Use setbuf() and remove OPENSSL_NO_SETVBUF_IONBF
1354         Rename OPENSSL_SYSNAME_xxx to OPENSSL_SYS_xxx
1355         OPENSSL_NO_EC{DH,DSA} merged into OPENSSL_NO_EC
1356         OPENSSL_NO_RIPEMD160, OPENSSL_NO_RIPEMD merged into OPENSSL_NO_RMD160
1357         OPENSSL_NO_FP_API merged into OPENSSL_NO_STDIO
1358         Remove OPENSSL_NO_BIO OPENSSL_NO_BUFFER OPENSSL_NO_CHAIN_VERIFY
1359         OPENSSL_NO_EVP OPENSSL_NO_FIPS_ERR OPENSSL_NO_HASH_COMP
1360         OPENSSL_NO_LHASH OPENSSL_NO_OBJECT OPENSSL_NO_SPEED OPENSSL_NO_STACK
1361         OPENSSL_NO_X509 OPENSSL_NO_X509_VERIFY
1362         Remove MS_STATIC; it's a relic from platforms <32 bits.
1363      [Rich Salz]
1364
1365   *) Cleaned up dead code
1366         Remove all but one '#ifdef undef' which is to be looked at.
1367      [Rich Salz]
1368
1369   *) Clean up calling of xxx_free routines.
1370         Just like free(), fix most of the xxx_free routines to accept
1371         NULL.  Remove the non-null checks from callers.  Save much code.
1372      [Rich Salz]
1373
1374   *) Add secure heap for storage of private keys (when possible).
1375      Add BIO_s_secmem(), CBIGNUM, etc.
1376      Contributed by Akamai Technologies under our Corporate CLA.
1377      [Rich Salz]
1378
1379   *) Experimental support for a new, fast, unbiased prime candidate generator,
1380      bn_probable_prime_dh_coprime(). Not currently used by any prime generator.
1381      [Felix Laurie von Massenbach <felix@erbridge.co.uk>]
1382
1383   *) New output format NSS in the sess_id command line tool. This allows
1384      exporting the session id and the master key in NSS keylog format.
1385      [Martin Kaiser <martin@kaiser.cx>]
1386
1387   *) Harmonize version and its documentation. -f flag is used to display
1388      compilation flags.
1389      [mancha <mancha1@zoho.com>]
1390
1391   *) Fix eckey_priv_encode so it immediately returns an error upon a failure
1392      in i2d_ECPrivateKey.  Thanks to Ted Unangst for feedback on this issue.
1393      [mancha <mancha1@zoho.com>]
1394
1395   *) Fix some double frees. These are not thought to be exploitable.
1396      [mancha <mancha1@zoho.com>]
1397
1398   *) A missing bounds check in the handling of the TLS heartbeat extension
1399      can be used to reveal up to 64k of memory to a connected client or
1400      server.
1401
1402      Thanks for Neel Mehta of Google Security for discovering this bug and to
1403      Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for
1404      preparing the fix (CVE-2014-0160)
1405      [Adam Langley, Bodo Moeller]
1406
1407   *) Fix for the attack described in the paper "Recovering OpenSSL
1408      ECDSA Nonces Using the FLUSH+RELOAD Cache Side-channel Attack"
1409      by Yuval Yarom and Naomi Benger. Details can be obtained from:
1410      http://eprint.iacr.org/2014/140
1411
1412      Thanks to Yuval Yarom and Naomi Benger for discovering this
1413      flaw and to Yuval Yarom for supplying a fix (CVE-2014-0076)
1414      [Yuval Yarom and Naomi Benger]
1415
1416   *) Use algorithm specific chains in SSL_CTX_use_certificate_chain_file():
1417      this fixes a limitation in previous versions of OpenSSL.
1418      [Steve Henson]
1419
1420   *) Experimental encrypt-then-mac support.
1421
1422      Experimental support for encrypt then mac from
1423      draft-gutmann-tls-encrypt-then-mac-02.txt
1424
1425      To enable it set the appropriate extension number (0x42 for the test
1426      server) using e.g. -DTLSEXT_TYPE_encrypt_then_mac=0x42
1427
1428      For non-compliant peers (i.e. just about everything) this should have no
1429      effect.
1430
1431      WARNING: EXPERIMENTAL, SUBJECT TO CHANGE.
1432
1433      [Steve Henson]
1434
1435   *) Add EVP support for key wrapping algorithms, to avoid problems with
1436      existing code the flag EVP_CIPHER_CTX_WRAP_ALLOW has to be set in
1437      the EVP_CIPHER_CTX or an error is returned. Add AES and DES3 wrap
1438      algorithms and include tests cases.
1439      [Steve Henson]
1440
1441   *) Extend CMS code to support RSA-PSS signatures and RSA-OAEP for
1442      enveloped data.
1443      [Steve Henson]
1444
1445   *) Extended RSA OAEP support via EVP_PKEY API. Options to specify digest,
1446      MGF1 digest and OAEP label.
1447      [Steve Henson]
1448
1449   *) Make openssl verify return errors.
1450      [Chris Palmer <palmer@google.com> and Ben Laurie]
1451
1452   *) New function ASN1_TIME_diff to calculate the difference between two
1453      ASN1_TIME structures or one structure and the current time.
1454      [Steve Henson]
1455
1456   *) Update fips_test_suite to support multiple command line options. New
1457      test to induce all self test errors in sequence and check expected
1458      failures.
1459      [Steve Henson]
1460
1461   *) Add FIPS_{rsa,dsa,ecdsa}_{sign,verify} functions which digest and
1462      sign or verify all in one operation.
1463      [Steve Henson]
1464
1465   *) Add fips_algvs: a multicall fips utility incorporating all the algorithm
1466      test programs and fips_test_suite. Includes functionality to parse
1467      the minimal script output of fipsalgest.pl directly.
1468      [Steve Henson]
1469
1470   *) Add authorisation parameter to FIPS_module_mode_set().
1471      [Steve Henson]
1472
1473   *) Add FIPS selftest for ECDH algorithm using P-224 and B-233 curves.
1474      [Steve Henson]
1475
1476   *) Use separate DRBG fields for internal and external flags. New function
1477      FIPS_drbg_health_check() to perform on demand health checking. Add
1478      generation tests to fips_test_suite with reduced health check interval to
1479      demonstrate periodic health checking. Add "nodh" option to
1480      fips_test_suite to skip very slow DH test.
1481      [Steve Henson]
1482
1483   *) New function FIPS_get_cipherbynid() to lookup FIPS supported ciphers
1484      based on NID.
1485      [Steve Henson]
1486
1487   *) More extensive health check for DRBG checking many more failure modes.
1488      New function FIPS_selftest_drbg_all() to handle every possible DRBG
1489      combination: call this in fips_test_suite.
1490      [Steve Henson]
1491
1492   *) Add support for canonical generation of DSA parameter 'g'. See
1493      FIPS 186-3 A.2.3.
1494
1495   *) Add support for HMAC DRBG from SP800-90. Update DRBG algorithm test and
1496      POST to handle HMAC cases.
1497      [Steve Henson]
1498
1499   *) Add functions FIPS_module_version() and FIPS_module_version_text()
1500      to return numerical and string versions of the FIPS module number.
1501      [Steve Henson]
1502
1503   *) Rename FIPS_mode_set and FIPS_mode to FIPS_module_mode_set and
1504      FIPS_module_mode. FIPS_mode and FIPS_mode_set will be implemented
1505      outside the validated module in the FIPS capable OpenSSL.
1506      [Steve Henson]
1507
1508   *) Minor change to DRBG entropy callback semantics. In some cases
1509      there is no multiple of the block length between min_len and
1510      max_len. Allow the callback to return more than max_len bytes
1511      of entropy but discard any extra: it is the callback's responsibility
1512      to ensure that the extra data discarded does not impact the
1513      requested amount of entropy.
1514      [Steve Henson]
1515
1516   *) Add PRNG security strength checks to RSA, DSA and ECDSA using
1517      information in FIPS186-3, SP800-57 and SP800-131A.
1518      [Steve Henson]
1519
1520   *) CCM support via EVP. Interface is very similar to GCM case except we
1521      must supply all data in one chunk (i.e. no update, final) and the
1522      message length must be supplied if AAD is used. Add algorithm test
1523      support.
1524      [Steve Henson]
1525
1526   *) Initial version of POST overhaul. Add POST callback to allow the status
1527      of POST to be monitored and/or failures induced. Modify fips_test_suite
1528      to use callback. Always run all selftests even if one fails.
1529      [Steve Henson]
1530
1531   *) XTS support including algorithm test driver in the fips_gcmtest program.
1532      Note: this does increase the maximum key length from 32 to 64 bytes but
1533      there should be no binary compatibility issues as existing applications
1534      will never use XTS mode.
1535      [Steve Henson]
1536
1537   *) Extensive reorganisation of FIPS PRNG behaviour. Remove all dependencies
1538      to OpenSSL RAND code and replace with a tiny FIPS RAND API which also
1539      performs algorithm blocking for unapproved PRNG types. Also do not
1540      set PRNG type in FIPS_mode_set(): leave this to the application.
1541      Add default OpenSSL DRBG handling: sets up FIPS PRNG and seeds with
1542      the standard OpenSSL PRNG: set additional data to a date time vector.
1543      [Steve Henson]
1544
1545   *) Rename old X9.31 PRNG functions of the form FIPS_rand* to FIPS_x931*.
1546      This shouldn't present any incompatibility problems because applications
1547      shouldn't be using these directly and any that are will need to rethink
1548      anyway as the X9.31 PRNG is now deprecated by FIPS 140-2
1549      [Steve Henson]
1550
1551   *) Extensive self tests and health checking required by SP800-90 DRBG.
1552      Remove strength parameter from FIPS_drbg_instantiate and always
1553      instantiate at maximum supported strength.
1554      [Steve Henson]
1555
1556   *) Add ECDH code to fips module and fips_ecdhvs for primitives only testing.
1557      [Steve Henson]
1558
1559   *) New algorithm test program fips_dhvs to handle DH primitives only testing.
1560      [Steve Henson]
1561
1562   *) New function DH_compute_key_padded() to compute a DH key and pad with
1563      leading zeroes if needed: this complies with SP800-56A et al.
1564      [Steve Henson]
1565
1566   *) Initial implementation of SP800-90 DRBGs for Hash and CTR. Not used by
1567      anything, incomplete, subject to change and largely untested at present.
1568      [Steve Henson]
1569
1570   *) Modify fipscanisteronly build option to only build the necessary object
1571      files by filtering FIPS_EX_OBJ through a perl script in crypto/Makefile.
1572      [Steve Henson]
1573
1574   *) Add experimental option FIPSSYMS to give all symbols in
1575      fipscanister.o and FIPS or fips prefix. This will avoid
1576      conflicts with future versions of OpenSSL. Add perl script
1577      util/fipsas.pl to preprocess assembly language source files
1578      and rename any affected symbols.
1579      [Steve Henson]
1580
1581   *) Add selftest checks and algorithm block of non-fips algorithms in
1582      FIPS mode. Remove DES2 from selftests.
1583      [Steve Henson]
1584
1585   *) Add ECDSA code to fips module. Add tiny fips_ecdsa_check to just
1586      return internal method without any ENGINE dependencies. Add new
1587      tiny fips sign and verify functions.
1588      [Steve Henson]
1589
1590   *) New build option no-ec2m to disable characteristic 2 code.
1591      [Steve Henson]
1592
1593   *) New build option "fipscanisteronly". This only builds fipscanister.o
1594      and (currently) associated fips utilities. Uses the file Makefile.fips
1595      instead of Makefile.org as the prototype.
1596      [Steve Henson]
1597
1598   *) Add some FIPS mode restrictions to GCM. Add internal IV generator.
1599      Update fips_gcmtest to use IV generator.
1600      [Steve Henson]
1601
1602   *) Initial, experimental EVP support for AES-GCM. AAD can be input by
1603      setting output buffer to NULL. The *Final function must be
1604      called although it will not retrieve any additional data. The tag
1605      can be set or retrieved with a ctrl. The IV length is by default 12
1606      bytes (96 bits) but can be set to an alternative value. If the IV
1607      length exceeds the maximum IV length (currently 16 bytes) it cannot be
1608      set before the key.
1609      [Steve Henson]
1610
1611   *) New flag in ciphers: EVP_CIPH_FLAG_CUSTOM_CIPHER. This means the
1612      underlying do_cipher function handles all cipher semantics itself
1613      including padding and finalisation. This is useful if (for example)
1614      an ENGINE cipher handles block padding itself. The behaviour of
1615      do_cipher is subtly changed if this flag is set: the return value
1616      is the number of characters written to the output buffer (zero is
1617      no longer an error code) or a negative error code. Also if the
1618      input buffer is NULL and length 0 finalisation should be performed.
1619      [Steve Henson]
1620
1621   *) If a candidate issuer certificate is already part of the constructed
1622      path ignore it: new debug notification X509_V_ERR_PATH_LOOP for this case.
1623      [Steve Henson]
1624
1625   *) Improve forward-security support: add functions
1626
1627        void SSL_CTX_set_not_resumable_session_callback(SSL_CTX *ctx, int (*cb)(SSL *ssl, int is_forward_secure))
1628        void SSL_set_not_resumable_session_callback(SSL *ssl, int (*cb)(SSL *ssl, int is_forward_secure))
1629
1630      for use by SSL/TLS servers; the callback function will be called whenever a
1631      new session is created, and gets to decide whether the session may be
1632      cached to make it resumable (return 0) or not (return 1).  (As by the
1633      SSL/TLS protocol specifications, the session_id sent by the server will be
1634      empty to indicate that the session is not resumable; also, the server will
1635      not generate RFC 4507 (RFC 5077) session tickets.)
1636
1637      A simple reasonable callback implementation is to return is_forward_secure.
1638      This parameter will be set to 1 or 0 depending on the ciphersuite selected
1639      by the SSL/TLS server library, indicating whether it can provide forward
1640      security.
1641      [Emilia Käsper <emilia.kasper@esat.kuleuven.be> (Google)]
1642
1643   *) New -verify_name option in command line utilities to set verification
1644      parameters by name.
1645      [Steve Henson]
1646
1647   *) Initial CMAC implementation. WARNING: EXPERIMENTAL, API MAY CHANGE.
1648      Add CMAC pkey methods.
1649      [Steve Henson]
1650
1651   *) Experimental renegotiation in s_server -www mode. If the client
1652      browses /reneg connection is renegotiated. If /renegcert it is
1653      renegotiated requesting a certificate.
1654      [Steve Henson]
1655
1656   *) Add an "external" session cache for debugging purposes to s_server. This
1657      should help trace issues which normally are only apparent in deployed
1658      multi-process servers.
1659      [Steve Henson]
1660
1661   *) Extensive audit of libcrypto with DEBUG_UNUSED. Fix many cases where
1662      return value is ignored. NB. The functions RAND_add(), RAND_seed(),
1663      BIO_set_cipher() and some obscure PEM functions were changed so they
1664      can now return an error. The RAND changes required a change to the
1665      RAND_METHOD structure.
1666      [Steve Henson]
1667
1668   *) New macro __owur for "OpenSSL Warn Unused Result". This makes use of
1669      a gcc attribute to warn if the result of a function is ignored. This
1670      is enable if DEBUG_UNUSED is set. Add to several functions in evp.h
1671      whose return value is often ignored.
1672      [Steve Henson]
1673
1674   *) New -noct, -requestct, -requirect and -ctlogfile options for s_client.
1675      These allow SCTs (signed certificate timestamps) to be requested and
1676      validated when establishing a connection.
1677      [Rob Percival <robpercival@google.com>]
1678
1679  Changes between 1.0.2g and 1.0.2h [3 May 2016]
1680
1681   *) Prevent padding oracle in AES-NI CBC MAC check
1682
1683      A MITM attacker can use a padding oracle attack to decrypt traffic
1684      when the connection uses an AES CBC cipher and the server support
1685      AES-NI.
1686
1687      This issue was introduced as part of the fix for Lucky 13 padding
1688      attack (CVE-2013-0169). The padding check was rewritten to be in
1689      constant time by making sure that always the same bytes are read and
1690      compared against either the MAC or padding bytes. But it no longer
1691      checked that there was enough data to have both the MAC and padding
1692      bytes.
1693
1694      This issue was reported by Juraj Somorovsky using TLS-Attacker.
1695      (CVE-2016-2107)
1696      [Kurt Roeckx]
1697
1698   *) Fix EVP_EncodeUpdate overflow
1699
1700      An overflow can occur in the EVP_EncodeUpdate() function which is used for
1701      Base64 encoding of binary data. If an attacker is able to supply very large
1702      amounts of input data then a length check can overflow resulting in a heap
1703      corruption.
1704
1705      Internally to OpenSSL the EVP_EncodeUpdate() function is primarily used by
1706      the PEM_write_bio* family of functions. These are mainly used within the
1707      OpenSSL command line applications, so any application which processes data
1708      from an untrusted source and outputs it as a PEM file should be considered
1709      vulnerable to this issue. User applications that call these APIs directly
1710      with large amounts of untrusted data may also be vulnerable.
1711
1712      This issue was reported by Guido Vranken.
1713      (CVE-2016-2105)
1714      [Matt Caswell]
1715
1716   *) Fix EVP_EncryptUpdate overflow
1717
1718      An overflow can occur in the EVP_EncryptUpdate() function. If an attacker
1719      is able to supply very large amounts of input data after a previous call to
1720      EVP_EncryptUpdate() with a partial block then a length check can overflow
1721      resulting in a heap corruption. Following an analysis of all OpenSSL
1722      internal usage of the EVP_EncryptUpdate() function all usage is one of two
1723      forms. The first form is where the EVP_EncryptUpdate() call is known to be
1724      the first called function after an EVP_EncryptInit(), and therefore that
1725      specific call must be safe. The second form is where the length passed to
1726      EVP_EncryptUpdate() can be seen from the code to be some small value and
1727      therefore there is no possibility of an overflow. Since all instances are
1728      one of these two forms, it is believed that there can be no overflows in
1729      internal code due to this problem. It should be noted that
1730      EVP_DecryptUpdate() can call EVP_EncryptUpdate() in certain code paths.
1731      Also EVP_CipherUpdate() is a synonym for EVP_EncryptUpdate(). All instances
1732      of these calls have also been analysed too and it is believed there are no
1733      instances in internal usage where an overflow could occur.
1734
1735      This issue was reported by Guido Vranken.
1736      (CVE-2016-2106)
1737      [Matt Caswell]
1738
1739   *) Prevent ASN.1 BIO excessive memory allocation
1740
1741      When ASN.1 data is read from a BIO using functions such as d2i_CMS_bio()
1742      a short invalid encoding can cause allocation of large amounts of memory
1743      potentially consuming excessive resources or exhausting memory.
1744
1745      Any application parsing untrusted data through d2i BIO functions is
1746      affected. The memory based functions such as d2i_X509() are *not* affected.
1747      Since the memory based functions are used by the TLS library, TLS
1748      applications are not affected.
1749
1750      This issue was reported by Brian Carpenter.
1751      (CVE-2016-2109)
1752      [Stephen Henson]
1753
1754   *) EBCDIC overread
1755
1756      ASN1 Strings that are over 1024 bytes can cause an overread in applications
1757      using the X509_NAME_oneline() function on EBCDIC systems. This could result
1758      in arbitrary stack data being returned in the buffer.
1759
1760      This issue was reported by Guido Vranken.
1761      (CVE-2016-2176)
1762      [Matt Caswell]
1763
1764   *) Modify behavior of ALPN to invoke callback after SNI/servername
1765      callback, such that updates to the SSL_CTX affect ALPN.
1766      [Todd Short]
1767
1768   *) Remove LOW from the DEFAULT cipher list.  This removes singles DES from the
1769      default.
1770      [Kurt Roeckx]
1771
1772   *) Only remove the SSLv2 methods with the no-ssl2-method option. When the
1773      methods are enabled and ssl2 is disabled the methods return NULL.
1774      [Kurt Roeckx]
1775
1776  Changes between 1.0.2f and 1.0.2g [1 Mar 2016]
1777
1778   * Disable weak ciphers in SSLv3 and up in default builds of OpenSSL.
1779     Builds that are not configured with "enable-weak-ssl-ciphers" will not
1780     provide any "EXPORT" or "LOW" strength ciphers.
1781     [Viktor Dukhovni]
1782
1783   * Disable SSLv2 default build, default negotiation and weak ciphers.  SSLv2
1784     is by default disabled at build-time.  Builds that are not configured with
1785     "enable-ssl2" will not support SSLv2.  Even if "enable-ssl2" is used,
1786     users who want to negotiate SSLv2 via the version-flexible SSLv23_method()
1787     will need to explicitly call either of:
1788
1789         SSL_CTX_clear_options(ctx, SSL_OP_NO_SSLv2);
1790     or
1791         SSL_clear_options(ssl, SSL_OP_NO_SSLv2);
1792
1793     as appropriate.  Even if either of those is used, or the application
1794     explicitly uses the version-specific SSLv2_method() or its client and
1795     server variants, SSLv2 ciphers vulnerable to exhaustive search key
1796     recovery have been removed.  Specifically, the SSLv2 40-bit EXPORT
1797     ciphers, and SSLv2 56-bit DES are no longer available.
1798     (CVE-2016-0800)
1799     [Viktor Dukhovni]
1800
1801   *) Fix a double-free in DSA code
1802
1803      A double free bug was discovered when OpenSSL parses malformed DSA private
1804      keys and could lead to a DoS attack or memory corruption for applications
1805      that receive DSA private keys from untrusted sources.  This scenario is
1806      considered rare.
1807
1808      This issue was reported to OpenSSL by Adam Langley(Google/BoringSSL) using
1809      libFuzzer.
1810      (CVE-2016-0705)
1811      [Stephen Henson]
1812
1813   *) Disable SRP fake user seed to address a server memory leak.
1814
1815      Add a new method SRP_VBASE_get1_by_user that handles the seed properly.
1816
1817      SRP_VBASE_get_by_user had inconsistent memory management behaviour.
1818      In order to fix an unavoidable memory leak, SRP_VBASE_get_by_user
1819      was changed to ignore the "fake user" SRP seed, even if the seed
1820      is configured.
1821
1822      Users should use SRP_VBASE_get1_by_user instead. Note that in
1823      SRP_VBASE_get1_by_user, caller must free the returned value. Note
1824      also that even though configuring the SRP seed attempts to hide
1825      invalid usernames by continuing the handshake with fake
1826      credentials, this behaviour is not constant time and no strong
1827      guarantees are made that the handshake is indistinguishable from
1828      that of a valid user.
1829      (CVE-2016-0798)
1830      [Emilia Käsper]
1831
1832   *) Fix BN_hex2bn/BN_dec2bn NULL pointer deref/heap corruption
1833
1834      In the BN_hex2bn function the number of hex digits is calculated using an
1835      int value |i|. Later |bn_expand| is called with a value of |i * 4|. For
1836      large values of |i| this can result in |bn_expand| not allocating any
1837      memory because |i * 4| is negative. This can leave the internal BIGNUM data
1838      field as NULL leading to a subsequent NULL ptr deref. For very large values
1839      of |i|, the calculation |i * 4| could be a positive value smaller than |i|.
1840      In this case memory is allocated to the internal BIGNUM data field, but it
1841      is insufficiently sized leading to heap corruption. A similar issue exists
1842      in BN_dec2bn. This could have security consequences if BN_hex2bn/BN_dec2bn
1843      is ever called by user applications with very large untrusted hex/dec data.
1844      This is anticipated to be a rare occurrence.
1845
1846      All OpenSSL internal usage of these functions use data that is not expected
1847      to be untrusted, e.g. config file data or application command line
1848      arguments. If user developed applications generate config file data based
1849      on untrusted data then it is possible that this could also lead to security
1850      consequences. This is also anticipated to be rare.
1851
1852      This issue was reported to OpenSSL by Guido Vranken.
1853      (CVE-2016-0797)
1854      [Matt Caswell]
1855
1856   *) Fix memory issues in BIO_*printf functions
1857
1858      The internal |fmtstr| function used in processing a "%s" format string in
1859      the BIO_*printf functions could overflow while calculating the length of a
1860      string and cause an OOB read when printing very long strings.
1861
1862      Additionally the internal |doapr_outch| function can attempt to write to an
1863      OOB memory location (at an offset from the NULL pointer) in the event of a
1864      memory allocation failure. In 1.0.2 and below this could be caused where
1865      the size of a buffer to be allocated is greater than INT_MAX. E.g. this
1866      could be in processing a very long "%s" format string. Memory leaks can
1867      also occur.
1868
1869      The first issue may mask the second issue dependent on compiler behaviour.
1870      These problems could enable attacks where large amounts of untrusted data
1871      is passed to the BIO_*printf functions. If applications use these functions
1872      in this way then they could be vulnerable. OpenSSL itself uses these
1873      functions when printing out human-readable dumps of ASN.1 data. Therefore
1874      applications that print this data could be vulnerable if the data is from
1875      untrusted sources. OpenSSL command line applications could also be
1876      vulnerable where they print out ASN.1 data, or if untrusted data is passed
1877      as command line arguments.
1878
1879      Libssl is not considered directly vulnerable. Additionally certificates etc
1880      received via remote connections via libssl are also unlikely to be able to
1881      trigger these issues because of message size limits enforced within libssl.
1882
1883      This issue was reported to OpenSSL Guido Vranken.
1884      (CVE-2016-0799)
1885      [Matt Caswell]
1886
1887   *) Side channel attack on modular exponentiation
1888
1889      A side-channel attack was found which makes use of cache-bank conflicts on
1890      the Intel Sandy-Bridge microarchitecture which could lead to the recovery
1891      of RSA keys.  The ability to exploit this issue is limited as it relies on
1892      an attacker who has control of code in a thread running on the same
1893      hyper-threaded core as the victim thread which is performing decryptions.
1894
1895      This issue was reported to OpenSSL by Yuval Yarom, The University of
1896      Adelaide and NICTA, Daniel Genkin, Technion and Tel Aviv University, and
1897      Nadia Heninger, University of Pennsylvania with more information at
1898      http://cachebleed.info.
1899      (CVE-2016-0702)
1900      [Andy Polyakov]
1901
1902   *) Change the req app to generate a 2048-bit RSA/DSA key by default,
1903      if no keysize is specified with default_bits. This fixes an
1904      omission in an earlier change that changed all RSA/DSA key generation
1905      apps to use 2048 bits by default.
1906      [Emilia Käsper]
1907
1908  Changes between 1.0.2e and 1.0.2f [28 Jan 2016]
1909   *) DH small subgroups
1910
1911      Historically OpenSSL only ever generated DH parameters based on "safe"
1912      primes. More recently (in version 1.0.2) support was provided for
1913      generating X9.42 style parameter files such as those required for RFC 5114
1914      support. The primes used in such files may not be "safe". Where an
1915      application is using DH configured with parameters based on primes that are
1916      not "safe" then an attacker could use this fact to find a peer's private
1917      DH exponent. This attack requires that the attacker complete multiple
1918      handshakes in which the peer uses the same private DH exponent. For example
1919      this could be used to discover a TLS server's private DH exponent if it's
1920      reusing the private DH exponent or it's using a static DH ciphersuite.
1921
1922      OpenSSL provides the option SSL_OP_SINGLE_DH_USE for ephemeral DH (DHE) in
1923      TLS. It is not on by default. If the option is not set then the server
1924      reuses the same private DH exponent for the life of the server process and
1925      would be vulnerable to this attack. It is believed that many popular
1926      applications do set this option and would therefore not be at risk.
1927
1928      The fix for this issue adds an additional check where a "q" parameter is
1929      available (as is the case in X9.42 based parameters). This detects the
1930      only known attack, and is the only possible defense for static DH
1931      ciphersuites. This could have some performance impact.
1932
1933      Additionally the SSL_OP_SINGLE_DH_USE option has been switched on by
1934      default and cannot be disabled. This could have some performance impact.
1935
1936      This issue was reported to OpenSSL by Antonio Sanso (Adobe).
1937      (CVE-2016-0701)
1938      [Matt Caswell]
1939
1940   *) SSLv2 doesn't block disabled ciphers
1941
1942      A malicious client can negotiate SSLv2 ciphers that have been disabled on
1943      the server and complete SSLv2 handshakes even if all SSLv2 ciphers have
1944      been disabled, provided that the SSLv2 protocol was not also disabled via
1945      SSL_OP_NO_SSLv2.
1946
1947      This issue was reported to OpenSSL on 26th December 2015 by Nimrod Aviram
1948      and Sebastian Schinzel.
1949      (CVE-2015-3197)
1950      [Viktor Dukhovni]
1951
1952  Changes between 1.0.2d and 1.0.2e [3 Dec 2015]
1953
1954   *) BN_mod_exp may produce incorrect results on x86_64
1955
1956      There is a carry propagating bug in the x86_64 Montgomery squaring
1957      procedure. No EC algorithms are affected. Analysis suggests that attacks
1958      against RSA and DSA as a result of this defect would be very difficult to
1959      perform and are not believed likely. Attacks against DH are considered just
1960      feasible (although very difficult) because most of the work necessary to
1961      deduce information about a private key may be performed offline. The amount
1962      of resources required for such an attack would be very significant and
1963      likely only accessible to a limited number of attackers. An attacker would
1964      additionally need online access to an unpatched system using the target
1965      private key in a scenario with persistent DH parameters and a private
1966      key that is shared between multiple clients. For example this can occur by
1967      default in OpenSSL DHE based SSL/TLS ciphersuites.
1968
1969      This issue was reported to OpenSSL by Hanno Böck.
1970      (CVE-2015-3193)
1971      [Andy Polyakov]
1972
1973   *) Certificate verify crash with missing PSS parameter
1974
1975      The signature verification routines will crash with a NULL pointer
1976      dereference if presented with an ASN.1 signature using the RSA PSS
1977      algorithm and absent mask generation function parameter. Since these
1978      routines are used to verify certificate signature algorithms this can be
1979      used to crash any certificate verification operation and exploited in a
1980      DoS attack. Any application which performs certificate verification is
1981      vulnerable including OpenSSL clients and servers which enable client
1982      authentication.
1983
1984      This issue was reported to OpenSSL by Loïc Jonas Etienne (Qnective AG).
1985      (CVE-2015-3194)
1986      [Stephen Henson]
1987
1988   *) X509_ATTRIBUTE memory leak
1989
1990      When presented with a malformed X509_ATTRIBUTE structure OpenSSL will leak
1991      memory. This structure is used by the PKCS#7 and CMS routines so any
1992      application which reads PKCS#7 or CMS data from untrusted sources is
1993      affected. SSL/TLS is not affected.
1994
1995      This issue was reported to OpenSSL by Adam Langley (Google/BoringSSL) using
1996      libFuzzer.
1997      (CVE-2015-3195)
1998      [Stephen Henson]
1999
2000   *) Rewrite EVP_DecodeUpdate (base64 decoding) to fix several bugs.
2001      This changes the decoding behaviour for some invalid messages,
2002      though the change is mostly in the more lenient direction, and
2003      legacy behaviour is preserved as much as possible.
2004      [Emilia Käsper]
2005
2006   *) In DSA_generate_parameters_ex, if the provided seed is too short,
2007      return an error
2008      [Rich Salz and Ismo Puustinen <ismo.puustinen@intel.com>]
2009
2010  Changes between 1.0.2c and 1.0.2d [9 Jul 2015]
2011
2012   *) Alternate chains certificate forgery
2013
2014      During certificate verification, OpenSSL will attempt to find an
2015      alternative certificate chain if the first attempt to build such a chain
2016      fails. An error in the implementation of this logic can mean that an
2017      attacker could cause certain checks on untrusted certificates to be
2018      bypassed, such as the CA flag, enabling them to use a valid leaf
2019      certificate to act as a CA and "issue" an invalid certificate.
2020
2021      This issue was reported to OpenSSL by Adam Langley/David Benjamin
2022      (Google/BoringSSL).
2023      [Matt Caswell]
2024
2025  Changes between 1.0.2b and 1.0.2c [12 Jun 2015]
2026
2027   *) Fix HMAC ABI incompatibility. The previous version introduced an ABI
2028      incompatibility in the handling of HMAC. The previous ABI has now been
2029      restored.
2030      [Matt Caswell]
2031
2032  Changes between 1.0.2a and 1.0.2b [11 Jun 2015]
2033
2034   *) Malformed ECParameters causes infinite loop
2035
2036      When processing an ECParameters structure OpenSSL enters an infinite loop
2037      if the curve specified is over a specially malformed binary polynomial
2038      field.
2039
2040      This can be used to perform denial of service against any
2041      system which processes public keys, certificate requests or
2042      certificates.  This includes TLS clients and TLS servers with
2043      client authentication enabled.
2044
2045      This issue was reported to OpenSSL by Joseph Barr-Pixton.
2046      (CVE-2015-1788)
2047      [Andy Polyakov]
2048
2049   *) Exploitable out-of-bounds read in X509_cmp_time
2050
2051      X509_cmp_time does not properly check the length of the ASN1_TIME
2052      string and can read a few bytes out of bounds. In addition,
2053      X509_cmp_time accepts an arbitrary number of fractional seconds in the
2054      time string.
2055
2056      An attacker can use this to craft malformed certificates and CRLs of
2057      various sizes and potentially cause a segmentation fault, resulting in
2058      a DoS on applications that verify certificates or CRLs. TLS clients
2059      that verify CRLs are affected. TLS clients and servers with client
2060      authentication enabled may be affected if they use custom verification
2061      callbacks.
2062
2063      This issue was reported to OpenSSL by Robert Swiecki (Google), and
2064      independently by Hanno Böck.
2065      (CVE-2015-1789)
2066      [Emilia Käsper]
2067
2068   *) PKCS7 crash with missing EnvelopedContent
2069
2070      The PKCS#7 parsing code does not handle missing inner EncryptedContent
2071      correctly. An attacker can craft malformed ASN.1-encoded PKCS#7 blobs
2072      with missing content and trigger a NULL pointer dereference on parsing.
2073
2074      Applications that decrypt PKCS#7 data or otherwise parse PKCS#7
2075      structures from untrusted sources are affected. OpenSSL clients and
2076      servers are not affected.
2077
2078      This issue was reported to OpenSSL by Michal Zalewski (Google).
2079      (CVE-2015-1790)
2080      [Emilia Käsper]
2081
2082   *) CMS verify infinite loop with unknown hash function
2083
2084      When verifying a signedData message the CMS code can enter an infinite loop
2085      if presented with an unknown hash function OID. This can be used to perform
2086      denial of service against any system which verifies signedData messages using
2087      the CMS code.
2088      This issue was reported to OpenSSL by Johannes Bauer.
2089      (CVE-2015-1792)
2090      [Stephen Henson]
2091
2092   *) Race condition handling NewSessionTicket
2093
2094      If a NewSessionTicket is received by a multi-threaded client when attempting to
2095      reuse a previous ticket then a race condition can occur potentially leading to
2096      a double free of the ticket data.
2097      (CVE-2015-1791)
2098      [Matt Caswell]
2099
2100   *) Only support 256-bit or stronger elliptic curves with the
2101      'ecdh_auto' setting (server) or by default (client). Of supported
2102      curves, prefer P-256 (both).
2103      [Emilia Kasper]
2104
2105  Changes between 1.0.2 and 1.0.2a [19 Mar 2015]
2106
2107   *) ClientHello sigalgs DoS fix
2108
2109      If a client connects to an OpenSSL 1.0.2 server and renegotiates with an
2110      invalid signature algorithms extension a NULL pointer dereference will
2111      occur. This can be exploited in a DoS attack against the server.
2112
2113      This issue was was reported to OpenSSL by David Ramos of Stanford
2114      University.
2115      (CVE-2015-0291)
2116      [Stephen Henson and Matt Caswell]
2117
2118   *) Multiblock corrupted pointer fix
2119
2120      OpenSSL 1.0.2 introduced the "multiblock" performance improvement. This
2121      feature only applies on 64 bit x86 architecture platforms that support AES
2122      NI instructions. A defect in the implementation of "multiblock" can cause
2123      OpenSSL's internal write buffer to become incorrectly set to NULL when
2124      using non-blocking IO. Typically, when the user application is using a
2125      socket BIO for writing, this will only result in a failed connection.
2126      However if some other BIO is used then it is likely that a segmentation
2127      fault will be triggered, thus enabling a potential DoS attack.
2128
2129      This issue was reported to OpenSSL by Daniel Danner and Rainer Mueller.
2130      (CVE-2015-0290)
2131      [Matt Caswell]
2132
2133   *) Segmentation fault in DTLSv1_listen fix
2134
2135      The DTLSv1_listen function is intended to be stateless and processes the
2136      initial ClientHello from many peers. It is common for user code to loop
2137      over the call to DTLSv1_listen until a valid ClientHello is received with
2138      an associated cookie. A defect in the implementation of DTLSv1_listen means
2139      that state is preserved in the SSL object from one invocation to the next
2140      that can lead to a segmentation fault. Errors processing the initial
2141      ClientHello can trigger this scenario. An example of such an error could be
2142      that a DTLS1.0 only client is attempting to connect to a DTLS1.2 only
2143      server.
2144
2145      This issue was reported to OpenSSL by Per Allansson.
2146      (CVE-2015-0207)
2147      [Matt Caswell]
2148
2149   *) Segmentation fault in ASN1_TYPE_cmp fix
2150
2151      The function ASN1_TYPE_cmp will crash with an invalid read if an attempt is
2152      made to compare ASN.1 boolean types. Since ASN1_TYPE_cmp is used to check
2153      certificate signature algorithm consistency this can be used to crash any
2154      certificate verification operation and exploited in a DoS attack. Any
2155      application which performs certificate verification is vulnerable including
2156      OpenSSL clients and servers which enable client authentication.
2157      (CVE-2015-0286)
2158      [Stephen Henson]
2159
2160   *) Segmentation fault for invalid PSS parameters fix
2161
2162      The signature verification routines will crash with a NULL pointer
2163      dereference if presented with an ASN.1 signature using the RSA PSS
2164      algorithm and invalid parameters. Since these routines are used to verify
2165      certificate signature algorithms this can be used to crash any
2166      certificate verification operation and exploited in a DoS attack. Any
2167      application which performs certificate verification is vulnerable including
2168      OpenSSL clients and servers which enable client authentication.
2169
2170      This issue was was reported to OpenSSL by Brian Carpenter.
2171      (CVE-2015-0208)
2172      [Stephen Henson]
2173
2174   *) ASN.1 structure reuse memory corruption fix
2175
2176      Reusing a structure in ASN.1 parsing may allow an attacker to cause
2177      memory corruption via an invalid write. Such reuse is and has been
2178      strongly discouraged and is believed to be rare.
2179
2180      Applications that parse structures containing CHOICE or ANY DEFINED BY
2181      components may be affected. Certificate parsing (d2i_X509 and related
2182      functions) are however not affected. OpenSSL clients and servers are
2183      not affected.
2184      (CVE-2015-0287)
2185      [Stephen Henson]
2186
2187   *) PKCS7 NULL pointer dereferences fix
2188
2189      The PKCS#7 parsing code does not handle missing outer ContentInfo
2190      correctly. An attacker can craft malformed ASN.1-encoded PKCS#7 blobs with
2191      missing content and trigger a NULL pointer dereference on parsing.
2192
2193      Applications that verify PKCS#7 signatures, decrypt PKCS#7 data or
2194      otherwise parse PKCS#7 structures from untrusted sources are
2195      affected. OpenSSL clients and servers are not affected.
2196
2197      This issue was reported to OpenSSL by Michal Zalewski (Google).
2198      (CVE-2015-0289)
2199      [Emilia Käsper]
2200
2201   *) DoS via reachable assert in SSLv2 servers fix
2202
2203      A malicious client can trigger an OPENSSL_assert (i.e., an abort) in
2204      servers that both support SSLv2 and enable export cipher suites by sending
2205      a specially crafted SSLv2 CLIENT-MASTER-KEY message.
2206
2207      This issue was discovered by Sean Burford (Google) and Emilia Käsper
2208      (OpenSSL development team).
2209      (CVE-2015-0293)
2210      [Emilia Käsper]
2211
2212   *) Empty CKE with client auth and DHE fix
2213
2214      If client auth is used then a server can seg fault in the event of a DHE
2215      ciphersuite being selected and a zero length ClientKeyExchange message
2216      being sent by the client. This could be exploited in a DoS attack.
2217      (CVE-2015-1787)
2218      [Matt Caswell]
2219
2220   *) Handshake with unseeded PRNG fix
2221
2222      Under certain conditions an OpenSSL 1.0.2 client can complete a handshake
2223      with an unseeded PRNG. The conditions are:
2224      - The client is on a platform where the PRNG has not been seeded
2225      automatically, and the user has not seeded manually
2226      - A protocol specific client method version has been used (i.e. not
2227      SSL_client_methodv23)
2228      - A ciphersuite is used that does not require additional random data from
2229      the PRNG beyond the initial ClientHello client random (e.g. PSK-RC4-SHA).
2230
2231      If the handshake succeeds then the client random that has been used will
2232      have been generated from a PRNG with insufficient entropy and therefore the
2233      output may be predictable.
2234
2235      For example using the following command with an unseeded openssl will
2236      succeed on an unpatched platform:
2237
2238      openssl s_client -psk 1a2b3c4d -tls1_2 -cipher PSK-RC4-SHA
2239      (CVE-2015-0285)
2240      [Matt Caswell]
2241
2242   *) Use After Free following d2i_ECPrivatekey error fix
2243
2244      A malformed EC private key file consumed via the d2i_ECPrivateKey function
2245      could cause a use after free condition. This, in turn, could cause a double
2246      free in several private key parsing functions (such as d2i_PrivateKey
2247      or EVP_PKCS82PKEY) and could lead to a DoS attack or memory corruption
2248      for applications that receive EC private keys from untrusted
2249      sources. This scenario is considered rare.
2250
2251      This issue was discovered by the BoringSSL project and fixed in their
2252      commit 517073cd4b.
2253      (CVE-2015-0209)
2254      [Matt Caswell]
2255
2256   *) X509_to_X509_REQ NULL pointer deref fix
2257
2258      The function X509_to_X509_REQ will crash with a NULL pointer dereference if
2259      the certificate key is invalid. This function is rarely used in practice.
2260
2261      This issue was discovered by Brian Carpenter.
2262      (CVE-2015-0288)
2263      [Stephen Henson]
2264
2265   *) Removed the export ciphers from the DEFAULT ciphers
2266      [Kurt Roeckx]
2267
2268  Changes between 1.0.1l and 1.0.2 [22 Jan 2015]
2269
2270   *) Facilitate "universal" ARM builds targeting range of ARM ISAs, e.g.
2271      ARMv5 through ARMv8, as opposite to "locking" it to single one.
2272      So far those who have to target multiple platforms would compromise
2273      and argue that binary targeting say ARMv5 would still execute on
2274      ARMv8. "Universal" build resolves this compromise by providing
2275      near-optimal performance even on newer platforms.
2276      [Andy Polyakov]
2277
2278   *) Accelerated NIST P-256 elliptic curve implementation for x86_64
2279      (other platforms pending).
2280      [Shay Gueron & Vlad Krasnov (Intel Corp), Andy Polyakov]
2281
2282   *) Add support for the SignedCertificateTimestampList certificate and
2283      OCSP response extensions from RFC6962.
2284      [Rob Stradling]
2285
2286   *) Fix ec_GFp_simple_points_make_affine (thus, EC_POINTs_mul etc.)
2287      for corner cases. (Certain input points at infinity could lead to
2288      bogus results, with non-infinity inputs mapped to infinity too.)
2289      [Bodo Moeller]
2290
2291   *) Initial support for PowerISA 2.0.7, first implemented in POWER8.
2292      This covers AES, SHA256/512 and GHASH. "Initial" means that most
2293      common cases are optimized and there still is room for further
2294      improvements. Vector Permutation AES for Altivec is also added.
2295      [Andy Polyakov]
2296
2297   *) Add support for little-endian ppc64 Linux target.
2298      [Marcelo Cerri (IBM)]
2299
2300   *) Initial support for AMRv8 ISA crypto extensions. This covers AES,
2301      SHA1, SHA256 and GHASH. "Initial" means that most common cases
2302      are optimized and there still is room for further improvements.
2303      Both 32- and 64-bit modes are supported.
2304      [Andy Polyakov, Ard Biesheuvel (Linaro)]
2305
2306   *) Improved ARMv7 NEON support.
2307      [Andy Polyakov]
2308
2309   *) Support for SPARC Architecture 2011 crypto extensions, first
2310      implemented in SPARC T4. This covers AES, DES, Camellia, SHA1,
2311      SHA256/512, MD5, GHASH and modular exponentiation.
2312      [Andy Polyakov, David Miller]
2313
2314   *) Accelerated modular exponentiation for Intel processors, a.k.a.
2315      RSAZ.
2316      [Shay Gueron & Vlad Krasnov (Intel Corp)]
2317
2318   *) Support for new and upcoming Intel processors, including AVX2,
2319      BMI and SHA ISA extensions. This includes additional "stitched"
2320      implementations, AESNI-SHA256 and GCM, and multi-buffer support
2321      for TLS encrypt.
2322
2323      This work was sponsored by Intel Corp.
2324      [Andy Polyakov]
2325
2326   *) Support for DTLS 1.2. This adds two sets of DTLS methods: DTLS_*_method()
2327      supports both DTLS 1.2 and 1.0 and should use whatever version the peer
2328      supports and DTLSv1_2_*_method() which supports DTLS 1.2 only.
2329      [Steve Henson]
2330
2331   *) Use algorithm specific chains in SSL_CTX_use_certificate_chain_file():
2332      this fixes a limitation in previous versions of OpenSSL.
2333      [Steve Henson]
2334
2335   *) Extended RSA OAEP support via EVP_PKEY API. Options to specify digest,
2336      MGF1 digest and OAEP label.
2337      [Steve Henson]
2338
2339   *) Add EVP support for key wrapping algorithms, to avoid problems with
2340      existing code the flag EVP_CIPHER_CTX_WRAP_ALLOW has to be set in
2341      the EVP_CIPHER_CTX or an error is returned. Add AES and DES3 wrap
2342      algorithms and include tests cases.
2343      [Steve Henson]
2344
2345   *) Add functions to allocate and set the fields of an ECDSA_METHOD
2346      structure.
2347      [Douglas E. Engert, Steve Henson]
2348
2349   *) New functions OPENSSL_gmtime_diff and ASN1_TIME_diff to find the
2350      difference in days and seconds between two tm or ASN1_TIME structures.
2351      [Steve Henson]
2352
2353   *) Add -rev test option to s_server to just reverse order of characters
2354      received by client and send back to server. Also prints an abbreviated
2355      summary of the connection parameters.
2356      [Steve Henson]
2357
2358   *) New option -brief for s_client and s_server to print out a brief summary
2359      of connection parameters.
2360      [Steve Henson]
2361
2362   *) Add callbacks for arbitrary TLS extensions.
2363      [Trevor Perrin <trevp@trevp.net> and Ben Laurie]
2364
2365   *) New option -crl_download in several openssl utilities to download CRLs
2366      from CRLDP extension in certificates.
2367      [Steve Henson]
2368
2369   *) New options -CRL and -CRLform for s_client and s_server for CRLs.
2370      [Steve Henson]
2371
2372   *) New function X509_CRL_diff to generate a delta CRL from the difference
2373      of two full CRLs. Add support to "crl" utility.
2374      [Steve Henson]
2375
2376   *) New functions to set lookup_crls function and to retrieve
2377      X509_STORE from X509_STORE_CTX.
2378      [Steve Henson]
2379
2380   *) Print out deprecated issuer and subject unique ID fields in
2381      certificates.
2382      [Steve Henson]
2383
2384   *) Extend OCSP I/O functions so they can be used for simple general purpose
2385      HTTP as well as OCSP. New wrapper function which can be used to download
2386      CRLs using the OCSP API.
2387      [Steve Henson]
2388
2389   *) Delegate command line handling in s_client/s_server to SSL_CONF APIs.
2390      [Steve Henson]
2391
2392   *) SSL_CONF* functions. These provide a common framework for application
2393      configuration using configuration files or command lines.
2394      [Steve Henson]
2395
2396   *) SSL/TLS tracing code. This parses out SSL/TLS records using the
2397      message callback and prints the results. Needs compile time option
2398      "enable-ssl-trace". New options to s_client and s_server to enable
2399      tracing.
2400      [Steve Henson]
2401
2402   *) New ctrl and macro to retrieve supported points extensions.
2403      Print out extension in s_server and s_client.
2404      [Steve Henson]
2405
2406   *) New functions to retrieve certificate signature and signature
2407      OID NID.
2408      [Steve Henson]
2409
2410   *) Add functions to retrieve and manipulate the raw cipherlist sent by a
2411      client to OpenSSL.
2412      [Steve Henson]
2413
2414   *) New Suite B modes for TLS code. These use and enforce the requirements
2415      of RFC6460: restrict ciphersuites, only permit Suite B algorithms and
2416      only use Suite B curves. The Suite B modes can be set by using the
2417      strings "SUITEB128", "SUITEB192" or "SUITEB128ONLY" for the cipherstring.
2418      [Steve Henson]
2419
2420   *) New chain verification flags for Suite B levels of security. Check
2421      algorithms are acceptable when flags are set in X509_verify_cert.
2422      [Steve Henson]
2423
2424   *) Make tls1_check_chain return a set of flags indicating checks passed
2425      by a certificate chain. Add additional tests to handle client
2426      certificates: checks for matching certificate type and issuer name
2427      comparison.
2428      [Steve Henson]
2429
2430   *) If an attempt is made to use a signature algorithm not in the peer
2431      preference list abort the handshake. If client has no suitable
2432      signature algorithms in response to a certificate request do not
2433      use the certificate.
2434      [Steve Henson]
2435
2436   *) If server EC tmp key is not in client preference list abort handshake.
2437      [Steve Henson]
2438
2439   *) Add support for certificate stores in CERT structure. This makes it
2440      possible to have different stores per SSL structure or one store in
2441      the parent SSL_CTX. Include distinct stores for certificate chain
2442      verification and chain building. New ctrl SSL_CTRL_BUILD_CERT_CHAIN
2443      to build and store a certificate chain in CERT structure: returning
2444      an error if the chain cannot be built: this will allow applications
2445      to test if a chain is correctly configured.
2446
2447      Note: if the CERT based stores are not set then the parent SSL_CTX
2448      store is used to retain compatibility with existing behaviour.
2449
2450      [Steve Henson]
2451
2452   *) New function ssl_set_client_disabled to set a ciphersuite disabled
2453      mask based on the current session, check mask when sending client
2454      hello and checking the requested ciphersuite.
2455      [Steve Henson]
2456
2457   *) New ctrls to retrieve and set certificate types in a certificate
2458      request message. Print out received values in s_client. If certificate
2459      types is not set with custom values set sensible values based on
2460      supported signature algorithms.
2461      [Steve Henson]
2462
2463   *) Support for distinct client and server supported signature algorithms.
2464      [Steve Henson]
2465
2466   *) Add certificate callback. If set this is called whenever a certificate
2467      is required by client or server. An application can decide which
2468      certificate chain to present based on arbitrary criteria: for example
2469      supported signature algorithms. Add very simple example to s_server.
2470      This fixes many of the problems and restrictions of the existing client
2471      certificate callback: for example you can now clear an existing
2472      certificate and specify the whole chain.
2473      [Steve Henson]
2474
2475   *) Add new "valid_flags" field to CERT_PKEY structure which determines what
2476      the certificate can be used for (if anything). Set valid_flags field
2477      in new tls1_check_chain function. Simplify ssl_set_cert_masks which used
2478      to have similar checks in it.
2479
2480      Add new "cert_flags" field to CERT structure and include a "strict mode".
2481      This enforces some TLS certificate requirements (such as only permitting
2482      certificate signature algorithms contained in the supported algorithms
2483      extension) which some implementations ignore: this option should be used
2484      with caution as it could cause interoperability issues.
2485      [Steve Henson]
2486
2487   *) Update and tidy signature algorithm extension processing. Work out
2488      shared signature algorithms based on preferences and peer algorithms
2489      and print them out in s_client and s_server. Abort handshake if no
2490      shared signature algorithms.
2491      [Steve Henson]
2492
2493   *) Add new functions to allow customised supported signature algorithms
2494      for SSL and SSL_CTX structures. Add options to s_client and s_server
2495      to support them.
2496      [Steve Henson]
2497
2498   *) New function SSL_certs_clear() to delete all references to certificates
2499      from an SSL structure. Before this once a certificate had been added
2500      it couldn't be removed.
2501      [Steve Henson]
2502
2503   *) Integrate hostname, email address and IP address checking with certificate
2504      verification. New verify options supporting checking in openssl utility.
2505      [Steve Henson]
2506
2507   *) Fixes and wildcard matching support to hostname and email checking
2508      functions. Add manual page.
2509      [Florian Weimer (Red Hat Product Security Team)]
2510
2511   *) New functions to check a hostname email or IP address against a
2512      certificate. Add options x509 utility to print results of checks against
2513      a certificate.
2514      [Steve Henson]
2515
2516   *) Fix OCSP checking.
2517      [Rob Stradling <rob.stradling@comodo.com> and Ben Laurie]
2518
2519   *) Initial experimental support for explicitly trusted non-root CAs.
2520      OpenSSL still tries to build a complete chain to a root but if an
2521      intermediate CA has a trust setting included that is used. The first
2522      setting is used: whether to trust (e.g., -addtrust option to the x509
2523      utility) or reject.
2524      [Steve Henson]
2525
2526   *) Add -trusted_first option which attempts to find certificates in the
2527      trusted store even if an untrusted chain is also supplied.
2528      [Steve Henson]
2529
2530   *) MIPS assembly pack updates: support for MIPS32r2 and SmartMIPS ASE,
2531      platform support for Linux and Android.
2532      [Andy Polyakov]
2533
2534   *) Support for linux-x32, ILP32 environment in x86_64 framework.
2535      [Andy Polyakov]
2536
2537   *) Experimental multi-implementation support for FIPS capable OpenSSL.
2538      When in FIPS mode the approved implementations are used as normal,
2539      when not in FIPS mode the internal unapproved versions are used instead.
2540      This means that the FIPS capable OpenSSL isn't forced to use the
2541      (often lower performance) FIPS implementations outside FIPS mode.
2542      [Steve Henson]
2543
2544   *) Transparently support X9.42 DH parameters when calling
2545      PEM_read_bio_DHparameters. This means existing applications can handle
2546      the new parameter format automatically.
2547      [Steve Henson]
2548
2549   *) Initial experimental support for X9.42 DH parameter format: mainly
2550      to support use of 'q' parameter for RFC5114 parameters.
2551      [Steve Henson]
2552
2553   *) Add DH parameters from RFC5114 including test data to dhtest.
2554      [Steve Henson]
2555
2556   *) Support for automatic EC temporary key parameter selection. If enabled
2557      the most preferred EC parameters are automatically used instead of
2558      hardcoded fixed parameters. Now a server just has to call:
2559      SSL_CTX_set_ecdh_auto(ctx, 1) and the server will automatically
2560      support ECDH and use the most appropriate parameters.
2561      [Steve Henson]
2562
2563   *) Enhance and tidy EC curve and point format TLS extension code. Use
2564      static structures instead of allocation if default values are used.
2565      New ctrls to set curves we wish to support and to retrieve shared curves.
2566      Print out shared curves in s_server. New options to s_server and s_client
2567      to set list of supported curves.
2568      [Steve Henson]
2569
2570   *) New ctrls to retrieve supported signature algorithms and
2571      supported curve values as an array of NIDs. Extend openssl utility
2572      to print out received values.
2573      [Steve Henson]
2574
2575   *) Add new APIs EC_curve_nist2nid and EC_curve_nid2nist which convert
2576      between NIDs and the more common NIST names such as "P-256". Enhance
2577      ecparam utility and ECC method to recognise the NIST names for curves.
2578      [Steve Henson]
2579
2580   *) Enhance SSL/TLS certificate chain handling to support different
2581      chains for each certificate instead of one chain in the parent SSL_CTX.
2582      [Steve Henson]
2583
2584   *) Support for fixed DH ciphersuite client authentication: where both
2585      server and client use DH certificates with common parameters.
2586      [Steve Henson]
2587
2588   *) Support for fixed DH ciphersuites: those requiring DH server
2589      certificates.
2590      [Steve Henson]
2591
2592   *) New function i2d_re_X509_tbs for re-encoding the TBS portion of
2593      the certificate.
2594      Note: Related 1.0.2-beta specific macros X509_get_cert_info,
2595      X509_CINF_set_modified, X509_CINF_get_issuer, X509_CINF_get_extensions and
2596      X509_CINF_get_signature were reverted post internal team review.
2597
2598  Changes between 1.0.1k and 1.0.1l [15 Jan 2015]
2599
2600   *) Build fixes for the Windows and OpenVMS platforms
2601      [Matt Caswell and Richard Levitte]
2602
2603  Changes between 1.0.1j and 1.0.1k [8 Jan 2015]
2604
2605   *) Fix DTLS segmentation fault in dtls1_get_record. A carefully crafted DTLS
2606      message can cause a segmentation fault in OpenSSL due to a NULL pointer
2607      dereference. This could lead to a Denial Of Service attack. Thanks to
2608      Markus Stenberg of Cisco Systems, Inc. for reporting this issue.
2609      (CVE-2014-3571)
2610      [Steve Henson]
2611
2612   *) Fix DTLS memory leak in dtls1_buffer_record. A memory leak can occur in the
2613      dtls1_buffer_record function under certain conditions. In particular this
2614      could occur if an attacker sent repeated DTLS records with the same
2615      sequence number but for the next epoch. The memory leak could be exploited
2616      by an attacker in a Denial of Service attack through memory exhaustion.
2617      Thanks to Chris Mueller for reporting this issue.
2618      (CVE-2015-0206)
2619      [Matt Caswell]
2620
2621   *) Fix issue where no-ssl3 configuration sets method to NULL. When openssl is
2622      built with the no-ssl3 option and a SSL v3 ClientHello is received the ssl
2623      method would be set to NULL which could later result in a NULL pointer
2624      dereference. Thanks to Frank Schmirler for reporting this issue.
2625      (CVE-2014-3569)
2626      [Kurt Roeckx]
2627
2628   *) Abort handshake if server key exchange message is omitted for ephemeral
2629      ECDH ciphersuites.
2630
2631      Thanks to Karthikeyan Bhargavan of the PROSECCO team at INRIA for
2632      reporting this issue.
2633      (CVE-2014-3572)
2634      [Steve Henson]
2635
2636   *) Remove non-export ephemeral RSA code on client and server. This code
2637      violated the TLS standard by allowing the use of temporary RSA keys in
2638      non-export ciphersuites and could be used by a server to effectively
2639      downgrade the RSA key length used to a value smaller than the server
2640      certificate. Thanks for Karthikeyan Bhargavan of the PROSECCO team at
2641      INRIA or reporting this issue.
2642      (CVE-2015-0204)
2643      [Steve Henson]
2644
2645   *) Fixed issue where DH client certificates are accepted without verification.
2646      An OpenSSL server will accept a DH certificate for client authentication
2647      without the certificate verify message. This effectively allows a client to
2648      authenticate without the use of a private key. This only affects servers
2649      which trust a client certificate authority which issues certificates
2650      containing DH keys: these are extremely rare and hardly ever encountered.
2651      Thanks for Karthikeyan Bhargavan of the PROSECCO team at INRIA or reporting
2652      this issue.
2653      (CVE-2015-0205)
2654      [Steve Henson]
2655
2656   *) Ensure that the session ID context of an SSL is updated when its
2657      SSL_CTX is updated via SSL_set_SSL_CTX.
2658
2659      The session ID context is typically set from the parent SSL_CTX,
2660      and can vary with the CTX.
2661      [Adam Langley]
2662
2663   *) Fix various certificate fingerprint issues.
2664
2665      By using non-DER or invalid encodings outside the signed portion of a
2666      certificate the fingerprint can be changed without breaking the signature.
2667      Although no details of the signed portion of the certificate can be changed
2668      this can cause problems with some applications: e.g. those using the
2669      certificate fingerprint for blacklists.
2670
2671      1. Reject signatures with non zero unused bits.
2672
2673      If the BIT STRING containing the signature has non zero unused bits reject
2674      the signature. All current signature algorithms require zero unused bits.
2675
2676      2. Check certificate algorithm consistency.
2677
2678      Check the AlgorithmIdentifier inside TBS matches the one in the
2679      certificate signature. NB: this will result in signature failure
2680      errors for some broken certificates.
2681
2682      Thanks to Konrad Kraszewski from Google for reporting this issue.
2683
2684      3. Check DSA/ECDSA signatures use DER.
2685
2686      Re-encode DSA/ECDSA signatures and compare with the original received
2687      signature. Return an error if there is a mismatch.
2688
2689      This will reject various cases including garbage after signature
2690      (thanks to Antti Karjalainen and Tuomo Untinen from the Codenomicon CROSS
2691      program for discovering this case) and use of BER or invalid ASN.1 INTEGERs
2692      (negative or with leading zeroes).
2693
2694      Further analysis was conducted and fixes were developed by Stephen Henson
2695      of the OpenSSL core team.
2696
2697      (CVE-2014-8275)
2698      [Steve Henson]
2699
2700    *) Correct Bignum squaring. Bignum squaring (BN_sqr) may produce incorrect
2701       results on some platforms, including x86_64. This bug occurs at random
2702       with a very low probability, and is not known to be exploitable in any
2703       way, though its exact impact is difficult to determine. Thanks to Pieter
2704       Wuille (Blockstream) who reported this issue and also suggested an initial
2705       fix. Further analysis was conducted by the OpenSSL development team and
2706       Adam Langley of Google. The final fix was developed by Andy Polyakov of
2707       the OpenSSL core team.
2708       (CVE-2014-3570)
2709       [Andy Polyakov]
2710
2711    *) Do not resume sessions on the server if the negotiated protocol
2712       version does not match the session's version. Resuming with a different
2713       version, while not strictly forbidden by the RFC, is of questionable
2714       sanity and breaks all known clients.
2715       [David Benjamin, Emilia Käsper]
2716
2717    *) Tighten handling of the ChangeCipherSpec (CCS) message: reject
2718       early CCS messages during renegotiation. (Note that because
2719       renegotiation is encrypted, this early CCS was not exploitable.)
2720       [Emilia Käsper]
2721
2722    *) Tighten client-side session ticket handling during renegotiation:
2723       ensure that the client only accepts a session ticket if the server sends
2724       the extension anew in the ServerHello. Previously, a TLS client would
2725       reuse the old extension state and thus accept a session ticket if one was
2726       announced in the initial ServerHello.
2727
2728       Similarly, ensure that the client requires a session ticket if one
2729       was advertised in the ServerHello. Previously, a TLS client would
2730       ignore a missing NewSessionTicket message.
2731       [Emilia Käsper]
2732
2733  Changes between 1.0.1i and 1.0.1j [15 Oct 2014]
2734
2735   *) SRTP Memory Leak.
2736
2737      A flaw in the DTLS SRTP extension parsing code allows an attacker, who
2738      sends a carefully crafted handshake message, to cause OpenSSL to fail
2739      to free up to 64k of memory causing a memory leak. This could be
2740      exploited in a Denial Of Service attack. This issue affects OpenSSL
2741      1.0.1 server implementations for both SSL/TLS and DTLS regardless of
2742      whether SRTP is used or configured. Implementations of OpenSSL that
2743      have been compiled with OPENSSL_NO_SRTP defined are not affected.
2744
2745      The fix was developed by the OpenSSL team.
2746      (CVE-2014-3513)
2747      [OpenSSL team]
2748
2749   *) Session Ticket Memory Leak.
2750
2751      When an OpenSSL SSL/TLS/DTLS server receives a session ticket the
2752      integrity of that ticket is first verified. In the event of a session
2753      ticket integrity check failing, OpenSSL will fail to free memory
2754      causing a memory leak. By sending a large number of invalid session
2755      tickets an attacker could exploit this issue in a Denial Of Service
2756      attack.
2757      (CVE-2014-3567)
2758      [Steve Henson]
2759
2760   *) Build option no-ssl3 is incomplete.
2761
2762      When OpenSSL is configured with "no-ssl3" as a build option, servers
2763      could accept and complete a SSL 3.0 handshake, and clients could be
2764      configured to send them.
2765      (CVE-2014-3568)
2766      [Akamai and the OpenSSL team]
2767
2768   *) Add support for TLS_FALLBACK_SCSV.
2769      Client applications doing fallback retries should call
2770      SSL_set_mode(s, SSL_MODE_SEND_FALLBACK_SCSV).
2771      (CVE-2014-3566)
2772      [Adam Langley, Bodo Moeller]
2773
2774   *) Add additional DigestInfo checks.
2775
2776      Re-encode DigestInto in DER and check against the original when
2777      verifying RSA signature: this will reject any improperly encoded
2778      DigestInfo structures.
2779
2780      Note: this is a precautionary measure and no attacks are currently known.
2781
2782      [Steve Henson]
2783
2784  Changes between 1.0.1h and 1.0.1i [6 Aug 2014]
2785
2786   *) Fix SRP buffer overrun vulnerability. Invalid parameters passed to the
2787      SRP code can be overrun an internal buffer. Add sanity check that
2788      g, A, B < N to SRP code.
2789
2790      Thanks to Sean Devlin and Watson Ladd of Cryptography Services, NCC
2791      Group for discovering this issue.
2792      (CVE-2014-3512)
2793      [Steve Henson]
2794
2795   *) A flaw in the OpenSSL SSL/TLS server code causes the server to negotiate
2796      TLS 1.0 instead of higher protocol versions when the ClientHello message
2797      is badly fragmented. This allows a man-in-the-middle attacker to force a
2798      downgrade to TLS 1.0 even if both the server and the client support a
2799      higher protocol version, by modifying the client's TLS records.
2800
2801      Thanks to David Benjamin and Adam Langley (Google) for discovering and
2802      researching this issue.
2803      (CVE-2014-3511)
2804      [David Benjamin]
2805
2806   *) OpenSSL DTLS clients enabling anonymous (EC)DH ciphersuites are subject
2807      to a denial of service attack. A malicious server can crash the client
2808      with a null pointer dereference (read) by specifying an anonymous (EC)DH
2809      ciphersuite and sending carefully crafted handshake messages.
2810
2811      Thanks to Felix Gröbert (Google) for discovering and researching this
2812      issue.
2813      (CVE-2014-3510)
2814      [Emilia Käsper]
2815
2816   *) By sending carefully crafted DTLS packets an attacker could cause openssl
2817      to leak memory. This can be exploited through a Denial of Service attack.
2818      Thanks to Adam Langley for discovering and researching this issue.
2819      (CVE-2014-3507)
2820      [Adam Langley]
2821
2822   *) An attacker can force openssl to consume large amounts of memory whilst
2823      processing DTLS handshake messages. This can be exploited through a
2824      Denial of Service attack.
2825      Thanks to Adam Langley for discovering and researching this issue.
2826      (CVE-2014-3506)
2827      [Adam Langley]
2828
2829   *) An attacker can force an error condition which causes openssl to crash
2830      whilst processing DTLS packets due to memory being freed twice. This
2831      can be exploited through a Denial of Service attack.
2832      Thanks to Adam Langley and Wan-Teh Chang for discovering and researching
2833      this issue.
2834      (CVE-2014-3505)
2835      [Adam Langley]
2836
2837   *) If a multithreaded client connects to a malicious server using a resumed
2838      session and the server sends an ec point format extension it could write
2839      up to 255 bytes to freed memory.
2840
2841      Thanks to Gabor Tyukasz (LogMeIn Inc) for discovering and researching this
2842      issue.
2843      (CVE-2014-3509)
2844      [Gabor Tyukasz]
2845
2846   *) A malicious server can crash an OpenSSL client with a null pointer
2847      dereference (read) by specifying an SRP ciphersuite even though it was not
2848      properly negotiated with the client. This can be exploited through a
2849      Denial of Service attack.
2850
2851      Thanks to Joonas Kuorilehto and Riku Hietamäki (Codenomicon) for
2852      discovering and researching this issue.
2853      (CVE-2014-5139)
2854      [Steve Henson]
2855
2856   *) A flaw in OBJ_obj2txt may cause pretty printing functions such as
2857      X509_name_oneline, X509_name_print_ex et al. to leak some information
2858      from the stack. Applications may be affected if they echo pretty printing
2859      output to the attacker.
2860
2861      Thanks to Ivan Fratric (Google) for discovering this issue.
2862      (CVE-2014-3508)
2863      [Emilia Käsper, and Steve Henson]
2864
2865   *) Fix ec_GFp_simple_points_make_affine (thus, EC_POINTs_mul etc.)
2866      for corner cases. (Certain input points at infinity could lead to
2867      bogus results, with non-infinity inputs mapped to infinity too.)
2868      [Bodo Moeller]
2869
2870  Changes between 1.0.1g and 1.0.1h [5 Jun 2014]
2871
2872   *) Fix for SSL/TLS MITM flaw. An attacker using a carefully crafted
2873      handshake can force the use of weak keying material in OpenSSL
2874      SSL/TLS clients and servers.
2875
2876      Thanks to KIKUCHI Masashi (Lepidum Co. Ltd.) for discovering and
2877      researching this issue. (CVE-2014-0224)
2878      [KIKUCHI Masashi, Steve Henson]
2879
2880   *) Fix DTLS recursion flaw. By sending an invalid DTLS handshake to an
2881      OpenSSL DTLS client the code can be made to recurse eventually crashing
2882      in a DoS attack.
2883
2884      Thanks to Imre Rad (Search-Lab Ltd.) for discovering this issue.
2885      (CVE-2014-0221)
2886      [Imre Rad, Steve Henson]
2887
2888   *) Fix DTLS invalid fragment vulnerability. A buffer overrun attack can
2889      be triggered by sending invalid DTLS fragments to an OpenSSL DTLS
2890      client or server. This is potentially exploitable to run arbitrary
2891      code on a vulnerable client or server.
2892
2893      Thanks to Jüri Aedla for reporting this issue. (CVE-2014-0195)
2894      [Jüri Aedla, Steve Henson]
2895
2896   *) Fix bug in TLS code where clients enable anonymous ECDH ciphersuites
2897      are subject to a denial of service attack.
2898
2899      Thanks to Felix Gröbert and Ivan Fratric at Google for discovering
2900      this issue. (CVE-2014-3470)
2901      [Felix Gröbert, Ivan Fratric, Steve Henson]
2902
2903   *) Harmonize version and its documentation. -f flag is used to display
2904      compilation flags.
2905      [mancha <mancha1@zoho.com>]
2906
2907   *) Fix eckey_priv_encode so it immediately returns an error upon a failure
2908      in i2d_ECPrivateKey.
2909      [mancha <mancha1@zoho.com>]
2910
2911   *) Fix some double frees. These are not thought to be exploitable.
2912      [mancha <mancha1@zoho.com>]
2913
2914  Changes between 1.0.1f and 1.0.1g [7 Apr 2014]
2915
2916   *) A missing bounds check in the handling of the TLS heartbeat extension
2917      can be used to reveal up to 64k of memory to a connected client or
2918      server.
2919
2920      Thanks for Neel Mehta of Google Security for discovering this bug and to
2921      Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for
2922      preparing the fix (CVE-2014-0160)
2923      [Adam Langley, Bodo Moeller]
2924
2925   *) Fix for the attack described in the paper "Recovering OpenSSL
2926      ECDSA Nonces Using the FLUSH+RELOAD Cache Side-channel Attack"
2927      by Yuval Yarom and Naomi Benger. Details can be obtained from:
2928      http://eprint.iacr.org/2014/140
2929
2930      Thanks to Yuval Yarom and Naomi Benger for discovering this
2931      flaw and to Yuval Yarom for supplying a fix (CVE-2014-0076)
2932      [Yuval Yarom and Naomi Benger]
2933
2934   *) TLS pad extension: draft-agl-tls-padding-03
2935
2936      Workaround for the "TLS hang bug" (see FAQ and PR#2771): if the
2937      TLS client Hello record length value would otherwise be > 255 and
2938      less that 512 pad with a dummy extension containing zeroes so it
2939      is at least 512 bytes long.
2940
2941      [Adam Langley, Steve Henson]
2942
2943  Changes between 1.0.1e and 1.0.1f [6 Jan 2014]
2944
2945   *) Fix for TLS record tampering bug. A carefully crafted invalid
2946      handshake could crash OpenSSL with a NULL pointer exception.
2947      Thanks to Anton Johansson for reporting this issues.
2948      (CVE-2013-4353)
2949
2950   *) Keep original DTLS digest and encryption contexts in retransmission
2951      structures so we can use the previous session parameters if they need
2952      to be resent. (CVE-2013-6450)
2953      [Steve Henson]
2954
2955   *) Add option SSL_OP_SAFARI_ECDHE_ECDSA_BUG (part of SSL_OP_ALL) which
2956      avoids preferring ECDHE-ECDSA ciphers when the client appears to be
2957      Safari on OS X.  Safari on OS X 10.8..10.8.3 advertises support for
2958      several ECDHE-ECDSA ciphers, but fails to negotiate them.  The bug
2959      is fixed in OS X 10.8.4, but Apple have ruled out both hot fixing
2960      10.8..10.8.3 and forcing users to upgrade to 10.8.4 or newer.
2961      [Rob Stradling, Adam Langley]
2962
2963  Changes between 1.0.1d and 1.0.1e [11 Feb 2013]
2964
2965   *) Correct fix for CVE-2013-0169. The original didn't work on AES-NI
2966      supporting platforms or when small records were transferred.
2967      [Andy Polyakov, Steve Henson]
2968
2969  Changes between 1.0.1c and 1.0.1d [5 Feb 2013]
2970
2971   *) Make the decoding of SSLv3, TLS and DTLS CBC records constant time.
2972
2973      This addresses the flaw in CBC record processing discovered by
2974      Nadhem Alfardan and Kenny Paterson. Details of this attack can be found
2975      at: http://www.isg.rhul.ac.uk/tls/
2976
2977      Thanks go to Nadhem Alfardan and Kenny Paterson of the Information
2978      Security Group at Royal Holloway, University of London
2979      (www.isg.rhul.ac.uk) for discovering this flaw and Adam Langley and
2980      Emilia Käsper for the initial patch.
2981      (CVE-2013-0169)
2982      [Emilia Käsper, Adam Langley, Ben Laurie, Andy Polyakov, Steve Henson]
2983
2984   *) Fix flaw in AESNI handling of TLS 1.2 and 1.1 records for CBC mode
2985      ciphersuites which can be exploited in a denial of service attack.
2986      Thanks go to and to Adam Langley <agl@chromium.org> for discovering
2987      and detecting this bug and to Wolfgang Ettlinger
2988      <wolfgang.ettlinger@gmail.com> for independently discovering this issue.
2989      (CVE-2012-2686)
2990      [Adam Langley]
2991
2992   *) Return an error when checking OCSP signatures when key is NULL.
2993      This fixes a DoS attack. (CVE-2013-0166)
2994      [Steve Henson]
2995
2996   *) Make openssl verify return errors.
2997      [Chris Palmer <palmer@google.com> and Ben Laurie]
2998
2999   *) Call OCSP Stapling callback after ciphersuite has been chosen, so
3000      the right response is stapled. Also change SSL_get_certificate()
3001      so it returns the certificate actually sent.
3002      See http://rt.openssl.org/Ticket/Display.html?id=2836.
3003      [Rob Stradling <rob.stradling@comodo.com>]
3004
3005   *) Fix possible deadlock when decoding public keys.
3006      [Steve Henson]
3007
3008   *) Don't use TLS 1.0 record version number in initial client hello
3009      if renegotiating.
3010      [Steve Henson]
3011
3012  Changes between 1.0.1b and 1.0.1c [10 May 2012]
3013
3014   *) Sanity check record length before skipping explicit IV in TLS
3015      1.2, 1.1 and DTLS to fix DoS attack.
3016
3017      Thanks to Codenomicon for discovering this issue using Fuzz-o-Matic
3018      fuzzing as a service testing platform.
3019      (CVE-2012-2333)
3020      [Steve Henson]
3021
3022   *) Initialise tkeylen properly when encrypting CMS messages.
3023      Thanks to Solar Designer of Openwall for reporting this issue.
3024      [Steve Henson]
3025
3026   *) In FIPS mode don't try to use composite ciphers as they are not
3027      approved.
3028      [Steve Henson]
3029
3030  Changes between 1.0.1a and 1.0.1b [26 Apr 2012]
3031
3032   *) OpenSSL 1.0.0 sets SSL_OP_ALL to 0x80000FFFL and OpenSSL 1.0.1 and
3033      1.0.1a set SSL_OP_NO_TLSv1_1 to 0x00000400L which would unfortunately
3034      mean any application compiled against OpenSSL 1.0.0 headers setting
3035      SSL_OP_ALL would also set SSL_OP_NO_TLSv1_1, unintentionally disabling
3036      TLS 1.1 also. Fix this by changing the value of SSL_OP_NO_TLSv1_1 to
3037      0x10000000L Any application which was previously compiled against
3038      OpenSSL 1.0.1 or 1.0.1a headers and which cares about SSL_OP_NO_TLSv1_1
3039      will need to be recompiled as a result. Letting be results in
3040      inability to disable specifically TLS 1.1 and in client context,
3041      in unlike event, limit maximum offered version to TLS 1.0 [see below].
3042      [Steve Henson]
3043
3044   *) In order to ensure interoperability SSL_OP_NO_protocolX does not
3045      disable just protocol X, but all protocols above X *if* there are
3046      protocols *below* X still enabled. In more practical terms it means
3047      that if application wants to disable TLS1.0 in favor of TLS1.1 and
3048      above, it's not sufficient to pass SSL_OP_NO_TLSv1, one has to pass
3049      SSL_OP_NO_TLSv1|SSL_OP_NO_SSLv3|SSL_OP_NO_SSLv2. This applies to
3050      client side.
3051      [Andy Polyakov]
3052
3053  Changes between 1.0.1 and 1.0.1a [19 Apr 2012]
3054
3055   *) Check for potentially exploitable overflows in asn1_d2i_read_bio
3056      BUF_mem_grow and BUF_mem_grow_clean. Refuse attempts to shrink buffer
3057      in CRYPTO_realloc_clean.
3058
3059      Thanks to Tavis Ormandy, Google Security Team, for discovering this
3060      issue and to Adam Langley <agl@chromium.org> for fixing it.
3061      (CVE-2012-2110)
3062      [Adam Langley (Google), Tavis Ormandy, Google Security Team]
3063
3064   *) Don't allow TLS 1.2 SHA-256 ciphersuites in TLS 1.0, 1.1 connections.
3065      [Adam Langley]
3066
3067   *) Workarounds for some broken servers that "hang" if a client hello
3068      record length exceeds 255 bytes.
3069
3070      1. Do not use record version number > TLS 1.0 in initial client
3071         hello: some (but not all) hanging servers will now work.
3072      2. If we set OPENSSL_MAX_TLS1_2_CIPHER_LENGTH this will truncate
3073         the number of ciphers sent in the client hello. This should be
3074         set to an even number, such as 50, for example by passing:
3075         -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 to config or Configure.
3076         Most broken servers should now work.
3077      3. If all else fails setting OPENSSL_NO_TLS1_2_CLIENT will disable
3078         TLS 1.2 client support entirely.
3079      [Steve Henson]
3080
3081   *) Fix SEGV in Vector Permutation AES module observed in OpenSSH.
3082      [Andy Polyakov]
3083
3084  Changes between 1.0.0h and 1.0.1  [14 Mar 2012]
3085
3086   *) Add compatibility with old MDC2 signatures which use an ASN1 OCTET
3087      STRING form instead of a DigestInfo.
3088      [Steve Henson]
3089
3090   *) The format used for MDC2 RSA signatures is inconsistent between EVP
3091      and the RSA_sign/RSA_verify functions. This was made more apparent when
3092      OpenSSL used RSA_sign/RSA_verify for some RSA signatures in particular
3093      those which went through EVP_PKEY_METHOD in 1.0.0 and later. Detect
3094      the correct format in RSA_verify so both forms transparently work.
3095      [Steve Henson]
3096
3097   *) Some servers which support TLS 1.0 can choke if we initially indicate
3098      support for TLS 1.2 and later renegotiate using TLS 1.0 in the RSA
3099      encrypted premaster secret. As a workaround use the maximum permitted
3100      client version in client hello, this should keep such servers happy
3101      and still work with previous versions of OpenSSL.
3102      [Steve Henson]
3103
3104   *) Add support for TLS/DTLS heartbeats.
3105      [Robin Seggelmann <seggelmann@fh-muenster.de>]
3106
3107   *) Add support for SCTP.
3108      [Robin Seggelmann <seggelmann@fh-muenster.de>]
3109
3110   *) Improved PRNG seeding for VOS.
3111      [Paul Green <Paul.Green@stratus.com>]
3112
3113   *) Extensive assembler packs updates, most notably:
3114
3115         - x86[_64]:     AES-NI, PCLMULQDQ, RDRAND support;
3116         - x86[_64]:     SSSE3 support (SHA1, vector-permutation AES);
3117         - x86_64:       bit-sliced AES implementation;
3118         - ARM:          NEON support, contemporary platforms optimizations;
3119         - s390x:        z196 support;
3120         - *:            GHASH and GF(2^m) multiplication implementations;
3121
3122      [Andy Polyakov]
3123
3124   *) Make TLS-SRP code conformant with RFC 5054 API cleanup
3125      (removal of unnecessary code)
3126      [Peter Sylvester <peter.sylvester@edelweb.fr>]
3127
3128   *) Add TLS key material exporter from RFC 5705.
3129      [Eric Rescorla]
3130
3131   *) Add DTLS-SRTP negotiation from RFC 5764.
3132      [Eric Rescorla]
3133
3134   *) Add Next Protocol Negotiation,
3135      http://tools.ietf.org/html/draft-agl-tls-nextprotoneg-00. Can be
3136      disabled with a no-npn flag to config or Configure. Code donated
3137      by Google.
3138      [Adam Langley <agl@google.com> and Ben Laurie]
3139
3140   *) Add optional 64-bit optimized implementations of elliptic curves NIST-P224,
3141      NIST-P256, NIST-P521, with constant-time single point multiplication on
3142      typical inputs. Compiler support for the nonstandard type __uint128_t is
3143      required to use this (present in gcc 4.4 and later, for 64-bit builds).
3144      Code made available under Apache License version 2.0.
3145
3146      Specify "enable-ec_nistp_64_gcc_128" on the Configure (or config) command
3147      line to include this in your build of OpenSSL, and run "make depend" (or
3148      "make update"). This enables the following EC_METHODs:
3149
3150          EC_GFp_nistp224_method()
3151          EC_GFp_nistp256_method()
3152          EC_GFp_nistp521_method()
3153
3154      EC_GROUP_new_by_curve_name() will automatically use these (while
3155      EC_GROUP_new_curve_GFp() currently prefers the more flexible
3156      implementations).
3157      [Emilia Käsper, Adam Langley, Bodo Moeller (Google)]
3158
3159   *) Use type ossl_ssize_t instad of ssize_t which isn't available on
3160      all platforms. Move ssize_t definition from e_os.h to the public
3161      header file e_os2.h as it now appears in public header file cms.h
3162      [Steve Henson]
3163
3164   *) New -sigopt option to the ca, req and x509 utilities. Additional
3165      signature parameters can be passed using this option and in
3166      particular PSS.
3167      [Steve Henson]
3168
3169   *) Add RSA PSS signing function. This will generate and set the
3170      appropriate AlgorithmIdentifiers for PSS based on those in the
3171      corresponding EVP_MD_CTX structure. No application support yet.
3172      [Steve Henson]
3173
3174   *) Support for companion algorithm specific ASN1 signing routines.
3175      New function ASN1_item_sign_ctx() signs a pre-initialised
3176      EVP_MD_CTX structure and sets AlgorithmIdentifiers based on
3177      the appropriate parameters.
3178      [Steve Henson]
3179
3180   *) Add new algorithm specific ASN1 verification initialisation function
3181      to EVP_PKEY_ASN1_METHOD: this is not in EVP_PKEY_METHOD since the ASN1
3182      handling will be the same no matter what EVP_PKEY_METHOD is used.
3183      Add a PSS handler to support verification of PSS signatures: checked
3184      against a number of sample certificates.
3185      [Steve Henson]
3186
3187   *) Add signature printing for PSS. Add PSS OIDs.
3188      [Steve Henson, Martin Kaiser <lists@kaiser.cx>]
3189
3190   *) Add algorithm specific signature printing. An individual ASN1 method
3191      can now print out signatures instead of the standard hex dump.
3192
3193      More complex signatures (e.g. PSS) can print out more meaningful
3194      information. Include DSA version that prints out the signature
3195      parameters r, s.
3196      [Steve Henson]
3197
3198   *) Password based recipient info support for CMS library: implementing
3199      RFC3211.
3200      [Steve Henson]
3201
3202   *) Split password based encryption into PBES2 and PBKDF2 functions. This
3203      neatly separates the code into cipher and PBE sections and is required
3204      for some algorithms that split PBES2 into separate pieces (such as
3205      password based CMS).
3206      [Steve Henson]
3207
3208   *) Session-handling fixes:
3209      - Fix handling of connections that are resuming with a session ID,
3210        but also support Session Tickets.
3211      - Fix a bug that suppressed issuing of a new ticket if the client
3212        presented a ticket with an expired session.
3213      - Try to set the ticket lifetime hint to something reasonable.
3214      - Make tickets shorter by excluding irrelevant information.
3215      - On the client side, don't ignore renewed tickets.
3216      [Adam Langley, Bodo Moeller (Google)]
3217
3218   *) Fix PSK session representation.
3219      [Bodo Moeller]
3220
3221   *) Add RC4-MD5 and AESNI-SHA1 "stitched" implementations.
3222
3223      This work was sponsored by Intel.
3224      [Andy Polyakov]
3225
3226   *) Add GCM support to TLS library. Some custom code is needed to split
3227      the IV between the fixed (from PRF) and explicit (from TLS record)
3228      portions. This adds all GCM ciphersuites supported by RFC5288 and
3229      RFC5289. Generalise some AES* cipherstrings to include GCM and
3230      add a special AESGCM string for GCM only.
3231      [Steve Henson]
3232
3233   *) Expand range of ctrls for AES GCM. Permit setting invocation
3234      field on decrypt and retrieval of invocation field only on encrypt.
3235      [Steve Henson]
3236
3237   *) Add HMAC ECC ciphersuites from RFC5289. Include SHA384 PRF support.
3238      As required by RFC5289 these ciphersuites cannot be used if for
3239      versions of TLS earlier than 1.2.
3240      [Steve Henson]
3241
3242   *) For FIPS capable OpenSSL interpret a NULL default public key method
3243      as unset and return the appropriate default but do *not* set the default.
3244      This means we can return the appropriate method in applications that
3245      switch between FIPS and non-FIPS modes.
3246      [Steve Henson]
3247
3248   *) Redirect HMAC and CMAC operations to FIPS module in FIPS mode. If an
3249      ENGINE is used then we cannot handle that in the FIPS module so we
3250      keep original code iff non-FIPS operations are allowed.
3251      [Steve Henson]
3252
3253   *) Add -attime option to openssl utilities.
3254      [Peter Eckersley <pde@eff.org>, Ben Laurie and Steve Henson]
3255
3256   *) Redirect DSA and DH operations to FIPS module in FIPS mode.
3257      [Steve Henson]
3258
3259   *) Redirect ECDSA and ECDH operations to FIPS module in FIPS mode. Also use
3260      FIPS EC methods unconditionally for now.
3261      [Steve Henson]
3262
3263   *) New build option no-ec2m to disable characteristic 2 code.
3264      [Steve Henson]
3265
3266   *) Backport libcrypto audit of return value checking from 1.1.0-dev; not
3267      all cases can be covered as some introduce binary incompatibilities.
3268      [Steve Henson]
3269
3270   *) Redirect RSA operations to FIPS module including keygen,
3271      encrypt, decrypt, sign and verify. Block use of non FIPS RSA methods.
3272      [Steve Henson]
3273
3274   *) Add similar low level API blocking to ciphers.
3275      [Steve Henson]
3276
3277   *) Low level digest APIs are not approved in FIPS mode: any attempt
3278      to use these will cause a fatal error. Applications that *really* want
3279      to use them can use the private_* version instead.
3280      [Steve Henson]
3281
3282   *) Redirect cipher operations to FIPS module for FIPS builds.
3283      [Steve Henson]
3284
3285   *) Redirect digest operations to FIPS module for FIPS builds.
3286      [Steve Henson]
3287
3288   *) Update build system to add "fips" flag which will link in fipscanister.o
3289      for static and shared library builds embedding a signature if needed.
3290      [Steve Henson]
3291
3292   *) Output TLS supported curves in preference order instead of numerical
3293      order. This is currently hardcoded for the highest order curves first.
3294      This should be configurable so applications can judge speed vs strength.
3295      [Steve Henson]
3296
3297   *) Add TLS v1.2 server support for client authentication.
3298      [Steve Henson]
3299
3300   *) Add support for FIPS mode in ssl library: disable SSLv3, non-FIPS ciphers
3301      and enable MD5.
3302      [Steve Henson]
3303
3304   *) Functions FIPS_mode_set() and FIPS_mode() which call the underlying
3305      FIPS modules versions.
3306      [Steve Henson]
3307
3308   *) Add TLS v1.2 client side support for client authentication. Keep cache
3309      of handshake records longer as we don't know the hash algorithm to use
3310      until after the certificate request message is received.
3311      [Steve Henson]
3312
3313   *) Initial TLS v1.2 client support. Add a default signature algorithms
3314      extension including all the algorithms we support. Parse new signature
3315      format in client key exchange. Relax some ECC signing restrictions for
3316      TLS v1.2 as indicated in RFC5246.
3317      [Steve Henson]
3318
3319   *) Add server support for TLS v1.2 signature algorithms extension. Switch
3320      to new signature format when needed using client digest preference.
3321      All server ciphersuites should now work correctly in TLS v1.2. No client
3322      support yet and no support for client certificates.
3323      [Steve Henson]
3324
3325   *) Initial TLS v1.2 support. Add new SHA256 digest to ssl code, switch
3326      to SHA256 for PRF when using TLS v1.2 and later. Add new SHA256 based
3327      ciphersuites. At present only RSA key exchange ciphersuites work with
3328      TLS v1.2. Add new option for TLS v1.2 replacing the old and obsolete
3329      SSL_OP_PKCS1_CHECK flags with SSL_OP_NO_TLSv1_2. New TLSv1.2 methods
3330      and version checking.
3331      [Steve Henson]
3332
3333   *) New option OPENSSL_NO_SSL_INTERN. If an application can be compiled
3334      with this defined it will not be affected by any changes to ssl internal
3335      structures. Add several utility functions to allow openssl application
3336      to work with OPENSSL_NO_SSL_INTERN defined.
3337      [Steve Henson]
3338
3339   *) A long standing patch to add support for SRP from EdelWeb (Peter
3340      Sylvester and Christophe Renou) was integrated.
3341      [Christophe Renou <christophe.renou@edelweb.fr>, Peter Sylvester
3342      <peter.sylvester@edelweb.fr>, Tom Wu <tjw@cs.stanford.edu>, and
3343      Ben Laurie]
3344
3345   *) Add functions to copy EVP_PKEY_METHOD and retrieve flags and id.
3346      [Steve Henson]
3347
3348   *) Permit abbreviated handshakes when renegotiating using the function
3349      SSL_renegotiate_abbreviated().
3350      [Robin Seggelmann <seggelmann@fh-muenster.de>]
3351
3352   *) Add call to ENGINE_register_all_complete() to
3353      ENGINE_load_builtin_engines(), so some implementations get used
3354      automatically instead of needing explicit application support.
3355      [Steve Henson]
3356
3357   *) Add support for TLS key exporter as described in RFC5705.
3358      [Robin Seggelmann <seggelmann@fh-muenster.de>, Steve Henson]
3359
3360   *) Initial TLSv1.1 support. Since TLSv1.1 is very similar to TLS v1.0 only
3361      a few changes are required:
3362
3363        Add SSL_OP_NO_TLSv1_1 flag.
3364        Add TLSv1_1 methods.
3365        Update version checking logic to handle version 1.1.
3366        Add explicit IV handling (ported from DTLS code).
3367        Add command line options to s_client/s_server.
3368      [Steve Henson]
3369
3370  Changes between 1.0.0g and 1.0.0h [12 Mar 2012]
3371
3372   *) Fix MMA (Bleichenbacher's attack on PKCS #1 v1.5 RSA padding) weakness
3373      in CMS and PKCS7 code. When RSA decryption fails use a random key for
3374      content decryption and always return the same error. Note: this attack
3375      needs on average 2^20 messages so it only affects automated senders. The
3376      old behaviour can be re-enabled in the CMS code by setting the
3377      CMS_DEBUG_DECRYPT flag: this is useful for debugging and testing where
3378      an MMA defence is not necessary.
3379      Thanks to Ivan Nestlerode <inestlerode@us.ibm.com> for discovering
3380      this issue. (CVE-2012-0884)
3381      [Steve Henson]
3382
3383   *) Fix CVE-2011-4619: make sure we really are receiving a
3384      client hello before rejecting multiple SGC restarts. Thanks to
3385      Ivan Nestlerode <inestlerode@us.ibm.com> for discovering this bug.
3386      [Steve Henson]
3387
3388  Changes between 1.0.0f and 1.0.0g [18 Jan 2012]
3389
3390   *) Fix for DTLS DoS issue introduced by fix for CVE-2011-4109.
3391      Thanks to Antonio Martin, Enterprise Secure Access Research and
3392      Development, Cisco Systems, Inc. for discovering this bug and
3393      preparing a fix. (CVE-2012-0050)
3394      [Antonio Martin]
3395
3396  Changes between 1.0.0e and 1.0.0f [4 Jan 2012]
3397
3398   *) Nadhem Alfardan and Kenny Paterson have discovered an extension
3399      of the Vaudenay padding oracle attack on CBC mode encryption
3400      which enables an efficient plaintext recovery attack against
3401      the OpenSSL implementation of DTLS. Their attack exploits timing
3402      differences arising during decryption processing. A research
3403      paper describing this attack can be found at:
3404                   http://www.isg.rhul.ac.uk/~kp/dtls.pdf
3405      Thanks go to Nadhem Alfardan and Kenny Paterson of the Information
3406      Security Group at Royal Holloway, University of London
3407      (www.isg.rhul.ac.uk) for discovering this flaw and to Robin Seggelmann
3408      <seggelmann@fh-muenster.de> and Michael Tuexen <tuexen@fh-muenster.de>
3409      for preparing the fix. (CVE-2011-4108)
3410      [Robin Seggelmann, Michael Tuexen]
3411
3412   *) Clear bytes used for block padding of SSL 3.0 records.
3413      (CVE-2011-4576)
3414      [Adam Langley (Google)]
3415
3416   *) Only allow one SGC handshake restart for SSL/TLS. Thanks to George
3417      Kadianakis <desnacked@gmail.com> for discovering this issue and
3418      Adam Langley for preparing the fix. (CVE-2011-4619)
3419      [Adam Langley (Google)]
3420
3421   *) Check parameters are not NULL in GOST ENGINE. (CVE-2012-0027)
3422      [Andrey Kulikov <amdeich@gmail.com>]
3423
3424   *) Prevent malformed RFC3779 data triggering an assertion failure.
3425      Thanks to Andrew Chi, BBN Technologies, for discovering the flaw
3426      and Rob Austein <sra@hactrn.net> for fixing it. (CVE-2011-4577)
3427      [Rob Austein <sra@hactrn.net>]
3428
3429   *) Improved PRNG seeding for VOS.
3430      [Paul Green <Paul.Green@stratus.com>]
3431
3432   *) Fix ssl_ciph.c set-up race.
3433      [Adam Langley (Google)]
3434
3435   *) Fix spurious failures in ecdsatest.c.
3436      [Emilia Käsper (Google)]
3437
3438   *) Fix the BIO_f_buffer() implementation (which was mixing different
3439      interpretations of the '..._len' fields).
3440      [Adam Langley (Google)]
3441
3442   *) Fix handling of BN_BLINDING: now BN_BLINDING_invert_ex (rather than
3443      BN_BLINDING_invert_ex) calls BN_BLINDING_update, ensuring that concurrent
3444      threads won't reuse the same blinding coefficients.
3445
3446      This also avoids the need to obtain the CRYPTO_LOCK_RSA_BLINDING
3447      lock to call BN_BLINDING_invert_ex, and avoids one use of
3448      BN_BLINDING_update for each BN_BLINDING structure (previously,
3449      the last update always remained unused).
3450      [Emilia Käsper (Google)]
3451
3452   *) In ssl3_clear, preserve s3->init_extra along with s3->rbuf.
3453      [Bob Buckholz (Google)]
3454
3455  Changes between 1.0.0d and 1.0.0e [6 Sep 2011]
3456
3457   *) Fix bug where CRLs with nextUpdate in the past are sometimes accepted
3458      by initialising X509_STORE_CTX properly. (CVE-2011-3207)
3459      [Kaspar Brand <ossl@velox.ch>]
3460
3461   *) Fix SSL memory handling for (EC)DH ciphersuites, in particular
3462      for multi-threaded use of ECDH. (CVE-2011-3210)
3463      [Adam Langley (Google)]
3464
3465   *) Fix x509_name_ex_d2i memory leak on bad inputs.
3466      [Bodo Moeller]
3467
3468   *) Remove hard coded ecdsaWithSHA1 signature tests in ssl code and check
3469      signature public key algorithm by using OID xref utilities instead.
3470      Before this you could only use some ECC ciphersuites with SHA1 only.
3471      [Steve Henson]
3472
3473   *) Add protection against ECDSA timing attacks as mentioned in the paper
3474      by Billy Bob Brumley and Nicola Tuveri, see:
3475
3476         http://eprint.iacr.org/2011/232.pdf
3477
3478      [Billy Bob Brumley and Nicola Tuveri]
3479
3480  Changes between 1.0.0c and 1.0.0d [8 Feb 2011]
3481
3482   *) Fix parsing of OCSP stapling ClientHello extension. CVE-2011-0014
3483      [Neel Mehta, Adam Langley, Bodo Moeller (Google)]
3484
3485   *) Fix bug in string printing code: if *any* escaping is enabled we must
3486      escape the escape character (backslash) or the resulting string is
3487      ambiguous.
3488      [Steve Henson]
3489
3490  Changes between 1.0.0b and 1.0.0c  [2 Dec 2010]
3491
3492   *) Disable code workaround for ancient and obsolete Netscape browsers
3493      and servers: an attacker can use it in a ciphersuite downgrade attack.
3494      Thanks to Martin Rex for discovering this bug. CVE-2010-4180
3495      [Steve Henson]
3496
3497   *) Fixed J-PAKE implementation error, originally discovered by
3498      Sebastien Martini, further info and confirmation from Stefan
3499      Arentz and Feng Hao. Note that this fix is a security fix. CVE-2010-4252
3500      [Ben Laurie]
3501
3502  Changes between 1.0.0a and 1.0.0b  [16 Nov 2010]
3503
3504   *) Fix extension code to avoid race conditions which can result in a buffer
3505      overrun vulnerability: resumed sessions must not be modified as they can
3506      be shared by multiple threads. CVE-2010-3864
3507      [Steve Henson]
3508
3509   *) Fix WIN32 build system to correctly link an ENGINE directory into
3510      a DLL.
3511      [Steve Henson]
3512
3513  Changes between 1.0.0 and 1.0.0a  [01 Jun 2010]
3514
3515   *) Check return value of int_rsa_verify in pkey_rsa_verifyrecover
3516      (CVE-2010-1633)
3517      [Steve Henson, Peter-Michael Hager <hager@dortmund.net>]
3518
3519  Changes between 0.9.8n and 1.0.0  [29 Mar 2010]
3520
3521   *) Add "missing" function EVP_CIPHER_CTX_copy(). This copies a cipher
3522      context. The operation can be customised via the ctrl mechanism in
3523      case ENGINEs want to include additional functionality.
3524      [Steve Henson]
3525
3526   *) Tolerate yet another broken PKCS#8 key format: private key value negative.
3527      [Steve Henson]
3528
3529   *) Add new -subject_hash_old and -issuer_hash_old options to x509 utility to
3530      output hashes compatible with older versions of OpenSSL.
3531      [Willy Weisz <weisz@vcpc.univie.ac.at>]
3532
3533   *) Fix compression algorithm handling: if resuming a session use the
3534      compression algorithm of the resumed session instead of determining
3535      it from client hello again. Don't allow server to change algorithm.
3536      [Steve Henson]
3537
3538   *) Add load_crls() function to apps tidying load_certs() too. Add option
3539      to verify utility to allow additional CRLs to be included.
3540      [Steve Henson]
3541
3542   *) Update OCSP request code to permit adding custom headers to the request:
3543      some responders need this.
3544      [Steve Henson]
3545
3546   *) The function EVP_PKEY_sign() returns <=0 on error: check return code
3547      correctly.
3548      [Julia Lawall <julia@diku.dk>]
3549
3550   *) Update verify callback code in apps/s_cb.c and apps/verify.c, it
3551      needlessly dereferenced structures, used obsolete functions and
3552      didn't handle all updated verify codes correctly.
3553      [Steve Henson]
3554
3555   *) Disable MD2 in the default configuration.
3556      [Steve Henson]
3557
3558   *) In BIO_pop() and BIO_push() use the ctrl argument (which was NULL) to
3559      indicate the initial BIO being pushed or popped. This makes it possible
3560      to determine whether the BIO is the one explicitly called or as a result
3561      of the ctrl being passed down the chain. Fix BIO_pop() and SSL BIOs so
3562      it handles reference counts correctly and doesn't zero out the I/O bio
3563      when it is not being explicitly popped. WARNING: applications which
3564      included workarounds for the old buggy behaviour will need to be modified
3565      or they could free up already freed BIOs.
3566      [Steve Henson]
3567
3568   *) Extend the uni2asc/asc2uni => OPENSSL_uni2asc/OPENSSL_asc2uni
3569      renaming to all platforms (within the 0.9.8 branch, this was
3570      done conditionally on Netware platforms to avoid a name clash).
3571      [Guenter <lists@gknw.net>]
3572
3573   *) Add ECDHE and PSK support to DTLS.
3574      [Michael Tuexen <tuexen@fh-muenster.de>]
3575
3576   *) Add CHECKED_STACK_OF macro to safestack.h, otherwise safestack can't
3577      be used on C++.
3578      [Steve Henson]
3579
3580   *) Add "missing" function EVP_MD_flags() (without this the only way to
3581      retrieve a digest flags is by accessing the structure directly. Update
3582      EVP_MD_do_all*() and EVP_CIPHER_do_all*() to include the name a digest
3583      or cipher is registered as in the "from" argument. Print out all
3584      registered digests in the dgst usage message instead of manually
3585      attempting to work them out.
3586      [Steve Henson]
3587
3588   *) If no SSLv2 ciphers are used don't use an SSLv2 compatible client hello:
3589      this allows the use of compression and extensions. Change default cipher
3590      string to remove SSLv2 ciphersuites. This effectively avoids ancient SSLv2
3591      by default unless an application cipher string requests it.
3592      [Steve Henson]
3593
3594   *) Alter match criteria in PKCS12_parse(). It used to try to use local
3595      key ids to find matching certificates and keys but some PKCS#12 files
3596      don't follow the (somewhat unwritten) rules and this strategy fails.
3597      Now just gather all certificates together and the first private key
3598      then look for the first certificate that matches the key.
3599      [Steve Henson]
3600
3601   *) Support use of registered digest and cipher names for dgst and cipher
3602      commands instead of having to add each one as a special case. So now
3603      you can do:
3604
3605         openssl sha256 foo
3606
3607      as well as:
3608
3609         openssl dgst -sha256 foo
3610
3611      and this works for ENGINE based algorithms too.
3612
3613      [Steve Henson]
3614
3615   *) Update Gost ENGINE to support parameter files.
3616      [Victor B. Wagner <vitus@cryptocom.ru>]
3617
3618   *) Support GeneralizedTime in ca utility.
3619      [Oliver Martin <oliver@volatilevoid.net>, Steve Henson]
3620
3621   *) Enhance the hash format used for certificate directory links. The new
3622      form uses the canonical encoding (meaning equivalent names will work
3623      even if they aren't identical) and uses SHA1 instead of MD5. This form
3624      is incompatible with the older format and as a result c_rehash should
3625      be used to rebuild symbolic links.
3626      [Steve Henson]
3627
3628   *) Make PKCS#8 the default write format for private keys, replacing the
3629      traditional format. This form is standardised, more secure and doesn't
3630      include an implicit MD5 dependency.
3631      [Steve Henson]
3632
3633   *) Add a $gcc_devteam_warn option to Configure. The idea is that any code
3634      committed to OpenSSL should pass this lot as a minimum.
3635      [Steve Henson]
3636
3637   *) Add session ticket override functionality for use by EAP-FAST.
3638      [Jouni Malinen <j@w1.fi>]
3639
3640   *) Modify HMAC functions to return a value. Since these can be implemented
3641      in an ENGINE errors can occur.
3642      [Steve Henson]
3643
3644   *) Type-checked OBJ_bsearch_ex.
3645      [Ben Laurie]
3646
3647   *) Type-checked OBJ_bsearch. Also some constification necessitated
3648      by type-checking.  Still to come: TXT_DB, bsearch(?),
3649      OBJ_bsearch_ex, qsort, CRYPTO_EX_DATA, ASN1_VALUE, ASN1_STRING,
3650      CONF_VALUE.
3651      [Ben Laurie]
3652
3653   *) New function OPENSSL_gmtime_adj() to add a specific number of days and
3654      seconds to a tm structure directly, instead of going through OS
3655      specific date routines. This avoids any issues with OS routines such
3656      as the year 2038 bug. New *_adj() functions for ASN1 time structures
3657      and X509_time_adj_ex() to cover the extended range. The existing
3658      X509_time_adj() is still usable and will no longer have any date issues.
3659      [Steve Henson]
3660
3661   *) Delta CRL support. New use deltas option which will attempt to locate
3662      and search any appropriate delta CRLs available.
3663
3664      This work was sponsored by Google.
3665      [Steve Henson]
3666
3667   *) Support for CRLs partitioned by reason code. Reorganise CRL processing
3668      code and add additional score elements. Validate alternate CRL paths
3669      as part of the CRL checking and indicate a new error "CRL path validation
3670      error" in this case. Applications wanting additional details can use
3671      the verify callback and check the new "parent" field. If this is not
3672      NULL CRL path validation is taking place. Existing applications won't
3673      see this because it requires extended CRL support which is off by
3674      default.
3675
3676      This work was sponsored by Google.
3677      [Steve Henson]
3678
3679   *) Support for freshest CRL extension.
3680
3681      This work was sponsored by Google.
3682      [Steve Henson]
3683
3684   *) Initial indirect CRL support. Currently only supported in the CRLs
3685      passed directly and not via lookup. Process certificate issuer
3686      CRL entry extension and lookup CRL entries by bother issuer name
3687      and serial number. Check and process CRL issuer entry in IDP extension.
3688
3689      This work was sponsored by Google.
3690      [Steve Henson]
3691
3692   *) Add support for distinct certificate and CRL paths. The CRL issuer
3693      certificate is validated separately in this case. Only enabled if
3694      an extended CRL support flag is set: this flag will enable additional
3695      CRL functionality in future.
3696
3697      This work was sponsored by Google.
3698      [Steve Henson]
3699
3700   *) Add support for policy mappings extension.
3701
3702      This work was sponsored by Google.
3703      [Steve Henson]
3704
3705   *) Fixes to pathlength constraint, self issued certificate handling,
3706      policy processing to align with RFC3280 and PKITS tests.
3707
3708      This work was sponsored by Google.
3709      [Steve Henson]
3710
3711   *) Support for name constraints certificate extension. DN, email, DNS
3712      and URI types are currently supported.
3713
3714      This work was sponsored by Google.
3715      [Steve Henson]
3716
3717   *) To cater for systems that provide a pointer-based thread ID rather
3718      than numeric, deprecate the current numeric thread ID mechanism and
3719      replace it with a structure and associated callback type. This
3720      mechanism allows a numeric "hash" to be extracted from a thread ID in
3721      either case, and on platforms where pointers are larger than 'long',
3722      mixing is done to help ensure the numeric 'hash' is usable even if it
3723      can't be guaranteed unique. The default mechanism is to use "&errno"
3724      as a pointer-based thread ID to distinguish between threads.
3725
3726      Applications that want to provide their own thread IDs should now use
3727      CRYPTO_THREADID_set_callback() to register a callback that will call
3728      either CRYPTO_THREADID_set_numeric() or CRYPTO_THREADID_set_pointer().
3729
3730      Note that ERR_remove_state() is now deprecated, because it is tied
3731      to the assumption that thread IDs are numeric.  ERR_remove_state(0)
3732      to free the current thread's error state should be replaced by
3733      ERR_remove_thread_state(NULL).
3734
3735      (This new approach replaces the functions CRYPTO_set_idptr_callback(),
3736      CRYPTO_get_idptr_callback(), and CRYPTO_thread_idptr() that existed in
3737      OpenSSL 0.9.9-dev between June 2006 and August 2008. Also, if an
3738      application was previously providing a numeric thread callback that
3739      was inappropriate for distinguishing threads, then uniqueness might
3740      have been obtained with &errno that happened immediately in the
3741      intermediate development versions of OpenSSL; this is no longer the
3742      case, the numeric thread callback will now override the automatic use
3743      of &errno.)
3744      [Geoff Thorpe, with help from Bodo Moeller]
3745
3746   *) Initial support for different CRL issuing certificates. This covers a
3747      simple case where the self issued certificates in the chain exist and
3748      the real CRL issuer is higher in the existing chain.
3749
3750      This work was sponsored by Google.
3751      [Steve Henson]
3752
3753   *) Removed effectively defunct crypto/store from the build.
3754      [Ben Laurie]
3755
3756   *) Revamp of STACK to provide stronger type-checking. Still to come:
3757      TXT_DB, bsearch(?), OBJ_bsearch, qsort, CRYPTO_EX_DATA, ASN1_VALUE,
3758      ASN1_STRING, CONF_VALUE.
3759      [Ben Laurie]
3760
3761   *) Add a new SSL_MODE_RELEASE_BUFFERS mode flag to release unused buffer
3762      RAM on SSL connections.  This option can save about 34k per idle SSL.
3763      [Nick Mathewson]
3764
3765   *) Revamp of LHASH to provide stronger type-checking. Still to come:
3766      STACK, TXT_DB, bsearch, qsort.
3767      [Ben Laurie]
3768
3769   *) Initial support for Cryptographic Message Syntax (aka CMS) based
3770      on RFC3850, RFC3851 and RFC3852. New cms directory and cms utility,
3771      support for data, signedData, compressedData, digestedData and
3772      encryptedData, envelopedData types included. Scripts to check against
3773      RFC4134 examples draft and interop and consistency checks of many
3774      content types and variants.
3775      [Steve Henson]
3776
3777   *) Add options to enc utility to support use of zlib compression BIO.
3778      [Steve Henson]
3779
3780   *) Extend mk1mf to support importing of options and assembly language
3781      files from Configure script, currently only included in VC-WIN32.
3782      The assembly language rules can now optionally generate the source
3783      files from the associated perl scripts.
3784      [Steve Henson]
3785
3786   *) Implement remaining functionality needed to support GOST ciphersuites.
3787      Interop testing has been performed using CryptoPro implementations.
3788      [Victor B. Wagner <vitus@cryptocom.ru>]
3789
3790   *) s390x assembler pack.
3791      [Andy Polyakov]
3792
3793   *) ARMv4 assembler pack. ARMv4 refers to v4 and later ISA, not CPU
3794      "family."
3795      [Andy Polyakov]
3796
3797   *) Implement Opaque PRF Input TLS extension as specified in
3798      draft-rescorla-tls-opaque-prf-input-00.txt.  Since this is not an
3799      official specification yet and no extension type assignment by
3800      IANA exists, this extension (for now) will have to be explicitly
3801      enabled when building OpenSSL by providing the extension number
3802      to use.  For example, specify an option
3803
3804          -DTLSEXT_TYPE_opaque_prf_input=0x9527
3805
3806      to the "config" or "Configure" script to enable the extension,
3807      assuming extension number 0x9527 (which is a completely arbitrary
3808      and unofficial assignment based on the MD5 hash of the Internet
3809      Draft).  Note that by doing so, you potentially lose
3810      interoperability with other TLS implementations since these might
3811      be using the same extension number for other purposes.
3812
3813      SSL_set_tlsext_opaque_prf_input(ssl, src, len) is used to set the
3814      opaque PRF input value to use in the handshake.  This will create
3815      an internal copy of the length-'len' string at 'src', and will
3816      return non-zero for success.
3817
3818      To get more control and flexibility, provide a callback function
3819      by using
3820
3821           SSL_CTX_set_tlsext_opaque_prf_input_callback(ctx, cb)
3822           SSL_CTX_set_tlsext_opaque_prf_input_callback_arg(ctx, arg)
3823
3824      where
3825
3826           int (*cb)(SSL *, void *peerinput, size_t len, void *arg);
3827           void *arg;
3828
3829      Callback function 'cb' will be called in handshakes, and is
3830      expected to use SSL_set_tlsext_opaque_prf_input() as appropriate.
3831      Argument 'arg' is for application purposes (the value as given to
3832      SSL_CTX_set_tlsext_opaque_prf_input_callback_arg() will directly
3833      be provided to the callback function).  The callback function
3834      has to return non-zero to report success: usually 1 to use opaque
3835      PRF input just if possible, or 2 to enforce use of the opaque PRF
3836      input.  In the latter case, the library will abort the handshake
3837      if opaque PRF input is not successfully negotiated.
3838
3839      Arguments 'peerinput' and 'len' given to the callback function
3840      will always be NULL and 0 in the case of a client.  A server will
3841      see the client's opaque PRF input through these variables if
3842      available (NULL and 0 otherwise).  Note that if the server
3843      provides an opaque PRF input, the length must be the same as the
3844      length of the client's opaque PRF input.
3845
3846      Note that the callback function will only be called when creating
3847      a new session (session resumption can resume whatever was
3848      previously negotiated), and will not be called in SSL 2.0
3849      handshakes; thus, SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv2) or
3850      SSL_set_options(ssl, SSL_OP_NO_SSLv2) is especially recommended
3851      for applications that need to enforce opaque PRF input.
3852
3853      [Bodo Moeller]
3854
3855   *) Update ssl code to support digests other than SHA1+MD5 for handshake
3856      MAC.
3857
3858      [Victor B. Wagner <vitus@cryptocom.ru>]
3859
3860   *) Add RFC4507 support to OpenSSL. This includes the corrections in
3861      RFC4507bis. The encrypted ticket format is an encrypted encoded
3862      SSL_SESSION structure, that way new session features are automatically
3863      supported.
3864
3865      If a client application caches session in an SSL_SESSION structure
3866      support is transparent because tickets are now stored in the encoded
3867      SSL_SESSION.
3868
3869      The SSL_CTX structure automatically generates keys for ticket
3870      protection in servers so again support should be possible
3871      with no application modification.
3872
3873      If a client or server wishes to disable RFC4507 support then the option
3874      SSL_OP_NO_TICKET can be set.
3875
3876      Add a TLS extension debugging callback to allow the contents of any client
3877      or server extensions to be examined.
3878
3879      This work was sponsored by Google.
3880      [Steve Henson]
3881
3882   *) Final changes to avoid use of pointer pointer casts in OpenSSL.
3883      OpenSSL should now compile cleanly on gcc 4.2
3884      [Peter Hartley <pdh@utter.chaos.org.uk>, Steve Henson]
3885
3886   *) Update SSL library to use new EVP_PKEY MAC API. Include generic MAC
3887      support including streaming MAC support: this is required for GOST
3888      ciphersuite support.
3889      [Victor B. Wagner <vitus@cryptocom.ru>, Steve Henson]
3890
3891   *) Add option -stream to use PKCS#7 streaming in smime utility. New
3892      function i2d_PKCS7_bio_stream() and PEM_write_PKCS7_bio_stream()
3893      to output in BER and PEM format.
3894      [Steve Henson]
3895
3896   *) Experimental support for use of HMAC via EVP_PKEY interface. This
3897      allows HMAC to be handled via the EVP_DigestSign*() interface. The
3898      EVP_PKEY "key" in this case is the HMAC key, potentially allowing
3899      ENGINE support for HMAC keys which are unextractable. New -mac and
3900      -macopt options to dgst utility.
3901      [Steve Henson]
3902
3903   *) New option -sigopt to dgst utility. Update dgst to use
3904      EVP_Digest{Sign,Verify}*. These two changes make it possible to use
3905      alternative signing parameters such as X9.31 or PSS in the dgst
3906      utility.
3907      [Steve Henson]
3908
3909   *) Change ssl_cipher_apply_rule(), the internal function that does
3910      the work each time a ciphersuite string requests enabling
3911      ("foo+bar"), moving ("+foo+bar"), disabling ("-foo+bar", or
3912      removing ("!foo+bar") a class of ciphersuites: Now it maintains
3913      the order of disabled ciphersuites such that those ciphersuites
3914      that most recently went from enabled to disabled not only stay
3915      in order with respect to each other, but also have higher priority
3916      than other disabled ciphersuites the next time ciphersuites are
3917      enabled again.
3918
3919      This means that you can now say, e.g., "PSK:-PSK:HIGH" to enable
3920      the same ciphersuites as with "HIGH" alone, but in a specific
3921      order where the PSK ciphersuites come first (since they are the
3922      most recently disabled ciphersuites when "HIGH" is parsed).
3923
3924      Also, change ssl_create_cipher_list() (using this new
3925      functionality) such that between otherwise identical
3926      ciphersuites, ephemeral ECDH is preferred over ephemeral DH in
3927      the default order.
3928      [Bodo Moeller]
3929
3930   *) Change ssl_create_cipher_list() so that it automatically
3931      arranges the ciphersuites in reasonable order before starting
3932      to process the rule string.  Thus, the definition for "DEFAULT"
3933      (SSL_DEFAULT_CIPHER_LIST) now is just "ALL:!aNULL:!eNULL", but
3934      remains equivalent to "AES:ALL:!aNULL:!eNULL:+aECDH:+kRSA:+RC4:@STRENGTH".
3935      This makes it much easier to arrive at a reasonable default order
3936      in applications for which anonymous ciphers are OK (meaning
3937      that you can't actually use DEFAULT).
3938      [Bodo Moeller; suggested by Victor Duchovni]
3939
3940   *) Split the SSL/TLS algorithm mask (as used for ciphersuite string
3941      processing) into multiple integers instead of setting
3942      "SSL_MKEY_MASK" bits, "SSL_AUTH_MASK" bits, "SSL_ENC_MASK",
3943      "SSL_MAC_MASK", and "SSL_SSL_MASK" bits all in a single integer.
3944      (These masks as well as the individual bit definitions are hidden
3945      away into the non-exported interface ssl/ssl_locl.h, so this
3946      change to the definition of the SSL_CIPHER structure shouldn't
3947      affect applications.)  This give us more bits for each of these
3948      categories, so there is no longer a need to coagulate AES128 and
3949      AES256 into a single algorithm bit, and to coagulate Camellia128
3950      and Camellia256 into a single algorithm bit, which has led to all
3951      kinds of kludges.
3952
3953      Thus, among other things, the kludge introduced in 0.9.7m and
3954      0.9.8e for masking out AES256 independently of AES128 or masking
3955      out Camellia256 independently of AES256 is not needed here in 0.9.9.
3956
3957      With the change, we also introduce new ciphersuite aliases that
3958      so far were missing: "AES128", "AES256", "CAMELLIA128", and
3959      "CAMELLIA256".
3960      [Bodo Moeller]
3961
3962   *) Add support for dsa-with-SHA224 and dsa-with-SHA256.
3963      Use the leftmost N bytes of the signature input if the input is
3964      larger than the prime q (with N being the size in bytes of q).
3965      [Nils Larsch]
3966
3967   *) Very *very* experimental PKCS#7 streaming encoder support. Nothing uses
3968      it yet and it is largely untested.
3969      [Steve Henson]
3970
3971   *) Add support for the ecdsa-with-SHA224/256/384/512 signature types.
3972      [Nils Larsch]
3973
3974   *) Initial incomplete changes to avoid need for function casts in OpenSSL
3975      some compilers (gcc 4.2 and later) reject their use. Safestack is
3976      reimplemented.  Update ASN1 to avoid use of legacy functions.
3977      [Steve Henson]
3978
3979   *) Win32/64 targets are linked with Winsock2.
3980      [Andy Polyakov]
3981
3982   *) Add an X509_CRL_METHOD structure to allow CRL processing to be redirected
3983      to external functions. This can be used to increase CRL handling
3984      efficiency especially when CRLs are very large by (for example) storing
3985      the CRL revoked certificates in a database.
3986      [Steve Henson]
3987
3988   *) Overhaul of by_dir code. Add support for dynamic loading of CRLs so
3989      new CRLs added to a directory can be used. New command line option
3990      -verify_return_error to s_client and s_server. This causes real errors
3991      to be returned by the verify callback instead of carrying on no matter
3992      what. This reflects the way a "real world" verify callback would behave.
3993      [Steve Henson]
3994
3995   *) GOST engine, supporting several GOST algorithms and public key formats.
3996      Kindly donated by Cryptocom.
3997      [Cryptocom]
3998
3999   *) Partial support for Issuing Distribution Point CRL extension. CRLs
4000      partitioned by DP are handled but no indirect CRL or reason partitioning
4001      (yet). Complete overhaul of CRL handling: now the most suitable CRL is
4002      selected via a scoring technique which handles IDP and AKID in CRLs.
4003      [Steve Henson]
4004
4005   *) New X509_STORE_CTX callbacks lookup_crls() and lookup_certs() which
4006      will ultimately be used for all verify operations: this will remove the
4007      X509_STORE dependency on certificate verification and allow alternative
4008      lookup methods.  X509_STORE based implementations of these two callbacks.
4009      [Steve Henson]
4010
4011   *) Allow multiple CRLs to exist in an X509_STORE with matching issuer names.
4012      Modify get_crl() to find a valid (unexpired) CRL if possible.
4013      [Steve Henson]
4014
4015   *) New function X509_CRL_match() to check if two CRLs are identical. Normally
4016      this would be called X509_CRL_cmp() but that name is already used by
4017      a function that just compares CRL issuer names. Cache several CRL
4018      extensions in X509_CRL structure and cache CRLDP in X509.
4019      [Steve Henson]
4020
4021   *) Store a "canonical" representation of X509_NAME structure (ASN1 Name)
4022      this maps equivalent X509_NAME structures into a consistent structure.
4023      Name comparison can then be performed rapidly using memcmp().
4024      [Steve Henson]
4025
4026   *) Non-blocking OCSP request processing. Add -timeout option to ocsp
4027      utility.
4028      [Steve Henson]
4029
4030   *) Allow digests to supply their own micalg string for S/MIME type using
4031      the ctrl EVP_MD_CTRL_MICALG.
4032      [Steve Henson]
4033
4034   *) During PKCS7 signing pass the PKCS7 SignerInfo structure to the
4035      EVP_PKEY_METHOD before and after signing via the EVP_PKEY_CTRL_PKCS7_SIGN
4036      ctrl. It can then customise the structure before and/or after signing
4037      if necessary.
4038      [Steve Henson]
4039
4040   *) New function OBJ_add_sigid() to allow application defined signature OIDs
4041      to be added to OpenSSLs internal tables. New function OBJ_sigid_free()
4042      to free up any added signature OIDs.
4043      [Steve Henson]
4044
4045   *) New functions EVP_CIPHER_do_all(), EVP_CIPHER_do_all_sorted(),
4046      EVP_MD_do_all() and EVP_MD_do_all_sorted() to enumerate internal
4047      digest and cipher tables. New options added to openssl utility:
4048      list-message-digest-algorithms and list-cipher-algorithms.
4049      [Steve Henson]
4050
4051   *) Change the array representation of binary polynomials: the list
4052      of degrees of non-zero coefficients is now terminated with -1.
4053      Previously it was terminated with 0, which was also part of the
4054      value; thus, the array representation was not applicable to
4055      polynomials where t^0 has coefficient zero.  This change makes
4056      the array representation useful in a more general context.
4057      [Douglas Stebila]
4058
4059   *) Various modifications and fixes to SSL/TLS cipher string
4060      handling.  For ECC, the code now distinguishes between fixed ECDH
4061      with RSA certificates on the one hand and with ECDSA certificates
4062      on the other hand, since these are separate ciphersuites.  The
4063      unused code for Fortezza ciphersuites has been removed.
4064
4065      For consistency with EDH, ephemeral ECDH is now called "EECDH"
4066      (not "ECDHE").  For consistency with the code for DH
4067      certificates, use of ECDH certificates is now considered ECDH
4068      authentication, not RSA or ECDSA authentication (the latter is
4069      merely the CA's signing algorithm and not actively used in the
4070      protocol).
4071
4072      The temporary ciphersuite alias "ECCdraft" is no longer
4073      available, and ECC ciphersuites are no longer excluded from "ALL"
4074      and "DEFAULT".  The following aliases now exist for RFC 4492
4075      ciphersuites, most of these by analogy with the DH case:
4076
4077          kECDHr   - ECDH cert, signed with RSA
4078          kECDHe   - ECDH cert, signed with ECDSA
4079          kECDH    - ECDH cert (signed with either RSA or ECDSA)
4080          kEECDH   - ephemeral ECDH
4081          ECDH     - ECDH cert or ephemeral ECDH
4082
4083          aECDH    - ECDH cert
4084          aECDSA   - ECDSA cert
4085          ECDSA    - ECDSA cert
4086
4087          AECDH    - anonymous ECDH
4088          EECDH    - non-anonymous ephemeral ECDH (equivalent to "kEECDH:-AECDH")
4089
4090      [Bodo Moeller]
4091
4092   *) Add additional S/MIME capabilities for AES and GOST ciphers if supported.
4093      Use correct micalg parameters depending on digest(s) in signed message.
4094      [Steve Henson]
4095
4096   *) Add engine support for EVP_PKEY_ASN1_METHOD. Add functions to process
4097      an ENGINE asn1 method. Support ENGINE lookups in the ASN1 code.
4098      [Steve Henson]
4099
4100   *) Initial engine support for EVP_PKEY_METHOD. New functions to permit
4101      an engine to register a method. Add ENGINE lookups for methods and
4102      functional reference processing.
4103      [Steve Henson]
4104
4105   *) New functions EVP_Digest{Sign,Verify)*. These are enhanced versions of
4106      EVP_{Sign,Verify}* which allow an application to customise the signature
4107      process.
4108      [Steve Henson]
4109
4110   *) New -resign option to smime utility. This adds one or more signers
4111      to an existing PKCS#7 signedData structure. Also -md option to use an
4112      alternative message digest algorithm for signing.
4113      [Steve Henson]
4114
4115   *) Tidy up PKCS#7 routines and add new functions to make it easier to
4116      create PKCS7 structures containing multiple signers. Update smime
4117      application to support multiple signers.
4118      [Steve Henson]
4119
4120   *) New -macalg option to pkcs12 utility to allow setting of an alternative
4121      digest MAC.
4122      [Steve Henson]
4123
4124   *) Initial support for PKCS#5 v2.0 PRFs other than default SHA1 HMAC.
4125      Reorganize PBE internals to lookup from a static table using NIDs,
4126      add support for HMAC PBE OID translation. Add a EVP_CIPHER ctrl:
4127      EVP_CTRL_PBE_PRF_NID this allows a cipher to specify an alternative
4128      PRF which will be automatically used with PBES2.
4129      [Steve Henson]
4130
4131   *) Replace the algorithm specific calls to generate keys in "req" with the
4132      new API.
4133      [Steve Henson]
4134
4135   *) Update PKCS#7 enveloped data routines to use new API. This is now
4136      supported by any public key method supporting the encrypt operation. A
4137      ctrl is added to allow the public key algorithm to examine or modify
4138      the PKCS#7 RecipientInfo structure if it needs to: for RSA this is
4139      a no op.
4140      [Steve Henson]
4141
4142   *) Add a ctrl to asn1 method to allow a public key algorithm to express
4143      a default digest type to use. In most cases this will be SHA1 but some
4144      algorithms (such as GOST) need to specify an alternative digest. The
4145      return value indicates how strong the preference is 1 means optional and
4146      2 is mandatory (that is it is the only supported type). Modify
4147      ASN1_item_sign() to accept a NULL digest argument to indicate it should
4148      use the default md. Update openssl utilities to use the default digest
4149      type for signing if it is not explicitly indicated.
4150      [Steve Henson]
4151
4152   *) Use OID cross reference table in ASN1_sign() and ASN1_verify(). New
4153      EVP_MD flag EVP_MD_FLAG_PKEY_METHOD_SIGNATURE. This uses the relevant
4154      signing method from the key type. This effectively removes the link
4155      between digests and public key types.
4156      [Steve Henson]
4157
4158   *) Add an OID cross reference table and utility functions. Its purpose is to
4159      translate between signature OIDs such as SHA1WithrsaEncryption and SHA1,
4160      rsaEncryption. This will allow some of the algorithm specific hackery
4161      needed to use the correct OID to be removed.
4162      [Steve Henson]
4163
4164   *) Remove algorithm specific dependencies when setting PKCS7_SIGNER_INFO
4165      structures for PKCS7_sign(). They are now set up by the relevant public
4166      key ASN1 method.
4167      [Steve Henson]
4168
4169   *) Add provisional EC pkey method with support for ECDSA and ECDH.
4170      [Steve Henson]
4171
4172   *) Add support for key derivation (agreement) in the API, DH method and
4173      pkeyutl.
4174      [Steve Henson]
4175
4176   *) Add DSA pkey method and DH pkey methods, extend DH ASN1 method to support
4177      public and private key formats. As a side effect these add additional
4178      command line functionality not previously available: DSA signatures can be
4179      generated and verified using pkeyutl and DH key support and generation in
4180      pkey, genpkey.
4181      [Steve Henson]
4182
4183   *) BeOS support.
4184      [Oliver Tappe <zooey@hirschkaefer.de>]
4185
4186   *) New make target "install_html_docs" installs HTML renditions of the
4187      manual pages.
4188      [Oliver Tappe <zooey@hirschkaefer.de>]
4189
4190   *) New utility "genpkey" this is analogous to "genrsa" etc except it can
4191      generate keys for any algorithm. Extend and update EVP_PKEY_METHOD to
4192      support key and parameter generation and add initial key generation
4193      functionality for RSA.
4194      [Steve Henson]
4195
4196   *) Add functions for main EVP_PKEY_method operations. The undocumented
4197      functions EVP_PKEY_{encrypt,decrypt} have been renamed to
4198      EVP_PKEY_{encrypt,decrypt}_old.
4199      [Steve Henson]
4200
4201   *) Initial definitions for EVP_PKEY_METHOD. This will be a high level public
4202      key API, doesn't do much yet.
4203      [Steve Henson]
4204
4205   *) New function EVP_PKEY_asn1_get0_info() to retrieve information about
4206      public key algorithms. New option to openssl utility:
4207      "list-public-key-algorithms" to print out info.
4208      [Steve Henson]
4209
4210   *) Implement the Supported Elliptic Curves Extension for
4211      ECC ciphersuites from draft-ietf-tls-ecc-12.txt.
4212      [Douglas Stebila]
4213
4214   *) Don't free up OIDs in OBJ_cleanup() if they are in use by EVP_MD or
4215      EVP_CIPHER structures to avoid later problems in EVP_cleanup().
4216      [Steve Henson]
4217
4218   *) New utilities pkey and pkeyparam. These are similar to algorithm specific
4219      utilities such as rsa, dsa, dsaparam etc except they process any key
4220      type.
4221      [Steve Henson]
4222
4223   *) Transfer public key printing routines to EVP_PKEY_ASN1_METHOD. New
4224      functions EVP_PKEY_print_public(), EVP_PKEY_print_private(),
4225      EVP_PKEY_print_param() to print public key data from an EVP_PKEY
4226      structure.
4227      [Steve Henson]
4228
4229   *) Initial support for pluggable public key ASN1.
4230      De-spaghettify the public key ASN1 handling. Move public and private
4231      key ASN1 handling to a new EVP_PKEY_ASN1_METHOD structure. Relocate
4232      algorithm specific handling to a single module within the relevant
4233      algorithm directory. Add functions to allow (near) opaque processing
4234      of public and private key structures.
4235      [Steve Henson]
4236
4237   *) Implement the Supported Point Formats Extension for
4238      ECC ciphersuites from draft-ietf-tls-ecc-12.txt.
4239      [Douglas Stebila]
4240
4241   *) Add initial support for RFC 4279 PSK TLS ciphersuites. Add members
4242      for the psk identity [hint] and the psk callback functions to the
4243      SSL_SESSION, SSL and SSL_CTX structure.
4244
4245      New ciphersuites:
4246          PSK-RC4-SHA, PSK-3DES-EDE-CBC-SHA, PSK-AES128-CBC-SHA,
4247          PSK-AES256-CBC-SHA
4248
4249      New functions:
4250          SSL_CTX_use_psk_identity_hint
4251          SSL_get_psk_identity_hint
4252          SSL_get_psk_identity
4253          SSL_use_psk_identity_hint
4254
4255      [Mika Kousa and Pasi Eronen of Nokia Corporation]
4256
4257   *) Add RFC 3161 compliant time stamp request creation, response generation
4258      and response verification functionality.
4259      [Zoltán Glózik <zglozik@opentsa.org>, The OpenTSA Project]
4260
4261   *) Add initial support for TLS extensions, specifically for the server_name
4262      extension so far.  The SSL_SESSION, SSL_CTX, and SSL data structures now
4263      have new members for a host name.  The SSL data structure has an
4264      additional member SSL_CTX *initial_ctx so that new sessions can be
4265      stored in that context to allow for session resumption, even after the
4266      SSL has been switched to a new SSL_CTX in reaction to a client's
4267      server_name extension.
4268
4269      New functions (subject to change):
4270
4271          SSL_get_servername()
4272          SSL_get_servername_type()
4273          SSL_set_SSL_CTX()
4274
4275      New CTRL codes and macros (subject to change):
4276
4277          SSL_CTRL_SET_TLSEXT_SERVERNAME_CB
4278                                  - SSL_CTX_set_tlsext_servername_callback()
4279          SSL_CTRL_SET_TLSEXT_SERVERNAME_ARG
4280                                       - SSL_CTX_set_tlsext_servername_arg()
4281          SSL_CTRL_SET_TLSEXT_HOSTNAME           - SSL_set_tlsext_host_name()
4282
4283      openssl s_client has a new '-servername ...' option.
4284
4285      openssl s_server has new options '-servername_host ...', '-cert2 ...',
4286      '-key2 ...', '-servername_fatal' (subject to change).  This allows
4287      testing the HostName extension for a specific single host name ('-cert'
4288      and '-key' remain fallbacks for handshakes without HostName
4289      negotiation).  If the unrecognized_name alert has to be sent, this by
4290      default is a warning; it becomes fatal with the '-servername_fatal'
4291      option.
4292
4293      [Peter Sylvester,  Remy Allais, Christophe Renou]
4294
4295   *) Whirlpool hash implementation is added.
4296      [Andy Polyakov]
4297
4298   *) BIGNUM code on 64-bit SPARCv9 targets is switched from bn(64,64) to
4299      bn(64,32). Because of instruction set limitations it doesn't have
4300      any negative impact on performance. This was done mostly in order
4301      to make it possible to share assembler modules, such as bn_mul_mont
4302      implementations, between 32- and 64-bit builds without hassle.
4303      [Andy Polyakov]
4304
4305   *) Move code previously exiled into file crypto/ec/ec2_smpt.c
4306      to ec2_smpl.c, and no longer require the OPENSSL_EC_BIN_PT_COMP
4307      macro.
4308      [Bodo Moeller]
4309
4310   *) New candidate for BIGNUM assembler implementation, bn_mul_mont,
4311      dedicated Montgomery multiplication procedure, is introduced.
4312      BN_MONT_CTX is modified to allow bn_mul_mont to reach for higher
4313      "64-bit" performance on certain 32-bit targets.
4314      [Andy Polyakov]
4315
4316   *) New option SSL_OP_NO_COMP to disable use of compression selectively
4317      in SSL structures. New SSL ctrl to set maximum send fragment size.
4318      Save memory by setting the I/O buffer sizes dynamically instead of
4319      using the maximum available value.
4320      [Steve Henson]
4321
4322   *) New option -V for 'openssl ciphers'. This prints the ciphersuite code
4323      in addition to the text details.
4324      [Bodo Moeller]
4325
4326   *) Very, very preliminary EXPERIMENTAL support for printing of general
4327      ASN1 structures. This currently produces rather ugly output and doesn't
4328      handle several customised structures at all.
4329      [Steve Henson]
4330
4331   *) Integrated support for PVK file format and some related formats such
4332      as MS PUBLICKEYBLOB and PRIVATEKEYBLOB. Command line switches to support
4333      these in the 'rsa' and 'dsa' utilities.
4334      [Steve Henson]
4335
4336   *) Support for PKCS#1 RSAPublicKey format on rsa utility command line.
4337      [Steve Henson]
4338
4339   *) Remove the ancient ASN1_METHOD code. This was only ever used in one
4340      place for the (very old) "NETSCAPE" format certificates which are now
4341      handled using new ASN1 code equivalents.
4342      [Steve Henson]
4343
4344   *) Let the TLSv1_method() etc. functions return a 'const' SSL_METHOD
4345      pointer and make the SSL_METHOD parameter in SSL_CTX_new,
4346      SSL_CTX_set_ssl_version and SSL_set_ssl_method 'const'.
4347      [Nils Larsch]
4348
4349   *) Modify CRL distribution points extension code to print out previously
4350      unsupported fields. Enhance extension setting code to allow setting of
4351      all fields.
4352      [Steve Henson]
4353
4354   *) Add print and set support for Issuing Distribution Point CRL extension.
4355      [Steve Henson]
4356
4357   *) Change 'Configure' script to enable Camellia by default.
4358      [NTT]
4359
4360  Changes between 0.9.8m and 0.9.8n [24 Mar 2010]
4361
4362   *) When rejecting SSL/TLS records due to an incorrect version number, never
4363      update s->server with a new major version number.  As of
4364      - OpenSSL 0.9.8m if 'short' is a 16-bit type,
4365      - OpenSSL 0.9.8f if 'short' is longer than 16 bits,
4366      the previous behavior could result in a read attempt at NULL when
4367      receiving specific incorrect SSL/TLS records once record payload
4368      protection is active.  (CVE-2010-0740)
4369      [Bodo Moeller, Adam Langley <agl@chromium.org>]
4370
4371   *) Fix for CVE-2010-0433 where some kerberos enabled versions of OpenSSL
4372      could be crashed if the relevant tables were not present (e.g. chrooted).
4373      [Tomas Hoger <thoger@redhat.com>]
4374
4375  Changes between 0.9.8l and 0.9.8m [25 Feb 2010]
4376
4377   *) Always check bn_wexpand() return values for failure.  (CVE-2009-3245)
4378      [Martin Olsson, Neel Mehta]
4379
4380   *) Fix X509_STORE locking: Every 'objs' access requires a lock (to
4381      accommodate for stack sorting, always a write lock!).
4382      [Bodo Moeller]
4383
4384   *) On some versions of WIN32 Heap32Next is very slow. This can cause
4385      excessive delays in the RAND_poll(): over a minute. As a workaround
4386      include a time check in the inner Heap32Next loop too.
4387      [Steve Henson]
4388
4389   *) The code that handled flushing of data in SSL/TLS originally used the
4390      BIO_CTRL_INFO ctrl to see if any data was pending first. This caused
4391      the problem outlined in PR#1949. The fix suggested there however can
4392      trigger problems with buggy BIO_CTRL_WPENDING (e.g. some versions
4393      of Apache). So instead simplify the code to flush unconditionally.
4394      This should be fine since flushing with no data to flush is a no op.
4395      [Steve Henson]
4396
4397   *) Handle TLS versions 2.0 and later properly and correctly use the
4398      highest version of TLS/SSL supported. Although TLS >= 2.0 is some way
4399      off ancient servers have a habit of sticking around for a while...
4400      [Steve Henson]
4401
4402   *) Modify compression code so it frees up structures without using the
4403      ex_data callbacks. This works around a problem where some applications
4404      call CRYPTO_cleanup_all_ex_data() before application exit (e.g. when
4405      restarting) then use compression (e.g. SSL with compression) later.
4406      This results in significant per-connection memory leaks and
4407      has caused some security issues including CVE-2008-1678 and
4408      CVE-2009-4355.
4409      [Steve Henson]
4410
4411   *) Constify crypto/cast (i.e., <openssl/cast.h>): a CAST_KEY doesn't
4412      change when encrypting or decrypting.
4413      [Bodo Moeller]
4414
4415   *) Add option SSL_OP_LEGACY_SERVER_CONNECT which will allow clients to
4416      connect and renegotiate with servers which do not support RI.
4417      Until RI is more widely deployed this option is enabled by default.
4418      [Steve Henson]
4419
4420   *) Add "missing" ssl ctrls to clear options and mode.
4421      [Steve Henson]
4422
4423   *) If client attempts to renegotiate and doesn't support RI respond with
4424      a no_renegotiation alert as required by RFC5746.  Some renegotiating
4425      TLS clients will continue a connection gracefully when they receive
4426      the alert. Unfortunately OpenSSL mishandled this alert and would hang
4427      waiting for a server hello which it will never receive. Now we treat a
4428      received no_renegotiation alert as a fatal error. This is because
4429      applications requesting a renegotiation might well expect it to succeed
4430      and would have no code in place to handle the server denying it so the
4431      only safe thing to do is to terminate the connection.
4432      [Steve Henson]
4433
4434   *) Add ctrl macro SSL_get_secure_renegotiation_support() which returns 1 if
4435      peer supports secure renegotiation and 0 otherwise. Print out peer
4436      renegotiation support in s_client/s_server.
4437      [Steve Henson]
4438
4439   *) Replace the highly broken and deprecated SPKAC certification method with
4440      the updated NID creation version. This should correctly handle UTF8.
4441      [Steve Henson]
4442
4443   *) Implement RFC5746. Re-enable renegotiation but require the extension
4444      as needed. Unfortunately, SSL3_FLAGS_ALLOW_UNSAFE_LEGACY_RENEGOTIATION
4445      turns out to be a bad idea. It has been replaced by
4446      SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION which can be set with
4447      SSL_CTX_set_options(). This is really not recommended unless you
4448      know what you are doing.
4449      [Eric Rescorla <ekr@networkresonance.com>, Ben Laurie, Steve Henson]
4450
4451   *) Fixes to stateless session resumption handling. Use initial_ctx when
4452      issuing and attempting to decrypt tickets in case it has changed during
4453      servername handling. Use a non-zero length session ID when attempting
4454      stateless session resumption: this makes it possible to determine if
4455      a resumption has occurred immediately after receiving server hello
4456      (several places in OpenSSL subtly assume this) instead of later in
4457      the handshake.
4458      [Steve Henson]
4459
4460   *) The functions ENGINE_ctrl(), OPENSSL_isservice(),
4461      CMS_get1_RecipientRequest() and RAND_bytes() can return <=0 on error
4462      fixes for a few places where the return code is not checked
4463      correctly.
4464      [Julia Lawall <julia@diku.dk>]
4465
4466   *) Add --strict-warnings option to Configure script to include devteam
4467      warnings in other configurations.
4468      [Steve Henson]
4469
4470   *) Add support for --libdir option and LIBDIR variable in makefiles. This
4471      makes it possible to install openssl libraries in locations which
4472      have names other than "lib", for example "/usr/lib64" which some
4473      systems need.
4474      [Steve Henson, based on patch from Jeremy Utley]
4475
4476   *) Don't allow the use of leading 0x80 in OIDs. This is a violation of
4477      X690 8.9.12 and can produce some misleading textual output of OIDs.
4478      [Steve Henson, reported by Dan Kaminsky]
4479
4480   *) Delete MD2 from algorithm tables. This follows the recommendation in
4481      several standards that it is not used in new applications due to
4482      several cryptographic weaknesses. For binary compatibility reasons
4483      the MD2 API is still compiled in by default.
4484      [Steve Henson]
4485
4486   *) Add compression id to {d2i,i2d}_SSL_SESSION so it is correctly saved
4487      and restored.
4488      [Steve Henson]
4489
4490   *) Rename uni2asc and asc2uni functions to OPENSSL_uni2asc and
4491      OPENSSL_asc2uni conditionally on Netware platforms to avoid a name
4492      clash.
4493      [Guenter <lists@gknw.net>]
4494
4495   *) Fix the server certificate chain building code to use X509_verify_cert(),
4496      it used to have an ad-hoc builder which was unable to cope with anything
4497      other than a simple chain.
4498      [David Woodhouse <dwmw2@infradead.org>, Steve Henson]
4499
4500   *) Don't check self signed certificate signatures in X509_verify_cert()
4501      by default (a flag can override this): it just wastes time without
4502      adding any security. As a useful side effect self signed root CAs
4503      with non-FIPS digests are now usable in FIPS mode.
4504      [Steve Henson]
4505
4506   *) In dtls1_process_out_of_seq_message() the check if the current message
4507      is already buffered was missing. For every new message was memory
4508      allocated, allowing an attacker to perform an denial of service attack
4509      with sending out of seq handshake messages until there is no memory
4510      left. Additionally every future message was buffered, even if the
4511      sequence number made no sense and would be part of another handshake.
4512      So only messages with sequence numbers less than 10 in advance will be
4513      buffered.  (CVE-2009-1378)
4514      [Robin Seggelmann, discovered by Daniel Mentz]
4515
4516   *) Records are buffered if they arrive with a future epoch to be
4517      processed after finishing the corresponding handshake. There is
4518      currently no limitation to this buffer allowing an attacker to perform
4519      a DOS attack with sending records with future epochs until there is no
4520      memory left. This patch adds the pqueue_size() function to determine
4521      the size of a buffer and limits the record buffer to 100 entries.
4522      (CVE-2009-1377)
4523      [Robin Seggelmann, discovered by Daniel Mentz]
4524
4525   *) Keep a copy of frag->msg_header.frag_len so it can be used after the
4526      parent structure is freed.  (CVE-2009-1379)
4527      [Daniel Mentz]
4528
4529   *) Handle non-blocking I/O properly in SSL_shutdown() call.
4530      [Darryl Miles <darryl-mailinglists@netbauds.net>]
4531
4532   *) Add 2.5.4.* OIDs
4533      [Ilya O. <vrghost@gmail.com>]
4534
4535  Changes between 0.9.8k and 0.9.8l  [5 Nov 2009]
4536
4537   *) Disable renegotiation completely - this fixes a severe security
4538      problem (CVE-2009-3555) at the cost of breaking all
4539      renegotiation. Renegotiation can be re-enabled by setting
4540      SSL3_FLAGS_ALLOW_UNSAFE_LEGACY_RENEGOTIATION in s3->flags at
4541      run-time. This is really not recommended unless you know what
4542      you're doing.
4543      [Ben Laurie]
4544
4545  Changes between 0.9.8j and 0.9.8k  [25 Mar 2009]
4546
4547   *) Don't set val to NULL when freeing up structures, it is freed up by
4548      underlying code. If sizeof(void *) > sizeof(long) this can result in
4549      zeroing past the valid field. (CVE-2009-0789)
4550      [Paolo Ganci <Paolo.Ganci@AdNovum.CH>]
4551
4552   *) Fix bug where return value of CMS_SignerInfo_verify_content() was not
4553      checked correctly. This would allow some invalid signed attributes to
4554      appear to verify correctly. (CVE-2009-0591)
4555      [Ivan Nestlerode <inestlerode@us.ibm.com>]
4556
4557   *) Reject UniversalString and BMPString types with invalid lengths. This
4558      prevents a crash in ASN1_STRING_print_ex() which assumes the strings have
4559      a legal length. (CVE-2009-0590)
4560      [Steve Henson]
4561
4562   *) Set S/MIME signing as the default purpose rather than setting it
4563      unconditionally. This allows applications to override it at the store
4564      level.
4565      [Steve Henson]
4566
4567   *) Permit restricted recursion of ASN1 strings. This is needed in practice
4568      to handle some structures.
4569      [Steve Henson]
4570
4571   *) Improve efficiency of mem_gets: don't search whole buffer each time
4572      for a '\n'
4573      [Jeremy Shapiro <jnshapir@us.ibm.com>]
4574
4575   *) New -hex option for openssl rand.
4576      [Matthieu Herrb]
4577
4578   *) Print out UTF8String and NumericString when parsing ASN1.
4579      [Steve Henson]
4580
4581   *) Support NumericString type for name components.
4582      [Steve Henson]
4583
4584   *) Allow CC in the environment to override the automatically chosen
4585      compiler. Note that nothing is done to ensure flags work with the
4586      chosen compiler.
4587      [Ben Laurie]
4588
4589  Changes between 0.9.8i and 0.9.8j  [07 Jan 2009]
4590
4591   *) Properly check EVP_VerifyFinal() and similar return values
4592      (CVE-2008-5077).
4593      [Ben Laurie, Bodo Moeller, Google Security Team]
4594
4595   *) Enable TLS extensions by default.
4596      [Ben Laurie]
4597
4598   *) Allow the CHIL engine to be loaded, whether the application is
4599      multithreaded or not. (This does not release the developer from the
4600      obligation to set up the dynamic locking callbacks.)
4601      [Sander Temme <sander@temme.net>]
4602
4603   *) Use correct exit code if there is an error in dgst command.
4604      [Steve Henson; problem pointed out by Roland Dirlewanger]
4605
4606   *) Tweak Configure so that you need to say "experimental-jpake" to enable
4607      JPAKE, and need to use -DOPENSSL_EXPERIMENTAL_JPAKE in applications.
4608      [Bodo Moeller]
4609
4610   *) Add experimental JPAKE support, including demo authentication in
4611      s_client and s_server.
4612      [Ben Laurie]
4613
4614   *) Set the comparison function in v3_addr_canonize().
4615      [Rob Austein <sra@hactrn.net>]
4616
4617   *) Add support for XMPP STARTTLS in s_client.
4618      [Philip Paeps <philip@freebsd.org>]
4619
4620   *) Change the server-side SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG behavior
4621      to ensure that even with this option, only ciphersuites in the
4622      server's preference list will be accepted.  (Note that the option
4623      applies only when resuming a session, so the earlier behavior was
4624      just about the algorithm choice for symmetric cryptography.)
4625      [Bodo Moeller]
4626
4627  Changes between 0.9.8h and 0.9.8i  [15 Sep 2008]
4628
4629   *) Fix NULL pointer dereference if a DTLS server received
4630      ChangeCipherSpec as first record (CVE-2009-1386).
4631      [PR #1679]
4632
4633   *) Fix a state transition in s3_srvr.c and d1_srvr.c
4634      (was using SSL3_ST_CW_CLNT_HELLO_B, should be ..._ST_SW_SRVR_...).
4635      [Nagendra Modadugu]
4636
4637   *) The fix in 0.9.8c that supposedly got rid of unsafe
4638      double-checked locking was incomplete for RSA blinding,
4639      addressing just one layer of what turns out to have been
4640      doubly unsafe triple-checked locking.
4641
4642      So now fix this for real by retiring the MONT_HELPER macro
4643      in crypto/rsa/rsa_eay.c.
4644
4645      [Bodo Moeller; problem pointed out by Marius Schilder]
4646
4647   *) Various precautionary measures:
4648
4649      - Avoid size_t integer overflow in HASH_UPDATE (md32_common.h).
4650
4651      - Avoid a buffer overflow in d2i_SSL_SESSION() (ssl_asn1.c).
4652        (NB: This would require knowledge of the secret session ticket key
4653        to exploit, in which case you'd be SOL either way.)
4654
4655      - Change bn_nist.c so that it will properly handle input BIGNUMs
4656        outside the expected range.
4657
4658      - Enforce the 'num' check in BN_div() (bn_div.c) for non-BN_DEBUG
4659        builds.
4660
4661      [Neel Mehta, Bodo Moeller]
4662
4663   *) Allow engines to be "soft loaded" - i.e. optionally don't die if
4664      the load fails. Useful for distros.
4665      [Ben Laurie and the FreeBSD team]
4666
4667   *) Add support for Local Machine Keyset attribute in PKCS#12 files.
4668      [Steve Henson]
4669
4670   *) Fix BN_GF2m_mod_arr() top-bit cleanup code.
4671      [Huang Ying]
4672
4673   *) Expand ENGINE to support engine supplied SSL client certificate functions.
4674
4675      This work was sponsored by Logica.
4676      [Steve Henson]
4677
4678   *) Add CryptoAPI ENGINE to support use of RSA and DSA keys held in Windows
4679      keystores. Support for SSL/TLS client authentication too.
4680      Not compiled unless enable-capieng specified to Configure.
4681
4682      This work was sponsored by Logica.
4683      [Steve Henson]
4684
4685   *) Fix bug in X509_ATTRIBUTE creation: don't set attribute using
4686      ASN1_TYPE_set1 if MBSTRING flag set. This bug would crash certain
4687      attribute creation routines such as certificate requests and PKCS#12
4688      files.
4689      [Steve Henson]
4690
4691  Changes between 0.9.8g and 0.9.8h  [28 May 2008]
4692
4693   *) Fix flaw if 'Server Key exchange message' is omitted from a TLS
4694      handshake which could lead to a client crash as found using the
4695      Codenomicon TLS test suite (CVE-2008-1672)
4696      [Steve Henson, Mark Cox]
4697
4698   *) Fix double free in TLS server name extensions which could lead to
4699      a remote crash found by Codenomicon TLS test suite (CVE-2008-0891)
4700      [Joe Orton]
4701
4702   *) Clear error queue in SSL_CTX_use_certificate_chain_file()
4703
4704      Clear the error queue to ensure that error entries left from
4705      older function calls do not interfere with the correct operation.
4706      [Lutz Jaenicke, Erik de Castro Lopo]
4707
4708   *) Remove root CA certificates of commercial CAs:
4709
4710      The OpenSSL project does not recommend any specific CA and does not
4711      have any policy with respect to including or excluding any CA.
4712      Therefore it does not make any sense to ship an arbitrary selection
4713      of root CA certificates with the OpenSSL software.
4714      [Lutz Jaenicke]
4715
4716   *) RSA OAEP patches to fix two separate invalid memory reads.
4717      The first one involves inputs when 'lzero' is greater than
4718      'SHA_DIGEST_LENGTH' (it would read about SHA_DIGEST_LENGTH bytes
4719      before the beginning of from). The second one involves inputs where
4720      the 'db' section contains nothing but zeroes (there is a one-byte
4721      invalid read after the end of 'db').
4722      [Ivan Nestlerode <inestlerode@us.ibm.com>]
4723
4724   *) Partial backport from 0.9.9-dev:
4725
4726      Introduce bn_mul_mont (dedicated Montgomery multiplication
4727      procedure) as a candidate for BIGNUM assembler implementation.
4728      While 0.9.9-dev uses assembler for various architectures, only
4729      x86_64 is available by default here in the 0.9.8 branch, and
4730      32-bit x86 is available through a compile-time setting.
4731
4732      To try the 32-bit x86 assembler implementation, use Configure
4733      option "enable-montasm" (which exists only for this backport).
4734
4735      As "enable-montasm" for 32-bit x86 disclaims code stability
4736      anyway, in this constellation we activate additional code
4737      backported from 0.9.9-dev for further performance improvements,
4738      namely BN_from_montgomery_word.  (To enable this otherwise,
4739      e.g. x86_64, try "-DMONT_FROM_WORD___NON_DEFAULT_0_9_8_BUILD".)
4740
4741      [Andy Polyakov (backport partially by Bodo Moeller)]
4742
4743   *) Add TLS session ticket callback. This allows an application to set
4744      TLS ticket cipher and HMAC keys rather than relying on hardcoded fixed
4745      values. This is useful for key rollover for example where several key
4746      sets may exist with different names.
4747      [Steve Henson]
4748
4749   *) Reverse ENGINE-internal logic for caching default ENGINE handles.
4750      This was broken until now in 0.9.8 releases, such that the only way
4751      a registered ENGINE could be used (assuming it initialises
4752      successfully on the host) was to explicitly set it as the default
4753      for the relevant algorithms. This is in contradiction with 0.9.7
4754      behaviour and the documentation. With this fix, when an ENGINE is
4755      registered into a given algorithm's table of implementations, the
4756      'uptodate' flag is reset so that auto-discovery will be used next
4757      time a new context for that algorithm attempts to select an
4758      implementation.
4759      [Ian Lister (tweaked by Geoff Thorpe)]
4760
4761   *) Backport of CMS code to OpenSSL 0.9.8. This differs from the 0.9.9
4762      implementation in the following ways:
4763
4764      Lack of EVP_PKEY_ASN1_METHOD means algorithm parameters have to be
4765      hard coded.
4766
4767      Lack of BER streaming support means one pass streaming processing is
4768      only supported if data is detached: setting the streaming flag is
4769      ignored for embedded content.
4770
4771      CMS support is disabled by default and must be explicitly enabled
4772      with the enable-cms configuration option.
4773      [Steve Henson]
4774
4775   *) Update the GMP engine glue to do direct copies between BIGNUM and
4776      mpz_t when openssl and GMP use the same limb size. Otherwise the
4777      existing "conversion via a text string export" trick is still used.
4778      [Paul Sheer <paulsheer@gmail.com>]
4779
4780   *) Zlib compression BIO. This is a filter BIO which compressed and
4781      uncompresses any data passed through it.
4782      [Steve Henson]
4783
4784   *) Add AES_wrap_key() and AES_unwrap_key() functions to implement
4785      RFC3394 compatible AES key wrapping.
4786      [Steve Henson]
4787
4788   *) Add utility functions to handle ASN1 structures. ASN1_STRING_set0():
4789      sets string data without copying. X509_ALGOR_set0() and
4790      X509_ALGOR_get0(): set and retrieve X509_ALGOR (AlgorithmIdentifier)
4791      data. Attribute function X509at_get0_data_by_OBJ(): retrieves data
4792      from an X509_ATTRIBUTE structure optionally checking it occurs only
4793      once. ASN1_TYPE_set1(): set and ASN1_TYPE structure copying supplied
4794      data.
4795      [Steve Henson]
4796
4797   *) Fix BN flag handling in RSA_eay_mod_exp() and BN_MONT_CTX_set()
4798      to get the expected BN_FLG_CONSTTIME behavior.
4799      [Bodo Moeller (Google)]
4800
4801   *) Netware support:
4802
4803      - fixed wrong usage of ioctlsocket() when build for LIBC BSD sockets
4804      - fixed do_tests.pl to run the test suite with CLIB builds too (CLIB_OPT)
4805      - added some more tests to do_tests.pl
4806      - fixed RunningProcess usage so that it works with newer LIBC NDKs too
4807      - removed usage of BN_LLONG for CLIB builds to avoid runtime dependency
4808      - added new Configure targets netware-clib-bsdsock, netware-clib-gcc,
4809        netware-clib-bsdsock-gcc, netware-libc-bsdsock-gcc
4810      - various changes to netware.pl to enable gcc-cross builds on Win32
4811        platform
4812      - changed crypto/bio/b_sock.c to work with macro functions (CLIB BSD)
4813      - various changes to fix missing prototype warnings
4814      - fixed x86nasm.pl to create correct asm files for NASM COFF output
4815      - added AES, WHIRLPOOL and CPUID assembler code to build files
4816      - added missing AES assembler make rules to mk1mf.pl
4817      - fixed order of includes in apps/ocsp.c so that e_os.h settings apply
4818      [Guenter Knauf <eflash@gmx.net>]
4819
4820   *) Implement certificate status request TLS extension defined in RFC3546.
4821      A client can set the appropriate parameters and receive the encoded
4822      OCSP response via a callback. A server can query the supplied parameters
4823      and set the encoded OCSP response in the callback. Add simplified examples
4824      to s_client and s_server.
4825      [Steve Henson]
4826
4827  Changes between 0.9.8f and 0.9.8g  [19 Oct 2007]
4828
4829   *) Fix various bugs:
4830      + Binary incompatibility of ssl_ctx_st structure
4831      + DTLS interoperation with non-compliant servers
4832      + Don't call get_session_cb() without proposed session
4833      + Fix ia64 assembler code
4834      [Andy Polyakov, Steve Henson]
4835
4836  Changes between 0.9.8e and 0.9.8f  [11 Oct 2007]
4837
4838   *) DTLS Handshake overhaul. There were longstanding issues with
4839      OpenSSL DTLS implementation, which were making it impossible for
4840      RFC 4347 compliant client to communicate with OpenSSL server.
4841      Unfortunately just fixing these incompatibilities would "cut off"
4842      pre-0.9.8f clients. To allow for hassle free upgrade post-0.9.8e
4843      server keeps tolerating non RFC compliant syntax. The opposite is
4844      not true, 0.9.8f client can not communicate with earlier server.
4845      This update even addresses CVE-2007-4995.
4846      [Andy Polyakov]
4847
4848   *) Changes to avoid need for function casts in OpenSSL: some compilers
4849      (gcc 4.2 and later) reject their use.
4850      [Kurt Roeckx <kurt@roeckx.be>, Peter Hartley <pdh@utter.chaos.org.uk>,
4851       Steve Henson]
4852
4853   *) Add RFC4507 support to OpenSSL. This includes the corrections in
4854      RFC4507bis. The encrypted ticket format is an encrypted encoded
4855      SSL_SESSION structure, that way new session features are automatically
4856      supported.
4857
4858      If a client application caches session in an SSL_SESSION structure
4859      support is transparent because tickets are now stored in the encoded
4860      SSL_SESSION.
4861
4862      The SSL_CTX structure automatically generates keys for ticket
4863      protection in servers so again support should be possible
4864      with no application modification.
4865
4866      If a client or server wishes to disable RFC4507 support then the option
4867      SSL_OP_NO_TICKET can be set.
4868
4869      Add a TLS extension debugging callback to allow the contents of any client
4870      or server extensions to be examined.
4871
4872      This work was sponsored by Google.
4873      [Steve Henson]
4874
4875   *) Add initial support for TLS extensions, specifically for the server_name
4876      extension so far.  The SSL_SESSION, SSL_CTX, and SSL data structures now
4877      have new members for a host name.  The SSL data structure has an
4878      additional member SSL_CTX *initial_ctx so that new sessions can be
4879      stored in that context to allow for session resumption, even after the
4880      SSL has been switched to a new SSL_CTX in reaction to a client's
4881      server_name extension.
4882
4883      New functions (subject to change):
4884
4885          SSL_get_servername()
4886          SSL_get_servername_type()
4887          SSL_set_SSL_CTX()
4888
4889      New CTRL codes and macros (subject to change):
4890
4891          SSL_CTRL_SET_TLSEXT_SERVERNAME_CB
4892                                  - SSL_CTX_set_tlsext_servername_callback()
4893          SSL_CTRL_SET_TLSEXT_SERVERNAME_ARG
4894                                       - SSL_CTX_set_tlsext_servername_arg()
4895          SSL_CTRL_SET_TLSEXT_HOSTNAME           - SSL_set_tlsext_host_name()
4896
4897      openssl s_client has a new '-servername ...' option.
4898
4899      openssl s_server has new options '-servername_host ...', '-cert2 ...',
4900      '-key2 ...', '-servername_fatal' (subject to change).  This allows
4901      testing the HostName extension for a specific single host name ('-cert'
4902      and '-key' remain fallbacks for handshakes without HostName
4903      negotiation).  If the unrecognized_name alert has to be sent, this by
4904      default is a warning; it becomes fatal with the '-servername_fatal'
4905      option.
4906
4907      [Peter Sylvester,  Remy Allais, Christophe Renou, Steve Henson]
4908
4909   *) Add AES and SSE2 assembly language support to VC++ build.
4910      [Steve Henson]
4911
4912   *) Mitigate attack on final subtraction in Montgomery reduction.
4913      [Andy Polyakov]
4914
4915   *) Fix crypto/ec/ec_mult.c to work properly with scalars of value 0
4916      (which previously caused an internal error).
4917      [Bodo Moeller]
4918
4919   *) Squeeze another 10% out of IGE mode when in != out.
4920      [Ben Laurie]
4921
4922   *) AES IGE mode speedup.
4923      [Dean Gaudet (Google)]
4924
4925   *) Add the Korean symmetric 128-bit cipher SEED (see
4926      http://www.kisa.or.kr/kisa/seed/jsp/seed_eng.jsp) and
4927      add SEED ciphersuites from RFC 4162:
4928
4929         TLS_RSA_WITH_SEED_CBC_SHA      =  "SEED-SHA"
4930         TLS_DHE_DSS_WITH_SEED_CBC_SHA  =  "DHE-DSS-SEED-SHA"
4931         TLS_DHE_RSA_WITH_SEED_CBC_SHA  =  "DHE-RSA-SEED-SHA"
4932         TLS_DH_anon_WITH_SEED_CBC_SHA  =  "ADH-SEED-SHA"
4933
4934      To minimize changes between patchlevels in the OpenSSL 0.9.8
4935      series, SEED remains excluded from compilation unless OpenSSL
4936      is configured with 'enable-seed'.
4937      [KISA, Bodo Moeller]
4938
4939   *) Mitigate branch prediction attacks, which can be practical if a
4940      single processor is shared, allowing a spy process to extract
4941      information.  For detailed background information, see
4942      http://eprint.iacr.org/2007/039 (O. Aciicmez, S. Gueron,
4943      J.-P. Seifert, "New Branch Prediction Vulnerabilities in OpenSSL
4944      and Necessary Software Countermeasures").  The core of the change
4945      are new versions BN_div_no_branch() and
4946      BN_mod_inverse_no_branch() of BN_div() and BN_mod_inverse(),
4947      respectively, which are slower, but avoid the security-relevant
4948      conditional branches.  These are automatically called by BN_div()
4949      and BN_mod_inverse() if the flag BN_FLG_CONSTTIME is set for one
4950      of the input BIGNUMs.  Also, BN_is_bit_set() has been changed to
4951      remove a conditional branch.
4952
4953      BN_FLG_CONSTTIME is the new name for the previous
4954      BN_FLG_EXP_CONSTTIME flag, since it now affects more than just
4955      modular exponentiation.  (Since OpenSSL 0.9.7h, setting this flag
4956      in the exponent causes BN_mod_exp_mont() to use the alternative
4957      implementation in BN_mod_exp_mont_consttime().)  The old name
4958      remains as a deprecated alias.
4959
4960      Similarly, RSA_FLAG_NO_EXP_CONSTTIME is replaced by a more general
4961      RSA_FLAG_NO_CONSTTIME flag since the RSA implementation now uses
4962      constant-time implementations for more than just exponentiation.
4963      Here too the old name is kept as a deprecated alias.
4964
4965      BN_BLINDING_new() will now use BN_dup() for the modulus so that
4966      the BN_BLINDING structure gets an independent copy of the
4967      modulus.  This means that the previous "BIGNUM *m" argument to
4968      BN_BLINDING_new() and to BN_BLINDING_create_param() now
4969      essentially becomes "const BIGNUM *m", although we can't actually
4970      change this in the header file before 0.9.9.  It allows
4971      RSA_setup_blinding() to use BN_with_flags() on the modulus to
4972      enable BN_FLG_CONSTTIME.
4973
4974      [Matthew D Wood (Intel Corp)]
4975
4976   *) In the SSL/TLS server implementation, be strict about session ID
4977      context matching (which matters if an application uses a single
4978      external cache for different purposes).  Previously,
4979      out-of-context reuse was forbidden only if SSL_VERIFY_PEER was
4980      set.  This did ensure strict client verification, but meant that,
4981      with applications using a single external cache for quite
4982      different requirements, clients could circumvent ciphersuite
4983      restrictions for a given session ID context by starting a session
4984      in a different context.
4985      [Bodo Moeller]
4986
4987   *) Include "!eNULL" in SSL_DEFAULT_CIPHER_LIST to make sure that
4988      a ciphersuite string such as "DEFAULT:RSA" cannot enable
4989      authentication-only ciphersuites.
4990      [Bodo Moeller]
4991
4992   *) Update the SSL_get_shared_ciphers() fix CVE-2006-3738 which was
4993      not complete and could lead to a possible single byte overflow
4994      (CVE-2007-5135) [Ben Laurie]
4995
4996  Changes between 0.9.8d and 0.9.8e  [23 Feb 2007]
4997
4998   *) Since AES128 and AES256 (and similarly Camellia128 and
4999      Camellia256) share a single mask bit in the logic of
5000      ssl/ssl_ciph.c, the code for masking out disabled ciphers needs a
5001      kludge to work properly if AES128 is available and AES256 isn't
5002      (or if Camellia128 is available and Camellia256 isn't).
5003      [Victor Duchovni]
5004
5005   *) Fix the BIT STRING encoding generated by crypto/ec/ec_asn1.c
5006      (within i2d_ECPrivateKey, i2d_ECPKParameters, i2d_ECParameters):
5007      When a point or a seed is encoded in a BIT STRING, we need to
5008      prevent the removal of trailing zero bits to get the proper DER
5009      encoding.  (By default, crypto/asn1/a_bitstr.c assumes the case
5010      of a NamedBitList, for which trailing 0 bits need to be removed.)
5011      [Bodo Moeller]
5012
5013   *) Have SSL/TLS server implementation tolerate "mismatched" record
5014      protocol version while receiving ClientHello even if the
5015      ClientHello is fragmented.  (The server can't insist on the
5016      particular protocol version it has chosen before the ServerHello
5017      message has informed the client about his choice.)
5018      [Bodo Moeller]
5019
5020   *) Add RFC 3779 support.
5021      [Rob Austein for ARIN, Ben Laurie]
5022
5023   *) Load error codes if they are not already present instead of using a
5024      static variable. This allows them to be cleanly unloaded and reloaded.
5025      Improve header file function name parsing.
5026      [Steve Henson]
5027
5028   *) extend SMTP and IMAP protocol emulation in s_client to use EHLO
5029      or CAPABILITY handshake as required by RFCs.
5030      [Goetz Babin-Ebell]
5031
5032  Changes between 0.9.8c and 0.9.8d  [28 Sep 2006]
5033
5034   *) Introduce limits to prevent malicious keys being able to
5035      cause a denial of service.  (CVE-2006-2940)
5036      [Steve Henson, Bodo Moeller]
5037
5038   *) Fix ASN.1 parsing of certain invalid structures that can result
5039      in a denial of service.  (CVE-2006-2937)  [Steve Henson]
5040
5041   *) Fix buffer overflow in SSL_get_shared_ciphers() function.
5042      (CVE-2006-3738) [Tavis Ormandy and Will Drewry, Google Security Team]
5043
5044   *) Fix SSL client code which could crash if connecting to a
5045      malicious SSLv2 server.  (CVE-2006-4343)
5046      [Tavis Ormandy and Will Drewry, Google Security Team]
5047
5048   *) Since 0.9.8b, ciphersuite strings naming explicit ciphersuites
5049      match only those.  Before that, "AES256-SHA" would be interpreted
5050      as a pattern and match "AES128-SHA" too (since AES128-SHA got
5051      the same strength classification in 0.9.7h) as we currently only
5052      have a single AES bit in the ciphersuite description bitmap.
5053      That change, however, also applied to ciphersuite strings such as
5054      "RC4-MD5" that intentionally matched multiple ciphersuites --
5055      namely, SSL 2.0 ciphersuites in addition to the more common ones
5056      from SSL 3.0/TLS 1.0.
5057
5058      So we change the selection algorithm again: Naming an explicit
5059      ciphersuite selects this one ciphersuite, and any other similar
5060      ciphersuite (same bitmap) from *other* protocol versions.
5061      Thus, "RC4-MD5" again will properly select both the SSL 2.0
5062      ciphersuite and the SSL 3.0/TLS 1.0 ciphersuite.
5063
5064      Since SSL 2.0 does not have any ciphersuites for which the
5065      128/256 bit distinction would be relevant, this works for now.
5066      The proper fix will be to use different bits for AES128 and
5067      AES256, which would have avoided the problems from the beginning;
5068      however, bits are scarce, so we can only do this in a new release
5069      (not just a patchlevel) when we can change the SSL_CIPHER
5070      definition to split the single 'unsigned long mask' bitmap into
5071      multiple values to extend the available space.
5072
5073      [Bodo Moeller]
5074
5075  Changes between 0.9.8b and 0.9.8c  [05 Sep 2006]
5076
5077   *) Avoid PKCS #1 v1.5 signature attack discovered by Daniel Bleichenbacher
5078      (CVE-2006-4339)  [Ben Laurie and Google Security Team]
5079
5080   *) Add AES IGE and biIGE modes.
5081      [Ben Laurie]
5082
5083   *) Change the Unix randomness entropy gathering to use poll() when
5084      possible instead of select(), since the latter has some
5085      undesirable limitations.
5086      [Darryl Miles via Richard Levitte and Bodo Moeller]
5087
5088   *) Disable "ECCdraft" ciphersuites more thoroughly.  Now special
5089      treatment in ssl/ssl_ciph.s makes sure that these ciphersuites
5090      cannot be implicitly activated as part of, e.g., the "AES" alias.
5091      However, please upgrade to OpenSSL 0.9.9[-dev] for
5092      non-experimental use of the ECC ciphersuites to get TLS extension
5093      support, which is required for curve and point format negotiation
5094      to avoid potential handshake problems.
5095      [Bodo Moeller]
5096
5097   *) Disable rogue ciphersuites:
5098
5099       - SSLv2 0x08 0x00 0x80 ("RC4-64-MD5")
5100       - SSLv3/TLSv1 0x00 0x61 ("EXP1024-RC2-CBC-MD5")
5101       - SSLv3/TLSv1 0x00 0x60 ("EXP1024-RC4-MD5")
5102
5103      The latter two were purportedly from
5104      draft-ietf-tls-56-bit-ciphersuites-0[01].txt, but do not really
5105      appear there.
5106
5107      Also deactivate the remaining ciphersuites from
5108      draft-ietf-tls-56-bit-ciphersuites-01.txt.  These are just as
5109      unofficial, and the ID has long expired.
5110      [Bodo Moeller]
5111
5112   *) Fix RSA blinding Heisenbug (problems sometimes occurred on
5113      dual-core machines) and other potential thread-safety issues.
5114      [Bodo Moeller]
5115
5116   *) Add the symmetric cipher Camellia (128-bit, 192-bit, 256-bit key
5117      versions), which is now available for royalty-free use
5118      (see http://info.isl.ntt.co.jp/crypt/eng/info/chiteki.html).
5119      Also, add Camellia TLS ciphersuites from RFC 4132.
5120
5121      To minimize changes between patchlevels in the OpenSSL 0.9.8
5122      series, Camellia remains excluded from compilation unless OpenSSL
5123      is configured with 'enable-camellia'.
5124      [NTT]
5125
5126   *) Disable the padding bug check when compression is in use. The padding
5127      bug check assumes the first packet is of even length, this is not
5128      necessarily true if compression is enabled and can result in false
5129      positives causing handshake failure. The actual bug test is ancient
5130      code so it is hoped that implementations will either have fixed it by
5131      now or any which still have the bug do not support compression.
5132      [Steve Henson]
5133
5134  Changes between 0.9.8a and 0.9.8b  [04 May 2006]
5135
5136   *) When applying a cipher rule check to see if string match is an explicit
5137      cipher suite and only match that one cipher suite if it is.
5138      [Steve Henson]
5139
5140   *) Link in manifests for VC++ if needed.
5141      [Austin Ziegler <halostatue@gmail.com>]
5142
5143   *) Update support for ECC-based TLS ciphersuites according to
5144      draft-ietf-tls-ecc-12.txt with proposed changes (but without
5145      TLS extensions, which are supported starting with the 0.9.9
5146      branch, not in the OpenSSL 0.9.8 branch).
5147      [Douglas Stebila]
5148
5149   *) New functions EVP_CIPHER_CTX_new() and EVP_CIPHER_CTX_free() to support
5150      opaque EVP_CIPHER_CTX handling.
5151      [Steve Henson]
5152
5153   *) Fixes and enhancements to zlib compression code. We now only use
5154      "zlib1.dll" and use the default __cdecl calling convention on Win32
5155      to conform with the standards mentioned here:
5156            http://www.zlib.net/DLL_FAQ.txt
5157      Static zlib linking now works on Windows and the new --with-zlib-include
5158      --with-zlib-lib options to Configure can be used to supply the location
5159      of the headers and library. Gracefully handle case where zlib library
5160      can't be loaded.
5161      [Steve Henson]
5162
5163   *) Several fixes and enhancements to the OID generation code. The old code
5164      sometimes allowed invalid OIDs (1.X for X >= 40 for example), couldn't
5165      handle numbers larger than ULONG_MAX, truncated printing and had a
5166      non standard OBJ_obj2txt() behaviour.
5167      [Steve Henson]
5168
5169   *) Add support for building of engines under engine/ as shared libraries
5170      under VC++ build system.
5171      [Steve Henson]
5172
5173   *) Corrected the numerous bugs in the Win32 path splitter in DSO.
5174      Hopefully, we will not see any false combination of paths any more.
5175      [Richard Levitte]
5176
5177  Changes between 0.9.8 and 0.9.8a  [11 Oct 2005]
5178
5179   *) Remove the functionality of SSL_OP_MSIE_SSLV2_RSA_PADDING
5180      (part of SSL_OP_ALL).  This option used to disable the
5181      countermeasure against man-in-the-middle protocol-version
5182      rollback in the SSL 2.0 server implementation, which is a bad
5183      idea.  (CVE-2005-2969)
5184
5185      [Bodo Moeller; problem pointed out by Yutaka Oiwa (Research Center
5186      for Information Security, National Institute of Advanced Industrial
5187      Science and Technology [AIST], Japan)]
5188
5189   *) Add two function to clear and return the verify parameter flags.
5190      [Steve Henson]
5191
5192   *) Keep cipherlists sorted in the source instead of sorting them at
5193      runtime, thus removing the need for a lock.
5194      [Nils Larsch]
5195
5196   *) Avoid some small subgroup attacks in Diffie-Hellman.
5197      [Nick Mathewson and Ben Laurie]
5198
5199   *) Add functions for well-known primes.
5200      [Nick Mathewson]
5201
5202   *) Extended Windows CE support.
5203      [Satoshi Nakamura and Andy Polyakov]
5204
5205   *) Initialize SSL_METHOD structures at compile time instead of during
5206      runtime, thus removing the need for a lock.
5207      [Steve Henson]
5208
5209   *) Make PKCS7_decrypt() work even if no certificate is supplied by
5210      attempting to decrypt each encrypted key in turn. Add support to
5211      smime utility.
5212      [Steve Henson]
5213
5214  Changes between 0.9.7h and 0.9.8  [05 Jul 2005]
5215
5216   [NB: OpenSSL 0.9.7i and later 0.9.7 patch levels were released after
5217   OpenSSL 0.9.8.]
5218
5219   *) Add libcrypto.pc and libssl.pc for those who feel they need them.
5220      [Richard Levitte]
5221
5222   *) Change CA.sh and CA.pl so they don't bundle the CSR and the private
5223      key into the same file any more.
5224      [Richard Levitte]
5225
5226   *) Add initial support for Win64, both IA64 and AMD64/x64 flavors.
5227      [Andy Polyakov]
5228
5229   *) Add -utf8 command line and config file option to 'ca'.
5230      [Stefan <stf@udoma.org]
5231
5232   *) Removed the macro des_crypt(), as it seems to conflict with some
5233      libraries.  Use DES_crypt().
5234      [Richard Levitte]
5235
5236   *) Correct naming of the 'chil' and '4758cca' ENGINEs. This
5237      involves renaming the source and generated shared-libs for
5238      both. The engines will accept the corrected or legacy ids
5239      ('ncipher' and '4758_cca' respectively) when binding. NB,
5240      this only applies when building 'shared'.
5241      [Corinna Vinschen <vinschen@redhat.com> and Geoff Thorpe]
5242
5243   *) Add attribute functions to EVP_PKEY structure. Modify
5244      PKCS12_create() to recognize a CSP name attribute and
5245      use it. Make -CSP option work again in pkcs12 utility.
5246      [Steve Henson]
5247
5248   *) Add new functionality to the bn blinding code:
5249      - automatic re-creation of the BN_BLINDING parameters after
5250        a fixed number of uses (currently 32)
5251      - add new function for parameter creation
5252      - introduce flags to control the update behaviour of the
5253        BN_BLINDING parameters
5254      - hide BN_BLINDING structure
5255      Add a second BN_BLINDING slot to the RSA structure to improve
5256      performance when a single RSA object is shared among several
5257      threads.
5258      [Nils Larsch]
5259
5260   *) Add support for DTLS.
5261      [Nagendra Modadugu <nagendra@cs.stanford.edu> and Ben Laurie]
5262
5263   *) Add support for DER encoded private keys (SSL_FILETYPE_ASN1)
5264      to SSL_CTX_use_PrivateKey_file() and SSL_use_PrivateKey_file()
5265      [Walter Goulet]
5266
5267   *) Remove buggy and incomplete DH cert support from
5268      ssl/ssl_rsa.c and ssl/s3_both.c
5269      [Nils Larsch]
5270
5271   *) Use SHA-1 instead of MD5 as the default digest algorithm for
5272      the apps/openssl applications.
5273      [Nils Larsch]
5274
5275   *) Compile clean with "-Wall -Wmissing-prototypes
5276      -Wstrict-prototypes -Wmissing-declarations -Werror". Currently
5277      DEBUG_SAFESTACK must also be set.
5278      [Ben Laurie]
5279
5280   *) Change ./Configure so that certain algorithms can be disabled by default.
5281      The new counterpiece to "no-xxx" is "enable-xxx".
5282
5283      The patented RC5 and MDC2 algorithms will now be disabled unless
5284      "enable-rc5" and "enable-mdc2", respectively, are specified.
5285
5286      (IDEA remains enabled despite being patented.  This is because IDEA
5287      is frequently required for interoperability, and there is no license
5288      fee for non-commercial use.  As before, "no-idea" can be used to
5289      avoid this algorithm.)
5290
5291      [Bodo Moeller]
5292
5293   *) Add processing of proxy certificates (see RFC 3820).  This work was
5294      sponsored by KTH (The Royal Institute of Technology in Stockholm) and
5295      EGEE (Enabling Grids for E-science in Europe).
5296      [Richard Levitte]
5297
5298   *) RC4 performance overhaul on modern architectures/implementations, such
5299      as Intel P4, IA-64 and AMD64.
5300      [Andy Polyakov]
5301
5302   *) New utility extract-section.pl. This can be used specify an alternative
5303      section number in a pod file instead of having to treat each file as
5304      a separate case in Makefile. This can be done by adding two lines to the
5305      pod file:
5306
5307      =for comment openssl_section:XXX
5308
5309      The blank line is mandatory.
5310
5311      [Steve Henson]
5312
5313   *) New arguments -certform, -keyform and -pass for s_client and s_server
5314      to allow alternative format key and certificate files and passphrase
5315      sources.
5316      [Steve Henson]
5317
5318   *) New structure X509_VERIFY_PARAM which combines current verify parameters,
5319      update associated structures and add various utility functions.
5320
5321      Add new policy related verify parameters, include policy checking in
5322      standard verify code. Enhance 'smime' application with extra parameters
5323      to support policy checking and print out.
5324      [Steve Henson]
5325
5326   *) Add a new engine to support VIA PadLock ACE extensions in the VIA C3
5327      Nehemiah processors. These extensions support AES encryption in hardware
5328      as well as RNG (though RNG support is currently disabled).
5329      [Michal Ludvig <michal@logix.cz>, with help from Andy Polyakov]
5330
5331   *) Deprecate BN_[get|set]_params() functions (they were ignored internally).
5332      [Geoff Thorpe]
5333
5334   *) New FIPS 180-2 algorithms, SHA-224/-256/-384/-512 are implemented.
5335      [Andy Polyakov and a number of other people]
5336
5337   *) Improved PowerPC platform support. Most notably BIGNUM assembler
5338      implementation contributed by IBM.
5339      [Suresh Chari, Peter Waltenberg, Andy Polyakov]
5340
5341   *) The new 'RSA_generate_key_ex' function now takes a BIGNUM for the public
5342      exponent rather than 'unsigned long'. There is a corresponding change to
5343      the new 'rsa_keygen' element of the RSA_METHOD structure.
5344      [Jelte Jansen, Geoff Thorpe]
5345
5346   *) Functionality for creating the initial serial number file is now
5347      moved from CA.pl to the 'ca' utility with a new option -create_serial.
5348
5349      (Before OpenSSL 0.9.7e, CA.pl used to initialize the serial
5350      number file to 1, which is bound to cause problems.  To avoid
5351      the problems while respecting compatibility between different 0.9.7
5352      patchlevels, 0.9.7e  employed 'openssl x509 -next_serial' in
5353      CA.pl for serial number initialization.  With the new release 0.9.8,
5354      we can fix the problem directly in the 'ca' utility.)
5355      [Steve Henson]
5356
5357   *) Reduced header interdependencies by declaring more opaque objects in
5358      ossl_typ.h. As a consequence, including some headers (eg. engine.h) will
5359      give fewer recursive includes, which could break lazy source code - so
5360      this change is covered by the OPENSSL_NO_DEPRECATED symbol. As always,
5361      developers should define this symbol when building and using openssl to
5362      ensure they track the recommended behaviour, interfaces, [etc], but
5363      backwards-compatible behaviour prevails when this isn't defined.
5364      [Geoff Thorpe]
5365
5366   *) New function X509_POLICY_NODE_print() which prints out policy nodes.
5367      [Steve Henson]
5368
5369   *) Add new EVP function EVP_CIPHER_CTX_rand_key and associated functionality.
5370      This will generate a random key of the appropriate length based on the
5371      cipher context. The EVP_CIPHER can provide its own random key generation
5372      routine to support keys of a specific form. This is used in the des and
5373      3des routines to generate a key of the correct parity. Update S/MIME
5374      code to use new functions and hence generate correct parity DES keys.
5375      Add EVP_CHECK_DES_KEY #define to return an error if the key is not
5376      valid (weak or incorrect parity).
5377      [Steve Henson]
5378
5379   *) Add a local set of CRLs that can be used by X509_verify_cert() as well
5380      as looking them up. This is useful when the verified structure may contain
5381      CRLs, for example PKCS#7 signedData. Modify PKCS7_verify() to use any CRLs
5382      present unless the new PKCS7_NO_CRL flag is asserted.
5383      [Steve Henson]
5384
5385   *) Extend ASN1 oid configuration module. It now additionally accepts the
5386      syntax:
5387
5388      shortName = some long name, 1.2.3.4
5389      [Steve Henson]
5390
5391   *) Reimplemented the BN_CTX implementation. There is now no more static
5392      limitation on the number of variables it can handle nor the depth of the
5393      "stack" handling for BN_CTX_start()/BN_CTX_end() pairs. The stack
5394      information can now expand as required, and rather than having a single
5395      static array of bignums, BN_CTX now uses a linked-list of such arrays
5396      allowing it to expand on demand whilst maintaining the usefulness of
5397      BN_CTX's "bundling".
5398      [Geoff Thorpe]
5399
5400   *) Add a missing BN_CTX parameter to the 'rsa_mod_exp' callback in RSA_METHOD
5401      to allow all RSA operations to function using a single BN_CTX.
5402      [Geoff Thorpe]
5403
5404   *) Preliminary support for certificate policy evaluation and checking. This
5405      is initially intended to pass the tests outlined in "Conformance Testing
5406      of Relying Party Client Certificate Path Processing Logic" v1.07.
5407      [Steve Henson]
5408
5409   *) bn_dup_expand() has been deprecated, it was introduced in 0.9.7 and
5410      remained unused and not that useful. A variety of other little bignum
5411      tweaks and fixes have also been made continuing on from the audit (see
5412      below).
5413      [Geoff Thorpe]
5414
5415   *) Constify all or almost all d2i, c2i, s2i and r2i functions, along with
5416      associated ASN1, EVP and SSL functions and old ASN1 macros.
5417      [Richard Levitte]
5418
5419   *) BN_zero() only needs to set 'top' and 'neg' to zero for correct results,
5420      and this should never fail. So the return value from the use of
5421      BN_set_word() (which can fail due to needless expansion) is now deprecated;
5422      if OPENSSL_NO_DEPRECATED is defined, BN_zero() is a void macro.
5423      [Geoff Thorpe]
5424
5425   *) BN_CTX_get() should return zero-valued bignums, providing the same
5426      initialised value as BN_new().
5427      [Geoff Thorpe, suggested by Ulf Möller]
5428
5429   *) Support for inhibitAnyPolicy certificate extension.
5430      [Steve Henson]
5431
5432   *) An audit of the BIGNUM code is underway, for which debugging code is
5433      enabled when BN_DEBUG is defined. This makes stricter enforcements on what
5434      is considered valid when processing BIGNUMs, and causes execution to
5435      assert() when a problem is discovered. If BN_DEBUG_RAND is defined,
5436      further steps are taken to deliberately pollute unused data in BIGNUM
5437      structures to try and expose faulty code further on. For now, openssl will
5438      (in its default mode of operation) continue to tolerate the inconsistent
5439      forms that it has tolerated in the past, but authors and packagers should
5440      consider trying openssl and their own applications when compiled with
5441      these debugging symbols defined. It will help highlight potential bugs in
5442      their own code, and will improve the test coverage for OpenSSL itself. At
5443      some point, these tighter rules will become openssl's default to improve
5444      maintainability, though the assert()s and other overheads will remain only
5445      in debugging configurations. See bn.h for more details.
5446      [Geoff Thorpe, Nils Larsch, Ulf Möller]
5447
5448   *) BN_CTX_init() has been deprecated, as BN_CTX is an opaque structure
5449      that can only be obtained through BN_CTX_new() (which implicitly
5450      initialises it). The presence of this function only made it possible
5451      to overwrite an existing structure (and cause memory leaks).
5452      [Geoff Thorpe]
5453
5454   *) Because of the callback-based approach for implementing LHASH as a
5455      template type, lh_insert() adds opaque objects to hash-tables and
5456      lh_doall() or lh_doall_arg() are typically used with a destructor callback
5457      to clean up those corresponding objects before destroying the hash table
5458      (and losing the object pointers). So some over-zealous constifications in
5459      LHASH have been relaxed so that lh_insert() does not take (nor store) the
5460      objects as "const" and the lh_doall[_arg] callback wrappers are not
5461      prototyped to have "const" restrictions on the object pointers they are
5462      given (and so aren't required to cast them away any more).
5463      [Geoff Thorpe]
5464
5465   *) The tmdiff.h API was so ugly and minimal that our own timing utility
5466      (speed) prefers to use its own implementation. The two implementations
5467      haven't been consolidated as yet (volunteers?) but the tmdiff API has had
5468      its object type properly exposed (MS_TM) instead of casting to/from "char
5469      *". This may still change yet if someone realises MS_TM and "ms_time_***"
5470      aren't necessarily the greatest nomenclatures - but this is what was used
5471      internally to the implementation so I've used that for now.
5472      [Geoff Thorpe]
5473
5474   *) Ensure that deprecated functions do not get compiled when
5475      OPENSSL_NO_DEPRECATED is defined. Some "openssl" subcommands and a few of
5476      the self-tests were still using deprecated key-generation functions so
5477      these have been updated also.
5478      [Geoff Thorpe]
5479
5480   *) Reorganise PKCS#7 code to separate the digest location functionality
5481      into PKCS7_find_digest(), digest addition into PKCS7_bio_add_digest().
5482      New function PKCS7_set_digest() to set the digest type for PKCS#7
5483      digestedData type. Add additional code to correctly generate the
5484      digestedData type and add support for this type in PKCS7 initialization
5485      functions.
5486      [Steve Henson]
5487
5488   *) New function PKCS7_set0_type_other() this initializes a PKCS7
5489      structure of type "other".
5490      [Steve Henson]
5491
5492   *) Fix prime generation loop in crypto/bn/bn_prime.pl by making
5493      sure the loop does correctly stop and breaking ("division by zero")
5494      modulus operations are not performed. The (pre-generated) prime
5495      table crypto/bn/bn_prime.h was already correct, but it could not be
5496      re-generated on some platforms because of the "division by zero"
5497      situation in the script.
5498      [Ralf S. Engelschall]
5499
5500   *) Update support for ECC-based TLS ciphersuites according to
5501      draft-ietf-tls-ecc-03.txt: the KDF1 key derivation function with
5502      SHA-1 now is only used for "small" curves (where the
5503      representation of a field element takes up to 24 bytes); for
5504      larger curves, the field element resulting from ECDH is directly
5505      used as premaster secret.
5506      [Douglas Stebila (Sun Microsystems Laboratories)]
5507
5508   *) Add code for kP+lQ timings to crypto/ec/ectest.c, and add SEC2
5509      curve secp160r1 to the tests.
5510      [Douglas Stebila (Sun Microsystems Laboratories)]
5511
5512   *) Add the possibility to load symbols globally with DSO.
5513      [Götz Babin-Ebell <babin-ebell@trustcenter.de> via Richard Levitte]
5514
5515   *) Add the functions ERR_set_mark() and ERR_pop_to_mark() for better
5516      control of the error stack.
5517      [Richard Levitte]
5518
5519   *) Add support for STORE in ENGINE.
5520      [Richard Levitte]
5521
5522   *) Add the STORE type.  The intention is to provide a common interface
5523      to certificate and key stores, be they simple file-based stores, or
5524      HSM-type store, or LDAP stores, or...
5525      NOTE: The code is currently UNTESTED and isn't really used anywhere.
5526      [Richard Levitte]
5527
5528   *) Add a generic structure called OPENSSL_ITEM.  This can be used to
5529      pass a list of arguments to any function as well as provide a way
5530      for a function to pass data back to the caller.
5531      [Richard Levitte]
5532
5533   *) Add the functions BUF_strndup() and BUF_memdup().  BUF_strndup()
5534      works like BUF_strdup() but can be used to duplicate a portion of
5535      a string.  The copy gets NUL-terminated.  BUF_memdup() duplicates
5536      a memory area.
5537      [Richard Levitte]
5538
5539   *) Add the function sk_find_ex() which works like sk_find(), but will
5540      return an index to an element even if an exact match couldn't be
5541      found.  The index is guaranteed to point at the element where the
5542      searched-for key would be inserted to preserve sorting order.
5543      [Richard Levitte]
5544
5545   *) Add the function OBJ_bsearch_ex() which works like OBJ_bsearch() but
5546      takes an extra flags argument for optional functionality.  Currently,
5547      the following flags are defined:
5548
5549         OBJ_BSEARCH_VALUE_ON_NOMATCH
5550         This one gets OBJ_bsearch_ex() to return a pointer to the first
5551         element where the comparing function returns a negative or zero
5552         number.
5553
5554         OBJ_BSEARCH_FIRST_VALUE_ON_MATCH
5555         This one gets OBJ_bsearch_ex() to return a pointer to the first
5556         element where the comparing function returns zero.  This is useful
5557         if there are more than one element where the comparing function
5558         returns zero.
5559      [Richard Levitte]
5560
5561   *) Make it possible to create self-signed certificates with 'openssl ca'
5562      in such a way that the self-signed certificate becomes part of the
5563      CA database and uses the same mechanisms for serial number generation
5564      as all other certificate signing.  The new flag '-selfsign' enables
5565      this functionality.  Adapt CA.sh and CA.pl.in.
5566      [Richard Levitte]
5567
5568   *) Add functionality to check the public key of a certificate request
5569      against a given private.  This is useful to check that a certificate
5570      request can be signed by that key (self-signing).
5571      [Richard Levitte]
5572
5573   *) Make it possible to have multiple active certificates with the same
5574      subject in the CA index file.  This is done only if the keyword
5575      'unique_subject' is set to 'no' in the main CA section (default
5576      if 'CA_default') of the configuration file.  The value is saved
5577      with the database itself in a separate index attribute file,
5578      named like the index file with '.attr' appended to the name.
5579      [Richard Levitte]
5580
5581   *) Generate multi-valued AVAs using '+' notation in config files for
5582      req and dirName.
5583      [Steve Henson]
5584
5585   *) Support for nameConstraints certificate extension.
5586      [Steve Henson]
5587
5588   *) Support for policyConstraints certificate extension.
5589      [Steve Henson]
5590
5591   *) Support for policyMappings certificate extension.
5592      [Steve Henson]
5593
5594   *) Make sure the default DSA_METHOD implementation only uses its
5595      dsa_mod_exp() and/or bn_mod_exp() handlers if they are non-NULL,
5596      and change its own handlers to be NULL so as to remove unnecessary
5597      indirection. This lets alternative implementations fallback to the
5598      default implementation more easily.
5599      [Geoff Thorpe]
5600
5601   *) Support for directoryName in GeneralName related extensions
5602      in config files.
5603      [Steve Henson]
5604
5605   *) Make it possible to link applications using Makefile.shared.
5606      Make that possible even when linking against static libraries!
5607      [Richard Levitte]
5608
5609   *) Support for single pass processing for S/MIME signing. This now
5610      means that S/MIME signing can be done from a pipe, in addition
5611      cleartext signing (multipart/signed type) is effectively streaming
5612      and the signed data does not need to be all held in memory.
5613
5614      This is done with a new flag PKCS7_STREAM. When this flag is set
5615      PKCS7_sign() only initializes the PKCS7 structure and the actual signing
5616      is done after the data is output (and digests calculated) in
5617      SMIME_write_PKCS7().
5618      [Steve Henson]
5619
5620   *) Add full support for -rpath/-R, both in shared libraries and
5621      applications, at least on the platforms where it's known how
5622      to do it.
5623      [Richard Levitte]
5624
5625   *) In crypto/ec/ec_mult.c, implement fast point multiplication with
5626      precomputation, based on wNAF splitting: EC_GROUP_precompute_mult()
5627      will now compute a table of multiples of the generator that
5628      makes subsequent invocations of EC_POINTs_mul() or EC_POINT_mul()
5629      faster (notably in the case of a single point multiplication,
5630      scalar * generator).
5631      [Nils Larsch, Bodo Moeller]
5632
5633   *) IPv6 support for certificate extensions. The various extensions
5634      which use the IP:a.b.c.d can now take IPv6 addresses using the
5635      formats of RFC1884 2.2 . IPv6 addresses are now also displayed
5636      correctly.
5637      [Steve Henson]
5638
5639   *) Added an ENGINE that implements RSA by performing private key
5640      exponentiations with the GMP library. The conversions to and from
5641      GMP's mpz_t format aren't optimised nor are any montgomery forms
5642      cached, and on x86 it appears OpenSSL's own performance has caught up.
5643      However there are likely to be other architectures where GMP could
5644      provide a boost. This ENGINE is not built in by default, but it can be
5645      specified at Configure time and should be accompanied by the necessary
5646      linker additions, eg;
5647          ./config -DOPENSSL_USE_GMP -lgmp
5648      [Geoff Thorpe]
5649
5650   *) "openssl engine" will not display ENGINE/DSO load failure errors when
5651      testing availability of engines with "-t" - the old behaviour is
5652      produced by increasing the feature's verbosity with "-tt".
5653      [Geoff Thorpe]
5654
5655   *) ECDSA routines: under certain error conditions uninitialized BN objects
5656      could be freed. Solution: make sure initialization is performed early
5657      enough. (Reported and fix supplied by Nils Larsch <nla@trustcenter.de>
5658      via PR#459)
5659      [Lutz Jaenicke]
5660
5661   *) Key-generation can now be implemented in RSA_METHOD, DSA_METHOD
5662      and DH_METHOD (eg. by ENGINE implementations) to override the normal
5663      software implementations. For DSA and DH, parameter generation can
5664      also be overridden by providing the appropriate method callbacks.
5665      [Geoff Thorpe]
5666
5667   *) Change the "progress" mechanism used in key-generation and
5668      primality testing to functions that take a new BN_GENCB pointer in
5669      place of callback/argument pairs. The new API functions have "_ex"
5670      postfixes and the older functions are reimplemented as wrappers for
5671      the new ones. The OPENSSL_NO_DEPRECATED symbol can be used to hide
5672      declarations of the old functions to help (graceful) attempts to
5673      migrate to the new functions. Also, the new key-generation API
5674      functions operate on a caller-supplied key-structure and return
5675      success/failure rather than returning a key or NULL - this is to
5676      help make "keygen" another member function of RSA_METHOD etc.
5677
5678      Example for using the new callback interface:
5679
5680           int (*my_callback)(int a, int b, BN_GENCB *cb) = ...;
5681           void *my_arg = ...;
5682           BN_GENCB my_cb;
5683
5684           BN_GENCB_set(&my_cb, my_callback, my_arg);
5685
5686           return BN_is_prime_ex(some_bignum, BN_prime_checks, NULL, &cb);
5687           /* For the meaning of a, b in calls to my_callback(), see the
5688            * documentation of the function that calls the callback.
5689            * cb will point to my_cb; my_arg can be retrieved as cb->arg.
5690            * my_callback should return 1 if it wants BN_is_prime_ex()
5691            * to continue, or 0 to stop.
5692            */
5693
5694      [Geoff Thorpe]
5695
5696   *) Change the ZLIB compression method to be stateful, and make it
5697      available to TLS with the number defined in
5698      draft-ietf-tls-compression-04.txt.
5699      [Richard Levitte]
5700
5701   *) Add the ASN.1 structures and functions for CertificatePair, which
5702      is defined as follows (according to X.509_4thEditionDraftV6.pdf):
5703
5704      CertificatePair ::= SEQUENCE {
5705         forward         [0]     Certificate OPTIONAL,
5706         reverse         [1]     Certificate OPTIONAL,
5707         -- at least one of the pair shall be present -- }
5708
5709      Also implement the PEM functions to read and write certificate
5710      pairs, and defined the PEM tag as "CERTIFICATE PAIR".
5711
5712      This needed to be defined, mostly for the sake of the LDAP
5713      attribute crossCertificatePair, but may prove useful elsewhere as
5714      well.
5715      [Richard Levitte]
5716
5717   *) Make it possible to inhibit symlinking of shared libraries in
5718      Makefile.shared, for Cygwin's sake.
5719      [Richard Levitte]
5720
5721   *) Extend the BIGNUM API by creating a function
5722           void BN_set_negative(BIGNUM *a, int neg);
5723      and a macro that behave like
5724           int  BN_is_negative(const BIGNUM *a);
5725
5726      to avoid the need to access 'a->neg' directly in applications.
5727      [Nils Larsch]
5728
5729   *) Implement fast modular reduction for pseudo-Mersenne primes
5730      used in NIST curves (crypto/bn/bn_nist.c, crypto/ec/ecp_nist.c).
5731      EC_GROUP_new_curve_GFp() will now automatically use this
5732      if applicable.
5733      [Nils Larsch <nla@trustcenter.de>]
5734
5735   *) Add new lock type (CRYPTO_LOCK_BN).
5736      [Bodo Moeller]
5737
5738   *) Change the ENGINE framework to automatically load engines
5739      dynamically from specific directories unless they could be
5740      found to already be built in or loaded.  Move all the
5741      current engines except for the cryptodev one to a new
5742      directory engines/.
5743      The engines in engines/ are built as shared libraries if
5744      the "shared" options was given to ./Configure or ./config.
5745      Otherwise, they are inserted in libcrypto.a.
5746      /usr/local/ssl/engines is the default directory for dynamic
5747      engines, but that can be overridden at configure time through
5748      the usual use of --prefix and/or --openssldir, and at run
5749      time with the environment variable OPENSSL_ENGINES.
5750      [Geoff Thorpe and Richard Levitte]
5751
5752   *) Add Makefile.shared, a helper makefile to build shared
5753      libraries.  Adapt Makefile.org.
5754      [Richard Levitte]
5755
5756   *) Add version info to Win32 DLLs.
5757      [Peter 'Luna' Runestig" <peter@runestig.com>]
5758
5759   *) Add new 'medium level' PKCS#12 API. Certificates and keys
5760      can be added using this API to created arbitrary PKCS#12
5761      files while avoiding the low level API.
5762
5763      New options to PKCS12_create(), key or cert can be NULL and
5764      will then be omitted from the output file. The encryption
5765      algorithm NIDs can be set to -1 for no encryption, the mac
5766      iteration count can be set to 0 to omit the mac.
5767
5768      Enhance pkcs12 utility by making the -nokeys and -nocerts
5769      options work when creating a PKCS#12 file. New option -nomac
5770      to omit the mac, NONE can be set for an encryption algorithm.
5771      New code is modified to use the enhanced PKCS12_create()
5772      instead of the low level API.
5773      [Steve Henson]
5774
5775   *) Extend ASN1 encoder to support indefinite length constructed
5776      encoding. This can output sequences tags and octet strings in
5777      this form. Modify pk7_asn1.c to support indefinite length
5778      encoding. This is experimental and needs additional code to
5779      be useful, such as an ASN1 bio and some enhanced streaming
5780      PKCS#7 code.
5781
5782      Extend template encode functionality so that tagging is passed
5783      down to the template encoder.
5784      [Steve Henson]
5785
5786   *) Let 'openssl req' fail if an argument to '-newkey' is not
5787      recognized instead of using RSA as a default.
5788      [Bodo Moeller]
5789
5790   *) Add support for ECC-based ciphersuites from draft-ietf-tls-ecc-01.txt.
5791      As these are not official, they are not included in "ALL";
5792      the "ECCdraft" ciphersuite group alias can be used to select them.
5793      [Vipul Gupta and Sumit Gupta (Sun Microsystems Laboratories)]
5794
5795   *) Add ECDH engine support.
5796      [Nils Gura and Douglas Stebila (Sun Microsystems Laboratories)]
5797
5798   *) Add ECDH in new directory crypto/ecdh/.
5799      [Douglas Stebila (Sun Microsystems Laboratories)]
5800
5801   *) Let BN_rand_range() abort with an error after 100 iterations
5802      without success (which indicates a broken PRNG).
5803      [Bodo Moeller]
5804
5805   *) Change BN_mod_sqrt() so that it verifies that the input value
5806      is really the square of the return value.  (Previously,
5807      BN_mod_sqrt would show GIGO behaviour.)
5808      [Bodo Moeller]
5809
5810   *) Add named elliptic curves over binary fields from X9.62, SECG,
5811      and WAP/WTLS; add OIDs that were still missing.
5812
5813      [Sheueling Chang Shantz and Douglas Stebila
5814      (Sun Microsystems Laboratories)]
5815
5816   *) Extend the EC library for elliptic curves over binary fields
5817      (new files ec2_smpl.c, ec2_smpt.c, ec2_mult.c in crypto/ec/).
5818      New EC_METHOD:
5819
5820           EC_GF2m_simple_method
5821
5822      New API functions:
5823
5824           EC_GROUP_new_curve_GF2m
5825           EC_GROUP_set_curve_GF2m
5826           EC_GROUP_get_curve_GF2m
5827           EC_POINT_set_affine_coordinates_GF2m
5828           EC_POINT_get_affine_coordinates_GF2m
5829           EC_POINT_set_compressed_coordinates_GF2m
5830
5831      Point compression for binary fields is disabled by default for
5832      patent reasons (compile with OPENSSL_EC_BIN_PT_COMP defined to
5833      enable it).
5834
5835      As binary polynomials are represented as BIGNUMs, various members
5836      of the EC_GROUP and EC_POINT data structures can be shared
5837      between the implementations for prime fields and binary fields;
5838      the above ..._GF2m functions (except for EX_GROUP_new_curve_GF2m)
5839      are essentially identical to their ..._GFp counterparts.
5840      (For simplicity, the '..._GFp' prefix has been dropped from
5841      various internal method names.)
5842
5843      An internal 'field_div' method (similar to 'field_mul' and
5844      'field_sqr') has been added; this is used only for binary fields.
5845
5846      [Sheueling Chang Shantz and Douglas Stebila
5847      (Sun Microsystems Laboratories)]
5848
5849   *) Optionally dispatch EC_POINT_mul(), EC_POINT_precompute_mult()
5850      through methods ('mul', 'precompute_mult').
5851
5852      The generic implementations (now internally called 'ec_wNAF_mul'
5853      and 'ec_wNAF_precomputed_mult') remain the default if these
5854      methods are undefined.
5855
5856      [Sheueling Chang Shantz and Douglas Stebila
5857      (Sun Microsystems Laboratories)]
5858
5859   *) New function EC_GROUP_get_degree, which is defined through
5860      EC_METHOD.  For curves over prime fields, this returns the bit
5861      length of the modulus.
5862
5863      [Sheueling Chang Shantz and Douglas Stebila
5864      (Sun Microsystems Laboratories)]
5865
5866   *) New functions EC_GROUP_dup, EC_POINT_dup.
5867      (These simply call ..._new  and ..._copy).
5868
5869      [Sheueling Chang Shantz and Douglas Stebila
5870      (Sun Microsystems Laboratories)]
5871
5872   *) Add binary polynomial arithmetic software in crypto/bn/bn_gf2m.c.
5873      Polynomials are represented as BIGNUMs (where the sign bit is not
5874      used) in the following functions [macros]:
5875
5876           BN_GF2m_add
5877           BN_GF2m_sub             [= BN_GF2m_add]
5878           BN_GF2m_mod             [wrapper for BN_GF2m_mod_arr]
5879           BN_GF2m_mod_mul         [wrapper for BN_GF2m_mod_mul_arr]
5880           BN_GF2m_mod_sqr         [wrapper for BN_GF2m_mod_sqr_arr]
5881           BN_GF2m_mod_inv
5882           BN_GF2m_mod_exp         [wrapper for BN_GF2m_mod_exp_arr]
5883           BN_GF2m_mod_sqrt        [wrapper for BN_GF2m_mod_sqrt_arr]
5884           BN_GF2m_mod_solve_quad  [wrapper for BN_GF2m_mod_solve_quad_arr]
5885           BN_GF2m_cmp             [= BN_ucmp]
5886
5887      (Note that only the 'mod' functions are actually for fields GF(2^m).
5888      BN_GF2m_add() is misnomer, but this is for the sake of consistency.)
5889
5890      For some functions, an the irreducible polynomial defining a
5891      field can be given as an 'unsigned int[]' with strictly
5892      decreasing elements giving the indices of those bits that are set;
5893      i.e., p[] represents the polynomial
5894           f(t) = t^p[0] + t^p[1] + ... + t^p[k]
5895      where
5896           p[0] > p[1] > ... > p[k] = 0.
5897      This applies to the following functions:
5898
5899           BN_GF2m_mod_arr
5900           BN_GF2m_mod_mul_arr
5901           BN_GF2m_mod_sqr_arr
5902           BN_GF2m_mod_inv_arr        [wrapper for BN_GF2m_mod_inv]
5903           BN_GF2m_mod_div_arr        [wrapper for BN_GF2m_mod_div]
5904           BN_GF2m_mod_exp_arr
5905           BN_GF2m_mod_sqrt_arr
5906           BN_GF2m_mod_solve_quad_arr
5907           BN_GF2m_poly2arr
5908           BN_GF2m_arr2poly
5909
5910      Conversion can be performed by the following functions:
5911
5912           BN_GF2m_poly2arr
5913           BN_GF2m_arr2poly
5914
5915      bntest.c has additional tests for binary polynomial arithmetic.
5916
5917      Two implementations for BN_GF2m_mod_div() are available.
5918      The default algorithm simply uses BN_GF2m_mod_inv() and
5919      BN_GF2m_mod_mul().  The alternative algorithm is compiled in only
5920      if OPENSSL_SUN_GF2M_DIV is defined (patent pending; read the
5921      copyright notice in crypto/bn/bn_gf2m.c before enabling it).
5922
5923      [Sheueling Chang Shantz and Douglas Stebila
5924      (Sun Microsystems Laboratories)]
5925
5926   *) Add new error code 'ERR_R_DISABLED' that can be used when some
5927      functionality is disabled at compile-time.
5928      [Douglas Stebila <douglas.stebila@sun.com>]
5929
5930   *) Change default behaviour of 'openssl asn1parse' so that more
5931      information is visible when viewing, e.g., a certificate:
5932
5933      Modify asn1_parse2 (crypto/asn1/asn1_par.c) so that in non-'dump'
5934      mode the content of non-printable OCTET STRINGs is output in a
5935      style similar to INTEGERs, but with '[HEX DUMP]' prepended to
5936      avoid the appearance of a printable string.
5937      [Nils Larsch <nla@trustcenter.de>]
5938
5939   *) Add 'asn1_flag' and 'asn1_form' member to EC_GROUP with access
5940      functions
5941           EC_GROUP_set_asn1_flag()
5942           EC_GROUP_get_asn1_flag()
5943           EC_GROUP_set_point_conversion_form()
5944           EC_GROUP_get_point_conversion_form()
5945      These control ASN1 encoding details:
5946      - Curves (i.e., groups) are encoded explicitly unless asn1_flag
5947        has been set to OPENSSL_EC_NAMED_CURVE.
5948      - Points are encoded in uncompressed form by default; options for
5949        asn1_for are as for point2oct, namely
5950           POINT_CONVERSION_COMPRESSED
5951           POINT_CONVERSION_UNCOMPRESSED
5952           POINT_CONVERSION_HYBRID
5953
5954      Also add 'seed' and 'seed_len' members to EC_GROUP with access
5955      functions
5956           EC_GROUP_set_seed()
5957           EC_GROUP_get0_seed()
5958           EC_GROUP_get_seed_len()
5959      This is used only for ASN1 purposes (so far).
5960      [Nils Larsch <nla@trustcenter.de>]
5961
5962   *) Add 'field_type' member to EC_METHOD, which holds the NID
5963      of the appropriate field type OID.  The new function
5964      EC_METHOD_get_field_type() returns this value.
5965      [Nils Larsch <nla@trustcenter.de>]
5966
5967   *) Add functions
5968           EC_POINT_point2bn()
5969           EC_POINT_bn2point()
5970           EC_POINT_point2hex()
5971           EC_POINT_hex2point()
5972      providing useful interfaces to EC_POINT_point2oct() and
5973      EC_POINT_oct2point().
5974      [Nils Larsch <nla@trustcenter.de>]
5975
5976   *) Change internals of the EC library so that the functions
5977           EC_GROUP_set_generator()
5978           EC_GROUP_get_generator()
5979           EC_GROUP_get_order()
5980           EC_GROUP_get_cofactor()
5981      are implemented directly in crypto/ec/ec_lib.c and not dispatched
5982      to methods, which would lead to unnecessary code duplication when
5983      adding different types of curves.
5984      [Nils Larsch <nla@trustcenter.de> with input by Bodo Moeller]
5985
5986   *) Implement compute_wNAF (crypto/ec/ec_mult.c) without BIGNUM
5987      arithmetic, and such that modified wNAFs are generated
5988      (which avoid length expansion in many cases).
5989      [Bodo Moeller]
5990
5991   *) Add a function EC_GROUP_check_discriminant() (defined via
5992      EC_METHOD) that verifies that the curve discriminant is non-zero.
5993
5994      Add a function EC_GROUP_check() that makes some sanity tests
5995      on a EC_GROUP, its generator and order.  This includes
5996      EC_GROUP_check_discriminant().
5997      [Nils Larsch <nla@trustcenter.de>]
5998
5999   *) Add ECDSA in new directory crypto/ecdsa/.
6000
6001      Add applications 'openssl ecparam' and 'openssl ecdsa'
6002      (these are based on 'openssl dsaparam' and 'openssl dsa').
6003
6004      ECDSA support is also included in various other files across the
6005      library.  Most notably,
6006      - 'openssl req' now has a '-newkey ecdsa:file' option;
6007      - EVP_PKCS82PKEY (crypto/evp/evp_pkey.c) now can handle ECDSA;
6008      - X509_PUBKEY_get (crypto/asn1/x_pubkey.c) and
6009        d2i_PublicKey (crypto/asn1/d2i_pu.c) have been modified to make
6010        them suitable for ECDSA where domain parameters must be
6011        extracted before the specific public key;
6012      - ECDSA engine support has been added.
6013      [Nils Larsch <nla@trustcenter.de>]
6014
6015   *) Include some named elliptic curves, and add OIDs from X9.62,
6016      SECG, and WAP/WTLS.  Each curve can be obtained from the new
6017      function
6018           EC_GROUP_new_by_curve_name(),
6019      and the list of available named curves can be obtained with
6020           EC_get_builtin_curves().
6021      Also add a 'curve_name' member to EC_GROUP objects, which can be
6022      accessed via
6023          EC_GROUP_set_curve_name()
6024          EC_GROUP_get_curve_name()
6025      [Nils Larsch <larsch@trustcenter.de, Bodo Moeller]
6026
6027   *) Remove a few calls to bn_wexpand() in BN_sqr() (the one in there
6028      was actually never needed) and in BN_mul().  The removal in BN_mul()
6029      required a small change in bn_mul_part_recursive() and the addition
6030      of the functions bn_cmp_part_words(), bn_sub_part_words() and
6031      bn_add_part_words(), which do the same thing as bn_cmp_words(),
6032      bn_sub_words() and bn_add_words() except they take arrays with
6033      differing sizes.
6034      [Richard Levitte]
6035
6036  Changes between 0.9.7l and 0.9.7m  [23 Feb 2007]
6037
6038   *) Cleanse PEM buffers before freeing them since they may contain
6039      sensitive data.
6040      [Benjamin Bennett <ben@psc.edu>]
6041
6042   *) Include "!eNULL" in SSL_DEFAULT_CIPHER_LIST to make sure that
6043      a ciphersuite string such as "DEFAULT:RSA" cannot enable
6044      authentication-only ciphersuites.
6045      [Bodo Moeller]
6046
6047   *) Since AES128 and AES256 share a single mask bit in the logic of
6048      ssl/ssl_ciph.c, the code for masking out disabled ciphers needs a
6049      kludge to work properly if AES128 is available and AES256 isn't.
6050      [Victor Duchovni]
6051
6052   *) Expand security boundary to match 1.1.1 module.
6053      [Steve Henson]
6054
6055   *) Remove redundant features: hash file source, editing of test vectors
6056      modify fipsld to use external fips_premain.c signature.
6057      [Steve Henson]
6058
6059   *) New perl script mkfipsscr.pl to create shell scripts or batch files to
6060      run algorithm test programs.
6061      [Steve Henson]
6062
6063   *) Make algorithm test programs more tolerant of whitespace.
6064      [Steve Henson]
6065
6066   *) Have SSL/TLS server implementation tolerate "mismatched" record
6067      protocol version while receiving ClientHello even if the
6068      ClientHello is fragmented.  (The server can't insist on the
6069      particular protocol version it has chosen before the ServerHello
6070      message has informed the client about his choice.)
6071      [Bodo Moeller]
6072
6073   *) Load error codes if they are not already present instead of using a
6074      static variable. This allows them to be cleanly unloaded and reloaded.
6075      [Steve Henson]
6076
6077  Changes between 0.9.7k and 0.9.7l  [28 Sep 2006]
6078
6079   *) Introduce limits to prevent malicious keys being able to
6080      cause a denial of service.  (CVE-2006-2940)
6081      [Steve Henson, Bodo Moeller]
6082
6083   *) Fix ASN.1 parsing of certain invalid structures that can result
6084      in a denial of service.  (CVE-2006-2937)  [Steve Henson]
6085
6086   *) Fix buffer overflow in SSL_get_shared_ciphers() function.
6087      (CVE-2006-3738) [Tavis Ormandy and Will Drewry, Google Security Team]
6088
6089   *) Fix SSL client code which could crash if connecting to a
6090      malicious SSLv2 server.  (CVE-2006-4343)
6091      [Tavis Ormandy and Will Drewry, Google Security Team]
6092
6093   *) Change ciphersuite string processing so that an explicit
6094      ciphersuite selects this one ciphersuite (so that "AES256-SHA"
6095      will no longer include "AES128-SHA"), and any other similar
6096      ciphersuite (same bitmap) from *other* protocol versions (so that
6097      "RC4-MD5" will still include both the SSL 2.0 ciphersuite and the
6098      SSL 3.0/TLS 1.0 ciphersuite).  This is a backport combining
6099      changes from 0.9.8b and 0.9.8d.
6100      [Bodo Moeller]
6101
6102  Changes between 0.9.7j and 0.9.7k  [05 Sep 2006]
6103
6104   *) Avoid PKCS #1 v1.5 signature attack discovered by Daniel Bleichenbacher
6105      (CVE-2006-4339)  [Ben Laurie and Google Security Team]
6106
6107   *) Change the Unix randomness entropy gathering to use poll() when
6108      possible instead of select(), since the latter has some
6109      undesirable limitations.
6110      [Darryl Miles via Richard Levitte and Bodo Moeller]
6111
6112   *) Disable rogue ciphersuites:
6113
6114       - SSLv2 0x08 0x00 0x80 ("RC4-64-MD5")
6115       - SSLv3/TLSv1 0x00 0x61 ("EXP1024-RC2-CBC-MD5")
6116       - SSLv3/TLSv1 0x00 0x60 ("EXP1024-RC4-MD5")
6117
6118      The latter two were purportedly from
6119      draft-ietf-tls-56-bit-ciphersuites-0[01].txt, but do not really
6120      appear there.
6121
6122      Also deactivate the remaining ciphersuites from
6123      draft-ietf-tls-56-bit-ciphersuites-01.txt.  These are just as
6124      unofficial, and the ID has long expired.
6125      [Bodo Moeller]
6126
6127   *) Fix RSA blinding Heisenbug (problems sometimes occurred on
6128      dual-core machines) and other potential thread-safety issues.
6129      [Bodo Moeller]
6130
6131  Changes between 0.9.7i and 0.9.7j  [04 May 2006]
6132
6133   *) Adapt fipsld and the build system to link against the validated FIPS
6134      module in FIPS mode.
6135      [Steve Henson]
6136
6137   *) Fixes for VC++ 2005 build under Windows.
6138      [Steve Henson]
6139
6140   *) Add new Windows build target VC-32-GMAKE for VC++. This uses GNU make
6141      from a Windows bash shell such as MSYS. It is autodetected from the
6142      "config" script when run from a VC++ environment. Modify standard VC++
6143      build to use fipscanister.o from the GNU make build.
6144      [Steve Henson]
6145
6146  Changes between 0.9.7h and 0.9.7i  [14 Oct 2005]
6147
6148   *) Wrapped the definition of EVP_MAX_MD_SIZE in a #ifdef OPENSSL_FIPS.
6149      The value now differs depending on if you build for FIPS or not.
6150      BEWARE!  A program linked with a shared FIPSed libcrypto can't be
6151      safely run with a non-FIPSed libcrypto, as it may crash because of
6152      the difference induced by this change.
6153      [Andy Polyakov]
6154
6155  Changes between 0.9.7g and 0.9.7h  [11 Oct 2005]
6156
6157   *) Remove the functionality of SSL_OP_MSIE_SSLV2_RSA_PADDING
6158      (part of SSL_OP_ALL).  This option used to disable the
6159      countermeasure against man-in-the-middle protocol-version
6160      rollback in the SSL 2.0 server implementation, which is a bad
6161      idea.  (CVE-2005-2969)
6162
6163      [Bodo Moeller; problem pointed out by Yutaka Oiwa (Research Center
6164      for Information Security, National Institute of Advanced Industrial
6165      Science and Technology [AIST], Japan)]
6166
6167   *) Minimal support for X9.31 signatures and PSS padding modes. This is
6168      mainly for FIPS compliance and not fully integrated at this stage.
6169      [Steve Henson]
6170
6171   *) For DSA signing, unless DSA_FLAG_NO_EXP_CONSTTIME is set, perform
6172      the exponentiation using a fixed-length exponent.  (Otherwise,
6173      the information leaked through timing could expose the secret key
6174      after many signatures; cf. Bleichenbacher's attack on DSA with
6175      biased k.)
6176      [Bodo Moeller]
6177
6178   *) Make a new fixed-window mod_exp implementation the default for
6179      RSA, DSA, and DH private-key operations so that the sequence of
6180      squares and multiplies and the memory access pattern are
6181      independent of the particular secret key.  This will mitigate
6182      cache-timing and potential related attacks.
6183
6184      BN_mod_exp_mont_consttime() is the new exponentiation implementation,
6185      and this is automatically used by BN_mod_exp_mont() if the new flag
6186      BN_FLG_EXP_CONSTTIME is set for the exponent.  RSA, DSA, and DH
6187      will use this BN flag for private exponents unless the flag
6188      RSA_FLAG_NO_EXP_CONSTTIME, DSA_FLAG_NO_EXP_CONSTTIME, or
6189      DH_FLAG_NO_EXP_CONSTTIME, respectively, is set.
6190
6191      [Matthew D Wood (Intel Corp), with some changes by Bodo Moeller]
6192
6193   *) Change the client implementation for SSLv23_method() and
6194      SSLv23_client_method() so that is uses the SSL 3.0/TLS 1.0
6195      Client Hello message format if the SSL_OP_NO_SSLv2 option is set.
6196      (Previously, the SSL 2.0 backwards compatible Client Hello
6197      message format would be used even with SSL_OP_NO_SSLv2.)
6198      [Bodo Moeller]
6199
6200   *) Add support for smime-type MIME parameter in S/MIME messages which some
6201      clients need.
6202      [Steve Henson]
6203
6204   *) New function BN_MONT_CTX_set_locked() to set montgomery parameters in
6205      a threadsafe manner. Modify rsa code to use new function and add calls
6206      to dsa and dh code (which had race conditions before).
6207      [Steve Henson]
6208
6209   *) Include the fixed error library code in the C error file definitions
6210      instead of fixing them up at runtime. This keeps the error code
6211      structures constant.
6212      [Steve Henson]
6213
6214  Changes between 0.9.7f and 0.9.7g  [11 Apr 2005]
6215
6216   [NB: OpenSSL 0.9.7h and later 0.9.7 patch levels were released after
6217   OpenSSL 0.9.8.]
6218
6219   *) Fixes for newer kerberos headers. NB: the casts are needed because
6220      the 'length' field is signed on one version and unsigned on another
6221      with no (?) obvious way to tell the difference, without these VC++
6222      complains. Also the "definition" of FAR (blank) is no longer included
6223      nor is the error ENOMEM. KRB5_PRIVATE has to be set to 1 to pick up
6224      some needed definitions.
6225      [Steve Henson]
6226
6227   *) Undo Cygwin change.
6228      [Ulf Möller]
6229
6230   *) Added support for proxy certificates according to RFC 3820.
6231      Because they may be a security thread to unaware applications,
6232      they must be explicitly allowed in run-time.  See
6233      docs/HOWTO/proxy_certificates.txt for further information.
6234      [Richard Levitte]
6235
6236  Changes between 0.9.7e and 0.9.7f  [22 Mar 2005]
6237
6238   *) Use (SSL_RANDOM_VALUE - 4) bytes of pseudo random data when generating
6239      server and client random values. Previously
6240      (SSL_RANDOM_VALUE - sizeof(time_t)) would be used which would result in
6241      less random data when sizeof(time_t) > 4 (some 64 bit platforms).
6242
6243      This change has negligible security impact because:
6244
6245      1. Server and client random values still have 24 bytes of pseudo random
6246         data.
6247
6248      2. Server and client random values are sent in the clear in the initial
6249         handshake.
6250
6251      3. The master secret is derived using the premaster secret (48 bytes in
6252         size for static RSA ciphersuites) as well as client server and random
6253         values.
6254
6255      The OpenSSL team would like to thank the UK NISCC for bringing this issue
6256      to our attention.
6257
6258      [Stephen Henson, reported by UK NISCC]
6259
6260   *) Use Windows randomness collection on Cygwin.
6261      [Ulf Möller]
6262
6263   *) Fix hang in EGD/PRNGD query when communication socket is closed
6264      prematurely by EGD/PRNGD.
6265      [Darren Tucker <dtucker@zip.com.au> via Lutz Jänicke, resolves #1014]
6266
6267   *) Prompt for pass phrases when appropriate for PKCS12 input format.
6268      [Steve Henson]
6269
6270   *) Back-port of selected performance improvements from development
6271      branch, as well as improved support for PowerPC platforms.
6272      [Andy Polyakov]
6273
6274   *) Add lots of checks for memory allocation failure, error codes to indicate
6275      failure and freeing up memory if a failure occurs.
6276      [Nauticus Networks SSL Team <openssl@nauticusnet.com>, Steve Henson]
6277
6278   *) Add new -passin argument to dgst.
6279      [Steve Henson]
6280
6281   *) Perform some character comparisons of different types in X509_NAME_cmp:
6282      this is needed for some certificates that re-encode DNs into UTF8Strings
6283      (in violation of RFC3280) and can't or won't issue name rollover
6284      certificates.
6285      [Steve Henson]
6286
6287   *) Make an explicit check during certificate validation to see that
6288      the CA setting in each certificate on the chain is correct.  As a
6289      side effect always do the following basic checks on extensions,
6290      not just when there's an associated purpose to the check:
6291
6292       - if there is an unhandled critical extension (unless the user
6293         has chosen to ignore this fault)
6294       - if the path length has been exceeded (if one is set at all)
6295       - that certain extensions fit the associated purpose (if one has
6296         been given)
6297      [Richard Levitte]
6298
6299  Changes between 0.9.7d and 0.9.7e  [25 Oct 2004]
6300
6301   *) Avoid a race condition when CRLs are checked in a multi threaded
6302      environment. This would happen due to the reordering of the revoked
6303      entries during signature checking and serial number lookup. Now the
6304      encoding is cached and the serial number sort performed under a lock.
6305      Add new STACK function sk_is_sorted().
6306      [Steve Henson]
6307
6308   *) Add Delta CRL to the extension code.
6309      [Steve Henson]
6310
6311   *) Various fixes to s3_pkt.c so alerts are sent properly.
6312      [David Holmes <d.holmes@f5.com>]
6313
6314   *) Reduce the chances of duplicate issuer name and serial numbers (in
6315      violation of RFC3280) using the OpenSSL certificate creation utilities.
6316      This is done by creating a random 64 bit value for the initial serial
6317      number when a serial number file is created or when a self signed
6318      certificate is created using 'openssl req -x509'. The initial serial
6319      number file is created using 'openssl x509 -next_serial' in CA.pl
6320      rather than being initialized to 1.
6321      [Steve Henson]
6322
6323  Changes between 0.9.7c and 0.9.7d  [17 Mar 2004]
6324
6325   *) Fix null-pointer assignment in do_change_cipher_spec() revealed
6326      by using the Codenomicon TLS Test Tool (CVE-2004-0079)
6327      [Joe Orton, Steve Henson]
6328
6329   *) Fix flaw in SSL/TLS handshaking when using Kerberos ciphersuites
6330      (CVE-2004-0112)
6331      [Joe Orton, Steve Henson]
6332
6333   *) Make it possible to have multiple active certificates with the same
6334      subject in the CA index file.  This is done only if the keyword
6335      'unique_subject' is set to 'no' in the main CA section (default
6336      if 'CA_default') of the configuration file.  The value is saved
6337      with the database itself in a separate index attribute file,
6338      named like the index file with '.attr' appended to the name.
6339      [Richard Levitte]
6340
6341   *) X509 verify fixes. Disable broken certificate workarounds when
6342      X509_V_FLAGS_X509_STRICT is set. Check CRL issuer has cRLSign set if
6343      keyUsage extension present. Don't accept CRLs with unhandled critical
6344      extensions: since verify currently doesn't process CRL extensions this
6345      rejects a CRL with *any* critical extensions. Add new verify error codes
6346      for these cases.
6347      [Steve Henson]
6348
6349   *) When creating an OCSP nonce use an OCTET STRING inside the extnValue.
6350      A clarification of RFC2560 will require the use of OCTET STRINGs and
6351      some implementations cannot handle the current raw format. Since OpenSSL
6352      copies and compares OCSP nonces as opaque blobs without any attempt at
6353      parsing them this should not create any compatibility issues.
6354      [Steve Henson]
6355
6356   *) New md flag EVP_MD_CTX_FLAG_REUSE this allows md_data to be reused when
6357      calling EVP_MD_CTX_copy_ex() to avoid calling OPENSSL_malloc(). Without
6358      this HMAC (and other) operations are several times slower than OpenSSL
6359      < 0.9.7.
6360      [Steve Henson]
6361
6362   *) Print out GeneralizedTime and UTCTime in ASN1_STRING_print_ex().
6363      [Peter Sylvester <Peter.Sylvester@EdelWeb.fr>]
6364
6365   *) Use the correct content when signing type "other".
6366      [Steve Henson]
6367
6368  Changes between 0.9.7b and 0.9.7c  [30 Sep 2003]
6369
6370   *) Fix various bugs revealed by running the NISCC test suite:
6371
6372      Stop out of bounds reads in the ASN1 code when presented with
6373      invalid tags (CVE-2003-0543 and CVE-2003-0544).
6374
6375      Free up ASN1_TYPE correctly if ANY type is invalid (CVE-2003-0545).
6376
6377      If verify callback ignores invalid public key errors don't try to check
6378      certificate signature with the NULL public key.
6379
6380      [Steve Henson]
6381
6382   *) New -ignore_err option in ocsp application to stop the server
6383      exiting on the first error in a request.
6384      [Steve Henson]
6385
6386   *) In ssl3_accept() (ssl/s3_srvr.c) only accept a client certificate
6387      if the server requested one: as stated in TLS 1.0 and SSL 3.0
6388      specifications.
6389      [Steve Henson]
6390
6391   *) In ssl3_get_client_hello() (ssl/s3_srvr.c), tolerate additional
6392      extra data after the compression methods not only for TLS 1.0
6393      but also for SSL 3.0 (as required by the specification).
6394      [Bodo Moeller; problem pointed out by Matthias Loepfe]
6395
6396   *) Change X509_certificate_type() to mark the key as exported/exportable
6397      when it's 512 *bits* long, not 512 bytes.
6398      [Richard Levitte]
6399
6400   *) Change AES_cbc_encrypt() so it outputs exact multiple of
6401      blocks during encryption.
6402      [Richard Levitte]
6403
6404   *) Various fixes to base64 BIO and non blocking I/O. On write
6405      flushes were not handled properly if the BIO retried. On read
6406      data was not being buffered properly and had various logic bugs.
6407      This also affects blocking I/O when the data being decoded is a
6408      certain size.
6409      [Steve Henson]
6410
6411   *) Various S/MIME bugfixes and compatibility changes:
6412      output correct application/pkcs7 MIME type if
6413      PKCS7_NOOLDMIMETYPE is set. Tolerate some broken signatures.
6414      Output CR+LF for EOL if PKCS7_CRLFEOL is set (this makes opening
6415      of files as .eml work). Correctly handle very long lines in MIME
6416      parser.
6417      [Steve Henson]
6418
6419  Changes between 0.9.7a and 0.9.7b  [10 Apr 2003]
6420
6421   *) Countermeasure against the Klima-Pokorny-Rosa extension of
6422      Bleichbacher's attack on PKCS #1 v1.5 padding: treat
6423      a protocol version number mismatch like a decryption error
6424      in ssl3_get_client_key_exchange (ssl/s3_srvr.c).
6425      [Bodo Moeller]
6426
6427   *) Turn on RSA blinding by default in the default implementation
6428      to avoid a timing attack. Applications that don't want it can call
6429      RSA_blinding_off() or use the new flag RSA_FLAG_NO_BLINDING.
6430      They would be ill-advised to do so in most cases.
6431      [Ben Laurie, Steve Henson, Geoff Thorpe, Bodo Moeller]
6432
6433   *) Change RSA blinding code so that it works when the PRNG is not
6434      seeded (in this case, the secret RSA exponent is abused as
6435      an unpredictable seed -- if it is not unpredictable, there
6436      is no point in blinding anyway).  Make RSA blinding thread-safe
6437      by remembering the creator's thread ID in rsa->blinding and
6438      having all other threads use local one-time blinding factors
6439      (this requires more computation than sharing rsa->blinding, but
6440      avoids excessive locking; and if an RSA object is not shared
6441      between threads, blinding will still be very fast).
6442      [Bodo Moeller]
6443
6444   *) Fixed a typo bug that would cause ENGINE_set_default() to set an
6445      ENGINE as defaults for all supported algorithms irrespective of
6446      the 'flags' parameter. 'flags' is now honoured, so applications
6447      should make sure they are passing it correctly.
6448      [Geoff Thorpe]
6449
6450   *) Target "mingw" now allows native Windows code to be generated in
6451      the Cygwin environment as well as with the MinGW compiler.
6452      [Ulf Moeller]
6453
6454  Changes between 0.9.7 and 0.9.7a  [19 Feb 2003]
6455
6456   *) In ssl3_get_record (ssl/s3_pkt.c), minimize information leaked
6457      via timing by performing a MAC computation even if incorrect
6458      block cipher padding has been found.  This is a countermeasure
6459      against active attacks where the attacker has to distinguish
6460      between bad padding and a MAC verification error. (CVE-2003-0078)
6461
6462      [Bodo Moeller; problem pointed out by Brice Canvel (EPFL),
6463      Alain Hiltgen (UBS), Serge Vaudenay (EPFL), and
6464      Martin Vuagnoux (EPFL, Ilion)]
6465
6466   *) Make the no-err option work as intended.  The intention with no-err
6467      is not to have the whole error stack handling routines removed from
6468      libcrypto, it's only intended to remove all the function name and
6469      reason texts, thereby removing some of the footprint that may not
6470      be interesting if those errors aren't displayed anyway.
6471
6472      NOTE: it's still possible for any application or module to have it's
6473      own set of error texts inserted.  The routines are there, just not
6474      used by default when no-err is given.
6475      [Richard Levitte]
6476
6477   *) Add support for FreeBSD on IA64.
6478      [dirk.meyer@dinoex.sub.org via Richard Levitte, resolves #454]
6479
6480   *) Adjust DES_cbc_cksum() so it returns the same value as the MIT
6481      Kerberos function mit_des_cbc_cksum().  Before this change,
6482      the value returned by DES_cbc_cksum() was like the one from
6483      mit_des_cbc_cksum(), except the bytes were swapped.
6484      [Kevin Greaney <Kevin.Greaney@hp.com> and Richard Levitte]
6485
6486   *) Allow an application to disable the automatic SSL chain building.
6487      Before this a rather primitive chain build was always performed in
6488      ssl3_output_cert_chain(): an application had no way to send the
6489      correct chain if the automatic operation produced an incorrect result.
6490
6491      Now the chain builder is disabled if either:
6492
6493      1. Extra certificates are added via SSL_CTX_add_extra_chain_cert().
6494
6495      2. The mode flag SSL_MODE_NO_AUTO_CHAIN is set.
6496
6497      The reasoning behind this is that an application would not want the
6498      auto chain building to take place if extra chain certificates are
6499      present and it might also want a means of sending no additional
6500      certificates (for example the chain has two certificates and the
6501      root is omitted).
6502      [Steve Henson]
6503
6504   *) Add the possibility to build without the ENGINE framework.
6505      [Steven Reddie <smr@essemer.com.au> via Richard Levitte]
6506
6507   *) Under Win32 gmtime() can return NULL: check return value in
6508      OPENSSL_gmtime(). Add error code for case where gmtime() fails.
6509      [Steve Henson]
6510
6511   *) DSA routines: under certain error conditions uninitialized BN objects
6512      could be freed. Solution: make sure initialization is performed early
6513      enough. (Reported and fix supplied by Ivan D Nestlerode <nestler@MIT.EDU>,
6514      Nils Larsch <nla@trustcenter.de> via PR#459)
6515      [Lutz Jaenicke]
6516
6517   *) Another fix for SSLv2 session ID handling: the session ID was incorrectly
6518      checked on reconnect on the client side, therefore session resumption
6519      could still fail with a "ssl session id is different" error. This
6520      behaviour is masked when SSL_OP_ALL is used due to
6521      SSL_OP_MICROSOFT_SESS_ID_BUG being set.
6522      Behaviour observed by Crispin Flowerday <crispin@flowerday.cx> as
6523      followup to PR #377.
6524      [Lutz Jaenicke]
6525
6526   *) IA-32 assembler support enhancements: unified ELF targets, support
6527      for SCO/Caldera platforms, fix for Cygwin shared build.
6528      [Andy Polyakov]
6529
6530   *) Add support for FreeBSD on sparc64.  As a consequence, support for
6531      FreeBSD on non-x86 processors is separate from x86 processors on
6532      the config script, much like the NetBSD support.
6533      [Richard Levitte & Kris Kennaway <kris@obsecurity.org>]
6534
6535  Changes between 0.9.6h and 0.9.7  [31 Dec 2002]
6536
6537   [NB: OpenSSL 0.9.6i and later 0.9.6 patch levels were released after
6538   OpenSSL 0.9.7.]
6539
6540   *) Fix session ID handling in SSLv2 client code: the SERVER FINISHED
6541      code (06) was taken as the first octet of the session ID and the last
6542      octet was ignored consequently. As a result SSLv2 client side session
6543      caching could not have worked due to the session ID mismatch between
6544      client and server.
6545      Behaviour observed by Crispin Flowerday <crispin@flowerday.cx> as
6546      PR #377.
6547      [Lutz Jaenicke]
6548
6549   *) Change the declaration of needed Kerberos libraries to use EX_LIBS
6550      instead of the special (and badly supported) LIBKRB5.  LIBKRB5 is
6551      removed entirely.
6552      [Richard Levitte]
6553
6554   *) The hw_ncipher.c engine requires dynamic locks.  Unfortunately, it
6555      seems that in spite of existing for more than a year, many application
6556      author have done nothing to provide the necessary callbacks, which
6557      means that this particular engine will not work properly anywhere.
6558      This is a very unfortunate situation which forces us, in the name
6559      of usability, to give the hw_ncipher.c a static lock, which is part
6560      of libcrypto.
6561      NOTE: This is for the 0.9.7 series ONLY.  This hack will never
6562      appear in 0.9.8 or later.  We EXPECT application authors to have
6563      dealt properly with this when 0.9.8 is released (unless we actually
6564      make such changes in the libcrypto locking code that changes will
6565      have to be made anyway).
6566      [Richard Levitte]
6567
6568   *) In asn1_d2i_read_bio() repeatedly call BIO_read() until all content
6569      octets have been read, EOF or an error occurs. Without this change
6570      some truncated ASN1 structures will not produce an error.
6571      [Steve Henson]
6572
6573   *) Disable Heimdal support, since it hasn't been fully implemented.
6574      Still give the possibility to force the use of Heimdal, but with
6575      warnings and a request that patches get sent to openssl-dev.
6576      [Richard Levitte]
6577
6578   *) Add the VC-CE target, introduce the WINCE sysname, and add
6579      INSTALL.WCE and appropriate conditionals to make it build.
6580      [Steven Reddie <smr@essemer.com.au> via Richard Levitte]
6581
6582   *) Change the DLL names for Cygwin to cygcrypto-x.y.z.dll and
6583      cygssl-x.y.z.dll, where x, y and z are the major, minor and
6584      edit numbers of the version.
6585      [Corinna Vinschen <vinschen@redhat.com> and Richard Levitte]
6586
6587   *) Introduce safe string copy and catenation functions
6588      (BUF_strlcpy() and BUF_strlcat()).
6589      [Ben Laurie (CHATS) and Richard Levitte]
6590
6591   *) Avoid using fixed-size buffers for one-line DNs.
6592      [Ben Laurie (CHATS)]
6593
6594   *) Add BUF_MEM_grow_clean() to avoid information leakage when
6595      resizing buffers containing secrets, and use where appropriate.
6596      [Ben Laurie (CHATS)]
6597
6598   *) Avoid using fixed size buffers for configuration file location.
6599      [Ben Laurie (CHATS)]
6600
6601   *) Avoid filename truncation for various CA files.
6602      [Ben Laurie (CHATS)]
6603
6604   *) Use sizeof in preference to magic numbers.
6605      [Ben Laurie (CHATS)]
6606
6607   *) Avoid filename truncation in cert requests.
6608      [Ben Laurie (CHATS)]
6609
6610   *) Add assertions to check for (supposedly impossible) buffer
6611      overflows.
6612      [Ben Laurie (CHATS)]
6613
6614   *) Don't cache truncated DNS entries in the local cache (this could
6615      potentially lead to a spoofing attack).
6616      [Ben Laurie (CHATS)]
6617
6618   *) Fix various buffers to be large enough for hex/decimal
6619      representations in a platform independent manner.
6620      [Ben Laurie (CHATS)]
6621
6622   *) Add CRYPTO_realloc_clean() to avoid information leakage when
6623      resizing buffers containing secrets, and use where appropriate.
6624      [Ben Laurie (CHATS)]
6625
6626   *) Add BIO_indent() to avoid much slightly worrying code to do
6627      indents.
6628      [Ben Laurie (CHATS)]
6629
6630   *) Convert sprintf()/BIO_puts() to BIO_printf().
6631      [Ben Laurie (CHATS)]
6632
6633   *) buffer_gets() could terminate with the buffer only half
6634      full. Fixed.
6635      [Ben Laurie (CHATS)]
6636
6637   *) Add assertions to prevent user-supplied crypto functions from
6638      overflowing internal buffers by having large block sizes, etc.
6639      [Ben Laurie (CHATS)]
6640
6641   *) New OPENSSL_assert() macro (similar to assert(), but enabled
6642      unconditionally).
6643      [Ben Laurie (CHATS)]
6644
6645   *) Eliminate unused copy of key in RC4.
6646      [Ben Laurie (CHATS)]
6647
6648   *) Eliminate unused and incorrectly sized buffers for IV in pem.h.
6649      [Ben Laurie (CHATS)]
6650
6651   *) Fix off-by-one error in EGD path.
6652      [Ben Laurie (CHATS)]
6653
6654   *) If RANDFILE path is too long, ignore instead of truncating.
6655      [Ben Laurie (CHATS)]
6656
6657   *) Eliminate unused and incorrectly sized X.509 structure
6658      CBCParameter.
6659      [Ben Laurie (CHATS)]
6660
6661   *) Eliminate unused and dangerous function knumber().
6662      [Ben Laurie (CHATS)]
6663
6664   *) Eliminate unused and dangerous structure, KSSL_ERR.
6665      [Ben Laurie (CHATS)]
6666
6667   *) Protect against overlong session ID context length in an encoded
6668      session object. Since these are local, this does not appear to be
6669      exploitable.
6670      [Ben Laurie (CHATS)]
6671
6672   *) Change from security patch (see 0.9.6e below) that did not affect
6673      the 0.9.6 release series:
6674
6675      Remote buffer overflow in SSL3 protocol - an attacker could
6676      supply an oversized master key in Kerberos-enabled versions.
6677      (CVE-2002-0657)
6678      [Ben Laurie (CHATS)]
6679
6680   *) Change the SSL kerb5 codes to match RFC 2712.
6681      [Richard Levitte]
6682
6683   *) Make -nameopt work fully for req and add -reqopt switch.
6684      [Michael Bell <michael.bell@rz.hu-berlin.de>, Steve Henson]
6685
6686   *) The "block size" for block ciphers in CFB and OFB mode should be 1.
6687      [Steve Henson, reported by Yngve Nysaeter Pettersen <yngve@opera.com>]
6688
6689   *) Make sure tests can be performed even if the corresponding algorithms
6690      have been removed entirely.  This was also the last step to make
6691      OpenSSL compilable with DJGPP under all reasonable conditions.
6692      [Richard Levitte, Doug Kaufman <dkaufman@rahul.net>]
6693
6694   *) Add cipher selection rules COMPLEMENTOFALL and COMPLEMENTOFDEFAULT
6695      to allow version independent disabling of normally unselected ciphers,
6696      which may be activated as a side-effect of selecting a single cipher.
6697
6698      (E.g., cipher list string "RSA" enables ciphersuites that are left
6699      out of "ALL" because they do not provide symmetric encryption.
6700      "RSA:!COMPLEMEMENTOFALL" avoids these unsafe ciphersuites.)
6701      [Lutz Jaenicke, Bodo Moeller]
6702
6703   *) Add appropriate support for separate platform-dependent build
6704      directories.  The recommended way to make a platform-dependent
6705      build directory is the following (tested on Linux), maybe with
6706      some local tweaks:
6707
6708         # Place yourself outside of the OpenSSL source tree.  In
6709         # this example, the environment variable OPENSSL_SOURCE
6710         # is assumed to contain the absolute OpenSSL source directory.
6711         mkdir -p objtree/"`uname -s`-`uname -r`-`uname -m`"
6712         cd objtree/"`uname -s`-`uname -r`-`uname -m`"
6713         (cd $OPENSSL_SOURCE; find . -type f) | while read F; do
6714                 mkdir -p `dirname $F`
6715                 ln -s $OPENSSL_SOURCE/$F $F
6716         done
6717
6718      To be absolutely sure not to disturb the source tree, a "make clean"
6719      is a good thing.  If it isn't successful, don't worry about it,
6720      it probably means the source directory is very clean.
6721      [Richard Levitte]
6722
6723   *) Make sure any ENGINE control commands make local copies of string
6724      pointers passed to them whenever necessary. Otherwise it is possible
6725      the caller may have overwritten (or deallocated) the original string
6726      data when a later ENGINE operation tries to use the stored values.
6727      [Götz Babin-Ebell <babinebell@trustcenter.de>]
6728
6729   *) Improve diagnostics in file reading and command-line digests.
6730      [Ben Laurie aided and abetted by Solar Designer <solar@openwall.com>]
6731
6732   *) Add AES modes CFB and OFB to the object database.  Correct an
6733      error in AES-CFB decryption.
6734      [Richard Levitte]
6735
6736   *) Remove most calls to EVP_CIPHER_CTX_cleanup() in evp_enc.c, this
6737      allows existing EVP_CIPHER_CTX structures to be reused after
6738      calling EVP_*Final(). This behaviour is used by encryption
6739      BIOs and some applications. This has the side effect that
6740      applications must explicitly clean up cipher contexts with
6741      EVP_CIPHER_CTX_cleanup() or they will leak memory.
6742      [Steve Henson]
6743
6744   *) Check the values of dna and dnb in bn_mul_recursive before calling
6745      bn_mul_comba (a non zero value means the a or b arrays do not contain
6746      n2 elements) and fallback to bn_mul_normal if either is not zero.
6747      [Steve Henson]
6748
6749   *) Fix escaping of non-ASCII characters when using the -subj option
6750      of the "openssl req" command line tool. (Robert Joop <joop@fokus.gmd.de>)
6751      [Lutz Jaenicke]
6752
6753   *) Make object definitions compliant to LDAP (RFC2256): SN is the short
6754      form for "surname", serialNumber has no short form.
6755      Use "mail" as the short name for "rfc822Mailbox" according to RFC2798;
6756      therefore remove "mail" short name for "internet 7".
6757      The OID for unique identifiers in X509 certificates is
6758      x500UniqueIdentifier, not uniqueIdentifier.
6759      Some more OID additions. (Michael Bell <michael.bell@rz.hu-berlin.de>)
6760      [Lutz Jaenicke]
6761
6762   *) Add an "init" command to the ENGINE config module and auto initialize
6763      ENGINEs. Without any "init" command the ENGINE will be initialized
6764      after all ctrl commands have been executed on it. If init=1 the
6765      ENGINE is initialized at that point (ctrls before that point are run
6766      on the uninitialized ENGINE and after on the initialized one). If
6767      init=0 then the ENGINE will not be initialized at all.
6768      [Steve Henson]
6769
6770   *) Fix the 'app_verify_callback' interface so that the user-defined
6771      argument is actually passed to the callback: In the
6772      SSL_CTX_set_cert_verify_callback() prototype, the callback
6773      declaration has been changed from
6774           int (*cb)()
6775      into
6776           int (*cb)(X509_STORE_CTX *,void *);
6777      in ssl_verify_cert_chain (ssl/ssl_cert.c), the call
6778           i=s->ctx->app_verify_callback(&ctx)
6779      has been changed into
6780           i=s->ctx->app_verify_callback(&ctx, s->ctx->app_verify_arg).
6781
6782      To update applications using SSL_CTX_set_cert_verify_callback(),
6783      a dummy argument can be added to their callback functions.
6784      [D. K. Smetters <smetters@parc.xerox.com>]
6785
6786   *) Added the '4758cca' ENGINE to support IBM 4758 cards.
6787      [Maurice Gittens <maurice@gittens.nl>, touchups by Geoff Thorpe]
6788
6789   *) Add and OPENSSL_LOAD_CONF define which will cause
6790      OpenSSL_add_all_algorithms() to load the openssl.cnf config file.
6791      This allows older applications to transparently support certain
6792      OpenSSL features: such as crypto acceleration and dynamic ENGINE loading.
6793      Two new functions OPENSSL_add_all_algorithms_noconf() which will never
6794      load the config file and OPENSSL_add_all_algorithms_conf() which will
6795      always load it have also been added.
6796      [Steve Henson]
6797
6798   *) Add the OFB, CFB and CTR (all with 128 bit feedback) to AES.
6799      Adjust NIDs and EVP layer.
6800      [Stephen Sprunk <stephen@sprunk.org> and Richard Levitte]
6801
6802   *) Config modules support in openssl utility.
6803
6804      Most commands now load modules from the config file,
6805      though in a few (such as version) this isn't done
6806      because it couldn't be used for anything.
6807
6808      In the case of ca and req the config file used is
6809      the same as the utility itself: that is the -config
6810      command line option can be used to specify an
6811      alternative file.
6812      [Steve Henson]
6813
6814   *) Move default behaviour from OPENSSL_config(). If appname is NULL
6815      use "openssl_conf" if filename is NULL use default openssl config file.
6816      [Steve Henson]
6817
6818   *) Add an argument to OPENSSL_config() to allow the use of an alternative
6819      config section name. Add a new flag to tolerate a missing config file
6820      and move code to CONF_modules_load_file().
6821      [Steve Henson]
6822
6823   *) Support for crypto accelerator cards from Accelerated Encryption
6824      Processing, www.aep.ie.  (Use engine 'aep')
6825      The support was copied from 0.9.6c [engine] and adapted/corrected
6826      to work with the new engine framework.
6827      [AEP Inc. and Richard Levitte]
6828
6829   *) Support for SureWare crypto accelerator cards from Baltimore
6830      Technologies.  (Use engine 'sureware')
6831      The support was copied from 0.9.6c [engine] and adapted
6832      to work with the new engine framework.
6833      [Richard Levitte]
6834
6835   *) Have the CHIL engine fork-safe (as defined by nCipher) and actually
6836      make the newer ENGINE framework commands for the CHIL engine work.
6837      [Toomas Kiisk <vix@cyber.ee> and Richard Levitte]
6838
6839   *) Make it possible to produce shared libraries on ReliantUNIX.
6840      [Robert Dahlem <Robert.Dahlem@ffm2.siemens.de> via Richard Levitte]
6841
6842   *) Add the configuration target debug-linux-ppro.
6843      Make 'openssl rsa' use the general key loading routines
6844      implemented in apps.c, and make those routines able to
6845      handle the key format FORMAT_NETSCAPE and the variant
6846      FORMAT_IISSGC.
6847      [Toomas Kiisk <vix@cyber.ee> via Richard Levitte]
6848
6849  *) Fix a crashbug and a logic bug in hwcrhk_load_pubkey().
6850      [Toomas Kiisk <vix@cyber.ee> via Richard Levitte]
6851
6852   *) Add -keyform to rsautl, and document -engine.
6853      [Richard Levitte, inspired by Toomas Kiisk <vix@cyber.ee>]
6854
6855   *) Change BIO_new_file (crypto/bio/bss_file.c) to use new
6856      BIO_R_NO_SUCH_FILE error code rather than the generic
6857      ERR_R_SYS_LIB error code if fopen() fails with ENOENT.
6858      [Ben Laurie]
6859
6860   *) Add new functions
6861           ERR_peek_last_error
6862           ERR_peek_last_error_line
6863           ERR_peek_last_error_line_data.
6864      These are similar to
6865           ERR_peek_error
6866           ERR_peek_error_line
6867           ERR_peek_error_line_data,
6868      but report on the latest error recorded rather than the first one
6869      still in the error queue.
6870      [Ben Laurie, Bodo Moeller]
6871
6872   *) default_algorithms option in ENGINE config module. This allows things
6873      like:
6874      default_algorithms = ALL
6875      default_algorithms = RSA, DSA, RAND, CIPHERS, DIGESTS
6876      [Steve Henson]
6877
6878   *) Preliminary ENGINE config module.
6879      [Steve Henson]
6880
6881   *) New experimental application configuration code.
6882      [Steve Henson]
6883
6884   *) Change the AES code to follow the same name structure as all other
6885      symmetric ciphers, and behave the same way.  Move everything to
6886      the directory crypto/aes, thereby obsoleting crypto/rijndael.
6887      [Stephen Sprunk <stephen@sprunk.org> and Richard Levitte]
6888
6889   *) SECURITY: remove unsafe setjmp/signal interaction from ui_openssl.c.
6890      [Ben Laurie and Theo de Raadt]
6891
6892   *) Add option to output public keys in req command.
6893      [Massimiliano Pala madwolf@openca.org]
6894
6895   *) Use wNAFs in EC_POINTs_mul() for improved efficiency
6896      (up to about 10% better than before for P-192 and P-224).
6897      [Bodo Moeller]
6898
6899   *) New functions/macros
6900
6901           SSL_CTX_set_msg_callback(ctx, cb)
6902           SSL_CTX_set_msg_callback_arg(ctx, arg)
6903           SSL_set_msg_callback(ssl, cb)
6904           SSL_set_msg_callback_arg(ssl, arg)
6905
6906      to request calling a callback function
6907
6908           void cb(int write_p, int version, int content_type,
6909                   const void *buf, size_t len, SSL *ssl, void *arg)
6910
6911      whenever a protocol message has been completely received
6912      (write_p == 0) or sent (write_p == 1).  Here 'version' is the
6913      protocol version  according to which the SSL library interprets
6914      the current protocol message (SSL2_VERSION, SSL3_VERSION, or
6915      TLS1_VERSION).  'content_type' is 0 in the case of SSL 2.0, or
6916      the content type as defined in the SSL 3.0/TLS 1.0 protocol
6917      specification (change_cipher_spec(20), alert(21), handshake(22)).
6918      'buf' and 'len' point to the actual message, 'ssl' to the
6919      SSL object, and 'arg' is the application-defined value set by
6920      SSL[_CTX]_set_msg_callback_arg().
6921
6922      'openssl s_client' and 'openssl s_server' have new '-msg' options
6923      to enable a callback that displays all protocol messages.
6924      [Bodo Moeller]
6925
6926   *) Change the shared library support so shared libraries are built as
6927      soon as the corresponding static library is finished, and thereby get
6928      openssl and the test programs linked against the shared library.
6929      This still only happens when the keyword "shard" has been given to
6930      the configuration scripts.
6931
6932      NOTE: shared library support is still an experimental thing, and
6933      backward binary compatibility is still not guaranteed.
6934      ["Maciej W. Rozycki" <macro@ds2.pg.gda.pl> and Richard Levitte]
6935
6936   *) Add support for Subject Information Access extension.
6937      [Peter Sylvester <Peter.Sylvester@EdelWeb.fr>]
6938
6939   *) Make BUF_MEM_grow() behaviour more consistent: Initialise to zero
6940      additional bytes when new memory had to be allocated, not just
6941      when reusing an existing buffer.
6942      [Bodo Moeller]
6943
6944   *) New command line and configuration option 'utf8' for the req command.
6945      This allows field values to be specified as UTF8 strings.
6946      [Steve Henson]
6947
6948   *) Add -multi and -mr options to "openssl speed" - giving multiple parallel
6949      runs for the former and machine-readable output for the latter.
6950      [Ben Laurie]
6951
6952   *) Add '-noemailDN' option to 'openssl ca'.  This prevents inclusion
6953      of the e-mail address in the DN (i.e., it will go into a certificate
6954      extension only).  The new configuration file option 'email_in_dn = no'
6955      has the same effect.
6956      [Massimiliano Pala madwolf@openca.org]
6957
6958   *) Change all functions with names starting with des_ to be starting
6959      with DES_ instead.  Add wrappers that are compatible with libdes,
6960      but are named _ossl_old_des_*.  Finally, add macros that map the
6961      des_* symbols to the corresponding _ossl_old_des_* if libdes
6962      compatibility is desired.  If OpenSSL 0.9.6c compatibility is
6963      desired, the des_* symbols will be mapped to DES_*, with one
6964      exception.
6965
6966      Since we provide two compatibility mappings, the user needs to
6967      define the macro OPENSSL_DES_LIBDES_COMPATIBILITY if libdes
6968      compatibility is desired.  The default (i.e., when that macro
6969      isn't defined) is OpenSSL 0.9.6c compatibility.
6970
6971      There are also macros that enable and disable the support of old
6972      des functions altogether.  Those are OPENSSL_ENABLE_OLD_DES_SUPPORT
6973      and OPENSSL_DISABLE_OLD_DES_SUPPORT.  If none or both of those
6974      are defined, the default will apply: to support the old des routines.
6975
6976      In either case, one must include openssl/des.h to get the correct
6977      definitions.  Do not try to just include openssl/des_old.h, that
6978      won't work.
6979
6980      NOTE: This is a major break of an old API into a new one.  Software
6981      authors are encouraged to switch to the DES_ style functions.  Some
6982      time in the future, des_old.h and the libdes compatibility functions
6983      will be disable (i.e. OPENSSL_DISABLE_OLD_DES_SUPPORT will be the
6984      default), and then completely removed.
6985      [Richard Levitte]
6986
6987   *) Test for certificates which contain unsupported critical extensions.
6988      If such a certificate is found during a verify operation it is
6989      rejected by default: this behaviour can be overridden by either
6990      handling the new error X509_V_ERR_UNHANDLED_CRITICAL_EXTENSION or
6991      by setting the verify flag X509_V_FLAG_IGNORE_CRITICAL. A new function
6992      X509_supported_extension() has also been added which returns 1 if a
6993      particular extension is supported.
6994      [Steve Henson]
6995
6996   *) Modify the behaviour of EVP cipher functions in similar way to digests
6997      to retain compatibility with existing code.
6998      [Steve Henson]
6999
7000   *) Modify the behaviour of EVP_DigestInit() and EVP_DigestFinal() to retain
7001      compatibility with existing code. In particular the 'ctx' parameter does
7002      not have to be to be initialized before the call to EVP_DigestInit() and
7003      it is tidied up after a call to EVP_DigestFinal(). New function
7004      EVP_DigestFinal_ex() which does not tidy up the ctx. Similarly function
7005      EVP_MD_CTX_copy() changed to not require the destination to be
7006      initialized valid and new function EVP_MD_CTX_copy_ex() added which
7007      requires the destination to be valid.
7008
7009      Modify all the OpenSSL digest calls to use EVP_DigestInit_ex(),
7010      EVP_DigestFinal_ex() and EVP_MD_CTX_copy_ex().
7011      [Steve Henson]
7012
7013   *) Change ssl3_get_message (ssl/s3_both.c) and the functions using it
7014      so that complete 'Handshake' protocol structures are kept in memory
7015      instead of overwriting 'msg_type' and 'length' with 'body' data.
7016      [Bodo Moeller]
7017
7018   *) Add an implementation of SSL_add_dir_cert_subjects_to_stack for Win32.
7019      [Massimo Santin via Richard Levitte]
7020
7021   *) Major restructuring to the underlying ENGINE code. This includes
7022      reduction of linker bloat, separation of pure "ENGINE" manipulation
7023      (initialisation, etc) from functionality dealing with implementations
7024      of specific crypto interfaces. This change also introduces integrated
7025      support for symmetric ciphers and digest implementations - so ENGINEs
7026      can now accelerate these by providing EVP_CIPHER and EVP_MD
7027      implementations of their own. This is detailed in crypto/engine/README
7028      as it couldn't be adequately described here. However, there are a few
7029      API changes worth noting - some RSA, DSA, DH, and RAND functions that
7030      were changed in the original introduction of ENGINE code have now
7031      reverted back - the hooking from this code to ENGINE is now a good
7032      deal more passive and at run-time, operations deal directly with
7033      RSA_METHODs, DSA_METHODs (etc) as they did before, rather than
7034      dereferencing through an ENGINE pointer any more. Also, the ENGINE
7035      functions dealing with BN_MOD_EXP[_CRT] handlers have been removed -
7036      they were not being used by the framework as there is no concept of a
7037      BIGNUM_METHOD and they could not be generalised to the new
7038      'ENGINE_TABLE' mechanism that underlies the new code. Similarly,
7039      ENGINE_cpy() has been removed as it cannot be consistently defined in
7040      the new code.
7041      [Geoff Thorpe]
7042
7043   *) Change ASN1_GENERALIZEDTIME_check() to allow fractional seconds.
7044      [Steve Henson]
7045
7046   *) Change mkdef.pl to sort symbols that get the same entry number,
7047      and make sure the automatically generated functions ERR_load_*
7048      become part of libeay.num as well.
7049      [Richard Levitte]
7050
7051   *) New function SSL_renegotiate_pending().  This returns true once
7052      renegotiation has been requested (either SSL_renegotiate() call
7053      or HelloRequest/ClientHello received from the peer) and becomes
7054      false once a handshake has been completed.
7055      (For servers, SSL_renegotiate() followed by SSL_do_handshake()
7056      sends a HelloRequest, but does not ensure that a handshake takes
7057      place.  SSL_renegotiate_pending() is useful for checking if the
7058      client has followed the request.)
7059      [Bodo Moeller]
7060
7061   *) New SSL option SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION.
7062      By default, clients may request session resumption even during
7063      renegotiation (if session ID contexts permit); with this option,
7064      session resumption is possible only in the first handshake.
7065
7066      SSL_OP_ALL is now 0x00000FFFL instead of 0x000FFFFFL.  This makes
7067      more bits available for options that should not be part of
7068      SSL_OP_ALL (such as SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION).
7069      [Bodo Moeller]
7070
7071   *) Add some demos for certificate and certificate request creation.
7072      [Steve Henson]
7073
7074   *) Make maximum certificate chain size accepted from the peer application
7075      settable (SSL*_get/set_max_cert_list()), as proposed by
7076      "Douglas E. Engert" <deengert@anl.gov>.
7077      [Lutz Jaenicke]
7078
7079   *) Add support for shared libraries for Unixware-7
7080      (Boyd Lynn Gerber <gerberb@zenez.com>).
7081      [Lutz Jaenicke]
7082
7083   *) Add a "destroy" handler to ENGINEs that allows structural cleanup to
7084      be done prior to destruction. Use this to unload error strings from
7085      ENGINEs that load their own error strings. NB: This adds two new API
7086      functions to "get" and "set" this destroy handler in an ENGINE.
7087      [Geoff Thorpe]
7088
7089   *) Alter all existing ENGINE implementations (except "openssl" and
7090      "openbsd") to dynamically instantiate their own error strings. This
7091      makes them more flexible to be built both as statically-linked ENGINEs
7092      and self-contained shared-libraries loadable via the "dynamic" ENGINE.
7093      Also, add stub code to each that makes building them as self-contained
7094      shared-libraries easier (see README.ENGINE).
7095      [Geoff Thorpe]
7096
7097   *) Add a "dynamic" ENGINE that provides a mechanism for binding ENGINE
7098      implementations into applications that are completely implemented in
7099      self-contained shared-libraries. The "dynamic" ENGINE exposes control
7100      commands that can be used to configure what shared-library to load and
7101      to control aspects of the way it is handled. Also, made an update to
7102      the README.ENGINE file that brings its information up-to-date and
7103      provides some information and instructions on the "dynamic" ENGINE
7104      (ie. how to use it, how to build "dynamic"-loadable ENGINEs, etc).
7105      [Geoff Thorpe]
7106
7107   *) Make it possible to unload ranges of ERR strings with a new
7108      "ERR_unload_strings" function.
7109      [Geoff Thorpe]
7110
7111   *) Add a copy() function to EVP_MD.
7112      [Ben Laurie]
7113
7114   *) Make EVP_MD routines take a context pointer instead of just the
7115      md_data void pointer.
7116      [Ben Laurie]
7117
7118   *) Add flags to EVP_MD and EVP_MD_CTX. EVP_MD_FLAG_ONESHOT indicates
7119      that the digest can only process a single chunk of data
7120      (typically because it is provided by a piece of
7121      hardware). EVP_MD_CTX_FLAG_ONESHOT indicates that the application
7122      is only going to provide a single chunk of data, and hence the
7123      framework needn't accumulate the data for oneshot drivers.
7124      [Ben Laurie]
7125
7126   *) As with "ERR", make it possible to replace the underlying "ex_data"
7127      functions. This change also alters the storage and management of global
7128      ex_data state - it's now all inside ex_data.c and all "class" code (eg.
7129      RSA, BIO, SSL_CTX, etc) no longer stores its own STACKS and per-class
7130      index counters. The API functions that use this state have been changed
7131      to take a "class_index" rather than pointers to the class's local STACK
7132      and counter, and there is now an API function to dynamically create new
7133      classes. This centralisation allows us to (a) plug a lot of the
7134      thread-safety problems that existed, and (b) makes it possible to clean
7135      up all allocated state using "CRYPTO_cleanup_all_ex_data()". W.r.t. (b)
7136      such data would previously have always leaked in application code and
7137      workarounds were in place to make the memory debugging turn a blind eye
7138      to it. Application code that doesn't use this new function will still
7139      leak as before, but their memory debugging output will announce it now
7140      rather than letting it slide.
7141
7142      Besides the addition of CRYPTO_cleanup_all_ex_data(), another API change
7143      induced by the "ex_data" overhaul is that X509_STORE_CTX_init() now
7144      has a return value to indicate success or failure.
7145      [Geoff Thorpe]
7146
7147   *) Make it possible to replace the underlying "ERR" functions such that the
7148      global state (2 LHASH tables and 2 locks) is only used by the "default"
7149      implementation. This change also adds two functions to "get" and "set"
7150      the implementation prior to it being automatically set the first time
7151      any other ERR function takes place. Ie. an application can call "get",
7152      pass the return value to a module it has just loaded, and that module
7153      can call its own "set" function using that value. This means the
7154      module's "ERR" operations will use (and modify) the error state in the
7155      application and not in its own statically linked copy of OpenSSL code.
7156      [Geoff Thorpe]
7157
7158   *) Give DH, DSA, and RSA types their own "**_up_ref()" function to increment
7159      reference counts. This performs normal REF_PRINT/REF_CHECK macros on
7160      the operation, and provides a more encapsulated way for external code
7161      (crypto/evp/ and ssl/) to do this. Also changed the evp and ssl code
7162      to use these functions rather than manually incrementing the counts.
7163
7164      Also rename "DSO_up()" function to more descriptive "DSO_up_ref()".
7165      [Geoff Thorpe]
7166
7167   *) Add EVP test program.
7168      [Ben Laurie]
7169
7170   *) Add symmetric cipher support to ENGINE. Expect the API to change!
7171      [Ben Laurie]
7172
7173   *) New CRL functions: X509_CRL_set_version(), X509_CRL_set_issuer_name()
7174      X509_CRL_set_lastUpdate(), X509_CRL_set_nextUpdate(), X509_CRL_sort(),
7175      X509_REVOKED_set_serialNumber(), and X509_REVOKED_set_revocationDate().
7176      These allow a CRL to be built without having to access X509_CRL fields
7177      directly. Modify 'ca' application to use new functions.
7178      [Steve Henson]
7179
7180   *) Move SSL_OP_TLS_ROLLBACK_BUG out of the SSL_OP_ALL list of recommended
7181      bug workarounds. Rollback attack detection is a security feature.
7182      The problem will only arise on OpenSSL servers when TLSv1 is not
7183      available (sslv3_server_method() or SSL_OP_NO_TLSv1).
7184      Software authors not wanting to support TLSv1 will have special reasons
7185      for their choice and can explicitly enable this option.
7186      [Bodo Moeller, Lutz Jaenicke]
7187
7188   *) Rationalise EVP so it can be extended: don't include a union of
7189      cipher/digest structures, add init/cleanup functions for EVP_MD_CTX
7190      (similar to those existing for EVP_CIPHER_CTX).
7191      Usage example:
7192
7193          EVP_MD_CTX md;
7194
7195          EVP_MD_CTX_init(&md);             /* new function call */
7196          EVP_DigestInit(&md, EVP_sha1());
7197          EVP_DigestUpdate(&md, in, len);
7198          EVP_DigestFinal(&md, out, NULL);
7199          EVP_MD_CTX_cleanup(&md);          /* new function call */
7200
7201      [Ben Laurie]
7202
7203   *) Make DES key schedule conform to the usual scheme, as well as
7204      correcting its structure. This means that calls to DES functions
7205      now have to pass a pointer to a des_key_schedule instead of a
7206      plain des_key_schedule (which was actually always a pointer
7207      anyway): E.g.,
7208
7209          des_key_schedule ks;
7210
7211          des_set_key_checked(..., &ks);
7212          des_ncbc_encrypt(..., &ks, ...);
7213
7214      (Note that a later change renames 'des_...' into 'DES_...'.)
7215      [Ben Laurie]
7216
7217   *) Initial reduction of linker bloat: the use of some functions, such as
7218      PEM causes large amounts of unused functions to be linked in due to
7219      poor organisation. For example pem_all.c contains every PEM function
7220      which has a knock on effect of linking in large amounts of (unused)
7221      ASN1 code. Grouping together similar functions and splitting unrelated
7222      functions prevents this.
7223      [Steve Henson]
7224
7225   *) Cleanup of EVP macros.
7226      [Ben Laurie]
7227
7228   *) Change historical references to {NID,SN,LN}_des_ede and ede3 to add the
7229      correct _ecb suffix.
7230      [Ben Laurie]
7231
7232   *) Add initial OCSP responder support to ocsp application. The
7233      revocation information is handled using the text based index
7234      use by the ca application. The responder can either handle
7235      requests generated internally, supplied in files (for example
7236      via a CGI script) or using an internal minimal server.
7237      [Steve Henson]
7238
7239   *) Add configuration choices to get zlib compression for TLS.
7240      [Richard Levitte]
7241
7242   *) Changes to Kerberos SSL for RFC 2712 compliance:
7243      1.  Implemented real KerberosWrapper, instead of just using
7244          KRB5 AP_REQ message.  [Thanks to Simon Wilkinson <sxw@sxw.org.uk>]
7245      2.  Implemented optional authenticator field of KerberosWrapper.
7246
7247      Added openssl-style ASN.1 macros for Kerberos ticket, ap_req,
7248      and authenticator structs; see crypto/krb5/.
7249
7250      Generalized Kerberos calls to support multiple Kerberos libraries.
7251      [Vern Staats <staatsvr@asc.hpc.mil>,
7252       Jeffrey Altman <jaltman@columbia.edu>
7253       via Richard Levitte]
7254
7255   *) Cause 'openssl speed' to use fully hard-coded DSA keys as it
7256      already does with RSA. testdsa.h now has 'priv_key/pub_key'
7257      values for each of the key sizes rather than having just
7258      parameters (and 'speed' generating keys each time).
7259      [Geoff Thorpe]
7260
7261   *) Speed up EVP routines.
7262      Before:
7263 encrypt
7264 type              8 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes
7265 des-cbc           4408.85k     5560.51k     5778.46k     5862.20k     5825.16k
7266 des-cbc           4389.55k     5571.17k     5792.23k     5846.91k     5832.11k
7267 des-cbc           4394.32k     5575.92k     5807.44k     5848.37k     5841.30k
7268 decrypt
7269 des-cbc           3482.66k     5069.49k     5496.39k     5614.16k     5639.28k
7270 des-cbc           3480.74k     5068.76k     5510.34k     5609.87k     5635.52k
7271 des-cbc           3483.72k     5067.62k     5504.60k     5708.01k     5724.80k
7272      After:
7273 encrypt
7274 des-cbc           4660.16k     5650.19k     5807.19k     5827.13k     5783.32k
7275 decrypt
7276 des-cbc           3624.96k     5258.21k     5530.91k     5624.30k     5628.26k
7277      [Ben Laurie]
7278
7279   *) Added the OS2-EMX target.
7280      ["Brian Havard" <brianh@kheldar.apana.org.au> and Richard Levitte]
7281
7282   *) Rewrite apps to use NCONF routines instead of the old CONF. New functions
7283      to support NCONF routines in extension code. New function CONF_set_nconf()
7284      to allow functions which take an NCONF to also handle the old LHASH
7285      structure: this means that the old CONF compatible routines can be
7286      retained (in particular wrt extensions) without having to duplicate the
7287      code. New function X509V3_add_ext_nconf_sk to add extensions to a stack.
7288      [Steve Henson]
7289
7290   *) Enhance the general user interface with mechanisms for inner control
7291      and with possibilities to have yes/no kind of prompts.
7292      [Richard Levitte]
7293
7294   *) Change all calls to low level digest routines in the library and
7295      applications to use EVP. Add missing calls to HMAC_cleanup() and
7296      don't assume HMAC_CTX can be copied using memcpy().
7297      [Verdon Walker <VWalker@novell.com>, Steve Henson]
7298
7299   *) Add the possibility to control engines through control names but with
7300      arbitrary arguments instead of just a string.
7301      Change the key loaders to take a UI_METHOD instead of a callback
7302      function pointer.  NOTE: this breaks binary compatibility with earlier
7303      versions of OpenSSL [engine].
7304      Adapt the nCipher code for these new conditions and add a card insertion
7305      callback.
7306      [Richard Levitte]
7307
7308   *) Enhance the general user interface with mechanisms to better support
7309      dialog box interfaces, application-defined prompts, the possibility
7310      to use defaults (for example default passwords from somewhere else)
7311      and interrupts/cancellations.
7312      [Richard Levitte]
7313
7314   *) Tidy up PKCS#12 attribute handling. Add support for the CSP name
7315      attribute in PKCS#12 files, add new -CSP option to pkcs12 utility.
7316      [Steve Henson]
7317
7318   *) Fix a memory leak in 'sk_dup()' in the case reallocation fails. (Also
7319      tidy up some unnecessarily weird code in 'sk_new()').
7320      [Geoff, reported by Diego Tartara <dtartara@novamens.com>]
7321
7322   *) Change the key loading routines for ENGINEs to use the same kind
7323      callback (pem_password_cb) as all other routines that need this
7324      kind of callback.
7325      [Richard Levitte]
7326
7327   *) Increase ENTROPY_NEEDED to 32 bytes, as Rijndael can operate with
7328      256 bit (=32 byte) keys. Of course seeding with more entropy bytes
7329      than this minimum value is recommended.
7330      [Lutz Jaenicke]
7331
7332   *) New random seeder for OpenVMS, using the system process statistics
7333      that are easily reachable.
7334      [Richard Levitte]
7335
7336   *) Windows apparently can't transparently handle global
7337      variables defined in DLLs. Initialisations such as:
7338
7339         const ASN1_ITEM *it = &ASN1_INTEGER_it;
7340
7341      won't compile. This is used by the any applications that need to
7342      declare their own ASN1 modules. This was fixed by adding the option
7343      EXPORT_VAR_AS_FN to all Win32 platforms, although this isn't strictly
7344      needed for static libraries under Win32.
7345      [Steve Henson]
7346
7347   *) New functions X509_PURPOSE_set() and X509_TRUST_set() to handle
7348      setting of purpose and trust fields. New X509_STORE trust and
7349      purpose functions and tidy up setting in other SSL functions.
7350      [Steve Henson]
7351
7352   *) Add copies of X509_STORE_CTX fields and callbacks to X509_STORE
7353      structure. These are inherited by X509_STORE_CTX when it is
7354      initialised. This allows various defaults to be set in the
7355      X509_STORE structure (such as flags for CRL checking and custom
7356      purpose or trust settings) for functions which only use X509_STORE_CTX
7357      internally such as S/MIME.
7358
7359      Modify X509_STORE_CTX_purpose_inherit() so it only sets purposes and
7360      trust settings if they are not set in X509_STORE. This allows X509_STORE
7361      purposes and trust (in S/MIME for example) to override any set by default.
7362
7363      Add command line options for CRL checking to smime, s_client and s_server
7364      applications.
7365      [Steve Henson]
7366
7367   *) Initial CRL based revocation checking. If the CRL checking flag(s)
7368      are set then the CRL is looked up in the X509_STORE structure and
7369      its validity and signature checked, then if the certificate is found
7370      in the CRL the verify fails with a revoked error.
7371
7372      Various new CRL related callbacks added to X509_STORE_CTX structure.
7373
7374      Command line options added to 'verify' application to support this.
7375
7376      This needs some additional work, such as being able to handle multiple
7377      CRLs with different times, extension based lookup (rather than just
7378      by subject name) and ultimately more complete V2 CRL extension
7379      handling.
7380      [Steve Henson]
7381
7382   *) Add a general user interface API (crypto/ui/).  This is designed
7383      to replace things like des_read_password and friends (backward
7384      compatibility functions using this new API are provided).
7385      The purpose is to remove prompting functions from the DES code
7386      section as well as provide for prompting through dialog boxes in
7387      a window system and the like.
7388      [Richard Levitte]
7389
7390   *) Add "ex_data" support to ENGINE so implementations can add state at a
7391      per-structure level rather than having to store it globally.
7392      [Geoff]
7393
7394   *) Make it possible for ENGINE structures to be copied when retrieved by
7395      ENGINE_by_id() if the ENGINE specifies a new flag: ENGINE_FLAGS_BY_ID_COPY.
7396      This causes the "original" ENGINE structure to act like a template,
7397      analogous to the RSA vs. RSA_METHOD type of separation. Because of this
7398      operational state can be localised to each ENGINE structure, despite the
7399      fact they all share the same "methods". New ENGINE structures returned in
7400      this case have no functional references and the return value is the single
7401      structural reference. This matches the single structural reference returned
7402      by ENGINE_by_id() normally, when it is incremented on the pre-existing
7403      ENGINE structure.
7404      [Geoff]
7405
7406   *) Fix ASN1 decoder when decoding type ANY and V_ASN1_OTHER: since this
7407      needs to match any other type at all we need to manually clear the
7408      tag cache.
7409      [Steve Henson]
7410
7411   *) Changes to the "openssl engine" utility to include;
7412      - verbosity levels ('-v', '-vv', and '-vvv') that provide information
7413        about an ENGINE's available control commands.
7414      - executing control commands from command line arguments using the
7415        '-pre' and '-post' switches. '-post' is only used if '-t' is
7416        specified and the ENGINE is successfully initialised. The syntax for
7417        the individual commands are colon-separated, for example;
7418          openssl engine chil -pre FORK_CHECK:0 -pre SO_PATH:/lib/test.so
7419      [Geoff]
7420
7421   *) New dynamic control command support for ENGINEs. ENGINEs can now
7422      declare their own commands (numbers), names (strings), descriptions,
7423      and input types for run-time discovery by calling applications. A
7424      subset of these commands are implicitly classed as "executable"
7425      depending on their input type, and only these can be invoked through
7426      the new string-based API function ENGINE_ctrl_cmd_string(). (Eg. this
7427      can be based on user input, config files, etc). The distinction is
7428      that "executable" commands cannot return anything other than a boolean
7429      result and can only support numeric or string input, whereas some
7430      discoverable commands may only be for direct use through
7431      ENGINE_ctrl(), eg. supporting the exchange of binary data, function
7432      pointers, or other custom uses. The "executable" commands are to
7433      support parameterisations of ENGINE behaviour that can be
7434      unambiguously defined by ENGINEs and used consistently across any
7435      OpenSSL-based application. Commands have been added to all the
7436      existing hardware-supporting ENGINEs, noticeably "SO_PATH" to allow
7437      control over shared-library paths without source code alterations.
7438      [Geoff]
7439
7440   *) Changed all ENGINE implementations to dynamically allocate their
7441      ENGINEs rather than declaring them statically. Apart from this being
7442      necessary with the removal of the ENGINE_FLAGS_MALLOCED distinction,
7443      this also allows the implementations to compile without using the
7444      internal engine_int.h header.
7445      [Geoff]
7446
7447   *) Minor adjustment to "rand" code. RAND_get_rand_method() now returns a
7448      'const' value. Any code that should be able to modify a RAND_METHOD
7449      should already have non-const pointers to it (ie. they should only
7450      modify their own ones).
7451      [Geoff]
7452
7453   *) Made a variety of little tweaks to the ENGINE code.
7454      - "atalla" and "ubsec" string definitions were moved from header files
7455        to C code. "nuron" string definitions were placed in variables
7456        rather than hard-coded - allowing parameterisation of these values
7457        later on via ctrl() commands.
7458      - Removed unused "#if 0"'d code.
7459      - Fixed engine list iteration code so it uses ENGINE_free() to release
7460        structural references.
7461      - Constified the RAND_METHOD element of ENGINE structures.
7462      - Constified various get/set functions as appropriate and added
7463        missing functions (including a catch-all ENGINE_cpy that duplicates
7464        all ENGINE values onto a new ENGINE except reference counts/state).
7465      - Removed NULL parameter checks in get/set functions. Setting a method
7466        or function to NULL is a way of cancelling out a previously set
7467        value.  Passing a NULL ENGINE parameter is just plain stupid anyway
7468        and doesn't justify the extra error symbols and code.
7469      - Deprecate the ENGINE_FLAGS_MALLOCED define and move the area for
7470        flags from engine_int.h to engine.h.
7471      - Changed prototypes for ENGINE handler functions (init(), finish(),
7472        ctrl(), key-load functions, etc) to take an (ENGINE*) parameter.
7473      [Geoff]
7474
7475   *) Implement binary inversion algorithm for BN_mod_inverse in addition
7476      to the algorithm using long division.  The binary algorithm can be
7477      used only if the modulus is odd.  On 32-bit systems, it is faster
7478      only for relatively small moduli (roughly 20-30% for 128-bit moduli,
7479      roughly 5-15% for 256-bit moduli), so we use it only for moduli
7480      up to 450 bits.  In 64-bit environments, the binary algorithm
7481      appears to be advantageous for much longer moduli; here we use it
7482      for moduli up to 2048 bits.
7483      [Bodo Moeller]
7484
7485   *) Rewrite CHOICE field setting in ASN1_item_ex_d2i(). The old code
7486      could not support the combine flag in choice fields.
7487      [Steve Henson]
7488
7489   *) Add a 'copy_extensions' option to the 'ca' utility. This copies
7490      extensions from a certificate request to the certificate.
7491      [Steve Henson]
7492
7493   *) Allow multiple 'certopt' and 'nameopt' options to be separated
7494      by commas. Add 'namopt' and 'certopt' options to the 'ca' config
7495      file: this allows the display of the certificate about to be
7496      signed to be customised, to allow certain fields to be included
7497      or excluded and extension details. The old system didn't display
7498      multicharacter strings properly, omitted fields not in the policy
7499      and couldn't display additional details such as extensions.
7500      [Steve Henson]
7501
7502   *) Function EC_POINTs_mul for multiple scalar multiplication
7503      of an arbitrary number of elliptic curve points
7504           \sum scalars[i]*points[i],
7505      optionally including the generator defined for the EC_GROUP:
7506           scalar*generator +  \sum scalars[i]*points[i].
7507
7508      EC_POINT_mul is a simple wrapper function for the typical case
7509      that the point list has just one item (besides the optional
7510      generator).
7511      [Bodo Moeller]
7512
7513   *) First EC_METHODs for curves over GF(p):
7514
7515      EC_GFp_simple_method() uses the basic BN_mod_mul and BN_mod_sqr
7516      operations and provides various method functions that can also
7517      operate with faster implementations of modular arithmetic.
7518
7519      EC_GFp_mont_method() reuses most functions that are part of
7520      EC_GFp_simple_method, but uses Montgomery arithmetic.
7521
7522      [Bodo Moeller; point addition and point doubling
7523      implementation directly derived from source code provided by
7524      Lenka Fibikova <fibikova@exp-math.uni-essen.de>]
7525
7526   *) Framework for elliptic curves (crypto/ec/ec.h, crypto/ec/ec_lcl.h,
7527      crypto/ec/ec_lib.c):
7528
7529      Curves are EC_GROUP objects (with an optional group generator)
7530      based on EC_METHODs that are built into the library.
7531
7532      Points are EC_POINT objects based on EC_GROUP objects.
7533
7534      Most of the framework would be able to handle curves over arbitrary
7535      finite fields, but as there are no obvious types for fields other
7536      than GF(p), some functions are limited to that for now.
7537      [Bodo Moeller]
7538
7539   *) Add the -HTTP option to s_server.  It is similar to -WWW, but requires
7540      that the file contains a complete HTTP response.
7541      [Richard Levitte]
7542
7543   *) Add the ec directory to mkdef.pl and mkfiles.pl. In mkdef.pl
7544      change the def and num file printf format specifier from "%-40sXXX"
7545      to "%-39s XXX". The latter will always guarantee a space after the
7546      field while the former will cause them to run together if the field
7547      is 40 of more characters long.
7548      [Steve Henson]
7549
7550   *) Constify the cipher and digest 'method' functions and structures
7551      and modify related functions to take constant EVP_MD and EVP_CIPHER
7552      pointers.
7553      [Steve Henson]
7554
7555   *) Hide BN_CTX structure details in bn_lcl.h instead of publishing them
7556      in <openssl/bn.h>.  Also further increase BN_CTX_NUM to 32.
7557      [Bodo Moeller]
7558
7559   *) Modify EVP_Digest*() routines so they now return values. Although the
7560      internal software routines can never fail additional hardware versions
7561      might.
7562      [Steve Henson]
7563
7564   *) Clean up crypto/err/err.h and change some error codes to avoid conflicts:
7565
7566      Previously ERR_R_FATAL was too small and coincided with ERR_LIB_PKCS7
7567      (= ERR_R_PKCS7_LIB); it is now 64 instead of 32.
7568
7569      ASN1 error codes
7570           ERR_R_NESTED_ASN1_ERROR
7571           ...
7572           ERR_R_MISSING_ASN1_EOS
7573      were 4 .. 9, conflicting with
7574           ERR_LIB_RSA (= ERR_R_RSA_LIB)
7575           ...
7576           ERR_LIB_PEM (= ERR_R_PEM_LIB).
7577      They are now 58 .. 63 (i.e., just below ERR_R_FATAL).
7578
7579      Add new error code 'ERR_R_INTERNAL_ERROR'.
7580      [Bodo Moeller]
7581
7582   *) Don't overuse locks in crypto/err/err.c: For data retrieval, CRYPTO_r_lock
7583      suffices.
7584      [Bodo Moeller]
7585
7586   *) New option '-subj arg' for 'openssl req' and 'openssl ca'.  This
7587      sets the subject name for a new request or supersedes the
7588      subject name in a given request. Formats that can be parsed are
7589           'CN=Some Name, OU=myOU, C=IT'
7590      and
7591           'CN=Some Name/OU=myOU/C=IT'.
7592
7593      Add options '-batch' and '-verbose' to 'openssl req'.
7594      [Massimiliano Pala <madwolf@hackmasters.net>]
7595
7596   *) Introduce the possibility to access global variables through
7597      functions on platform were that's the best way to handle exporting
7598      global variables in shared libraries.  To enable this functionality,
7599      one must configure with "EXPORT_VAR_AS_FN" or defined the C macro
7600      "OPENSSL_EXPORT_VAR_AS_FUNCTION" in crypto/opensslconf.h (the latter
7601      is normally done by Configure or something similar).
7602
7603      To implement a global variable, use the macro OPENSSL_IMPLEMENT_GLOBAL
7604      in the source file (foo.c) like this:
7605
7606         OPENSSL_IMPLEMENT_GLOBAL(int,foo)=1;
7607         OPENSSL_IMPLEMENT_GLOBAL(double,bar);
7608
7609      To declare a global variable, use the macros OPENSSL_DECLARE_GLOBAL
7610      and OPENSSL_GLOBAL_REF in the header file (foo.h) like this:
7611
7612         OPENSSL_DECLARE_GLOBAL(int,foo);
7613         #define foo OPENSSL_GLOBAL_REF(foo)
7614         OPENSSL_DECLARE_GLOBAL(double,bar);
7615         #define bar OPENSSL_GLOBAL_REF(bar)
7616
7617      The #defines are very important, and therefore so is including the
7618      header file everywhere where the defined globals are used.
7619
7620      The macro OPENSSL_EXPORT_VAR_AS_FUNCTION also affects the definition
7621      of ASN.1 items, but that structure is a bit different.
7622
7623      The largest change is in util/mkdef.pl which has been enhanced with
7624      better and easier to understand logic to choose which symbols should
7625      go into the Windows .def files as well as a number of fixes and code
7626      cleanup (among others, algorithm keywords are now sorted
7627      lexicographically to avoid constant rewrites).
7628      [Richard Levitte]
7629
7630   *) In BN_div() keep a copy of the sign of 'num' before writing the
7631      result to 'rm' because if rm==num the value will be overwritten
7632      and produce the wrong result if 'num' is negative: this caused
7633      problems with BN_mod() and BN_nnmod().
7634      [Steve Henson]
7635
7636   *) Function OCSP_request_verify(). This checks the signature on an
7637      OCSP request and verifies the signer certificate. The signer
7638      certificate is just checked for a generic purpose and OCSP request
7639      trust settings.
7640      [Steve Henson]
7641
7642   *) Add OCSP_check_validity() function to check the validity of OCSP
7643      responses. OCSP responses are prepared in real time and may only
7644      be a few seconds old. Simply checking that the current time lies
7645      between thisUpdate and nextUpdate max reject otherwise valid responses
7646      caused by either OCSP responder or client clock inaccuracy. Instead
7647      we allow thisUpdate and nextUpdate to fall within a certain period of
7648      the current time. The age of the response can also optionally be
7649      checked. Two new options -validity_period and -status_age added to
7650      ocsp utility.
7651      [Steve Henson]
7652
7653   *) If signature or public key algorithm is unrecognized print out its
7654      OID rather that just UNKNOWN.
7655      [Steve Henson]
7656
7657   *) Change OCSP_cert_to_id() to tolerate a NULL subject certificate and
7658      OCSP_cert_id_new() a NULL serialNumber. This allows a partial certificate
7659      ID to be generated from the issuer certificate alone which can then be
7660      passed to OCSP_id_issuer_cmp().
7661      [Steve Henson]
7662
7663   *) New compilation option ASN1_ITEM_FUNCTIONS. This causes the new
7664      ASN1 modules to export functions returning ASN1_ITEM pointers
7665      instead of the ASN1_ITEM structures themselves. This adds several
7666      new macros which allow the underlying ASN1 function/structure to
7667      be accessed transparently. As a result code should not use ASN1_ITEM
7668      references directly (such as &X509_it) but instead use the relevant
7669      macros (such as ASN1_ITEM_rptr(X509)). This option is to allow
7670      use of the new ASN1 code on platforms where exporting structures
7671      is problematical (for example in shared libraries) but exporting
7672      functions returning pointers to structures is not.
7673      [Steve Henson]
7674
7675   *) Add support for overriding the generation of SSL/TLS session IDs.
7676      These callbacks can be registered either in an SSL_CTX or per SSL.
7677      The purpose of this is to allow applications to control, if they wish,
7678      the arbitrary values chosen for use as session IDs, particularly as it
7679      can be useful for session caching in multiple-server environments. A
7680      command-line switch for testing this (and any client code that wishes
7681      to use such a feature) has been added to "s_server".
7682      [Geoff Thorpe, Lutz Jaenicke]
7683
7684   *) Modify mkdef.pl to recognise and parse preprocessor conditionals
7685      of the form '#if defined(...) || defined(...) || ...' and
7686      '#if !defined(...) && !defined(...) && ...'.  This also avoids
7687      the growing number of special cases it was previously handling.
7688      [Richard Levitte]
7689
7690   *) Make all configuration macros available for application by making
7691      sure they are available in opensslconf.h, by giving them names starting
7692      with "OPENSSL_" to avoid conflicts with other packages and by making
7693      sure e_os2.h will cover all platform-specific cases together with
7694      opensslconf.h.
7695      Additionally, it is now possible to define configuration/platform-
7696      specific names (called "system identities").  In the C code, these
7697      are prefixed with "OPENSSL_SYSNAME_".  e_os2.h will create another
7698      macro with the name beginning with "OPENSSL_SYS_", which is determined
7699      from "OPENSSL_SYSNAME_*" or compiler-specific macros depending on
7700      what is available.
7701      [Richard Levitte]
7702
7703   *) New option -set_serial to 'req' and 'x509' this allows the serial
7704      number to use to be specified on the command line. Previously self
7705      signed certificates were hard coded with serial number 0 and the
7706      CA options of 'x509' had to use a serial number in a file which was
7707      auto incremented.
7708      [Steve Henson]
7709
7710   *) New options to 'ca' utility to support V2 CRL entry extensions.
7711      Currently CRL reason, invalidity date and hold instruction are
7712      supported. Add new CRL extensions to V3 code and some new objects.
7713      [Steve Henson]
7714
7715   *) New function EVP_CIPHER_CTX_set_padding() this is used to
7716      disable standard block padding (aka PKCS#5 padding) in the EVP
7717      API, which was previously mandatory. This means that the data is
7718      not padded in any way and so the total length much be a multiple
7719      of the block size, otherwise an error occurs.
7720      [Steve Henson]
7721
7722   *) Initial (incomplete) OCSP SSL support.
7723      [Steve Henson]
7724
7725   *) New function OCSP_parse_url(). This splits up a URL into its host,
7726      port and path components: primarily to parse OCSP URLs. New -url
7727      option to ocsp utility.
7728      [Steve Henson]
7729
7730   *) New nonce behavior. The return value of OCSP_check_nonce() now
7731      reflects the various checks performed. Applications can decide
7732      whether to tolerate certain situations such as an absent nonce
7733      in a response when one was present in a request: the ocsp application
7734      just prints out a warning. New function OCSP_add1_basic_nonce()
7735      this is to allow responders to include a nonce in a response even if
7736      the request is nonce-less.
7737      [Steve Henson]
7738
7739   *) Disable stdin buffering in load_cert (apps/apps.c) so that no certs are
7740      skipped when using openssl x509 multiple times on a single input file,
7741      e.g. "(openssl x509 -out cert1; openssl x509 -out cert2) <certs".
7742      [Bodo Moeller]
7743
7744   *) Make ASN1_UTCTIME_set_string() and ASN1_GENERALIZEDTIME_set_string()
7745      set string type: to handle setting ASN1_TIME structures. Fix ca
7746      utility to correctly initialize revocation date of CRLs.
7747      [Steve Henson]
7748
7749   *) New option SSL_OP_CIPHER_SERVER_PREFERENCE allows the server to override
7750      the clients preferred ciphersuites and rather use its own preferences.
7751      Should help to work around M$ SGC (Server Gated Cryptography) bug in
7752      Internet Explorer by ensuring unchanged hash method during stepup.
7753      (Also replaces the broken/deactivated SSL_OP_NON_EXPORT_FIRST option.)
7754      [Lutz Jaenicke]
7755
7756   *) Make mkdef.pl recognise all DECLARE_ASN1 macros, change rijndael
7757      to aes and add a new 'exist' option to print out symbols that don't
7758      appear to exist.
7759      [Steve Henson]
7760
7761   *) Additional options to ocsp utility to allow flags to be set and
7762      additional certificates supplied.
7763      [Steve Henson]
7764
7765   *) Add the option -VAfile to 'openssl ocsp', so the user can give the
7766      OCSP client a number of certificate to only verify the response
7767      signature against.
7768      [Richard Levitte]
7769
7770   *) Update Rijndael code to version 3.0 and change EVP AES ciphers to
7771      handle the new API. Currently only ECB, CBC modes supported. Add new
7772      AES OIDs.
7773
7774      Add TLS AES ciphersuites as described in RFC3268, "Advanced
7775      Encryption Standard (AES) Ciphersuites for Transport Layer
7776      Security (TLS)".  (In beta versions of OpenSSL 0.9.7, these were
7777      not enabled by default and were not part of the "ALL" ciphersuite
7778      alias because they were not yet official; they could be
7779      explicitly requested by specifying the "AESdraft" ciphersuite
7780      group alias.  In the final release of OpenSSL 0.9.7, the group
7781      alias is called "AES" and is part of "ALL".)
7782      [Ben Laurie, Steve  Henson, Bodo Moeller]
7783
7784   *) New function OCSP_copy_nonce() to copy nonce value (if present) from
7785      request to response.
7786      [Steve Henson]
7787
7788   *) Functions for OCSP responders. OCSP_request_onereq_count(),
7789      OCSP_request_onereq_get0(), OCSP_onereq_get0_id() and OCSP_id_get0_info()
7790      extract information from a certificate request. OCSP_response_create()
7791      creates a response and optionally adds a basic response structure.
7792      OCSP_basic_add1_status() adds a complete single response to a basic
7793      response and returns the OCSP_SINGLERESP structure just added (to allow
7794      extensions to be included for example). OCSP_basic_add1_cert() adds a
7795      certificate to a basic response and OCSP_basic_sign() signs a basic
7796      response with various flags. New helper functions ASN1_TIME_check()
7797      (checks validity of ASN1_TIME structure) and ASN1_TIME_to_generalizedtime()
7798      (converts ASN1_TIME to GeneralizedTime).
7799      [Steve Henson]
7800
7801   *) Various new functions. EVP_Digest() combines EVP_Digest{Init,Update,Final}()
7802      in a single operation. X509_get0_pubkey_bitstr() extracts the public_key
7803      structure from a certificate. X509_pubkey_digest() digests the public_key
7804      contents: this is used in various key identifiers.
7805      [Steve Henson]
7806
7807   *) Make sk_sort() tolerate a NULL argument.
7808      [Steve Henson reported by Massimiliano Pala <madwolf@comune.modena.it>]
7809
7810   *) New OCSP verify flag OCSP_TRUSTOTHER. When set the "other" certificates
7811      passed by the function are trusted implicitly. If any of them signed the
7812      response then it is assumed to be valid and is not verified.
7813      [Steve Henson]
7814
7815   *) In PKCS7_set_type() initialise content_type in PKCS7_ENC_CONTENT
7816      to data. This was previously part of the PKCS7 ASN1 code. This
7817      was causing problems with OpenSSL created PKCS#12 and PKCS#7 structures.
7818      [Steve Henson, reported by Kenneth R. Robinette
7819                                 <support@securenetterm.com>]
7820
7821   *) Add CRYPTO_push_info() and CRYPTO_pop_info() calls to new ASN1
7822      routines: without these tracing memory leaks is very painful.
7823      Fix leaks in PKCS12 and PKCS7 routines.
7824      [Steve Henson]
7825
7826   *) Make X509_time_adj() cope with the new behaviour of ASN1_TIME_new().
7827      Previously it initialised the 'type' argument to V_ASN1_UTCTIME which
7828      effectively meant GeneralizedTime would never be used. Now it
7829      is initialised to -1 but X509_time_adj() now has to check the value
7830      and use ASN1_TIME_set() if the value is not V_ASN1_UTCTIME or
7831      V_ASN1_GENERALIZEDTIME, without this it always uses GeneralizedTime.
7832      [Steve Henson, reported by Kenneth R. Robinette
7833                                 <support@securenetterm.com>]
7834
7835   *) Fixes to BN_to_ASN1_INTEGER when bn is zero. This would previously
7836      result in a zero length in the ASN1_INTEGER structure which was
7837      not consistent with the structure when d2i_ASN1_INTEGER() was used
7838      and would cause ASN1_INTEGER_cmp() to fail. Enhance s2i_ASN1_INTEGER()
7839      to cope with hex and negative integers. Fix bug in i2a_ASN1_INTEGER()
7840      where it did not print out a minus for negative ASN1_INTEGER.
7841      [Steve Henson]
7842
7843   *) Add summary printout to ocsp utility. The various functions which
7844      convert status values to strings have been renamed to:
7845      OCSP_response_status_str(), OCSP_cert_status_str() and
7846      OCSP_crl_reason_str() and are no longer static. New options
7847      to verify nonce values and to disable verification. OCSP response
7848      printout format cleaned up.
7849      [Steve Henson]
7850
7851   *) Add additional OCSP certificate checks. These are those specified
7852      in RFC2560. This consists of two separate checks: the CA of the
7853      certificate being checked must either be the OCSP signer certificate
7854      or the issuer of the OCSP signer certificate. In the latter case the
7855      OCSP signer certificate must contain the OCSP signing extended key
7856      usage. This check is performed by attempting to match the OCSP
7857      signer or the OCSP signer CA to the issuerNameHash and issuerKeyHash
7858      in the OCSP_CERTID structures of the response.
7859      [Steve Henson]
7860
7861   *) Initial OCSP certificate verification added to OCSP_basic_verify()
7862      and related routines. This uses the standard OpenSSL certificate
7863      verify routines to perform initial checks (just CA validity) and
7864      to obtain the certificate chain. Then additional checks will be
7865      performed on the chain. Currently the root CA is checked to see
7866      if it is explicitly trusted for OCSP signing. This is used to set
7867      a root CA as a global signing root: that is any certificate that
7868      chains to that CA is an acceptable OCSP signing certificate.
7869      [Steve Henson]
7870
7871   *) New '-extfile ...' option to 'openssl ca' for reading X.509v3
7872      extensions from a separate configuration file.
7873      As when reading extensions from the main configuration file,
7874      the '-extensions ...' option may be used for specifying the
7875      section to use.
7876      [Massimiliano Pala <madwolf@comune.modena.it>]
7877
7878   *) New OCSP utility. Allows OCSP requests to be generated or
7879      read. The request can be sent to a responder and the output
7880      parsed, outputed or printed in text form. Not complete yet:
7881      still needs to check the OCSP response validity.
7882      [Steve Henson]
7883
7884   *) New subcommands for 'openssl ca':
7885      'openssl ca -status <serial>' prints the status of the cert with
7886      the given serial number (according to the index file).
7887      'openssl ca -updatedb' updates the expiry status of certificates
7888      in the index file.
7889      [Massimiliano Pala <madwolf@comune.modena.it>]
7890
7891   *) New '-newreq-nodes' command option to CA.pl.  This is like
7892      '-newreq', but calls 'openssl req' with the '-nodes' option
7893      so that the resulting key is not encrypted.
7894      [Damien Miller <djm@mindrot.org>]
7895
7896   *) New configuration for the GNU Hurd.
7897      [Jonathan Bartlett <johnnyb@wolfram.com> via Richard Levitte]
7898
7899   *) Initial code to implement OCSP basic response verify. This
7900      is currently incomplete. Currently just finds the signer's
7901      certificate and verifies the signature on the response.
7902      [Steve Henson]
7903
7904   *) New SSLeay_version code SSLEAY_DIR to determine the compiled-in
7905      value of OPENSSLDIR.  This is available via the new '-d' option
7906      to 'openssl version', and is also included in 'openssl version -a'.
7907      [Bodo Moeller]
7908
7909   *) Allowing defining memory allocation callbacks that will be given
7910      file name and line number information in additional arguments
7911      (a const char* and an int).  The basic functionality remains, as
7912      well as the original possibility to just replace malloc(),
7913      realloc() and free() by functions that do not know about these
7914      additional arguments.  To register and find out the current
7915      settings for extended allocation functions, the following
7916      functions are provided:
7917
7918         CRYPTO_set_mem_ex_functions
7919         CRYPTO_set_locked_mem_ex_functions
7920         CRYPTO_get_mem_ex_functions
7921         CRYPTO_get_locked_mem_ex_functions
7922
7923      These work the same way as CRYPTO_set_mem_functions and friends.
7924      CRYPTO_get_[locked_]mem_functions now writes 0 where such an
7925      extended allocation function is enabled.
7926      Similarly, CRYPTO_get_[locked_]mem_ex_functions writes 0 where
7927      a conventional allocation function is enabled.
7928      [Richard Levitte, Bodo Moeller]
7929
7930   *) Finish off removing the remaining LHASH function pointer casts.
7931      There should no longer be any prototype-casting required when using
7932      the LHASH abstraction, and any casts that remain are "bugs". See
7933      the callback types and macros at the head of lhash.h for details
7934      (and "OBJ_cleanup" in crypto/objects/obj_dat.c as an example).
7935      [Geoff Thorpe]
7936
7937   *) Add automatic query of EGD sockets in RAND_poll() for the unix variant.
7938      If /dev/[u]random devices are not available or do not return enough
7939      entropy, EGD style sockets (served by EGD or PRNGD) will automatically
7940      be queried.
7941      The locations /var/run/egd-pool, /dev/egd-pool, /etc/egd-pool, and
7942      /etc/entropy will be queried once each in this sequence, querying stops
7943      when enough entropy was collected without querying more sockets.
7944      [Lutz Jaenicke]
7945
7946   *) Change the Unix RAND_poll() variant to be able to poll several
7947      random devices, as specified by DEVRANDOM, until a sufficient amount
7948      of data has been collected.   We spend at most 10 ms on each file
7949      (select timeout) and read in non-blocking mode.  DEVRANDOM now
7950      defaults to the list "/dev/urandom", "/dev/random", "/dev/srandom"
7951      (previously it was just the string "/dev/urandom"), so on typical
7952      platforms the 10 ms delay will never occur.
7953      Also separate out the Unix variant to its own file, rand_unix.c.
7954      For VMS, there's a currently-empty rand_vms.c.
7955      [Richard Levitte]
7956
7957   *) Move OCSP client related routines to ocsp_cl.c. These
7958      provide utility functions which an application needing
7959      to issue a request to an OCSP responder and analyse the
7960      response will typically need: as opposed to those which an
7961      OCSP responder itself would need which will be added later.
7962
7963      OCSP_request_sign() signs an OCSP request with an API similar
7964      to PKCS7_sign(). OCSP_response_status() returns status of OCSP
7965      response. OCSP_response_get1_basic() extracts basic response
7966      from response. OCSP_resp_find_status(): finds and extracts status
7967      information from an OCSP_CERTID structure (which will be created
7968      when the request structure is built). These are built from lower
7969      level functions which work on OCSP_SINGLERESP structures but
7970      won't normally be used unless the application wishes to examine
7971      extensions in the OCSP response for example.
7972
7973      Replace nonce routines with a pair of functions.
7974      OCSP_request_add1_nonce() adds a nonce value and optionally
7975      generates a random value. OCSP_check_nonce() checks the
7976      validity of the nonce in an OCSP response.
7977      [Steve Henson]
7978
7979   *) Change function OCSP_request_add() to OCSP_request_add0_id().
7980      This doesn't copy the supplied OCSP_CERTID and avoids the
7981      need to free up the newly created id. Change return type
7982      to OCSP_ONEREQ to return the internal OCSP_ONEREQ structure.
7983      This can then be used to add extensions to the request.
7984      Deleted OCSP_request_new(), since most of its functionality
7985      is now in OCSP_REQUEST_new() (and the case insensitive name
7986      clash) apart from the ability to set the request name which
7987      will be added elsewhere.
7988      [Steve Henson]
7989
7990   *) Update OCSP API. Remove obsolete extensions argument from
7991      various functions. Extensions are now handled using the new
7992      OCSP extension code. New simple OCSP HTTP function which
7993      can be used to send requests and parse the response.
7994      [Steve Henson]
7995
7996   *) Fix the PKCS#7 (S/MIME) code to work with new ASN1. Two new
7997      ASN1_ITEM structures help with sign and verify. PKCS7_ATTR_SIGN
7998      uses the special reorder version of SET OF to sort the attributes
7999      and reorder them to match the encoded order. This resolves a long
8000      standing problem: a verify on a PKCS7 structure just after signing
8001      it used to fail because the attribute order did not match the
8002      encoded order. PKCS7_ATTR_VERIFY does not reorder the attributes:
8003      it uses the received order. This is necessary to tolerate some broken
8004      software that does not order SET OF. This is handled by encoding
8005      as a SEQUENCE OF but using implicit tagging (with UNIVERSAL class)
8006      to produce the required SET OF.
8007      [Steve Henson]
8008
8009   *) Have mk1mf.pl generate the macros OPENSSL_BUILD_SHLIBCRYPTO and
8010      OPENSSL_BUILD_SHLIBSSL and use them appropriately in the header
8011      files to get correct declarations of the ASN.1 item variables.
8012      [Richard Levitte]
8013
8014   *) Rewrite of PKCS#12 code to use new ASN1 functionality. Replace many
8015      PKCS#12 macros with real functions. Fix two unrelated ASN1 bugs:
8016      asn1_check_tlen() would sometimes attempt to use 'ctx' when it was
8017      NULL and ASN1_TYPE was not dereferenced properly in asn1_ex_c2i().
8018      New ASN1 macro: DECLARE_ASN1_ITEM() which just declares the relevant
8019      ASN1_ITEM and no wrapper functions.
8020      [Steve Henson]
8021
8022   *) New functions or ASN1_item_d2i_fp() and ASN1_item_d2i_bio(). These
8023      replace the old function pointer based I/O routines. Change most of
8024      the *_d2i_bio() and *_d2i_fp() functions to use these.
8025      [Steve Henson]
8026
8027   *) Enhance mkdef.pl to be more accepting about spacing in C preprocessor
8028      lines, recognize more "algorithms" that can be deselected, and make
8029      it complain about algorithm deselection that isn't recognised.
8030      [Richard Levitte]
8031
8032   *) New ASN1 functions to handle dup, sign, verify, digest, pack and
8033      unpack operations in terms of ASN1_ITEM. Modify existing wrappers
8034      to use new functions. Add NO_ASN1_OLD which can be set to remove
8035      some old style ASN1 functions: this can be used to determine if old
8036      code will still work when these eventually go away.
8037      [Steve Henson]
8038
8039   *) New extension functions for OCSP structures, these follow the
8040      same conventions as certificates and CRLs.
8041      [Steve Henson]
8042
8043   *) New function X509V3_add1_i2d(). This automatically encodes and
8044      adds an extension. Its behaviour can be customised with various
8045      flags to append, replace or delete. Various wrappers added for
8046      certificates and CRLs.
8047      [Steve Henson]
8048
8049   *) Fix to avoid calling the underlying ASN1 print routine when
8050      an extension cannot be parsed. Correct a typo in the
8051      OCSP_SERVICELOC extension. Tidy up print OCSP format.
8052      [Steve Henson]
8053
8054   *) Make mkdef.pl parse some of the ASN1 macros and add appropriate
8055      entries for variables.
8056      [Steve Henson]
8057
8058   *) Add functionality to apps/openssl.c for detecting locking
8059      problems: As the program is single-threaded, all we have
8060      to do is register a locking callback using an array for
8061      storing which locks are currently held by the program.
8062      [Bodo Moeller]
8063
8064   *) Use a lock around the call to CRYPTO_get_ex_new_index() in
8065      SSL_get_ex_data_X509_STORE_idx(), which is used in
8066      ssl_verify_cert_chain() and thus can be called at any time
8067      during TLS/SSL handshakes so that thread-safety is essential.
8068      Unfortunately, the ex_data design is not at all suited
8069      for multi-threaded use, so it probably should be abolished.
8070      [Bodo Moeller]
8071
8072   *) Added Broadcom "ubsec" ENGINE to OpenSSL.
8073      [Broadcom, tweaked and integrated by Geoff Thorpe]
8074
8075   *) Move common extension printing code to new function
8076      X509V3_print_extensions(). Reorganise OCSP print routines and
8077      implement some needed OCSP ASN1 functions. Add OCSP extensions.
8078      [Steve Henson]
8079
8080   *) New function X509_signature_print() to remove duplication in some
8081      print routines.
8082      [Steve Henson]
8083
8084   *) Add a special meaning when SET OF and SEQUENCE OF flags are both
8085      set (this was treated exactly the same as SET OF previously). This
8086      is used to reorder the STACK representing the structure to match the
8087      encoding. This will be used to get round a problem where a PKCS7
8088      structure which was signed could not be verified because the STACK
8089      order did not reflect the encoded order.
8090      [Steve Henson]
8091
8092   *) Reimplement the OCSP ASN1 module using the new code.
8093      [Steve Henson]
8094
8095   *) Update the X509V3 code to permit the use of an ASN1_ITEM structure
8096      for its ASN1 operations. The old style function pointers still exist
8097      for now but they will eventually go away.
8098      [Steve Henson]
8099
8100   *) Merge in replacement ASN1 code from the ASN1 branch. This almost
8101      completely replaces the old ASN1 functionality with a table driven
8102      encoder and decoder which interprets an ASN1_ITEM structure describing
8103      the ASN1 module. Compatibility with the existing ASN1 API (i2d,d2i) is
8104      largely maintained. Almost all of the old asn1_mac.h macro based ASN1
8105      has also been converted to the new form.
8106      [Steve Henson]
8107
8108   *) Change BN_mod_exp_recp so that negative moduli are tolerated
8109      (the sign is ignored).  Similarly, ignore the sign in BN_MONT_CTX_set
8110      so that BN_mod_exp_mont and BN_mod_exp_mont_word work
8111      for negative moduli.
8112      [Bodo Moeller]
8113
8114   *) Fix BN_uadd and BN_usub: Always return non-negative results instead
8115      of not touching the result's sign bit.
8116      [Bodo Moeller]
8117
8118   *) BN_div bugfix: If the result is 0, the sign (res->neg) must not be
8119      set.
8120      [Bodo Moeller]
8121
8122   *) Changed the LHASH code to use prototypes for callbacks, and created
8123      macros to declare and implement thin (optionally static) functions
8124      that provide type-safety and avoid function pointer casting for the
8125      type-specific callbacks.
8126      [Geoff Thorpe]
8127
8128   *) Added Kerberos Cipher Suites to be used with TLS, as written in
8129      RFC 2712.
8130      [Veers Staats <staatsvr@asc.hpc.mil>,
8131       Jeffrey Altman <jaltman@columbia.edu>, via Richard Levitte]
8132
8133   *) Reformat the FAQ so the different questions and answers can be divided
8134      in sections depending on the subject.
8135      [Richard Levitte]
8136
8137   *) Have the zlib compression code load ZLIB.DLL dynamically under
8138      Windows.
8139      [Richard Levitte]
8140
8141   *) New function BN_mod_sqrt for computing square roots modulo a prime
8142      (using the probabilistic Tonelli-Shanks algorithm unless
8143      p == 3 (mod 4)  or  p == 5 (mod 8),  which are cases that can
8144      be handled deterministically).
8145      [Lenka Fibikova <fibikova@exp-math.uni-essen.de>, Bodo Moeller]
8146
8147   *) Make BN_mod_inverse faster by explicitly handling small quotients
8148      in the Euclid loop. (Speed gain about 20% for small moduli [256 or
8149      512 bits], about 30% for larger ones [1024 or 2048 bits].)
8150      [Bodo Moeller]
8151
8152   *) New function BN_kronecker.
8153      [Bodo Moeller]
8154
8155   *) Fix BN_gcd so that it works on negative inputs; the result is
8156      positive unless both parameters are zero.
8157      Previously something reasonably close to an infinite loop was
8158      possible because numbers could be growing instead of shrinking
8159      in the implementation of Euclid's algorithm.
8160      [Bodo Moeller]
8161
8162   *) Fix BN_is_word() and BN_is_one() macros to take into account the
8163      sign of the number in question.
8164
8165      Fix BN_is_word(a,w) to work correctly for w == 0.
8166
8167      The old BN_is_word(a,w) macro is now called BN_abs_is_word(a,w)
8168      because its test if the absolute value of 'a' equals 'w'.
8169      Note that BN_abs_is_word does *not* handle w == 0 reliably;
8170      it exists mostly for use in the implementations of BN_is_zero(),
8171      BN_is_one(), and BN_is_word().
8172      [Bodo Moeller]
8173
8174   *) New function BN_swap.
8175      [Bodo Moeller]
8176
8177   *) Use BN_nnmod instead of BN_mod in crypto/bn/bn_exp.c so that
8178      the exponentiation functions are more likely to produce reasonable
8179      results on negative inputs.
8180      [Bodo Moeller]
8181
8182   *) Change BN_mod_mul so that the result is always non-negative.
8183      Previously, it could be negative if one of the factors was negative;
8184      I don't think anyone really wanted that behaviour.
8185      [Bodo Moeller]
8186
8187   *) Move BN_mod_... functions into new file crypto/bn/bn_mod.c
8188      (except for exponentiation, which stays in crypto/bn/bn_exp.c,
8189      and BN_mod_mul_reciprocal, which stays in crypto/bn/bn_recp.c)
8190      and add new functions:
8191
8192           BN_nnmod
8193           BN_mod_sqr
8194           BN_mod_add
8195           BN_mod_add_quick
8196           BN_mod_sub
8197           BN_mod_sub_quick
8198           BN_mod_lshift1
8199           BN_mod_lshift1_quick
8200           BN_mod_lshift
8201           BN_mod_lshift_quick
8202
8203      These functions always generate non-negative results.
8204
8205      BN_nnmod otherwise is like BN_mod (if BN_mod computes a remainder  r
8206      such that  |m| < r < 0,  BN_nnmod will output  rem + |m|  instead).
8207
8208      BN_mod_XXX_quick(r, a, [b,] m) generates the same result as
8209      BN_mod_XXX(r, a, [b,] m, ctx), but requires that  a  [and  b]
8210      be reduced modulo  m.
8211      [Lenka Fibikova <fibikova@exp-math.uni-essen.de>, Bodo Moeller]
8212
8213 #if 0
8214      The following entry accidentally appeared in the CHANGES file
8215      distributed with OpenSSL 0.9.7.  The modifications described in
8216      it do *not* apply to OpenSSL 0.9.7.
8217
8218   *) Remove a few calls to bn_wexpand() in BN_sqr() (the one in there
8219      was actually never needed) and in BN_mul().  The removal in BN_mul()
8220      required a small change in bn_mul_part_recursive() and the addition
8221      of the functions bn_cmp_part_words(), bn_sub_part_words() and
8222      bn_add_part_words(), which do the same thing as bn_cmp_words(),
8223      bn_sub_words() and bn_add_words() except they take arrays with
8224      differing sizes.
8225      [Richard Levitte]
8226 #endif
8227
8228   *) In 'openssl passwd', verify passwords read from the terminal
8229      unless the '-salt' option is used (which usually means that
8230      verification would just waste user's time since the resulting
8231      hash is going to be compared with some given password hash)
8232      or the new '-noverify' option is used.
8233
8234      This is an incompatible change, but it does not affect
8235      non-interactive use of 'openssl passwd' (passwords on the command
8236      line, '-stdin' option, '-in ...' option) and thus should not
8237      cause any problems.
8238      [Bodo Moeller]
8239
8240   *) Remove all references to RSAref, since there's no more need for it.
8241      [Richard Levitte]
8242
8243   *) Make DSO load along a path given through an environment variable
8244      (SHLIB_PATH) with shl_load().
8245      [Richard Levitte]
8246
8247   *) Constify the ENGINE code as a result of BIGNUM constification.
8248      Also constify the RSA code and most things related to it.  In a
8249      few places, most notable in the depth of the ASN.1 code, ugly
8250      casts back to non-const were required (to be solved at a later
8251      time)
8252      [Richard Levitte]
8253
8254   *) Make it so the openssl application has all engines loaded by default.
8255      [Richard Levitte]
8256
8257   *) Constify the BIGNUM routines a little more.
8258      [Richard Levitte]
8259
8260   *) Add the following functions:
8261
8262         ENGINE_load_cswift()
8263         ENGINE_load_chil()
8264         ENGINE_load_atalla()
8265         ENGINE_load_nuron()
8266         ENGINE_load_builtin_engines()
8267
8268      That way, an application can itself choose if external engines that
8269      are built-in in OpenSSL shall ever be used or not.  The benefit is
8270      that applications won't have to be linked with libdl or other dso
8271      libraries unless it's really needed.
8272
8273      Changed 'openssl engine' to load all engines on demand.
8274      Changed the engine header files to avoid the duplication of some
8275      declarations (they differed!).
8276      [Richard Levitte]
8277
8278   *) 'openssl engine' can now list capabilities.
8279      [Richard Levitte]
8280
8281   *) Better error reporting in 'openssl engine'.
8282      [Richard Levitte]
8283
8284   *) Never call load_dh_param(NULL) in s_server.
8285      [Bodo Moeller]
8286
8287   *) Add engine application.  It can currently list engines by name and
8288      identity, and test if they are actually available.
8289      [Richard Levitte]
8290
8291   *) Improve RPM specification file by forcing symbolic linking and making
8292      sure the installed documentation is also owned by root.root.
8293      [Damien Miller <djm@mindrot.org>]
8294
8295   *) Give the OpenSSL applications more possibilities to make use of
8296      keys (public as well as private) handled by engines.
8297      [Richard Levitte]
8298
8299   *) Add OCSP code that comes from CertCo.
8300      [Richard Levitte]
8301
8302   *) Add VMS support for the Rijndael code.
8303      [Richard Levitte]
8304
8305   *) Added untested support for Nuron crypto accelerator.
8306      [Ben Laurie]
8307
8308   *) Add support for external cryptographic devices.  This code was
8309      previously distributed separately as the "engine" branch.
8310      [Geoff Thorpe, Richard Levitte]
8311
8312   *) Rework the filename-translation in the DSO code. It is now possible to
8313      have far greater control over how a "name" is turned into a filename
8314      depending on the operating environment and any oddities about the
8315      different shared library filenames on each system.
8316      [Geoff Thorpe]
8317
8318   *) Support threads on FreeBSD-elf in Configure.
8319      [Richard Levitte]
8320
8321   *) Fix for SHA1 assembly problem with MASM: it produces
8322      warnings about corrupt line number information when assembling
8323      with debugging information. This is caused by the overlapping
8324      of two sections.
8325      [Bernd Matthes <mainbug@celocom.de>, Steve Henson]
8326
8327   *) NCONF changes.
8328      NCONF_get_number() has no error checking at all.  As a replacement,
8329      NCONF_get_number_e() is defined (_e for "error checking") and is
8330      promoted strongly.  The old NCONF_get_number is kept around for
8331      binary backward compatibility.
8332      Make it possible for methods to load from something other than a BIO,
8333      by providing a function pointer that is given a name instead of a BIO.
8334      For example, this could be used to load configuration data from an
8335      LDAP server.
8336      [Richard Levitte]
8337
8338   *) Fix for non blocking accept BIOs. Added new I/O special reason
8339      BIO_RR_ACCEPT to cover this case. Previously use of accept BIOs
8340      with non blocking I/O was not possible because no retry code was
8341      implemented. Also added new SSL code SSL_WANT_ACCEPT to cover
8342      this case.
8343      [Steve Henson]
8344
8345   *) Added the beginnings of Rijndael support.
8346      [Ben Laurie]
8347
8348   *) Fix for bug in DirectoryString mask setting. Add support for
8349      X509_NAME_print_ex() in 'req' and X509_print_ex() function
8350      to allow certificate printing to more controllable, additional
8351      'certopt' option to 'x509' to allow new printing options to be
8352      set.
8353      [Steve Henson]
8354
8355   *) Clean old EAY MD5 hack from e_os.h.
8356      [Richard Levitte]
8357
8358  Changes between 0.9.6l and 0.9.6m  [17 Mar 2004]
8359
8360   *) Fix null-pointer assignment in do_change_cipher_spec() revealed
8361      by using the Codenomicon TLS Test Tool (CVE-2004-0079)
8362      [Joe Orton, Steve Henson]
8363
8364  Changes between 0.9.6k and 0.9.6l  [04 Nov 2003]
8365
8366   *) Fix additional bug revealed by the NISCC test suite:
8367
8368      Stop bug triggering large recursion when presented with
8369      certain ASN.1 tags (CVE-2003-0851)
8370      [Steve Henson]
8371
8372  Changes between 0.9.6j and 0.9.6k  [30 Sep 2003]
8373
8374   *) Fix various bugs revealed by running the NISCC test suite:
8375
8376      Stop out of bounds reads in the ASN1 code when presented with
8377      invalid tags (CVE-2003-0543 and CVE-2003-0544).
8378
8379      If verify callback ignores invalid public key errors don't try to check
8380      certificate signature with the NULL public key.
8381
8382      [Steve Henson]
8383
8384   *) In ssl3_accept() (ssl/s3_srvr.c) only accept a client certificate
8385      if the server requested one: as stated in TLS 1.0 and SSL 3.0
8386      specifications.
8387      [Steve Henson]
8388
8389   *) In ssl3_get_client_hello() (ssl/s3_srvr.c), tolerate additional
8390      extra data after the compression methods not only for TLS 1.0
8391      but also for SSL 3.0 (as required by the specification).
8392      [Bodo Moeller; problem pointed out by Matthias Loepfe]
8393
8394   *) Change X509_certificate_type() to mark the key as exported/exportable
8395      when it's 512 *bits* long, not 512 bytes.
8396      [Richard Levitte]
8397
8398  Changes between 0.9.6i and 0.9.6j  [10 Apr 2003]
8399
8400   *) Countermeasure against the Klima-Pokorny-Rosa extension of
8401      Bleichbacher's attack on PKCS #1 v1.5 padding: treat
8402      a protocol version number mismatch like a decryption error
8403      in ssl3_get_client_key_exchange (ssl/s3_srvr.c).
8404      [Bodo Moeller]
8405
8406   *) Turn on RSA blinding by default in the default implementation
8407      to avoid a timing attack. Applications that don't want it can call
8408      RSA_blinding_off() or use the new flag RSA_FLAG_NO_BLINDING.
8409      They would be ill-advised to do so in most cases.
8410      [Ben Laurie, Steve Henson, Geoff Thorpe, Bodo Moeller]
8411
8412   *) Change RSA blinding code so that it works when the PRNG is not
8413      seeded (in this case, the secret RSA exponent is abused as
8414      an unpredictable seed -- if it is not unpredictable, there
8415      is no point in blinding anyway).  Make RSA blinding thread-safe
8416      by remembering the creator's thread ID in rsa->blinding and
8417      having all other threads use local one-time blinding factors
8418      (this requires more computation than sharing rsa->blinding, but
8419      avoids excessive locking; and if an RSA object is not shared
8420      between threads, blinding will still be very fast).
8421      [Bodo Moeller]
8422
8423  Changes between 0.9.6h and 0.9.6i  [19 Feb 2003]
8424
8425   *) In ssl3_get_record (ssl/s3_pkt.c), minimize information leaked
8426      via timing by performing a MAC computation even if incorrect
8427      block cipher padding has been found.  This is a countermeasure
8428      against active attacks where the attacker has to distinguish
8429      between bad padding and a MAC verification error. (CVE-2003-0078)
8430
8431      [Bodo Moeller; problem pointed out by Brice Canvel (EPFL),
8432      Alain Hiltgen (UBS), Serge Vaudenay (EPFL), and
8433      Martin Vuagnoux (EPFL, Ilion)]
8434
8435  Changes between 0.9.6g and 0.9.6h  [5 Dec 2002]
8436
8437   *) New function OPENSSL_cleanse(), which is used to cleanse a section of
8438      memory from it's contents.  This is done with a counter that will
8439      place alternating values in each byte.  This can be used to solve
8440      two issues: 1) the removal of calls to memset() by highly optimizing
8441      compilers, and 2) cleansing with other values than 0, since those can
8442      be read through on certain media, for example a swap space on disk.
8443      [Geoff Thorpe]
8444
8445   *) Bugfix: client side session caching did not work with external caching,
8446      because the session->cipher setting was not restored when reloading
8447      from the external cache. This problem was masked, when
8448      SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG (part of SSL_OP_ALL) was set.
8449      (Found by Steve Haslam <steve@araqnid.ddts.net>.)
8450      [Lutz Jaenicke]
8451
8452   *) Fix client_certificate (ssl/s2_clnt.c): The permissible total
8453      length of the REQUEST-CERTIFICATE message is 18 .. 34, not 17 .. 33.
8454      [Zeev Lieber <zeev-l@yahoo.com>]
8455
8456   *) Undo an undocumented change introduced in 0.9.6e which caused
8457      repeated calls to OpenSSL_add_all_ciphers() and
8458      OpenSSL_add_all_digests() to be ignored, even after calling
8459      EVP_cleanup().
8460      [Richard Levitte]
8461
8462   *) Change the default configuration reader to deal with last line not
8463      being properly terminated.
8464      [Richard Levitte]
8465
8466   *) Change X509_NAME_cmp() so it applies the special rules on handling
8467      DN values that are of type PrintableString, as well as RDNs of type
8468      emailAddress where the value has the type ia5String.
8469      [stefank@valicert.com via Richard Levitte]
8470
8471   *) Add a SSL_SESS_CACHE_NO_INTERNAL_STORE flag to take over half
8472      the job SSL_SESS_CACHE_NO_INTERNAL_LOOKUP was inconsistently
8473      doing, define a new flag (SSL_SESS_CACHE_NO_INTERNAL) to be
8474      the bitwise-OR of the two for use by the majority of applications
8475      wanting this behaviour, and update the docs. The documented
8476      behaviour and actual behaviour were inconsistent and had been
8477      changing anyway, so this is more a bug-fix than a behavioural
8478      change.
8479      [Geoff Thorpe, diagnosed by Nadav Har'El]
8480
8481   *) Don't impose a 16-byte length minimum on session IDs in ssl/s3_clnt.c
8482      (the SSL 3.0 and TLS 1.0 specifications allow any length up to 32 bytes).
8483      [Bodo Moeller]
8484
8485   *) Fix initialization code race conditions in
8486         SSLv23_method(),  SSLv23_client_method(),   SSLv23_server_method(),
8487         SSLv2_method(),   SSLv2_client_method(),    SSLv2_server_method(),
8488         SSLv3_method(),   SSLv3_client_method(),    SSLv3_server_method(),
8489         TLSv1_method(),   TLSv1_client_method(),    TLSv1_server_method(),
8490         ssl2_get_cipher_by_char(),
8491         ssl3_get_cipher_by_char().
8492      [Patrick McCormick <patrick@tellme.com>, Bodo Moeller]
8493
8494   *) Reorder cleanup sequence in SSL_CTX_free(): only remove the ex_data after
8495      the cached sessions are flushed, as the remove_cb() might use ex_data
8496      contents. Bug found by Sam Varshavchik <mrsam@courier-mta.com>
8497      (see [openssl.org #212]).
8498      [Geoff Thorpe, Lutz Jaenicke]
8499
8500   *) Fix typo in OBJ_txt2obj which incorrectly passed the content
8501      length, instead of the encoding length to d2i_ASN1_OBJECT.
8502      [Steve Henson]
8503
8504  Changes between 0.9.6f and 0.9.6g  [9 Aug 2002]
8505
8506   *) [In 0.9.6g-engine release:]
8507      Fix crypto/engine/vendor_defns/cswift.h for WIN32 (use '_stdcall').
8508      [Lynn Gazis <lgazis@rainbow.com>]
8509
8510  Changes between 0.9.6e and 0.9.6f  [8 Aug 2002]
8511
8512   *) Fix ASN1 checks. Check for overflow by comparing with LONG_MAX
8513      and get fix the header length calculation.
8514      [Florian Weimer <Weimer@CERT.Uni-Stuttgart.DE>,
8515         Alon Kantor <alonk@checkpoint.com> (and others),
8516         Steve Henson]
8517
8518   *) Use proper error handling instead of 'assertions' in buffer
8519      overflow checks added in 0.9.6e.  This prevents DoS (the
8520      assertions could call abort()).
8521      [Arne Ansper <arne@ats.cyber.ee>, Bodo Moeller]
8522
8523  Changes between 0.9.6d and 0.9.6e  [30 Jul 2002]
8524
8525   *) Add various sanity checks to asn1_get_length() to reject
8526      the ASN1 length bytes if they exceed sizeof(long), will appear
8527      negative or the content length exceeds the length of the
8528      supplied buffer.
8529      [Steve Henson, Adi Stav <stav@mercury.co.il>, James Yonan <jim@ntlp.com>]
8530
8531   *) Fix cipher selection routines: ciphers without encryption had no flags
8532      for the cipher strength set and where therefore not handled correctly
8533      by the selection routines (PR #130).
8534      [Lutz Jaenicke]
8535
8536   *) Fix EVP_dsa_sha macro.
8537      [Nils Larsch]
8538
8539   *) New option
8540           SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS
8541      for disabling the SSL 3.0/TLS 1.0 CBC vulnerability countermeasure
8542      that was added in OpenSSL 0.9.6d.
8543
8544      As the countermeasure turned out to be incompatible with some
8545      broken SSL implementations, the new option is part of SSL_OP_ALL.
8546      SSL_OP_ALL is usually employed when compatibility with weird SSL
8547      implementations is desired (e.g. '-bugs' option to 's_client' and
8548      's_server'), so the new option is automatically set in many
8549      applications.
8550      [Bodo Moeller]
8551
8552   *) Changes in security patch:
8553
8554      Changes marked "(CHATS)" were sponsored by the Defense Advanced
8555      Research Projects Agency (DARPA) and Air Force Research Laboratory,
8556      Air Force Materiel Command, USAF, under agreement number
8557      F30602-01-2-0537.
8558
8559   *) Add various sanity checks to asn1_get_length() to reject
8560      the ASN1 length bytes if they exceed sizeof(long), will appear
8561      negative or the content length exceeds the length of the
8562      supplied buffer. (CVE-2002-0659)
8563      [Steve Henson, Adi Stav <stav@mercury.co.il>, James Yonan <jim@ntlp.com>]
8564
8565   *) Assertions for various potential buffer overflows, not known to
8566      happen in practice.
8567      [Ben Laurie (CHATS)]
8568
8569   *) Various temporary buffers to hold ASCII versions of integers were
8570      too small for 64 bit platforms. (CVE-2002-0655)
8571      [Matthew Byng-Maddick <mbm@aldigital.co.uk> and Ben Laurie (CHATS)>
8572
8573   *) Remote buffer overflow in SSL3 protocol - an attacker could
8574      supply an oversized session ID to a client. (CVE-2002-0656)
8575      [Ben Laurie (CHATS)]
8576
8577   *) Remote buffer overflow in SSL2 protocol - an attacker could
8578      supply an oversized client master key. (CVE-2002-0656)
8579      [Ben Laurie (CHATS)]
8580
8581  Changes between 0.9.6c and 0.9.6d  [9 May 2002]
8582
8583   *) Fix crypto/asn1/a_sign.c so that 'parameters' is omitted (not
8584      encoded as NULL) with id-dsa-with-sha1.
8585      [Nils Larsch <nla@trustcenter.de>; problem pointed out by Bodo Moeller]
8586
8587   *) Check various X509_...() return values in apps/req.c.
8588      [Nils Larsch <nla@trustcenter.de>]
8589
8590   *) Fix BASE64 decode (EVP_DecodeUpdate) for data with CR/LF ended lines:
8591      an end-of-file condition would erroneously be flagged, when the CRLF
8592      was just at the end of a processed block. The bug was discovered when
8593      processing data through a buffering memory BIO handing the data to a
8594      BASE64-decoding BIO. Bug fund and patch submitted by Pavel Tsekov
8595      <ptsekov@syntrex.com> and Nedelcho Stanev.
8596      [Lutz Jaenicke]
8597
8598   *) Implement a countermeasure against a vulnerability recently found
8599      in CBC ciphersuites in SSL 3.0/TLS 1.0: Send an empty fragment
8600      before application data chunks to avoid the use of known IVs
8601      with data potentially chosen by the attacker.
8602      [Bodo Moeller]
8603
8604   *) Fix length checks in ssl3_get_client_hello().
8605      [Bodo Moeller]
8606
8607   *) TLS/SSL library bugfix: use s->s3->in_read_app_data differently
8608      to prevent ssl3_read_internal() from incorrectly assuming that
8609      ssl3_read_bytes() found application data while handshake
8610      processing was enabled when in fact s->s3->in_read_app_data was
8611      merely automatically cleared during the initial handshake.
8612      [Bodo Moeller; problem pointed out by Arne Ansper <arne@ats.cyber.ee>]
8613
8614   *) Fix object definitions for Private and Enterprise: they were not
8615      recognized in their shortname (=lowercase) representation. Extend
8616      obj_dat.pl to issue an error when using undefined keywords instead
8617      of silently ignoring the problem (Svenning Sorensen
8618      <sss@sss.dnsalias.net>).
8619      [Lutz Jaenicke]
8620
8621   *) Fix DH_generate_parameters() so that it works for 'non-standard'
8622      generators, i.e. generators other than 2 and 5.  (Previously, the
8623      code did not properly initialise the 'add' and 'rem' values to
8624      BN_generate_prime().)
8625
8626      In the new general case, we do not insist that 'generator' is
8627      actually a primitive root: This requirement is rather pointless;
8628      a generator of the order-q subgroup is just as good, if not
8629      better.
8630      [Bodo Moeller]
8631
8632   *) Map new X509 verification errors to alerts. Discovered and submitted by
8633      Tom Wu <tom@arcot.com>.
8634      [Lutz Jaenicke]
8635
8636   *) Fix ssl3_pending() (ssl/s3_lib.c) to prevent SSL_pending() from
8637      returning non-zero before the data has been completely received
8638      when using non-blocking I/O.
8639      [Bodo Moeller; problem pointed out by John Hughes]
8640
8641   *) Some of the ciphers missed the strength entry (SSL_LOW etc).
8642      [Ben Laurie, Lutz Jaenicke]
8643
8644   *) Fix bug in SSL_clear(): bad sessions were not removed (found by
8645      Yoram Zahavi <YoramZ@gilian.com>).
8646      [Lutz Jaenicke]
8647
8648   *) Add information about CygWin 1.3 and on, and preserve proper
8649      configuration for the versions before that.
8650      [Corinna Vinschen <vinschen@redhat.com> and Richard Levitte]
8651
8652   *) Make removal from session cache (SSL_CTX_remove_session()) more robust:
8653      check whether we deal with a copy of a session and do not delete from
8654      the cache in this case. Problem reported by "Izhar Shoshani Levi"
8655      <izhar@checkpoint.com>.
8656      [Lutz Jaenicke]
8657
8658   *) Do not store session data into the internal session cache, if it
8659      is never intended to be looked up (SSL_SESS_CACHE_NO_INTERNAL_LOOKUP
8660      flag is set). Proposed by Aslam <aslam@funk.com>.
8661      [Lutz Jaenicke]
8662
8663   *) Have ASN1_BIT_STRING_set_bit() really clear a bit when the requested
8664      value is 0.
8665      [Richard Levitte]
8666
8667   *) [In 0.9.6d-engine release:]
8668      Fix a crashbug and a logic bug in hwcrhk_load_pubkey().
8669      [Toomas Kiisk <vix@cyber.ee> via Richard Levitte]
8670
8671   *) Add the configuration target linux-s390x.
8672      [Neale Ferguson <Neale.Ferguson@SoftwareAG-USA.com> via Richard Levitte]
8673
8674   *) The earlier bugfix for the SSL3_ST_SW_HELLO_REQ_C case of
8675      ssl3_accept (ssl/s3_srvr.c) incorrectly used a local flag
8676      variable as an indication that a ClientHello message has been
8677      received.  As the flag value will be lost between multiple
8678      invocations of ssl3_accept when using non-blocking I/O, the
8679      function may not be aware that a handshake has actually taken
8680      place, thus preventing a new session from being added to the
8681      session cache.
8682
8683      To avoid this problem, we now set s->new_session to 2 instead of
8684      using a local variable.
8685      [Lutz Jaenicke, Bodo Moeller]
8686
8687   *) Bugfix: Return -1 from ssl3_get_server_done (ssl3/s3_clnt.c)
8688      if the SSL_R_LENGTH_MISMATCH error is detected.
8689      [Geoff Thorpe, Bodo Moeller]
8690
8691   *) New 'shared_ldflag' column in Configure platform table.
8692      [Richard Levitte]
8693
8694   *) Fix EVP_CIPHER_mode macro.
8695      ["Dan S. Camper" <dan@bti.net>]
8696
8697   *) Fix ssl3_read_bytes (ssl/s3_pkt.c): To ignore messages of unknown
8698      type, we must throw them away by setting rr->length to 0.
8699      [D P Chang <dpc@qualys.com>]
8700
8701  Changes between 0.9.6b and 0.9.6c  [21 dec 2001]
8702
8703   *) Fix BN_rand_range bug pointed out by Dominikus Scherkl
8704      <Dominikus.Scherkl@biodata.com>.  (The previous implementation
8705      worked incorrectly for those cases where  range = 10..._2  and
8706      3*range  is two bits longer than  range.)
8707      [Bodo Moeller]
8708
8709   *) Only add signing time to PKCS7 structures if it is not already
8710      present.
8711      [Steve Henson]
8712
8713   *) Fix crypto/objects/objects.h: "ld-ce" should be "id-ce",
8714      OBJ_ld_ce should be OBJ_id_ce.
8715      Also some ip-pda OIDs in crypto/objects/objects.txt were
8716      incorrect (cf. RFC 3039).
8717      [Matt Cooper, Frederic Giudicelli, Bodo Moeller]
8718
8719   *) Release CRYPTO_LOCK_DYNLOCK when CRYPTO_destroy_dynlockid()
8720      returns early because it has nothing to do.
8721      [Andy Schneider <andy.schneider@bjss.co.uk>]
8722
8723   *) [In 0.9.6c-engine release:]
8724      Fix mutex callback return values in crypto/engine/hw_ncipher.c.
8725      [Andy Schneider <andy.schneider@bjss.co.uk>]
8726
8727   *) [In 0.9.6c-engine release:]
8728      Add support for Cryptographic Appliance's keyserver technology.
8729      (Use engine 'keyclient')
8730      [Cryptographic Appliances and Geoff Thorpe]
8731
8732   *) Add a configuration entry for OS/390 Unix.  The C compiler 'c89'
8733      is called via tools/c89.sh because arguments have to be
8734      rearranged (all '-L' options must appear before the first object
8735      modules).
8736      [Richard Shapiro <rshapiro@abinitio.com>]
8737
8738   *) [In 0.9.6c-engine release:]
8739      Add support for Broadcom crypto accelerator cards, backported
8740      from 0.9.7.
8741      [Broadcom, Nalin Dahyabhai <nalin@redhat.com>, Mark Cox]
8742
8743   *) [In 0.9.6c-engine release:]
8744      Add support for SureWare crypto accelerator cards from
8745      Baltimore Technologies.  (Use engine 'sureware')
8746      [Baltimore Technologies and Mark Cox]
8747
8748   *) [In 0.9.6c-engine release:]
8749      Add support for crypto accelerator cards from Accelerated
8750      Encryption Processing, www.aep.ie.  (Use engine 'aep')
8751      [AEP Inc. and Mark Cox]
8752
8753   *) Add a configuration entry for gcc on UnixWare.
8754      [Gary Benson <gbenson@redhat.com>]
8755
8756   *) Change ssl/s2_clnt.c and ssl/s2_srvr.c so that received handshake
8757      messages are stored in a single piece (fixed-length part and
8758      variable-length part combined) and fix various bugs found on the way.
8759      [Bodo Moeller]
8760
8761   *) Disable caching in BIO_gethostbyname(), directly use gethostbyname()
8762      instead.  BIO_gethostbyname() does not know what timeouts are
8763      appropriate, so entries would stay in cache even when they have
8764      become invalid.
8765      [Bodo Moeller; problem pointed out by Rich Salz <rsalz@zolera.com>
8766
8767   *) Change ssl23_get_client_hello (ssl/s23_srvr.c) behaviour when
8768      faced with a pathologically small ClientHello fragment that does
8769      not contain client_version: Instead of aborting with an error,
8770      simply choose the highest available protocol version (i.e.,
8771      TLS 1.0 unless it is disabled).  In practice, ClientHello
8772      messages are never sent like this, but this change gives us
8773      strictly correct behaviour at least for TLS.
8774      [Bodo Moeller]
8775
8776   *) Fix SSL handshake functions and SSL_clear() such that SSL_clear()
8777      never resets s->method to s->ctx->method when called from within
8778      one of the SSL handshake functions.
8779      [Bodo Moeller; problem pointed out by Niko Baric]
8780
8781   *) In ssl3_get_client_hello (ssl/s3_srvr.c), generate a fatal alert
8782      (sent using the client's version number) if client_version is
8783      smaller than the protocol version in use.  Also change
8784      ssl23_get_client_hello (ssl/s23_srvr.c) to select TLS 1.0 if
8785      the client demanded SSL 3.0 but only TLS 1.0 is enabled; then
8786      the client will at least see that alert.
8787      [Bodo Moeller]
8788
8789   *) Fix ssl3_get_message (ssl/s3_both.c) to handle message fragmentation
8790      correctly.
8791      [Bodo Moeller]
8792
8793   *) Avoid infinite loop in ssl3_get_message (ssl/s3_both.c) if a
8794      client receives HelloRequest while in a handshake.
8795      [Bodo Moeller; bug noticed by Andy Schneider <andy.schneider@bjss.co.uk>]
8796
8797   *) Bugfix in ssl3_accept (ssl/s3_srvr.c): Case SSL3_ST_SW_HELLO_REQ_C
8798      should end in 'break', not 'goto end' which circumvents various
8799      cleanups done in state SSL_ST_OK.   But session related stuff
8800      must be disabled for SSL_ST_OK in the case that we just sent a
8801      HelloRequest.
8802
8803      Also avoid some overhead by not calling ssl_init_wbio_buffer()
8804      before just sending a HelloRequest.
8805      [Bodo Moeller, Eric Rescorla <ekr@rtfm.com>]
8806
8807   *) Fix ssl/s3_enc.c, ssl/t1_enc.c and ssl/s3_pkt.c so that we don't
8808      reveal whether illegal block cipher padding was found or a MAC
8809      verification error occurred.  (Neither SSLerr() codes nor alerts
8810      are directly visible to potential attackers, but the information
8811      may leak via logfiles.)
8812
8813      Similar changes are not required for the SSL 2.0 implementation
8814      because the number of padding bytes is sent in clear for SSL 2.0,
8815      and the extra bytes are just ignored.  However ssl/s2_pkt.c
8816      failed to verify that the purported number of padding bytes is in
8817      the legal range.
8818      [Bodo Moeller]
8819
8820   *) Add OpenUNIX-8 support including shared libraries
8821      (Boyd Lynn Gerber <gerberb@zenez.com>).
8822      [Lutz Jaenicke]
8823
8824   *) Improve RSA_padding_check_PKCS1_OAEP() check again to avoid
8825      'wristwatch attack' using huge encoding parameters (cf.
8826      James H. Manger's CRYPTO 2001 paper).  Note that the
8827      RSA_PKCS1_OAEP_PADDING case of RSA_private_decrypt() does not use
8828      encoding parameters and hence was not vulnerable.
8829      [Bodo Moeller]
8830
8831   *) BN_sqr() bug fix.
8832      [Ulf Möller, reported by Jim Ellis <jim.ellis@cavium.com>]
8833
8834   *) Rabin-Miller test analyses assume uniformly distributed witnesses,
8835      so use BN_pseudo_rand_range() instead of using BN_pseudo_rand()
8836      followed by modular reduction.
8837      [Bodo Moeller; pointed out by Adam Young <AYoung1@NCSUS.JNJ.COM>]
8838
8839   *) Add BN_pseudo_rand_range() with obvious functionality: BN_rand_range()
8840      equivalent based on BN_pseudo_rand() instead of BN_rand().
8841      [Bodo Moeller]
8842
8843   *) s3_srvr.c: allow sending of large client certificate lists (> 16 kB).
8844      This function was broken, as the check for a new client hello message
8845      to handle SGC did not allow these large messages.
8846      (Tracked down by "Douglas E. Engert" <deengert@anl.gov>.)
8847      [Lutz Jaenicke]
8848
8849   *) Add alert descriptions for TLSv1 to SSL_alert_desc_string[_long]().
8850      [Lutz Jaenicke]
8851
8852   *) Fix buggy behaviour of BIO_get_num_renegotiates() and BIO_ctrl()
8853      for BIO_C_GET_WRITE_BUF_SIZE ("Stephen Hinton" <shinton@netopia.com>).
8854      [Lutz Jaenicke]
8855
8856   *) Rework the configuration and shared library support for Tru64 Unix.
8857      The configuration part makes use of modern compiler features and
8858      still retains old compiler behavior for those that run older versions
8859      of the OS.  The shared library support part includes a variant that
8860      uses the RPATH feature, and is available through the special
8861      configuration target "alpha-cc-rpath", which will never be selected
8862      automatically.
8863      [Tim Mooney <mooney@dogbert.cc.ndsu.NoDak.edu> via Richard Levitte]
8864
8865   *) In ssl3_get_key_exchange (ssl/s3_clnt.c), call ssl3_get_message()
8866      with the same message size as in ssl3_get_certificate_request().
8867      Otherwise, if no ServerKeyExchange message occurs, CertificateRequest
8868      messages might inadvertently be reject as too long.
8869      [Petr Lampa <lampa@fee.vutbr.cz>]
8870
8871   *) Enhanced support for IA-64 Unix platforms (well, Linux and HP-UX).
8872      [Andy Polyakov]
8873
8874   *) Modified SSL library such that the verify_callback that has been set
8875      specificly for an SSL object with SSL_set_verify() is actually being
8876      used. Before the change, a verify_callback set with this function was
8877      ignored and the verify_callback() set in the SSL_CTX at the time of
8878      the call was used. New function X509_STORE_CTX_set_verify_cb() introduced
8879      to allow the necessary settings.
8880      [Lutz Jaenicke]
8881
8882   *) Initialize static variable in crypto/dsa/dsa_lib.c and crypto/dh/dh_lib.c
8883      explicitly to NULL, as at least on Solaris 8 this seems not always to be
8884      done automatically (in contradiction to the requirements of the C
8885      standard). This made problems when used from OpenSSH.
8886      [Lutz Jaenicke]
8887
8888   *) In OpenSSL 0.9.6a and 0.9.6b, crypto/dh/dh_key.c ignored
8889      dh->length and always used
8890
8891           BN_rand_range(priv_key, dh->p).
8892
8893      BN_rand_range() is not necessary for Diffie-Hellman, and this
8894      specific range makes Diffie-Hellman unnecessarily inefficient if
8895      dh->length (recommended exponent length) is much smaller than the
8896      length of dh->p.  We could use BN_rand_range() if the order of
8897      the subgroup was stored in the DH structure, but we only have
8898      dh->length.
8899
8900      So switch back to
8901
8902           BN_rand(priv_key, l, ...)
8903
8904      where 'l' is dh->length if this is defined, or BN_num_bits(dh->p)-1
8905      otherwise.
8906      [Bodo Moeller]
8907
8908   *) In
8909
8910           RSA_eay_public_encrypt
8911           RSA_eay_private_decrypt
8912           RSA_eay_private_encrypt (signing)
8913           RSA_eay_public_decrypt (signature verification)
8914
8915      (default implementations for RSA_public_encrypt,
8916      RSA_private_decrypt, RSA_private_encrypt, RSA_public_decrypt),
8917      always reject numbers >= n.
8918      [Bodo Moeller]
8919
8920   *) In crypto/rand/md_rand.c, use a new short-time lock CRYPTO_LOCK_RAND2
8921      to synchronize access to 'locking_thread'.  This is necessary on
8922      systems where access to 'locking_thread' (an 'unsigned long'
8923      variable) is not atomic.
8924      [Bodo Moeller]
8925
8926   *) In crypto/rand/md_rand.c, set 'locking_thread' to current thread's ID
8927      *before* setting the 'crypto_lock_rand' flag.  The previous code had
8928      a race condition if 0 is a valid thread ID.
8929      [Travis Vitek <vitek@roguewave.com>]
8930
8931   *) Add support for shared libraries under Irix.
8932      [Albert Chin-A-Young <china@thewrittenword.com>]
8933
8934   *) Add configuration option to build on Linux on both big-endian and
8935      little-endian MIPS.
8936      [Ralf Baechle <ralf@uni-koblenz.de>]
8937
8938   *) Add the possibility to create shared libraries on HP-UX.
8939      [Richard Levitte]
8940
8941  Changes between 0.9.6a and 0.9.6b  [9 Jul 2001]
8942
8943   *) Change ssleay_rand_bytes (crypto/rand/md_rand.c)
8944      to avoid a SSLeay/OpenSSL PRNG weakness pointed out by
8945      Markku-Juhani O. Saarinen <markku-juhani.saarinen@nokia.com>:
8946      PRNG state recovery was possible based on the output of
8947      one PRNG request appropriately sized to gain knowledge on
8948      'md' followed by enough consecutive 1-byte PRNG requests
8949      to traverse all of 'state'.
8950
8951      1. When updating 'md_local' (the current thread's copy of 'md')
8952         during PRNG output generation, hash all of the previous
8953         'md_local' value, not just the half used for PRNG output.
8954
8955      2. Make the number of bytes from 'state' included into the hash
8956         independent from the number of PRNG bytes requested.
8957
8958      The first measure alone would be sufficient to avoid
8959      Markku-Juhani's attack.  (Actually it had never occurred
8960      to me that the half of 'md_local' used for chaining was the
8961      half from which PRNG output bytes were taken -- I had always
8962      assumed that the secret half would be used.)  The second
8963      measure makes sure that additional data from 'state' is never
8964      mixed into 'md_local' in small portions; this heuristically
8965      further strengthens the PRNG.
8966      [Bodo Moeller]
8967
8968   *) Fix crypto/bn/asm/mips3.s.
8969      [Andy Polyakov]
8970
8971   *) When only the key is given to "enc", the IV is undefined. Print out
8972      an error message in this case.
8973      [Lutz Jaenicke]
8974
8975   *) Handle special case when X509_NAME is empty in X509 printing routines.
8976      [Steve Henson]
8977
8978   *) In dsa_do_verify (crypto/dsa/dsa_ossl.c), verify that r and s are
8979      positive and less than q.
8980      [Bodo Moeller]
8981
8982   *) Don't change *pointer in CRYPTO_add_lock() is add_lock_callback is
8983      used: it isn't thread safe and the add_lock_callback should handle
8984      that itself.
8985      [Paul Rose <Paul.Rose@bridge.com>]
8986
8987   *) Verify that incoming data obeys the block size in
8988      ssl3_enc (ssl/s3_enc.c) and tls1_enc (ssl/t1_enc.c).
8989      [Bodo Moeller]
8990
8991   *) Fix OAEP check.
8992      [Ulf Möller, Bodo Möller]
8993
8994   *) The countermeasure against Bleichbacher's attack on PKCS #1 v1.5
8995      RSA encryption was accidentally removed in s3_srvr.c in OpenSSL 0.9.5
8996      when fixing the server behaviour for backwards-compatible 'client
8997      hello' messages.  (Note that the attack is impractical against
8998      SSL 3.0 and TLS 1.0 anyway because length and version checking
8999      means that the probability of guessing a valid ciphertext is
9000      around 2^-40; see section 5 in Bleichenbacher's CRYPTO '98
9001      paper.)
9002
9003      Before 0.9.5, the countermeasure (hide the error by generating a
9004      random 'decryption result') did not work properly because
9005      ERR_clear_error() was missing, meaning that SSL_get_error() would
9006      detect the supposedly ignored error.
9007
9008      Both problems are now fixed.
9009      [Bodo Moeller]
9010
9011   *) In crypto/bio/bf_buff.c, increase DEFAULT_BUFFER_SIZE to 4096
9012      (previously it was 1024).
9013      [Bodo Moeller]
9014
9015   *) Fix for compatibility mode trust settings: ignore trust settings
9016      unless some valid trust or reject settings are present.
9017      [Steve Henson]
9018
9019   *) Fix for blowfish EVP: its a variable length cipher.
9020      [Steve Henson]
9021
9022   *) Fix various bugs related to DSA S/MIME verification. Handle missing
9023      parameters in DSA public key structures and return an error in the
9024      DSA routines if parameters are absent.
9025      [Steve Henson]
9026
9027   *) In versions up to 0.9.6, RAND_file_name() resorted to file ".rnd"
9028      in the current directory if neither $RANDFILE nor $HOME was set.
9029      RAND_file_name() in 0.9.6a returned NULL in this case.  This has
9030      caused some confusion to Windows users who haven't defined $HOME.
9031      Thus RAND_file_name() is changed again: e_os.h can define a
9032      DEFAULT_HOME, which will be used if $HOME is not set.
9033      For Windows, we use "C:"; on other platforms, we still require
9034      environment variables.
9035
9036   *) Move 'if (!initialized) RAND_poll()' into regions protected by
9037      CRYPTO_LOCK_RAND.  This is not strictly necessary, but avoids
9038      having multiple threads call RAND_poll() concurrently.
9039      [Bodo Moeller]
9040
9041   *) In crypto/rand/md_rand.c, replace 'add_do_not_lock' flag by a
9042      combination of a flag and a thread ID variable.
9043      Otherwise while one thread is in ssleay_rand_bytes (which sets the
9044      flag), *other* threads can enter ssleay_add_bytes without obeying
9045      the CRYPTO_LOCK_RAND lock (and may even illegally release the lock
9046      that they do not hold after the first thread unsets add_do_not_lock).
9047      [Bodo Moeller]
9048
9049   *) Change bctest again: '-x' expressions are not available in all
9050      versions of 'test'.
9051      [Bodo Moeller]
9052
9053  Changes between 0.9.6 and 0.9.6a  [5 Apr 2001]
9054
9055   *) Fix a couple of memory leaks in PKCS7_dataDecode()
9056      [Steve Henson, reported by Heyun Zheng <hzheng@atdsprint.com>]
9057
9058   *) Change Configure and Makefiles to provide EXE_EXT, which will contain
9059      the default extension for executables, if any.  Also, make the perl
9060      scripts that use symlink() to test if it really exists and use "cp"
9061      if it doesn't.  All this made OpenSSL compilable and installable in
9062      CygWin.
9063      [Richard Levitte]
9064
9065   *) Fix for asn1_GetSequence() for indefinite length constructed data.
9066      If SEQUENCE is length is indefinite just set c->slen to the total
9067      amount of data available.
9068      [Steve Henson, reported by shige@FreeBSD.org]
9069      [This change does not apply to 0.9.7.]
9070
9071   *) Change bctest to avoid here-documents inside command substitution
9072      (workaround for FreeBSD /bin/sh bug).
9073      For compatibility with Ultrix, avoid shell functions (introduced
9074      in the bctest version that searches along $PATH).
9075      [Bodo Moeller]
9076
9077   *) Rename 'des_encrypt' to 'des_encrypt1'.  This avoids the clashes
9078      with des_encrypt() defined on some operating systems, like Solaris
9079      and UnixWare.
9080      [Richard Levitte]
9081
9082   *) Check the result of RSA-CRT (see D. Boneh, R. DeMillo, R. Lipton:
9083      On the Importance of Eliminating Errors in Cryptographic
9084      Computations, J. Cryptology 14 (2001) 2, 101-119,
9085      http://theory.stanford.edu/~dabo/papers/faults.ps.gz).
9086      [Ulf Moeller]
9087
9088   *) MIPS assembler BIGNUM division bug fix.
9089      [Andy Polyakov]
9090
9091   *) Disabled incorrect Alpha assembler code.
9092      [Richard Levitte]
9093
9094   *) Fix PKCS#7 decode routines so they correctly update the length
9095      after reading an EOC for the EXPLICIT tag.
9096      [Steve Henson]
9097      [This change does not apply to 0.9.7.]
9098
9099   *) Fix bug in PKCS#12 key generation routines. This was triggered
9100      if a 3DES key was generated with a 0 initial byte. Include
9101      PKCS12_BROKEN_KEYGEN compilation option to retain the old
9102      (but broken) behaviour.
9103      [Steve Henson]
9104
9105   *) Enhance bctest to search for a working bc along $PATH and print
9106      it when found.
9107      [Tim Rice <tim@multitalents.net> via Richard Levitte]
9108
9109   *) Fix memory leaks in err.c: free err_data string if necessary;
9110      don't write to the wrong index in ERR_set_error_data.
9111      [Bodo Moeller]
9112
9113   *) Implement ssl23_peek (analogous to ssl23_read), which previously
9114      did not exist.
9115      [Bodo Moeller]
9116
9117   *) Replace rdtsc with _emit statements for VC++ version 5.
9118      [Jeremy Cooper <jeremy@baymoo.org>]
9119
9120   *) Make it possible to reuse SSLv2 sessions.
9121      [Richard Levitte]
9122
9123   *) In copy_email() check for >= 0 as a return value for
9124      X509_NAME_get_index_by_NID() since 0 is a valid index.
9125      [Steve Henson reported by Massimiliano Pala <madwolf@opensca.org>]
9126
9127   *) Avoid coredump with unsupported or invalid public keys by checking if
9128      X509_get_pubkey() fails in PKCS7_verify(). Fix memory leak when
9129      PKCS7_verify() fails with non detached data.
9130      [Steve Henson]
9131
9132   *) Don't use getenv in library functions when run as setuid/setgid.
9133      New function OPENSSL_issetugid().
9134      [Ulf Moeller]
9135
9136   *) Avoid false positives in memory leak detection code (crypto/mem_dbg.c)
9137      due to incorrect handling of multi-threading:
9138
9139      1. Fix timing glitch in the MemCheck_off() portion of CRYPTO_mem_ctrl().
9140
9141      2. Fix logical glitch in is_MemCheck_on() aka CRYPTO_is_mem_check_on().
9142
9143      3. Count how many times MemCheck_off() has been called so that
9144         nested use can be treated correctly.  This also avoids
9145         inband-signalling in the previous code (which relied on the
9146         assumption that thread ID 0 is impossible).
9147      [Bodo Moeller]
9148
9149   *) Add "-rand" option also to s_client and s_server.
9150      [Lutz Jaenicke]
9151
9152   *) Fix CPU detection on Irix 6.x.
9153      [Kurt Hockenbury <khockenb@stevens-tech.edu> and
9154       "Bruce W. Forsberg" <bruce.forsberg@baesystems.com>]
9155
9156   *) Fix X509_NAME bug which produced incorrect encoding if X509_NAME
9157      was empty.
9158      [Steve Henson]
9159      [This change does not apply to 0.9.7.]
9160
9161   *) Use the cached encoding of an X509_NAME structure rather than
9162      copying it. This is apparently the reason for the libsafe "errors"
9163      but the code is actually correct.
9164      [Steve Henson]
9165
9166   *) Add new function BN_rand_range(), and fix DSA_sign_setup() to prevent
9167      Bleichenbacher's DSA attack.
9168      Extend BN_[pseudo_]rand: As before, top=1 forces the highest two bits
9169      to be set and top=0 forces the highest bit to be set; top=-1 is new
9170      and leaves the highest bit random.
9171      [Ulf Moeller, Bodo Moeller]
9172
9173   *) In the NCONF_...-based implementations for CONF_... queries
9174      (crypto/conf/conf_lib.c), if the input LHASH is NULL, avoid using
9175      a temporary CONF structure with the data component set to NULL
9176      (which gives segmentation faults in lh_retrieve).
9177      Instead, use NULL for the CONF pointer in CONF_get_string and
9178      CONF_get_number (which may use environment variables) and directly
9179      return NULL from CONF_get_section.
9180      [Bodo Moeller]
9181
9182   *) Fix potential buffer overrun for EBCDIC.
9183      [Ulf Moeller]
9184
9185   *) Tolerate nonRepudiation as being valid for S/MIME signing and certSign
9186      keyUsage if basicConstraints absent for a CA.
9187      [Steve Henson]
9188
9189   *) Make SMIME_write_PKCS7() write mail header values with a format that
9190      is more generally accepted (no spaces before the semicolon), since
9191      some programs can't parse those values properly otherwise.  Also make
9192      sure BIO's that break lines after each write do not create invalid
9193      headers.
9194      [Richard Levitte]
9195
9196   *) Make the CRL encoding routines work with empty SEQUENCE OF. The
9197      macros previously used would not encode an empty SEQUENCE OF
9198      and break the signature.
9199      [Steve Henson]
9200      [This change does not apply to 0.9.7.]
9201
9202   *) Zero the premaster secret after deriving the master secret in
9203      DH ciphersuites.
9204      [Steve Henson]
9205
9206   *) Add some EVP_add_digest_alias registrations (as found in
9207      OpenSSL_add_all_digests()) to SSL_library_init()
9208      aka OpenSSL_add_ssl_algorithms().  This provides improved
9209      compatibility with peers using X.509 certificates
9210      with unconventional AlgorithmIdentifier OIDs.
9211      [Bodo Moeller]
9212
9213   *) Fix for Irix with NO_ASM.
9214      ["Bruce W. Forsberg" <bruce.forsberg@baesystems.com>]
9215
9216   *) ./config script fixes.
9217      [Ulf Moeller, Richard Levitte]
9218
9219   *) Fix 'openssl passwd -1'.
9220      [Bodo Moeller]
9221
9222   *) Change PKCS12_key_gen_asc() so it can cope with non null
9223      terminated strings whose length is passed in the passlen
9224      parameter, for example from PEM callbacks. This was done
9225      by adding an extra length parameter to asc2uni().
9226      [Steve Henson, reported by <oddissey@samsung.co.kr>]
9227
9228   *) Fix C code generated by 'openssl dsaparam -C': If a BN_bin2bn
9229      call failed, free the DSA structure.
9230      [Bodo Moeller]
9231
9232   *) Fix to uni2asc() to cope with zero length Unicode strings.
9233      These are present in some PKCS#12 files.
9234      [Steve Henson]
9235
9236   *) Increase s2->wbuf allocation by one byte in ssl2_new (ssl/s2_lib.c).
9237      Otherwise do_ssl_write (ssl/s2_pkt.c) will write beyond buffer limits
9238      when writing a 32767 byte record.
9239      [Bodo Moeller; problem reported by Eric Day <eday@concentric.net>]
9240
9241   *) In RSA_eay_public_{en,ed}crypt and RSA_eay_mod_exp (rsa_eay.c),
9242      obtain lock CRYPTO_LOCK_RSA before setting rsa->_method_mod_{n,p,q}.
9243
9244      (RSA objects have a reference count access to which is protected
9245      by CRYPTO_LOCK_RSA [see rsa_lib.c, s3_srvr.c, ssl_cert.c, ssl_rsa.c],
9246      so they are meant to be shared between threads.)
9247      [Bodo Moeller, Geoff Thorpe; original patch submitted by
9248      "Reddie, Steven" <Steven.Reddie@ca.com>]
9249
9250   *) Fix a deadlock in CRYPTO_mem_leaks().
9251      [Bodo Moeller]
9252
9253   *) Use better test patterns in bntest.
9254      [Ulf Möller]
9255
9256   *) rand_win.c fix for Borland C.
9257      [Ulf Möller]
9258
9259   *) BN_rshift bugfix for n == 0.
9260      [Bodo Moeller]
9261
9262   *) Add a 'bctest' script that checks for some known 'bc' bugs
9263      so that 'make test' does not abort just because 'bc' is broken.
9264      [Bodo Moeller]
9265
9266   *) Store verify_result within SSL_SESSION also for client side to
9267      avoid potential security hole. (Re-used sessions on the client side
9268      always resulted in verify_result==X509_V_OK, not using the original
9269      result of the server certificate verification.)
9270      [Lutz Jaenicke]
9271
9272   *) Fix ssl3_pending: If the record in s->s3->rrec is not of type
9273      SSL3_RT_APPLICATION_DATA, return 0.
9274      Similarly, change ssl2_pending to return 0 if SSL_in_init(s) is true.
9275      [Bodo Moeller]
9276
9277   *) Fix SSL_peek:
9278      Both ssl2_peek and ssl3_peek, which were totally broken in earlier
9279      releases, have been re-implemented by renaming the previous
9280      implementations of ssl2_read and ssl3_read to ssl2_read_internal
9281      and ssl3_read_internal, respectively, and adding 'peek' parameters
9282      to them.  The new ssl[23]_{read,peek} functions are calls to
9283      ssl[23]_read_internal with the 'peek' flag set appropriately.
9284      A 'peek' parameter has also been added to ssl3_read_bytes, which
9285      does the actual work for ssl3_read_internal.
9286      [Bodo Moeller]
9287
9288   *) Initialise "ex_data" member of RSA/DSA/DH structures prior to calling
9289      the method-specific "init()" handler. Also clean up ex_data after
9290      calling the method-specific "finish()" handler. Previously, this was
9291      happening the other way round.
9292      [Geoff Thorpe]
9293
9294   *) Increase BN_CTX_NUM (the number of BIGNUMs in a BN_CTX) to 16.
9295      The previous value, 12, was not always sufficient for BN_mod_exp().
9296      [Bodo Moeller]
9297
9298   *) Make sure that shared libraries get the internal name engine with
9299      the full version number and not just 0.  This should mark the
9300      shared libraries as not backward compatible.  Of course, this should
9301      be changed again when we can guarantee backward binary compatibility.
9302      [Richard Levitte]
9303
9304   *) Fix typo in get_cert_by_subject() in by_dir.c
9305      [Jean-Marc Desperrier <jean-marc.desperrier@certplus.com>]
9306
9307   *) Rework the system to generate shared libraries:
9308
9309      - Make note of the expected extension for the shared libraries and
9310        if there is a need for symbolic links from for example libcrypto.so.0
9311        to libcrypto.so.0.9.7.  There is extended info in Configure for
9312        that.
9313
9314      - Make as few rebuilds of the shared libraries as possible.
9315
9316      - Still avoid linking the OpenSSL programs with the shared libraries.
9317
9318      - When installing, install the shared libraries separately from the
9319        static ones.
9320      [Richard Levitte]
9321
9322   *) Fix SSL_CTX_set_read_ahead macro to actually use its argument.
9323
9324      Copy SSL_CTX's read_ahead flag to SSL object directly in SSL_new
9325      and not in SSL_clear because the latter is also used by the
9326      accept/connect functions; previously, the settings made by
9327      SSL_set_read_ahead would be lost during the handshake.
9328      [Bodo Moeller; problems reported by Anders Gertz <gertz@epact.se>]
9329
9330   *) Correct util/mkdef.pl to be selective about disabled algorithms.
9331      Previously, it would create entries for disabled algorithms no
9332      matter what.
9333      [Richard Levitte]
9334
9335   *) Added several new manual pages for SSL_* function.
9336      [Lutz Jaenicke]
9337
9338  Changes between 0.9.5a and 0.9.6  [24 Sep 2000]
9339
9340   *) In ssl23_get_client_hello, generate an error message when faced
9341      with an initial SSL 3.0/TLS record that is too small to contain the
9342      first two bytes of the ClientHello message, i.e. client_version.
9343      (Note that this is a pathologic case that probably has never happened
9344      in real life.)  The previous approach was to use the version number
9345      from the record header as a substitute; but our protocol choice
9346      should not depend on that one because it is not authenticated
9347      by the Finished messages.
9348      [Bodo Moeller]
9349
9350   *) More robust randomness gathering functions for Windows.
9351      [Jeffrey Altman <jaltman@columbia.edu>]
9352
9353   *) For compatibility reasons if the flag X509_V_FLAG_ISSUER_CHECK is
9354      not set then we don't setup the error code for issuer check errors
9355      to avoid possibly overwriting other errors which the callback does
9356      handle. If an application does set the flag then we assume it knows
9357      what it is doing and can handle the new informational codes
9358      appropriately.
9359      [Steve Henson]
9360
9361   *) Fix for a nasty bug in ASN1_TYPE handling. ASN1_TYPE is used for
9362      a general "ANY" type, as such it should be able to decode anything
9363      including tagged types. However it didn't check the class so it would
9364      wrongly interpret tagged types in the same way as their universal
9365      counterpart and unknown types were just rejected. Changed so that the
9366      tagged and unknown types are handled in the same way as a SEQUENCE:
9367      that is the encoding is stored intact. There is also a new type
9368      "V_ASN1_OTHER" which is used when the class is not universal, in this
9369      case we have no idea what the actual type is so we just lump them all
9370      together.
9371      [Steve Henson]
9372
9373   *) On VMS, stdout may very well lead to a file that is written to
9374      in a record-oriented fashion.  That means that every write() will
9375      write a separate record, which will be read separately by the
9376      programs trying to read from it.  This can be very confusing.
9377
9378      The solution is to put a BIO filter in the way that will buffer
9379      text until a linefeed is reached, and then write everything a
9380      line at a time, so every record written will be an actual line,
9381      not chunks of lines and not (usually doesn't happen, but I've
9382      seen it once) several lines in one record.  BIO_f_linebuffer() is
9383      the answer.
9384
9385      Currently, it's a VMS-only method, because that's where it has
9386      been tested well enough.
9387      [Richard Levitte]
9388
9389   *) Remove 'optimized' squaring variant in BN_mod_mul_montgomery,
9390      it can return incorrect results.
9391      (Note: The buggy variant was not enabled in OpenSSL 0.9.5a,
9392      but it was in 0.9.6-beta[12].)
9393      [Bodo Moeller]
9394
9395   *) Disable the check for content being present when verifying detached
9396      signatures in pk7_smime.c. Some versions of Netscape (wrongly)
9397      include zero length content when signing messages.
9398      [Steve Henson]
9399
9400   *) New BIO_shutdown_wr macro, which invokes the BIO_C_SHUTDOWN_WR
9401      BIO_ctrl (for BIO pairs).
9402      [Bodo Möller]
9403
9404   *) Add DSO method for VMS.
9405      [Richard Levitte]
9406
9407   *) Bug fix: Montgomery multiplication could produce results with the
9408      wrong sign.
9409      [Ulf Möller]
9410
9411   *) Add RPM specification openssl.spec and modify it to build three
9412      packages.  The default package contains applications, application
9413      documentation and run-time libraries.  The devel package contains
9414      include files, static libraries and function documentation.  The
9415      doc package contains the contents of the doc directory.  The original
9416      openssl.spec was provided by Damien Miller <djm@mindrot.org>.
9417      [Richard Levitte]
9418
9419   *) Add a large number of documentation files for many SSL routines.
9420      [Lutz Jaenicke <Lutz.Jaenicke@aet.TU-Cottbus.DE>]
9421
9422   *) Add a configuration entry for Sony News 4.
9423      [NAKAJI Hiroyuki <nakaji@tutrp.tut.ac.jp>]
9424
9425   *) Don't set the two most significant bits to one when generating a
9426      random number < q in the DSA library.
9427      [Ulf Möller]
9428
9429   *) New SSL API mode 'SSL_MODE_AUTO_RETRY'.  This disables the default
9430      behaviour that SSL_read may result in SSL_ERROR_WANT_READ (even if
9431      the underlying transport is blocking) if a handshake took place.
9432      (The default behaviour is needed by applications such as s_client
9433      and s_server that use select() to determine when to use SSL_read;
9434      but for applications that know in advance when to expect data, it
9435      just makes things more complicated.)
9436      [Bodo Moeller]
9437
9438   *) Add RAND_egd_bytes(), which gives control over the number of bytes read
9439      from EGD.
9440      [Ben Laurie]
9441
9442   *) Add a few more EBCDIC conditionals that make `req' and `x509'
9443      work better on such systems.
9444      [Martin Kraemer <Martin.Kraemer@MchP.Siemens.De>]
9445
9446   *) Add two demo programs for PKCS12_parse() and PKCS12_create().
9447      Update PKCS12_parse() so it copies the friendlyName and the
9448      keyid to the certificates aux info.
9449      [Steve Henson]
9450
9451   *) Fix bug in PKCS7_verify() which caused an infinite loop
9452      if there was more than one signature.
9453      [Sven Uszpelkat <su@celocom.de>]
9454
9455   *) Major change in util/mkdef.pl to include extra information
9456      about each symbol, as well as presenting variables as well
9457      as functions.  This change means that there's n more need
9458      to rebuild the .num files when some algorithms are excluded.
9459      [Richard Levitte]
9460
9461   *) Allow the verify time to be set by an application,
9462      rather than always using the current time.
9463      [Steve Henson]
9464
9465   *) Phase 2 verify code reorganisation. The certificate
9466      verify code now looks up an issuer certificate by a
9467      number of criteria: subject name, authority key id
9468      and key usage. It also verifies self signed certificates
9469      by the same criteria. The main comparison function is
9470      X509_check_issued() which performs these checks.
9471
9472      Lot of changes were necessary in order to support this
9473      without completely rewriting the lookup code.
9474
9475      Authority and subject key identifier are now cached.
9476
9477      The LHASH 'certs' is X509_STORE has now been replaced
9478      by a STACK_OF(X509_OBJECT). This is mainly because an
9479      LHASH can't store or retrieve multiple objects with
9480      the same hash value.
9481
9482      As a result various functions (which were all internal
9483      use only) have changed to handle the new X509_STORE
9484      structure. This will break anything that messed round
9485      with X509_STORE internally.
9486
9487      The functions X509_STORE_add_cert() now checks for an
9488      exact match, rather than just subject name.
9489
9490      The X509_STORE API doesn't directly support the retrieval
9491      of multiple certificates matching a given criteria, however
9492      this can be worked round by performing a lookup first
9493      (which will fill the cache with candidate certificates)
9494      and then examining the cache for matches. This is probably
9495      the best we can do without throwing out X509_LOOKUP
9496      entirely (maybe later...).
9497
9498      The X509_VERIFY_CTX structure has been enhanced considerably.
9499
9500      All certificate lookup operations now go via a get_issuer()
9501      callback. Although this currently uses an X509_STORE it
9502      can be replaced by custom lookups. This is a simple way
9503      to bypass the X509_STORE hackery necessary to make this
9504      work and makes it possible to use more efficient techniques
9505      in future. A very simple version which uses a simple
9506      STACK for its trusted certificate store is also provided
9507      using X509_STORE_CTX_trusted_stack().
9508
9509      The verify_cb() and verify() callbacks now have equivalents
9510      in the X509_STORE_CTX structure.
9511
9512      X509_STORE_CTX also has a 'flags' field which can be used
9513      to customise the verify behaviour.
9514      [Steve Henson]
9515
9516   *) Add new PKCS#7 signing option PKCS7_NOSMIMECAP which
9517      excludes S/MIME capabilities.
9518      [Steve Henson]
9519
9520   *) When a certificate request is read in keep a copy of the
9521      original encoding of the signed data and use it when outputting
9522      again. Signatures then use the original encoding rather than
9523      a decoded, encoded version which may cause problems if the
9524      request is improperly encoded.
9525      [Steve Henson]
9526
9527   *) For consistency with other BIO_puts implementations, call
9528      buffer_write(b, ...) directly in buffer_puts instead of calling
9529      BIO_write(b, ...).
9530
9531      In BIO_puts, increment b->num_write as in BIO_write.
9532      [Peter.Sylvester@EdelWeb.fr]
9533
9534   *) Fix BN_mul_word for the case where the word is 0. (We have to use
9535      BN_zero, we may not return a BIGNUM with an array consisting of
9536      words set to zero.)
9537      [Bodo Moeller]
9538
9539   *) Avoid calling abort() from within the library when problems are
9540      detected, except if preprocessor symbols have been defined
9541      (such as REF_CHECK, BN_DEBUG etc.).
9542      [Bodo Moeller]
9543
9544   *) New openssl application 'rsautl'. This utility can be
9545      used for low level RSA operations. DER public key
9546      BIO/fp routines also added.
9547      [Steve Henson]
9548
9549   *) New Configure entry and patches for compiling on QNX 4.
9550      [Andreas Schneider <andreas@ds3.etech.fh-hamburg.de>]
9551
9552   *) A demo state-machine implementation was sponsored by
9553      Nuron (http://www.nuron.com/) and is now available in
9554      demos/state_machine.
9555      [Ben Laurie]
9556
9557   *) New options added to the 'dgst' utility for signature
9558      generation and verification.
9559      [Steve Henson]
9560
9561   *) Unrecognized PKCS#7 content types are now handled via a
9562      catch all ASN1_TYPE structure. This allows unsupported
9563      types to be stored as a "blob" and an application can
9564      encode and decode it manually.
9565      [Steve Henson]
9566
9567   *) Fix various signed/unsigned issues to make a_strex.c
9568      compile under VC++.
9569      [Oscar Jacobsson <oscar.jacobsson@celocom.com>]
9570
9571   *) ASN1 fixes. i2d_ASN1_OBJECT was not returning the correct
9572      length if passed a buffer. ASN1_INTEGER_to_BN failed
9573      if passed a NULL BN and its argument was negative.
9574      [Steve Henson, pointed out by Sven Heiberg <sven@tartu.cyber.ee>]
9575
9576   *) Modification to PKCS#7 encoding routines to output definite
9577      length encoding. Since currently the whole structures are in
9578      memory there's not real point in using indefinite length
9579      constructed encoding. However if OpenSSL is compiled with
9580      the flag PKCS7_INDEFINITE_ENCODING the old form is used.
9581      [Steve Henson]
9582
9583   *) Added BIO_vprintf() and BIO_vsnprintf().
9584      [Richard Levitte]
9585
9586   *) Added more prefixes to parse for in the strings written
9587      through a logging bio, to cover all the levels that are available
9588      through syslog.  The prefixes are now:
9589
9590         PANIC, EMERG, EMR       =>      LOG_EMERG
9591         ALERT, ALR              =>      LOG_ALERT
9592         CRIT, CRI               =>      LOG_CRIT
9593         ERROR, ERR              =>      LOG_ERR
9594         WARNING, WARN, WAR      =>      LOG_WARNING
9595         NOTICE, NOTE, NOT       =>      LOG_NOTICE
9596         INFO, INF               =>      LOG_INFO
9597         DEBUG, DBG              =>      LOG_DEBUG
9598
9599      and as before, if none of those prefixes are present at the
9600      beginning of the string, LOG_ERR is chosen.
9601
9602      On Win32, the LOG_* levels are mapped according to this:
9603
9604         LOG_EMERG, LOG_ALERT, LOG_CRIT, LOG_ERR => EVENTLOG_ERROR_TYPE
9605         LOG_WARNING                             => EVENTLOG_WARNING_TYPE
9606         LOG_NOTICE, LOG_INFO, LOG_DEBUG         => EVENTLOG_INFORMATION_TYPE
9607
9608      [Richard Levitte]
9609
9610   *) Made it possible to reconfigure with just the configuration
9611      argument "reconf" or "reconfigure".  The command line arguments
9612      are stored in Makefile.ssl in the variable CONFIGURE_ARGS,
9613      and are retrieved from there when reconfiguring.
9614      [Richard Levitte]
9615
9616   *) MD4 implemented.
9617      [Assar Westerlund <assar@sics.se>, Richard Levitte]
9618
9619   *) Add the arguments -CAfile and -CApath to the pkcs12 utility.
9620      [Richard Levitte]
9621
9622   *) The obj_dat.pl script was messing up the sorting of object
9623      names. The reason was that it compared the quoted version
9624      of strings as a result "OCSP" > "OCSP Signing" because
9625      " > SPACE. Changed script to store unquoted versions of
9626      names and add quotes on output. It was also omitting some
9627      names from the lookup table if they were given a default
9628      value (that is if SN is missing it is given the same
9629      value as LN and vice versa), these are now added on the
9630      grounds that if an object has a name we should be able to
9631      look it up. Finally added warning output when duplicate
9632      short or long names are found.
9633      [Steve Henson]
9634
9635   *) Changes needed for Tandem NSK.
9636      [Scott Uroff <scott@xypro.com>]
9637
9638   *) Fix SSL 2.0 rollback checking: Due to an off-by-one error in
9639      RSA_padding_check_SSLv23(), special padding was never detected
9640      and thus the SSL 3.0/TLS 1.0 countermeasure against protocol
9641      version rollback attacks was not effective.
9642
9643      In s23_clnt.c, don't use special rollback-attack detection padding
9644      (RSA_SSLV23_PADDING) if SSL 2.0 is the only protocol enabled in the
9645      client; similarly, in s23_srvr.c, don't do the rollback check if
9646      SSL 2.0 is the only protocol enabled in the server.
9647      [Bodo Moeller]
9648
9649   *) Make it possible to get hexdumps of unprintable data with 'openssl
9650      asn1parse'.  By implication, the functions ASN1_parse_dump() and
9651      BIO_dump_indent() are added.
9652      [Richard Levitte]
9653
9654   *) New functions ASN1_STRING_print_ex() and X509_NAME_print_ex()
9655      these print out strings and name structures based on various
9656      flags including RFC2253 support and proper handling of
9657      multibyte characters. Added options to the 'x509' utility
9658      to allow the various flags to be set.
9659      [Steve Henson]
9660
9661   *) Various fixes to use ASN1_TIME instead of ASN1_UTCTIME.
9662      Also change the functions X509_cmp_current_time() and
9663      X509_gmtime_adj() work with an ASN1_TIME structure,
9664      this will enable certificates using GeneralizedTime in validity
9665      dates to be checked.
9666      [Steve Henson]
9667
9668   *) Make the NEG_PUBKEY_BUG code (which tolerates invalid
9669      negative public key encodings) on by default,
9670      NO_NEG_PUBKEY_BUG can be set to disable it.
9671      [Steve Henson]
9672
9673   *) New function c2i_ASN1_OBJECT() which acts on ASN1_OBJECT
9674      content octets. An i2c_ASN1_OBJECT is unnecessary because
9675      the encoding can be trivially obtained from the structure.
9676      [Steve Henson]
9677
9678   *) crypto/err.c locking bugfix: Use write locks (CRYPTO_w_[un]lock),
9679      not read locks (CRYPTO_r_[un]lock).
9680      [Bodo Moeller]
9681
9682   *) A first attempt at creating official support for shared
9683      libraries through configuration.  I've kept it so the
9684      default is static libraries only, and the OpenSSL programs
9685      are always statically linked for now, but there are
9686      preparations for dynamic linking in place.
9687      This has been tested on Linux and Tru64.
9688      [Richard Levitte]
9689
9690   *) Randomness polling function for Win9x, as described in:
9691      Peter Gutmann, Software Generation of Practically Strong
9692      Random Numbers.
9693      [Ulf Möller]
9694
9695   *) Fix so PRNG is seeded in req if using an already existing
9696      DSA key.
9697      [Steve Henson]
9698
9699   *) New options to smime application. -inform and -outform
9700      allow alternative formats for the S/MIME message including
9701      PEM and DER. The -content option allows the content to be
9702      specified separately. This should allow things like Netscape
9703      form signing output easier to verify.
9704      [Steve Henson]
9705
9706   *) Fix the ASN1 encoding of tags using the 'long form'.
9707      [Steve Henson]
9708
9709   *) New ASN1 functions, i2c_* and c2i_* for INTEGER and BIT
9710      STRING types. These convert content octets to and from the
9711      underlying type. The actual tag and length octets are
9712      already assumed to have been read in and checked. These
9713      are needed because all other string types have virtually
9714      identical handling apart from the tag. By having versions
9715      of the ASN1 functions that just operate on content octets
9716      IMPLICIT tagging can be handled properly. It also allows
9717      the ASN1_ENUMERATED code to be cut down because ASN1_ENUMERATED
9718      and ASN1_INTEGER are identical apart from the tag.
9719      [Steve Henson]
9720
9721   *) Change the handling of OID objects as follows:
9722
9723      - New object identifiers are inserted in objects.txt, following
9724        the syntax given in objects.README.
9725      - objects.pl is used to process obj_mac.num and create a new
9726        obj_mac.h.
9727      - obj_dat.pl is used to create a new obj_dat.h, using the data in
9728        obj_mac.h.
9729
9730      This is currently kind of a hack, and the perl code in objects.pl
9731      isn't very elegant, but it works as I intended.  The simplest way
9732      to check that it worked correctly is to look in obj_dat.h and
9733      check the array nid_objs and make sure the objects haven't moved
9734      around (this is important!).  Additions are OK, as well as
9735      consistent name changes.
9736      [Richard Levitte]
9737
9738   *) Add BSD-style MD5-based passwords to 'openssl passwd' (option '-1').
9739      [Bodo Moeller]
9740
9741   *) Addition of the command line parameter '-rand file' to 'openssl req'.
9742      The given file adds to whatever has already been seeded into the
9743      random pool through the RANDFILE configuration file option or
9744      environment variable, or the default random state file.
9745      [Richard Levitte]
9746
9747   *) mkstack.pl now sorts each macro group into lexical order.
9748      Previously the output order depended on the order the files
9749      appeared in the directory, resulting in needless rewriting
9750      of safestack.h .
9751      [Steve Henson]
9752
9753   *) Patches to make OpenSSL compile under Win32 again. Mostly
9754      work arounds for the VC++ problem that it treats func() as
9755      func(void). Also stripped out the parts of mkdef.pl that
9756      added extra typesafe functions: these no longer exist.
9757      [Steve Henson]
9758
9759   *) Reorganisation of the stack code. The macros are now all
9760      collected in safestack.h . Each macro is defined in terms of
9761      a "stack macro" of the form SKM_<name>(type, a, b). The
9762      DEBUG_SAFESTACK is now handled in terms of function casts,
9763      this has the advantage of retaining type safety without the
9764      use of additional functions. If DEBUG_SAFESTACK is not defined
9765      then the non typesafe macros are used instead. Also modified the
9766      mkstack.pl script to handle the new form. Needs testing to see
9767      if which (if any) compilers it chokes and maybe make DEBUG_SAFESTACK
9768      the default if no major problems. Similar behaviour for ASN1_SET_OF
9769      and PKCS12_STACK_OF.
9770      [Steve Henson]
9771
9772   *) When some versions of IIS use the 'NET' form of private key the
9773      key derivation algorithm is different. Normally MD5(password) is
9774      used as a 128 bit RC4 key. In the modified case
9775      MD5(MD5(password) + "SGCKEYSALT")  is used instead. Added some
9776      new functions i2d_RSA_NET(), d2i_RSA_NET() etc which are the same
9777      as the old Netscape_RSA functions except they have an additional
9778      'sgckey' parameter which uses the modified algorithm. Also added
9779      an -sgckey command line option to the rsa utility. Thanks to
9780      Adrian Peck <bertie@ncipher.com> for posting details of the modified
9781      algorithm to openssl-dev.
9782      [Steve Henson]
9783
9784   *) The evp_local.h macros were using 'c.##kname' which resulted in
9785      invalid expansion on some systems (SCO 5.0.5 for example).
9786      Corrected to 'c.kname'.
9787      [Phillip Porch <root@theporch.com>]
9788
9789   *) New X509_get1_email() and X509_REQ_get1_email() functions that return
9790      a STACK of email addresses from a certificate or request, these look
9791      in the subject name and the subject alternative name extensions and
9792      omit any duplicate addresses.
9793      [Steve Henson]
9794
9795   *) Re-implement BN_mod_exp2_mont using independent (and larger) windows.
9796      This makes DSA verification about 2 % faster.
9797      [Bodo Moeller]
9798
9799   *) Increase maximum window size in BN_mod_exp_... to 6 bits instead of 5
9800      (meaning that now 2^5 values will be precomputed, which is only 4 KB
9801      plus overhead for 1024 bit moduli).
9802      This makes exponentiations about 0.5 % faster for 1024 bit
9803      exponents (as measured by "openssl speed rsa2048").
9804      [Bodo Moeller]
9805
9806   *) Rename memory handling macros to avoid conflicts with other
9807      software:
9808           Malloc         =>  OPENSSL_malloc
9809           Malloc_locked  =>  OPENSSL_malloc_locked
9810           Realloc        =>  OPENSSL_realloc
9811           Free           =>  OPENSSL_free
9812      [Richard Levitte]
9813
9814   *) New function BN_mod_exp_mont_word for small bases (roughly 15%
9815      faster than BN_mod_exp_mont, i.e. 7% for a full DH exchange).
9816      [Bodo Moeller]
9817
9818   *) CygWin32 support.
9819      [John Jarvie <jjarvie@newsguy.com>]
9820
9821   *) The type-safe stack code has been rejigged. It is now only compiled
9822      in when OpenSSL is configured with the DEBUG_SAFESTACK option and
9823      by default all type-specific stack functions are "#define"d back to
9824      standard stack functions. This results in more streamlined output
9825      but retains the type-safety checking possibilities of the original
9826      approach.
9827      [Geoff Thorpe]
9828
9829   *) The STACK code has been cleaned up, and certain type declarations
9830      that didn't make a lot of sense have been brought in line. This has
9831      also involved a cleanup of sorts in safestack.h to more correctly
9832      map type-safe stack functions onto their plain stack counterparts.
9833      This work has also resulted in a variety of "const"ifications of
9834      lots of the code, especially "_cmp" operations which should normally
9835      be prototyped with "const" parameters anyway.
9836      [Geoff Thorpe]
9837
9838   *) When generating bytes for the first time in md_rand.c, 'stir the pool'
9839      by seeding with STATE_SIZE dummy bytes (with zero entropy count).
9840      (The PRNG state consists of two parts, the large pool 'state' and 'md',
9841      where all of 'md' is used each time the PRNG is used, but 'state'
9842      is used only indexed by a cyclic counter. As entropy may not be
9843      well distributed from the beginning, 'md' is important as a
9844      chaining variable. However, the output function chains only half
9845      of 'md', i.e. 80 bits.  ssleay_rand_add, on the other hand, chains
9846      all of 'md', and seeding with STATE_SIZE dummy bytes will result
9847      in all of 'state' being rewritten, with the new values depending
9848      on virtually all of 'md'.  This overcomes the 80 bit limitation.)
9849      [Bodo Moeller]
9850
9851   *) In ssl/s2_clnt.c and ssl/s3_clnt.c, call ERR_clear_error() when
9852      the handshake is continued after ssl_verify_cert_chain();
9853      otherwise, if SSL_VERIFY_NONE is set, remaining error codes
9854      can lead to 'unexplainable' connection aborts later.
9855      [Bodo Moeller; problem tracked down by Lutz Jaenicke]
9856
9857   *) Major EVP API cipher revision.
9858      Add hooks for extra EVP features. This allows various cipher
9859      parameters to be set in the EVP interface. Support added for variable
9860      key length ciphers via the EVP_CIPHER_CTX_set_key_length() function and
9861      setting of RC2 and RC5 parameters.
9862
9863      Modify EVP_OpenInit() and EVP_SealInit() to cope with variable key length
9864      ciphers.
9865
9866      Remove lots of duplicated code from the EVP library. For example *every*
9867      cipher init() function handles the 'iv' in the same way according to the
9868      cipher mode. They also all do nothing if the 'key' parameter is NULL and
9869      for CFB and OFB modes they zero ctx->num.
9870
9871      New functionality allows removal of S/MIME code RC2 hack.
9872
9873      Most of the routines have the same form and so can be declared in terms
9874      of macros.
9875
9876      By shifting this to the top level EVP_CipherInit() it can be removed from
9877      all individual ciphers. If the cipher wants to handle IVs or keys
9878      differently it can set the EVP_CIPH_CUSTOM_IV or EVP_CIPH_ALWAYS_CALL_INIT
9879      flags.
9880
9881      Change lots of functions like EVP_EncryptUpdate() to now return a
9882      value: although software versions of the algorithms cannot fail
9883      any installed hardware versions can.
9884      [Steve Henson]
9885
9886   *) Implement SSL_OP_TLS_ROLLBACK_BUG: In ssl3_get_client_key_exchange, if
9887      this option is set, tolerate broken clients that send the negotiated
9888      protocol version number instead of the requested protocol version
9889      number.
9890      [Bodo Moeller]
9891
9892   *) Call dh_tmp_cb (set by ..._TMP_DH_CB) with correct 'is_export' flag;
9893      i.e. non-zero for export ciphersuites, zero otherwise.
9894      Previous versions had this flag inverted, inconsistent with
9895      rsa_tmp_cb (..._TMP_RSA_CB).
9896      [Bodo Moeller; problem reported by Amit Chopra]
9897
9898   *) Add missing DSA library text string. Work around for some IIS
9899      key files with invalid SEQUENCE encoding.
9900      [Steve Henson]
9901
9902   *) Add a document (doc/standards.txt) that list all kinds of standards
9903      and so on that are implemented in OpenSSL.
9904      [Richard Levitte]
9905
9906   *) Enhance c_rehash script. Old version would mishandle certificates
9907      with the same subject name hash and wouldn't handle CRLs at all.
9908      Added -fingerprint option to crl utility, to support new c_rehash
9909      features.
9910      [Steve Henson]
9911
9912   *) Eliminate non-ANSI declarations in crypto.h and stack.h.
9913      [Ulf Möller]
9914
9915   *) Fix for SSL server purpose checking. Server checking was
9916      rejecting certificates which had extended key usage present
9917      but no ssl client purpose.
9918      [Steve Henson, reported by Rene Grosser <grosser@hisolutions.com>]
9919
9920   *) Make PKCS#12 code work with no password. The PKCS#12 spec
9921      is a little unclear about how a blank password is handled.
9922      Since the password in encoded as a BMPString with terminating
9923      double NULL a zero length password would end up as just the
9924      double NULL. However no password at all is different and is
9925      handled differently in the PKCS#12 key generation code. NS
9926      treats a blank password as zero length. MSIE treats it as no
9927      password on export: but it will try both on import. We now do
9928      the same: PKCS12_parse() tries zero length and no password if
9929      the password is set to "" or NULL (NULL is now a valid password:
9930      it wasn't before) as does the pkcs12 application.
9931      [Steve Henson]
9932
9933   *) Bugfixes in apps/x509.c: Avoid a memory leak; and don't use
9934      perror when PEM_read_bio_X509_REQ fails, the error message must
9935      be obtained from the error queue.
9936      [Bodo Moeller]
9937
9938   *) Avoid 'thread_hash' memory leak in crypto/err/err.c by freeing
9939      it in ERR_remove_state if appropriate, and change ERR_get_state
9940      accordingly to avoid race conditions (this is necessary because
9941      thread_hash is no longer constant once set).
9942      [Bodo Moeller]
9943
9944   *) Bugfix for linux-elf makefile.one.
9945      [Ulf Möller]
9946
9947   *) RSA_get_default_method() will now cause a default
9948      RSA_METHOD to be chosen if one doesn't exist already.
9949      Previously this was only set during a call to RSA_new()
9950      or RSA_new_method(NULL) meaning it was possible for
9951      RSA_get_default_method() to return NULL.
9952      [Geoff Thorpe]
9953
9954   *) Added native name translation to the existing DSO code
9955      that will convert (if the flag to do so is set) filenames
9956      that are sufficiently small and have no path information
9957      into a canonical native form. Eg. "blah" converted to
9958      "libblah.so" or "blah.dll" etc.
9959      [Geoff Thorpe]
9960
9961   *) New function ERR_error_string_n(e, buf, len) which is like
9962      ERR_error_string(e, buf), but writes at most 'len' bytes
9963      including the 0 terminator.  For ERR_error_string_n, 'buf'
9964      may not be NULL.
9965      [Damien Miller <djm@mindrot.org>, Bodo Moeller]
9966
9967   *) CONF library reworked to become more general.  A new CONF
9968      configuration file reader "class" is implemented as well as a
9969      new functions (NCONF_*, for "New CONF") to handle it.  The now
9970      old CONF_* functions are still there, but are reimplemented to
9971      work in terms of the new functions.  Also, a set of functions
9972      to handle the internal storage of the configuration data is
9973      provided to make it easier to write new configuration file
9974      reader "classes" (I can definitely see something reading a
9975      configuration file in XML format, for example), called _CONF_*,
9976      or "the configuration storage API"...
9977
9978      The new configuration file reading functions are:
9979
9980         NCONF_new, NCONF_free, NCONF_load, NCONF_load_fp, NCONF_load_bio,
9981         NCONF_get_section, NCONF_get_string, NCONF_get_numbre
9982
9983         NCONF_default, NCONF_WIN32
9984
9985         NCONF_dump_fp, NCONF_dump_bio
9986
9987      NCONF_default and NCONF_WIN32 are method (or "class") choosers,
9988      NCONF_new creates a new CONF object.  This works in the same way
9989      as other interfaces in OpenSSL, like the BIO interface.
9990      NCONF_dump_* dump the internal storage of the configuration file,
9991      which is useful for debugging.  All other functions take the same
9992      arguments as the old CONF_* functions wth the exception of the
9993      first that must be a `CONF *' instead of a `LHASH *'.
9994
9995      To make it easer to use the new classes with the old CONF_* functions,
9996      the function CONF_set_default_method is provided.
9997      [Richard Levitte]
9998
9999   *) Add '-tls1' option to 'openssl ciphers', which was already
10000      mentioned in the documentation but had not been implemented.
10001      (This option is not yet really useful because even the additional
10002      experimental TLS 1.0 ciphers are currently treated as SSL 3.0 ciphers.)
10003      [Bodo Moeller]
10004
10005   *) Initial DSO code added into libcrypto for letting OpenSSL (and
10006      OpenSSL-based applications) load shared libraries and bind to
10007      them in a portable way.
10008      [Geoff Thorpe, with contributions from Richard Levitte]
10009
10010  Changes between 0.9.5 and 0.9.5a  [1 Apr 2000]
10011
10012   *) Make sure _lrotl and _lrotr are only used with MSVC.
10013
10014   *) Use lock CRYPTO_LOCK_RAND correctly in ssleay_rand_status
10015      (the default implementation of RAND_status).
10016
10017   *) Rename openssl x509 option '-crlext', which was added in 0.9.5,
10018      to '-clrext' (= clear extensions), as intended and documented.
10019      [Bodo Moeller; inconsistency pointed out by Michael Attili
10020      <attili@amaxo.com>]
10021
10022   *) Fix for HMAC. It wasn't zeroing the rest of the block if the key length
10023      was larger than the MD block size.
10024      [Steve Henson, pointed out by Yost William <YostW@tce.com>]
10025
10026   *) Modernise PKCS12_parse() so it uses STACK_OF(X509) for its ca argument
10027      fix a leak when the ca argument was passed as NULL. Stop X509_PUBKEY_set()
10028      using the passed key: if the passed key was a private key the result
10029      of X509_print(), for example, would be to print out all the private key
10030      components.
10031      [Steve Henson]
10032
10033   *) des_quad_cksum() byte order bug fix.
10034      [Ulf Möller, using the problem description in krb4-0.9.7, where
10035       the solution is attributed to Derrick J Brashear <shadow@DEMENTIA.ORG>]
10036
10037   *) Fix so V_ASN1_APP_CHOOSE works again: however its use is strongly
10038      discouraged.
10039      [Steve Henson, pointed out by Brian Korver <briank@cs.stanford.edu>]
10040
10041   *) For easily testing in shell scripts whether some command
10042      'openssl XXX' exists, the new pseudo-command 'openssl no-XXX'
10043      returns with exit code 0 iff no command of the given name is available.
10044      'no-XXX' is printed in this case, 'XXX' otherwise.  In both cases,
10045      the output goes to stdout and nothing is printed to stderr.
10046      Additional arguments are always ignored.
10047
10048      Since for each cipher there is a command of the same name,
10049      the 'no-cipher' compilation switches can be tested this way.
10050
10051      ('openssl no-XXX' is not able to detect pseudo-commands such
10052      as 'quit', 'list-XXX-commands', or 'no-XXX' itself.)
10053      [Bodo Moeller]
10054
10055   *) Update test suite so that 'make test' succeeds in 'no-rsa' configuration.
10056      [Bodo Moeller]
10057
10058   *) For SSL_[CTX_]set_tmp_dh, don't create a DH key if SSL_OP_SINGLE_DH_USE
10059      is set; it will be thrown away anyway because each handshake creates
10060      its own key.
10061      ssl_cert_dup, which is used by SSL_new, now copies DH keys in addition
10062      to parameters -- in previous versions (since OpenSSL 0.9.3) the
10063      'default key' from SSL_CTX_set_tmp_dh would always be lost, meaning
10064      you effectively got SSL_OP_SINGLE_DH_USE when using this macro.
10065      [Bodo Moeller]
10066
10067   *) New s_client option -ign_eof: EOF at stdin is ignored, and
10068      'Q' and 'R' lose their special meanings (quit/renegotiate).
10069      This is part of what -quiet does; unlike -quiet, -ign_eof
10070      does not suppress any output.
10071      [Richard Levitte]
10072
10073   *) Add compatibility options to the purpose and trust code. The
10074      purpose X509_PURPOSE_ANY is "any purpose" which automatically
10075      accepts a certificate or CA, this was the previous behaviour,
10076      with all the associated security issues.
10077
10078      X509_TRUST_COMPAT is the old trust behaviour: only and
10079      automatically trust self signed roots in certificate store. A
10080      new trust setting X509_TRUST_DEFAULT is used to specify that
10081      a purpose has no associated trust setting and it should instead
10082      use the value in the default purpose.
10083      [Steve Henson]
10084
10085   *) Fix the PKCS#8 DSA private key code so it decodes keys again
10086      and fix a memory leak.
10087      [Steve Henson]
10088
10089   *) In util/mkerr.pl (which implements 'make errors'), preserve
10090      reason strings from the previous version of the .c file, as
10091      the default to have only downcase letters (and digits) in
10092      automatically generated reasons codes is not always appropriate.
10093      [Bodo Moeller]
10094
10095   *) In ERR_load_ERR_strings(), build an ERR_LIB_SYS error reason table
10096      using strerror.  Previously, ERR_reason_error_string() returned
10097      library names as reason strings for SYSerr; but SYSerr is a special
10098      case where small numbers are errno values, not library numbers.
10099      [Bodo Moeller]
10100
10101   *) Add '-dsaparam' option to 'openssl dhparam' application.  This
10102      converts DSA parameters into DH parameters. (When creating parameters,
10103      DSA_generate_parameters is used.)
10104      [Bodo Moeller]
10105
10106   *) Include 'length' (recommended exponent length) in C code generated
10107      by 'openssl dhparam -C'.
10108      [Bodo Moeller]
10109
10110   *) The second argument to set_label in perlasm was already being used
10111      so couldn't be used as a "file scope" flag. Moved to third argument
10112      which was free.
10113      [Steve Henson]
10114
10115   *) In PEM_ASN1_write_bio and some other functions, use RAND_pseudo_bytes
10116      instead of RAND_bytes for encryption IVs and salts.
10117      [Bodo Moeller]
10118
10119   *) Include RAND_status() into RAND_METHOD instead of implementing
10120      it only for md_rand.c  Otherwise replacing the PRNG by calling
10121      RAND_set_rand_method would be impossible.
10122      [Bodo Moeller]
10123
10124   *) Don't let DSA_generate_key() enter an infinite loop if the random
10125      number generation fails.
10126      [Bodo Moeller]
10127
10128   *) New 'rand' application for creating pseudo-random output.
10129      [Bodo Moeller]
10130
10131   *) Added configuration support for Linux/IA64
10132      [Rolf Haberrecker <rolf@suse.de>]
10133
10134   *) Assembler module support for Mingw32.
10135      [Ulf Möller]
10136
10137   *) Shared library support for HPUX (in shlib/).
10138      [Lutz Jaenicke <Lutz.Jaenicke@aet.TU-Cottbus.DE> and Anonymous]
10139
10140   *) Shared library support for Solaris gcc.
10141      [Lutz Behnke <behnke@trustcenter.de>]
10142
10143  Changes between 0.9.4 and 0.9.5  [28 Feb 2000]
10144
10145   *) PKCS7_encrypt() was adding text MIME headers twice because they
10146      were added manually and by SMIME_crlf_copy().
10147      [Steve Henson]
10148
10149   *) In bntest.c don't call BN_rand with zero bits argument.
10150      [Steve Henson, pointed out by Andrew W. Gray <agray@iconsinc.com>]
10151
10152   *) BN_mul bugfix: In bn_mul_part_recursion() only the a>a[n] && b>b[n]
10153      case was implemented. This caused BN_div_recp() to fail occasionally.
10154      [Ulf Möller]
10155
10156   *) Add an optional second argument to the set_label() in the perl
10157      assembly language builder. If this argument exists and is set
10158      to 1 it signals that the assembler should use a symbol whose
10159      scope is the entire file, not just the current function. This
10160      is needed with MASM which uses the format label:: for this scope.
10161      [Steve Henson, pointed out by Peter Runestig <peter@runestig.com>]
10162
10163   *) Change the ASN1 types so they are typedefs by default. Before
10164      almost all types were #define'd to ASN1_STRING which was causing
10165      STACK_OF() problems: you couldn't declare STACK_OF(ASN1_UTF8STRING)
10166      for example.
10167      [Steve Henson]
10168
10169   *) Change names of new functions to the new get1/get0 naming
10170      convention: After 'get1', the caller owns a reference count
10171      and has to call ..._free; 'get0' returns a pointer to some
10172      data structure without incrementing reference counters.
10173      (Some of the existing 'get' functions increment a reference
10174      counter, some don't.)
10175      Similarly, 'set1' and 'add1' functions increase reference
10176      counters or duplicate objects.
10177      [Steve Henson]
10178
10179   *) Allow for the possibility of temp RSA key generation failure:
10180      the code used to assume it always worked and crashed on failure.
10181      [Steve Henson]
10182
10183   *) Fix potential buffer overrun problem in BIO_printf().
10184      [Ulf Möller, using public domain code by Patrick Powell; problem
10185       pointed out by David Sacerdote <das33@cornell.edu>]
10186
10187   *) Support EGD <http://www.lothar.com/tech/crypto/>.  New functions
10188      RAND_egd() and RAND_status().  In the command line application,
10189      the EGD socket can be specified like a seed file using RANDFILE
10190      or -rand.
10191      [Ulf Möller]
10192
10193   *) Allow the string CERTIFICATE to be tolerated in PKCS#7 structures.
10194      Some CAs (e.g. Verisign) distribute certificates in this form.
10195      [Steve Henson]
10196
10197   *) Remove the SSL_ALLOW_ADH compile option and set the default cipher
10198      list to exclude them. This means that no special compilation option
10199      is needed to use anonymous DH: it just needs to be included in the
10200      cipher list.
10201      [Steve Henson]
10202
10203   *) Change the EVP_MD_CTX_type macro so its meaning consistent with
10204      EVP_MD_type. The old functionality is available in a new macro called
10205      EVP_MD_md(). Change code that uses it and update docs.
10206      [Steve Henson]
10207
10208   *) ..._ctrl functions now have corresponding ..._callback_ctrl functions
10209      where the 'void *' argument is replaced by a function pointer argument.
10210      Previously 'void *' was abused to point to functions, which works on
10211      many platforms, but is not correct.  As these functions are usually
10212      called by macros defined in OpenSSL header files, most source code
10213      should work without changes.
10214      [Richard Levitte]
10215
10216   *) <openssl/opensslconf.h> (which is created by Configure) now contains
10217      sections with information on -D... compiler switches used for
10218      compiling the library so that applications can see them.  To enable
10219      one of these sections, a pre-processor symbol OPENSSL_..._DEFINES
10220      must be defined.  E.g.,
10221         #define OPENSSL_ALGORITHM_DEFINES
10222         #include <openssl/opensslconf.h>
10223      defines all pertinent NO_<algo> symbols, such as NO_IDEA, NO_RSA, etc.
10224      [Richard Levitte, Ulf and Bodo Möller]
10225
10226   *) Bugfix: Tolerate fragmentation and interleaving in the SSL 3/TLS
10227      record layer.
10228      [Bodo Moeller]
10229
10230   *) Change the 'other' type in certificate aux info to a STACK_OF
10231      X509_ALGOR. Although not an AlgorithmIdentifier as such it has
10232      the required ASN1 format: arbitrary types determined by an OID.
10233      [Steve Henson]
10234
10235   *) Add some PEM_write_X509_REQ_NEW() functions and a command line
10236      argument to 'req'. This is not because the function is newer or
10237      better than others it just uses the work 'NEW' in the certificate
10238      request header lines. Some software needs this.
10239      [Steve Henson]
10240
10241   *) Reorganise password command line arguments: now passwords can be
10242      obtained from various sources. Delete the PEM_cb function and make
10243      it the default behaviour: i.e. if the callback is NULL and the
10244      usrdata argument is not NULL interpret it as a null terminated pass
10245      phrase. If usrdata and the callback are NULL then the pass phrase
10246      is prompted for as usual.
10247      [Steve Henson]
10248
10249   *) Add support for the Compaq Atalla crypto accelerator. If it is installed,
10250      the support is automatically enabled. The resulting binaries will
10251      autodetect the card and use it if present.
10252      [Ben Laurie and Compaq Inc.]
10253
10254   *) Work around for Netscape hang bug. This sends certificate request
10255      and server done in one record. Since this is perfectly legal in the
10256      SSL/TLS protocol it isn't a "bug" option and is on by default. See
10257      the bugs/SSLv3 entry for more info.
10258      [Steve Henson]
10259
10260   *) HP-UX tune-up: new unified configs, HP C compiler bug workaround.
10261      [Andy Polyakov]
10262
10263   *) Add -rand argument to smime and pkcs12 applications and read/write
10264      of seed file.
10265      [Steve Henson]
10266
10267   *) New 'passwd' tool for crypt(3) and apr1 password hashes.
10268      [Bodo Moeller]
10269
10270   *) Add command line password options to the remaining applications.
10271      [Steve Henson]
10272
10273   *) Bug fix for BN_div_recp() for numerators with an even number of
10274      bits.
10275      [Ulf Möller]
10276
10277   *) More tests in bntest.c, and changed test_bn output.
10278      [Ulf Möller]
10279
10280   *) ./config recognizes MacOS X now.
10281      [Andy Polyakov]
10282
10283   *) Bug fix for BN_div() when the first words of num and divisor are
10284      equal (it gave wrong results if (rem=(n1-q*d0)&BN_MASK2) < d0).
10285      [Ulf Möller]
10286
10287   *) Add support for various broken PKCS#8 formats, and command line
10288      options to produce them.
10289      [Steve Henson]
10290
10291   *) New functions BN_CTX_start(), BN_CTX_get() and BT_CTX_end() to
10292      get temporary BIGNUMs from a BN_CTX.
10293      [Ulf Möller]
10294
10295   *) Correct return values in BN_mod_exp_mont() and BN_mod_exp2_mont()
10296      for p == 0.
10297      [Ulf Möller]
10298
10299   *) Change the SSLeay_add_all_*() functions to OpenSSL_add_all_*() and
10300      include a #define from the old name to the new. The original intent
10301      was that statically linked binaries could for example just call
10302      SSLeay_add_all_ciphers() to just add ciphers to the table and not
10303      link with digests. This never worked because SSLeay_add_all_digests()
10304      and SSLeay_add_all_ciphers() were in the same source file so calling
10305      one would link with the other. They are now in separate source files.
10306      [Steve Henson]
10307
10308   *) Add a new -notext option to 'ca' and a -pubkey option to 'spkac'.
10309      [Steve Henson]
10310
10311   *) Use a less unusual form of the Miller-Rabin primality test (it used
10312      a binary algorithm for exponentiation integrated into the Miller-Rabin
10313      loop, our standard modexp algorithms are faster).
10314      [Bodo Moeller]
10315
10316   *) Support for the EBCDIC character set completed.
10317      [Martin Kraemer <Martin.Kraemer@Mch.SNI.De>]
10318
10319   *) Source code cleanups: use const where appropriate, eliminate casts,
10320      use void * instead of char * in lhash.
10321      [Ulf Möller]
10322
10323   *) Bugfix: ssl3_send_server_key_exchange was not restartable
10324      (the state was not changed to SSL3_ST_SW_KEY_EXCH_B, and because of
10325      this the server could overwrite ephemeral keys that the client
10326      has already seen).
10327      [Bodo Moeller]
10328
10329   *) Turn DSA_is_prime into a macro that calls BN_is_prime,
10330      using 50 iterations of the Rabin-Miller test.
10331
10332      DSA_generate_parameters now uses BN_is_prime_fasttest (with 50
10333      iterations of the Rabin-Miller test as required by the appendix
10334      to FIPS PUB 186[-1]) instead of DSA_is_prime.
10335      As BN_is_prime_fasttest includes trial division, DSA parameter
10336      generation becomes much faster.
10337
10338      This implies a change for the callback functions in DSA_is_prime
10339      and DSA_generate_parameters: The callback function is called once
10340      for each positive witness in the Rabin-Miller test, not just
10341      occasionally in the inner loop; and the parameters to the
10342      callback function now provide an iteration count for the outer
10343      loop rather than for the current invocation of the inner loop.
10344      DSA_generate_parameters additionally can call the callback
10345      function with an 'iteration count' of -1, meaning that a
10346      candidate has passed the trial division test (when q is generated
10347      from an application-provided seed, trial division is skipped).
10348      [Bodo Moeller]
10349
10350   *) New function BN_is_prime_fasttest that optionally does trial
10351      division before starting the Rabin-Miller test and has
10352      an additional BN_CTX * argument (whereas BN_is_prime always
10353      has to allocate at least one BN_CTX).
10354      'callback(1, -1, cb_arg)' is called when a number has passed the
10355      trial division stage.
10356      [Bodo Moeller]
10357
10358   *) Fix for bug in CRL encoding. The validity dates weren't being handled
10359      as ASN1_TIME.
10360      [Steve Henson]
10361
10362   *) New -pkcs12 option to CA.pl script to write out a PKCS#12 file.
10363      [Steve Henson]
10364
10365   *) New function BN_pseudo_rand().
10366      [Ulf Möller]
10367
10368   *) Clean up BN_mod_mul_montgomery(): replace the broken (and unreadable)
10369      bignum version of BN_from_montgomery() with the working code from
10370      SSLeay 0.9.0 (the word based version is faster anyway), and clean up
10371      the comments.
10372      [Ulf Möller]
10373
10374   *) Avoid a race condition in s2_clnt.c (function get_server_hello) that
10375      made it impossible to use the same SSL_SESSION data structure in
10376      SSL2 clients in multiple threads.
10377      [Bodo Moeller]
10378
10379   *) The return value of RAND_load_file() no longer counts bytes obtained
10380      by stat().  RAND_load_file(..., -1) is new and uses the complete file
10381      to seed the PRNG (previously an explicit byte count was required).
10382      [Ulf Möller, Bodo Möller]
10383
10384   *) Clean up CRYPTO_EX_DATA functions, some of these didn't have prototypes
10385      used (char *) instead of (void *) and had casts all over the place.
10386      [Steve Henson]
10387
10388   *) Make BN_generate_prime() return NULL on error if ret!=NULL.
10389      [Ulf Möller]
10390
10391   *) Retain source code compatibility for BN_prime_checks macro:
10392      BN_is_prime(..., BN_prime_checks, ...) now uses
10393      BN_prime_checks_for_size to determine the appropriate number of
10394      Rabin-Miller iterations.
10395      [Ulf Möller]
10396
10397   *) Diffie-Hellman uses "safe" primes: DH_check() return code renamed to
10398      DH_CHECK_P_NOT_SAFE_PRIME.
10399      (Check if this is true? OpenPGP calls them "strong".)
10400      [Ulf Möller]
10401
10402   *) Merge the functionality of "dh" and "gendh" programs into a new program
10403      "dhparam". The old programs are retained for now but will handle DH keys
10404      (instead of parameters) in future.
10405      [Steve Henson]
10406
10407   *) Make the ciphers, s_server and s_client programs check the return values
10408      when a new cipher list is set.
10409      [Steve Henson]
10410
10411   *) Enhance the SSL/TLS cipher mechanism to correctly handle the TLS 56bit
10412      ciphers. Before when the 56bit ciphers were enabled the sorting was
10413      wrong.
10414
10415      The syntax for the cipher sorting has been extended to support sorting by
10416      cipher-strength (using the strength_bits hard coded in the tables).
10417      The new command is "@STRENGTH" (see also doc/apps/ciphers.pod).
10418
10419      Fix a bug in the cipher-command parser: when supplying a cipher command
10420      string with an "undefined" symbol (neither command nor alphanumeric
10421      [A-Za-z0-9], ssl_set_cipher_list used to hang in an endless loop. Now
10422      an error is flagged.
10423
10424      Due to the strength-sorting extension, the code of the
10425      ssl_create_cipher_list() function was completely rearranged. I hope that
10426      the readability was also increased :-)
10427      [Lutz Jaenicke <Lutz.Jaenicke@aet.TU-Cottbus.DE>]
10428
10429   *) Minor change to 'x509' utility. The -CAcreateserial option now uses 1
10430      for the first serial number and places 2 in the serial number file. This
10431      avoids problems when the root CA is created with serial number zero and
10432      the first user certificate has the same issuer name and serial number
10433      as the root CA.
10434      [Steve Henson]
10435
10436   *) Fixes to X509_ATTRIBUTE utilities, change the 'req' program so it uses
10437      the new code. Add documentation for this stuff.
10438      [Steve Henson]
10439
10440   *) Changes to X509_ATTRIBUTE utilities. These have been renamed from
10441      X509_*() to X509at_*() on the grounds that they don't handle X509
10442      structures and behave in an analogous way to the X509v3 functions:
10443      they shouldn't be called directly but wrapper functions should be used
10444      instead.
10445
10446      So we also now have some wrapper functions that call the X509at functions
10447      when passed certificate requests. (TO DO: similar things can be done with
10448      PKCS#7 signed and unsigned attributes, PKCS#12 attributes and a few other
10449      things. Some of these need some d2i or i2d and print functionality
10450      because they handle more complex structures.)
10451      [Steve Henson]
10452
10453   *) Add missing #ifndefs that caused missing symbols when building libssl
10454      as a shared library without RSA.  Use #ifndef NO_SSL2 instead of
10455      NO_RSA in ssl/s2*.c.
10456      [Kris Kennaway <kris@hub.freebsd.org>, modified by Ulf Möller]
10457
10458   *) Precautions against using the PRNG uninitialized: RAND_bytes() now
10459      has a return value which indicates the quality of the random data
10460      (1 = ok, 0 = not seeded).  Also an error is recorded on the thread's
10461      error queue. New function RAND_pseudo_bytes() generates output that is
10462      guaranteed to be unique but not unpredictable. RAND_add is like
10463      RAND_seed, but takes an extra argument for an entropy estimate
10464      (RAND_seed always assumes full entropy).
10465      [Ulf Möller]
10466
10467   *) Do more iterations of Rabin-Miller probable prime test (specifically,
10468      3 for 1024-bit primes, 6 for 512-bit primes, 12 for 256-bit primes
10469      instead of only 2 for all lengths; see BN_prime_checks_for_size definition
10470      in crypto/bn/bn_prime.c for the complete table).  This guarantees a
10471      false-positive rate of at most 2^-80 for random input.
10472      [Bodo Moeller]
10473
10474   *) Rewrite ssl3_read_n (ssl/s3_pkt.c) avoiding a couple of bugs.
10475      [Bodo Moeller]
10476
10477   *) New function X509_CTX_rget_chain() (renamed to X509_CTX_get1_chain
10478      in the 0.9.5 release), this returns the chain
10479      from an X509_CTX structure with a dup of the stack and all
10480      the X509 reference counts upped: so the stack will exist
10481      after X509_CTX_cleanup() has been called. Modify pkcs12.c
10482      to use this.
10483
10484      Also make SSL_SESSION_print() print out the verify return
10485      code.
10486      [Steve Henson]
10487
10488   *) Add manpage for the pkcs12 command. Also change the default
10489      behaviour so MAC iteration counts are used unless the new
10490      -nomaciter option is used. This improves file security and
10491      only older versions of MSIE (4.0 for example) need it.
10492      [Steve Henson]
10493
10494   *) Honor the no-xxx Configure options when creating .DEF files.
10495      [Ulf Möller]
10496
10497   *) Add PKCS#10 attributes to field table: challengePassword,
10498      unstructuredName and unstructuredAddress. These are taken from
10499      draft PKCS#9 v2.0 but are compatible with v1.2 provided no
10500      international characters are used.
10501
10502      More changes to X509_ATTRIBUTE code: allow the setting of types
10503      based on strings. Remove the 'loc' parameter when adding
10504      attributes because these will be a SET OF encoding which is sorted
10505      in ASN1 order.
10506      [Steve Henson]
10507
10508   *) Initial changes to the 'req' utility to allow request generation
10509      automation. This will allow an application to just generate a template
10510      file containing all the field values and have req construct the
10511      request.
10512
10513      Initial support for X509_ATTRIBUTE handling. Stacks of these are
10514      used all over the place including certificate requests and PKCS#7
10515      structures. They are currently handled manually where necessary with
10516      some primitive wrappers for PKCS#7. The new functions behave in a
10517      manner analogous to the X509 extension functions: they allow
10518      attributes to be looked up by NID and added.
10519
10520      Later something similar to the X509V3 code would be desirable to
10521      automatically handle the encoding, decoding and printing of the
10522      more complex types. The string types like challengePassword can
10523      be handled by the string table functions.
10524
10525      Also modified the multi byte string table handling. Now there is
10526      a 'global mask' which masks out certain types. The table itself
10527      can use the flag STABLE_NO_MASK to ignore the mask setting: this
10528      is useful when for example there is only one permissible type
10529      (as in countryName) and using the mask might result in no valid
10530      types at all.
10531      [Steve Henson]
10532
10533   *) Clean up 'Finished' handling, and add functions SSL_get_finished and
10534      SSL_get_peer_finished to allow applications to obtain the latest
10535      Finished messages sent to the peer or expected from the peer,
10536      respectively.  (SSL_get_peer_finished is usually the Finished message
10537      actually received from the peer, otherwise the protocol will be aborted.)
10538
10539      As the Finished message are message digests of the complete handshake
10540      (with a total of 192 bits for TLS 1.0 and more for SSL 3.0), they can
10541      be used for external authentication procedures when the authentication
10542      provided by SSL/TLS is not desired or is not enough.
10543      [Bodo Moeller]
10544
10545   *) Enhanced support for Alpha Linux is added. Now ./config checks if
10546      the host supports BWX extension and if Compaq C is present on the
10547      $PATH. Just exploiting of the BWX extension results in 20-30%
10548      performance kick for some algorithms, e.g. DES and RC4 to mention
10549      a couple. Compaq C in turn generates ~20% faster code for MD5 and
10550      SHA1.
10551      [Andy Polyakov]
10552
10553   *) Add support for MS "fast SGC". This is arguably a violation of the
10554      SSL3/TLS protocol. Netscape SGC does two handshakes: the first with
10555      weak crypto and after checking the certificate is SGC a second one
10556      with strong crypto. MS SGC stops the first handshake after receiving
10557      the server certificate message and sends a second client hello. Since
10558      a server will typically do all the time consuming operations before
10559      expecting any further messages from the client (server key exchange
10560      is the most expensive) there is little difference between the two.
10561
10562      To get OpenSSL to support MS SGC we have to permit a second client
10563      hello message after we have sent server done. In addition we have to
10564      reset the MAC if we do get this second client hello.
10565      [Steve Henson]
10566
10567   *) Add a function 'd2i_AutoPrivateKey()' this will automatically decide
10568      if a DER encoded private key is RSA or DSA traditional format. Changed
10569      d2i_PrivateKey_bio() to use it. This is only needed for the "traditional"
10570      format DER encoded private key. Newer code should use PKCS#8 format which
10571      has the key type encoded in the ASN1 structure. Added DER private key
10572      support to pkcs8 application.
10573      [Steve Henson]
10574
10575   *) SSL 3/TLS 1 servers now don't request certificates when an anonymous
10576      ciphersuites has been selected (as required by the SSL 3/TLS 1
10577      specifications).  Exception: When SSL_VERIFY_FAIL_IF_NO_PEER_CERT
10578      is set, we interpret this as a request to violate the specification
10579      (the worst that can happen is a handshake failure, and 'correct'
10580      behaviour would result in a handshake failure anyway).
10581      [Bodo Moeller]
10582
10583   *) In SSL_CTX_add_session, take into account that there might be multiple
10584      SSL_SESSION structures with the same session ID (e.g. when two threads
10585      concurrently obtain them from an external cache).
10586      The internal cache can handle only one SSL_SESSION with a given ID,
10587      so if there's a conflict, we now throw out the old one to achieve
10588      consistency.
10589      [Bodo Moeller]
10590
10591   *) Add OIDs for idea and blowfish in CBC mode. This will allow both
10592      to be used in PKCS#5 v2.0 and S/MIME.  Also add checking to
10593      some routines that use cipher OIDs: some ciphers do not have OIDs
10594      defined and so they cannot be used for S/MIME and PKCS#5 v2.0 for
10595      example.
10596      [Steve Henson]
10597
10598   *) Simplify the trust setting structure and code. Now we just have
10599      two sequences of OIDs for trusted and rejected settings. These will
10600      typically have values the same as the extended key usage extension
10601      and any application specific purposes.
10602
10603      The trust checking code now has a default behaviour: it will just
10604      check for an object with the same NID as the passed id. Functions can
10605      be provided to override either the default behaviour or the behaviour
10606      for a given id. SSL client, server and email already have functions
10607      in place for compatibility: they check the NID and also return "trusted"
10608      if the certificate is self signed.
10609      [Steve Henson]
10610
10611   *) Add d2i,i2d bio/fp functions for PrivateKey: these convert the
10612      traditional format into an EVP_PKEY structure.
10613      [Steve Henson]
10614
10615   *) Add a password callback function PEM_cb() which either prompts for
10616      a password if usr_data is NULL or otherwise assumes it is a null
10617      terminated password. Allow passwords to be passed on command line
10618      environment or config files in a few more utilities.
10619      [Steve Henson]
10620
10621   *) Add a bunch of DER and PEM functions to handle PKCS#8 format private
10622      keys. Add some short names for PKCS#8 PBE algorithms and allow them
10623      to be specified on the command line for the pkcs8 and pkcs12 utilities.
10624      Update documentation.
10625      [Steve Henson]
10626
10627   *) Support for ASN1 "NULL" type. This could be handled before by using
10628      ASN1_TYPE but there wasn't any function that would try to read a NULL
10629      and produce an error if it couldn't. For compatibility we also have
10630      ASN1_NULL_new() and ASN1_NULL_free() functions but these are faked and
10631      don't allocate anything because they don't need to.
10632      [Steve Henson]
10633
10634   *) Initial support for MacOS is now provided. Examine INSTALL.MacOS
10635      for details.
10636      [Andy Polyakov, Roy Woods <roy@centicsystems.ca>]
10637
10638   *) Rebuild of the memory allocation routines used by OpenSSL code and
10639      possibly others as well.  The purpose is to make an interface that
10640      provide hooks so anyone can build a separate set of allocation and
10641      deallocation routines to be used by OpenSSL, for example memory
10642      pool implementations, or something else, which was previously hard
10643      since Malloc(), Realloc() and Free() were defined as macros having
10644      the values malloc, realloc and free, respectively (except for Win32
10645      compilations).  The same is provided for memory debugging code.
10646      OpenSSL already comes with functionality to find memory leaks, but
10647      this gives people a chance to debug other memory problems.
10648
10649      With these changes, a new set of functions and macros have appeared:
10650
10651        CRYPTO_set_mem_debug_functions()         [F]
10652        CRYPTO_get_mem_debug_functions()         [F]
10653        CRYPTO_dbg_set_options()                 [F]
10654        CRYPTO_dbg_get_options()                 [F]
10655        CRYPTO_malloc_debug_init()               [M]
10656
10657      The memory debug functions are NULL by default, unless the library
10658      is compiled with CRYPTO_MDEBUG or friends is defined.  If someone
10659      wants to debug memory anyway, CRYPTO_malloc_debug_init() (which
10660      gives the standard debugging functions that come with OpenSSL) or
10661      CRYPTO_set_mem_debug_functions() (tells OpenSSL to use functions
10662      provided by the library user) must be used.  When the standard
10663      debugging functions are used, CRYPTO_dbg_set_options can be used to
10664      request additional information:
10665      CRYPTO_dbg_set_options(V_CYRPTO_MDEBUG_xxx) corresponds to setting
10666      the CRYPTO_MDEBUG_xxx macro when compiling the library.
10667
10668      Also, things like CRYPTO_set_mem_functions will always give the
10669      expected result (the new set of functions is used for allocation
10670      and deallocation) at all times, regardless of platform and compiler
10671      options.
10672
10673      To finish it up, some functions that were never use in any other
10674      way than through macros have a new API and new semantic:
10675
10676        CRYPTO_dbg_malloc()
10677        CRYPTO_dbg_realloc()
10678        CRYPTO_dbg_free()
10679
10680      All macros of value have retained their old syntax.
10681      [Richard Levitte and Bodo Moeller]
10682
10683   *) Some S/MIME fixes. The OID for SMIMECapabilities was wrong, the
10684      ordering of SMIMECapabilities wasn't in "strength order" and there
10685      was a missing NULL in the AlgorithmIdentifier for the SHA1 signature
10686      algorithm.
10687      [Steve Henson]
10688
10689   *) Some ASN1 types with illegal zero length encoding (INTEGER,
10690      ENUMERATED and OBJECT IDENTIFIER) choked the ASN1 routines.
10691      [Frans Heymans <fheymans@isaserver.be>, modified by Steve Henson]
10692
10693   *) Merge in my S/MIME library for OpenSSL. This provides a simple
10694      S/MIME API on top of the PKCS#7 code, a MIME parser (with enough
10695      functionality to handle multipart/signed properly) and a utility
10696      called 'smime' to call all this stuff. This is based on code I
10697      originally wrote for Celo who have kindly allowed it to be
10698      included in OpenSSL.
10699      [Steve Henson]
10700
10701   *) Add variants des_set_key_checked and des_set_key_unchecked of
10702      des_set_key (aka des_key_sched).  Global variable des_check_key
10703      decides which of these is called by des_set_key; this way
10704      des_check_key behaves as it always did, but applications and
10705      the library itself, which was buggy for des_check_key == 1,
10706      have a cleaner way to pick the version they need.
10707      [Bodo Moeller]
10708
10709   *) New function PKCS12_newpass() which changes the password of a
10710      PKCS12 structure.
10711      [Steve Henson]
10712
10713   *) Modify X509_TRUST and X509_PURPOSE so it also uses a static and
10714      dynamic mix. In both cases the ids can be used as an index into the
10715      table. Also modified the X509_TRUST_add() and X509_PURPOSE_add()
10716      functions so they accept a list of the field values and the
10717      application doesn't need to directly manipulate the X509_TRUST
10718      structure.
10719      [Steve Henson]
10720
10721   *) Modify the ASN1_STRING_TABLE stuff so it also uses bsearch and doesn't
10722      need initialising.
10723      [Steve Henson]
10724
10725   *) Modify the way the V3 extension code looks up extensions. This now
10726      works in a similar way to the object code: we have some "standard"
10727      extensions in a static table which is searched with OBJ_bsearch()
10728      and the application can add dynamic ones if needed. The file
10729      crypto/x509v3/ext_dat.h now has the info: this file needs to be
10730      updated whenever a new extension is added to the core code and kept
10731      in ext_nid order. There is a simple program 'tabtest.c' which checks
10732      this. New extensions are not added too often so this file can readily
10733      be maintained manually.
10734
10735      There are two big advantages in doing things this way. The extensions
10736      can be looked up immediately and no longer need to be "added" using
10737      X509V3_add_standard_extensions(): this function now does nothing.
10738      [Side note: I get *lots* of email saying the extension code doesn't
10739       work because people forget to call this function]
10740      Also no dynamic allocation is done unless new extensions are added:
10741      so if we don't add custom extensions there is no need to call
10742      X509V3_EXT_cleanup().
10743      [Steve Henson]
10744
10745   *) Modify enc utility's salting as follows: make salting the default. Add a
10746      magic header, so unsalted files fail gracefully instead of just decrypting
10747      to garbage. This is because not salting is a big security hole, so people
10748      should be discouraged from doing it.
10749      [Ben Laurie]
10750
10751   *) Fixes and enhancements to the 'x509' utility. It allowed a message
10752      digest to be passed on the command line but it only used this
10753      parameter when signing a certificate. Modified so all relevant
10754      operations are affected by the digest parameter including the
10755      -fingerprint and -x509toreq options. Also -x509toreq choked if a
10756      DSA key was used because it didn't fix the digest.
10757      [Steve Henson]
10758
10759   *) Initial certificate chain verify code. Currently tests the untrusted
10760      certificates for consistency with the verify purpose (which is set
10761      when the X509_STORE_CTX structure is set up) and checks the pathlength.
10762
10763      There is a NO_CHAIN_VERIFY compilation option to keep the old behaviour:
10764      this is because it will reject chains with invalid extensions whereas
10765      every previous version of OpenSSL and SSLeay made no checks at all.
10766
10767      Trust code: checks the root CA for the relevant trust settings. Trust
10768      settings have an initial value consistent with the verify purpose: e.g.
10769      if the verify purpose is for SSL client use it expects the CA to be
10770      trusted for SSL client use. However the default value can be changed to
10771      permit custom trust settings: one example of this would be to only trust
10772      certificates from a specific "secure" set of CAs.
10773
10774      Also added X509_STORE_CTX_new() and X509_STORE_CTX_free() functions
10775      which should be used for version portability: especially since the
10776      verify structure is likely to change more often now.
10777
10778      SSL integration. Add purpose and trust to SSL_CTX and SSL and functions
10779      to set them. If not set then assume SSL clients will verify SSL servers
10780      and vice versa.
10781
10782      Two new options to the verify program: -untrusted allows a set of
10783      untrusted certificates to be passed in and -purpose which sets the
10784      intended purpose of the certificate. If a purpose is set then the
10785      new chain verify code is used to check extension consistency.
10786      [Steve Henson]
10787
10788   *) Support for the authority information access extension.
10789      [Steve Henson]
10790
10791   *) Modify RSA and DSA PEM read routines to transparently handle
10792      PKCS#8 format private keys. New *_PUBKEY_* functions that handle
10793      public keys in a format compatible with certificate
10794      SubjectPublicKeyInfo structures. Unfortunately there were already
10795      functions called *_PublicKey_* which used various odd formats so
10796      these are retained for compatibility: however the DSA variants were
10797      never in a public release so they have been deleted. Changed dsa/rsa
10798      utilities to handle the new format: note no releases ever handled public
10799      keys so we should be OK.
10800
10801      The primary motivation for this change is to avoid the same fiasco
10802      that dogs private keys: there are several incompatible private key
10803      formats some of which are standard and some OpenSSL specific and
10804      require various evil hacks to allow partial transparent handling and
10805      even then it doesn't work with DER formats. Given the option anything
10806      other than PKCS#8 should be dumped: but the other formats have to
10807      stay in the name of compatibility.
10808
10809      With public keys and the benefit of hindsight one standard format
10810      is used which works with EVP_PKEY, RSA or DSA structures: though
10811      it clearly returns an error if you try to read the wrong kind of key.
10812
10813      Added a -pubkey option to the 'x509' utility to output the public key.
10814      Also rename the EVP_PKEY_get_*() to EVP_PKEY_rget_*()
10815      (renamed to EVP_PKEY_get1_*() in the OpenSSL 0.9.5 release) and add
10816      EVP_PKEY_rset_*() functions (renamed to EVP_PKEY_set1_*())
10817      that do the same as the EVP_PKEY_assign_*() except they up the
10818      reference count of the added key (they don't "swallow" the
10819      supplied key).
10820      [Steve Henson]
10821
10822   *) Fixes to crypto/x509/by_file.c the code to read in certificates and
10823      CRLs would fail if the file contained no certificates or no CRLs:
10824      added a new function to read in both types and return the number
10825      read: this means that if none are read it will be an error. The
10826      DER versions of the certificate and CRL reader would always fail
10827      because it isn't possible to mix certificates and CRLs in DER format
10828      without choking one or the other routine. Changed this to just read
10829      a certificate: this is the best we can do. Also modified the code
10830      in apps/verify.c to take notice of return codes: it was previously
10831      attempting to read in certificates from NULL pointers and ignoring
10832      any errors: this is one reason why the cert and CRL reader seemed
10833      to work. It doesn't check return codes from the default certificate
10834      routines: these may well fail if the certificates aren't installed.
10835      [Steve Henson]
10836
10837   *) Code to support otherName option in GeneralName.
10838      [Steve Henson]
10839
10840   *) First update to verify code. Change the verify utility
10841      so it warns if it is passed a self signed certificate:
10842      for consistency with the normal behaviour. X509_verify
10843      has been modified to it will now verify a self signed
10844      certificate if *exactly* the same certificate appears
10845      in the store: it was previously impossible to trust a
10846      single self signed certificate. This means that:
10847      openssl verify ss.pem
10848      now gives a warning about a self signed certificate but
10849      openssl verify -CAfile ss.pem ss.pem
10850      is OK.
10851      [Steve Henson]
10852
10853   *) For servers, store verify_result in SSL_SESSION data structure
10854      (and add it to external session representation).
10855      This is needed when client certificate verifications fails,
10856      but an application-provided verification callback (set by
10857      SSL_CTX_set_cert_verify_callback) allows accepting the session
10858      anyway (i.e. leaves x509_store_ctx->error != X509_V_OK
10859      but returns 1): When the session is reused, we have to set
10860      ssl->verify_result to the appropriate error code to avoid
10861      security holes.
10862      [Bodo Moeller, problem pointed out by Lutz Jaenicke]
10863
10864   *) Fix a bug in the new PKCS#7 code: it didn't consider the
10865      case in PKCS7_dataInit() where the signed PKCS7 structure
10866      didn't contain any existing data because it was being created.
10867      [Po-Cheng Chen <pocheng@nst.com.tw>, slightly modified by Steve Henson]
10868
10869   *) Add a salt to the key derivation routines in enc.c. This
10870      forms the first 8 bytes of the encrypted file. Also add a
10871      -S option to allow a salt to be input on the command line.
10872      [Steve Henson]
10873
10874   *) New function X509_cmp(). Oddly enough there wasn't a function
10875      to compare two certificates. We do this by working out the SHA1
10876      hash and comparing that. X509_cmp() will be needed by the trust
10877      code.
10878      [Steve Henson]
10879
10880   *) SSL_get1_session() is like SSL_get_session(), but increments
10881      the reference count in the SSL_SESSION returned.
10882      [Geoff Thorpe <geoff@eu.c2.net>]
10883
10884   *) Fix for 'req': it was adding a null to request attributes.
10885      Also change the X509_LOOKUP and X509_INFO code to handle
10886      certificate auxiliary information.
10887      [Steve Henson]
10888
10889   *) Add support for 40 and 64 bit RC2 and RC4 algorithms: document
10890      the 'enc' command.
10891      [Steve Henson]
10892
10893   *) Add the possibility to add extra information to the memory leak
10894      detecting output, to form tracebacks, showing from where each
10895      allocation was originated: CRYPTO_push_info("constant string") adds
10896      the string plus current file name and line number to a per-thread
10897      stack, CRYPTO_pop_info() does the obvious, CRYPTO_remove_all_info()
10898      is like calling CYRPTO_pop_info() until the stack is empty.
10899      Also updated memory leak detection code to be multi-thread-safe.
10900      [Richard Levitte]
10901
10902   *) Add options -text and -noout to pkcs7 utility and delete the
10903      encryption options which never did anything. Update docs.
10904      [Steve Henson]
10905
10906   *) Add options to some of the utilities to allow the pass phrase
10907      to be included on either the command line (not recommended on
10908      OSes like Unix) or read from the environment. Update the
10909      manpages and fix a few bugs.
10910      [Steve Henson]
10911
10912   *) Add a few manpages for some of the openssl commands.
10913      [Steve Henson]
10914
10915   *) Fix the -revoke option in ca. It was freeing up memory twice,
10916      leaking and not finding already revoked certificates.
10917      [Steve Henson]
10918
10919   *) Extensive changes to support certificate auxiliary information.
10920      This involves the use of X509_CERT_AUX structure and X509_AUX
10921      functions. An X509_AUX function such as PEM_read_X509_AUX()
10922      can still read in a certificate file in the usual way but it
10923      will also read in any additional "auxiliary information". By
10924      doing things this way a fair degree of compatibility can be
10925      retained: existing certificates can have this information added
10926      using the new 'x509' options.
10927
10928      Current auxiliary information includes an "alias" and some trust
10929      settings. The trust settings will ultimately be used in enhanced
10930      certificate chain verification routines: currently a certificate
10931      can only be trusted if it is self signed and then it is trusted
10932      for all purposes.
10933      [Steve Henson]
10934
10935   *) Fix assembler for Alpha (tested only on DEC OSF not Linux or *BSD).
10936      The problem was that one of the replacement routines had not been working
10937      since SSLeay releases.  For now the offending routine has been replaced
10938      with non-optimised assembler.  Even so, this now gives around 95%
10939      performance improvement for 1024 bit RSA signs.
10940      [Mark Cox]
10941
10942   *) Hack to fix PKCS#7 decryption when used with some unorthodox RC2
10943      handling. Most clients have the effective key size in bits equal to
10944      the key length in bits: so a 40 bit RC2 key uses a 40 bit (5 byte) key.
10945      A few however don't do this and instead use the size of the decrypted key
10946      to determine the RC2 key length and the AlgorithmIdentifier to determine
10947      the effective key length. In this case the effective key length can still
10948      be 40 bits but the key length can be 168 bits for example. This is fixed
10949      by manually forcing an RC2 key into the EVP_PKEY structure because the
10950      EVP code can't currently handle unusual RC2 key sizes: it always assumes
10951      the key length and effective key length are equal.
10952      [Steve Henson]
10953
10954   *) Add a bunch of functions that should simplify the creation of
10955      X509_NAME structures. Now you should be able to do:
10956      X509_NAME_add_entry_by_txt(nm, "CN", MBSTRING_ASC, "Steve", -1, -1, 0);
10957      and have it automatically work out the correct field type and fill in
10958      the structures. The more adventurous can try:
10959      X509_NAME_add_entry_by_txt(nm, field, MBSTRING_UTF8, str, -1, -1, 0);
10960      and it will (hopefully) work out the correct multibyte encoding.
10961      [Steve Henson]
10962
10963   *) Change the 'req' utility to use the new field handling and multibyte
10964      copy routines. Before the DN field creation was handled in an ad hoc
10965      way in req, ca, and x509 which was rather broken and didn't support
10966      BMPStrings or UTF8Strings. Since some software doesn't implement
10967      BMPStrings or UTF8Strings yet, they can be enabled using the config file
10968      using the dirstring_type option. See the new comment in the default
10969      openssl.cnf for more info.
10970      [Steve Henson]
10971
10972   *) Make crypto/rand/md_rand.c more robust:
10973      - Assure unique random numbers after fork().
10974      - Make sure that concurrent threads access the global counter and
10975        md serializably so that we never lose entropy in them
10976        or use exactly the same state in multiple threads.
10977        Access to the large state is not always serializable because
10978        the additional locking could be a performance killer, and
10979        md should be large enough anyway.
10980      [Bodo Moeller]
10981
10982   *) New file apps/app_rand.c with commonly needed functionality
10983      for handling the random seed file.
10984
10985      Use the random seed file in some applications that previously did not:
10986           ca,
10987           dsaparam -genkey (which also ignored its '-rand' option),
10988           s_client,
10989           s_server,
10990           x509 (when signing).
10991      Except on systems with /dev/urandom, it is crucial to have a random
10992      seed file at least for key creation, DSA signing, and for DH exchanges;
10993      for RSA signatures we could do without one.
10994
10995      gendh and gendsa (unlike genrsa) used to read only the first byte
10996      of each file listed in the '-rand' option.  The function as previously
10997      found in genrsa is now in app_rand.c and is used by all programs
10998      that support '-rand'.
10999      [Bodo Moeller]
11000
11001   *) In RAND_write_file, use mode 0600 for creating files;
11002      don't just chmod when it may be too late.
11003      [Bodo Moeller]
11004
11005   *) Report an error from X509_STORE_load_locations
11006      when X509_LOOKUP_load_file or X509_LOOKUP_add_dir failed.
11007      [Bill Perry]
11008
11009   *) New function ASN1_mbstring_copy() this copies a string in either
11010      ASCII, Unicode, Universal (4 bytes per character) or UTF8 format
11011      into an ASN1_STRING type. A mask of permissible types is passed
11012      and it chooses the "minimal" type to use or an error if not type
11013      is suitable.
11014      [Steve Henson]
11015
11016   *) Add function equivalents to the various macros in asn1.h. The old
11017      macros are retained with an M_ prefix. Code inside the library can
11018      use the M_ macros. External code (including the openssl utility)
11019      should *NOT* in order to be "shared library friendly".
11020      [Steve Henson]
11021
11022   *) Add various functions that can check a certificate's extensions
11023      to see if it usable for various purposes such as SSL client,
11024      server or S/MIME and CAs of these types. This is currently
11025      VERY EXPERIMENTAL but will ultimately be used for certificate chain
11026      verification. Also added a -purpose flag to x509 utility to
11027      print out all the purposes.
11028      [Steve Henson]
11029
11030   *) Add a CRYPTO_EX_DATA to X509 certificate structure and associated
11031      functions.
11032      [Steve Henson]
11033
11034   *) New X509V3_{X509,CRL,REVOKED}_get_d2i() functions. These will search
11035      for, obtain and decode and extension and obtain its critical flag.
11036      This allows all the necessary extension code to be handled in a
11037      single function call.
11038      [Steve Henson]
11039
11040   *) RC4 tune-up featuring 30-40% performance improvement on most RISC
11041      platforms. See crypto/rc4/rc4_enc.c for further details.
11042      [Andy Polyakov]
11043
11044   *) New -noout option to asn1parse. This causes no output to be produced
11045      its main use is when combined with -strparse and -out to extract data
11046      from a file (which may not be in ASN.1 format).
11047      [Steve Henson]
11048
11049   *) Fix for pkcs12 program. It was hashing an invalid certificate pointer
11050      when producing the local key id.
11051      [Richard Levitte <levitte@stacken.kth.se>]
11052
11053   *) New option -dhparam in s_server. This allows a DH parameter file to be
11054      stated explicitly. If it is not stated then it tries the first server
11055      certificate file. The previous behaviour hard coded the filename
11056      "server.pem".
11057      [Steve Henson]
11058
11059   *) Add -pubin and -pubout options to the rsa and dsa commands. These allow
11060      a public key to be input or output. For example:
11061      openssl rsa -in key.pem -pubout -out pubkey.pem
11062      Also added necessary DSA public key functions to handle this.
11063      [Steve Henson]
11064
11065   *) Fix so PKCS7_dataVerify() doesn't crash if no certificates are contained
11066      in the message. This was handled by allowing
11067      X509_find_by_issuer_and_serial() to tolerate a NULL passed to it.
11068      [Steve Henson, reported by Sampo Kellomaki <sampo@mail.neuronio.pt>]
11069
11070   *) Fix for bug in d2i_ASN1_bytes(): other ASN1 functions add an extra null
11071      to the end of the strings whereas this didn't. This would cause problems
11072      if strings read with d2i_ASN1_bytes() were later modified.
11073      [Steve Henson, reported by Arne Ansper <arne@ats.cyber.ee>]
11074
11075   *) Fix for base64 decode bug. When a base64 bio reads only one line of
11076      data and it contains EOF it will end up returning an error. This is
11077      caused by input 46 bytes long. The cause is due to the way base64
11078      BIOs find the start of base64 encoded data. They do this by trying a
11079      trial decode on each line until they find one that works. When they
11080      do a flag is set and it starts again knowing it can pass all the
11081      data directly through the decoder. Unfortunately it doesn't reset
11082      the context it uses. This means that if EOF is reached an attempt
11083      is made to pass two EOFs through the context and this causes the
11084      resulting error. This can also cause other problems as well. As is
11085      usual with these problems it takes *ages* to find and the fix is
11086      trivial: move one line.
11087      [Steve Henson, reported by ian@uns.ns.ac.yu (Ivan Nejgebauer) ]
11088
11089   *) Ugly workaround to get s_client and s_server working under Windows. The
11090      old code wouldn't work because it needed to select() on sockets and the
11091      tty (for keypresses and to see if data could be written). Win32 only
11092      supports select() on sockets so we select() with a 1s timeout on the
11093      sockets and then see if any characters are waiting to be read, if none
11094      are present then we retry, we also assume we can always write data to
11095      the tty. This isn't nice because the code then blocks until we've
11096      received a complete line of data and it is effectively polling the
11097      keyboard at 1s intervals: however it's quite a bit better than not
11098      working at all :-) A dedicated Windows application might handle this
11099      with an event loop for example.
11100      [Steve Henson]
11101
11102   *) Enhance RSA_METHOD structure. Now there are two extra methods, rsa_sign
11103      and rsa_verify. When the RSA_FLAGS_SIGN_VER option is set these functions
11104      will be called when RSA_sign() and RSA_verify() are used. This is useful
11105      if rsa_pub_dec() and rsa_priv_enc() equivalents are not available.
11106      For this to work properly RSA_public_decrypt() and RSA_private_encrypt()
11107      should *not* be used: RSA_sign() and RSA_verify() must be used instead.
11108      This necessitated the support of an extra signature type NID_md5_sha1
11109      for SSL signatures and modifications to the SSL library to use it instead
11110      of calling RSA_public_decrypt() and RSA_private_encrypt().
11111      [Steve Henson]
11112
11113   *) Add new -verify -CAfile and -CApath options to the crl program, these
11114      will lookup a CRL issuers certificate and verify the signature in a
11115      similar way to the verify program. Tidy up the crl program so it
11116      no longer accesses structures directly. Make the ASN1 CRL parsing a bit
11117      less strict. It will now permit CRL extensions even if it is not
11118      a V2 CRL: this will allow it to tolerate some broken CRLs.
11119      [Steve Henson]
11120
11121   *) Initialize all non-automatic variables each time one of the openssl
11122      sub-programs is started (this is necessary as they may be started
11123      multiple times from the "OpenSSL>" prompt).
11124      [Lennart Bang, Bodo Moeller]
11125
11126   *) Preliminary compilation option RSA_NULL which disables RSA crypto without
11127      removing all other RSA functionality (this is what NO_RSA does). This
11128      is so (for example) those in the US can disable those operations covered
11129      by the RSA patent while allowing storage and parsing of RSA keys and RSA
11130      key generation.
11131      [Steve Henson]
11132
11133   *) Non-copying interface to BIO pairs.
11134      (still largely untested)
11135      [Bodo Moeller]
11136
11137   *) New function ANS1_tag2str() to convert an ASN1 tag to a descriptive
11138      ASCII string. This was handled independently in various places before.
11139      [Steve Henson]
11140
11141   *) New functions UTF8_getc() and UTF8_putc() that parse and generate
11142      UTF8 strings a character at a time.
11143      [Steve Henson]
11144
11145   *) Use client_version from client hello to select the protocol
11146      (s23_srvr.c) and for RSA client key exchange verification
11147      (s3_srvr.c), as required by the SSL 3.0/TLS 1.0 specifications.
11148      [Bodo Moeller]
11149
11150   *) Add various utility functions to handle SPKACs, these were previously
11151      handled by poking round in the structure internals. Added new function
11152      NETSCAPE_SPKI_print() to print out SPKAC and a new utility 'spkac' to
11153      print, verify and generate SPKACs. Based on an original idea from
11154      Massimiliano Pala <madwolf@comune.modena.it> but extensively modified.
11155      [Steve Henson]
11156
11157   *) RIPEMD160 is operational on all platforms and is back in 'make test'.
11158      [Andy Polyakov]
11159
11160   *) Allow the config file extension section to be overwritten on the
11161      command line. Based on an original idea from Massimiliano Pala
11162      <madwolf@comune.modena.it>. The new option is called -extensions
11163      and can be applied to ca, req and x509. Also -reqexts to override
11164      the request extensions in req and -crlexts to override the crl extensions
11165      in ca.
11166      [Steve Henson]
11167
11168   *) Add new feature to the SPKAC handling in ca.  Now you can include
11169      the same field multiple times by preceding it by "XXXX." for example:
11170      1.OU="Unit name 1"
11171      2.OU="Unit name 2"
11172      this is the same syntax as used in the req config file.
11173      [Steve Henson]
11174
11175   *) Allow certificate extensions to be added to certificate requests. These
11176      are specified in a 'req_extensions' option of the req section of the
11177      config file. They can be printed out with the -text option to req but
11178      are otherwise ignored at present.
11179      [Steve Henson]
11180
11181   *) Fix a horrible bug in enc_read() in crypto/evp/bio_enc.c: if the first
11182      data read consists of only the final block it would not decrypted because
11183      EVP_CipherUpdate() would correctly report zero bytes had been decrypted.
11184      A misplaced 'break' also meant the decrypted final block might not be
11185      copied until the next read.
11186      [Steve Henson]
11187
11188   *) Initial support for DH_METHOD. Again based on RSA_METHOD. Also added
11189      a few extra parameters to the DH structure: these will be useful if
11190      for example we want the value of 'q' or implement X9.42 DH.
11191      [Steve Henson]
11192
11193   *) Initial support for DSA_METHOD. This is based on the RSA_METHOD and
11194      provides hooks that allow the default DSA functions or functions on a
11195      "per key" basis to be replaced. This allows hardware acceleration and
11196      hardware key storage to be handled without major modification to the
11197      library. Also added low level modexp hooks and CRYPTO_EX structure and
11198      associated functions.
11199      [Steve Henson]
11200
11201   *) Add a new flag to memory BIOs, BIO_FLAG_MEM_RDONLY. This marks the BIO
11202      as "read only": it can't be written to and the buffer it points to will
11203      not be freed. Reading from a read only BIO is much more efficient than
11204      a normal memory BIO. This was added because there are several times when
11205      an area of memory needs to be read from a BIO. The previous method was
11206      to create a memory BIO and write the data to it, this results in two
11207      copies of the data and an O(n^2) reading algorithm. There is a new
11208      function BIO_new_mem_buf() which creates a read only memory BIO from
11209      an area of memory. Also modified the PKCS#7 routines to use read only
11210      memory BIOs.
11211      [Steve Henson]
11212
11213   *) Bugfix: ssl23_get_client_hello did not work properly when called in
11214      state SSL23_ST_SR_CLNT_HELLO_B, i.e. when the first 7 bytes of
11215      a SSLv2-compatible client hello for SSLv3 or TLSv1 could be read,
11216      but a retry condition occurred while trying to read the rest.
11217      [Bodo Moeller]
11218
11219   *) The PKCS7_ENC_CONTENT_new() function was setting the content type as
11220      NID_pkcs7_encrypted by default: this was wrong since this should almost
11221      always be NID_pkcs7_data. Also modified the PKCS7_set_type() to handle
11222      the encrypted data type: this is a more sensible place to put it and it
11223      allows the PKCS#12 code to be tidied up that duplicated this
11224      functionality.
11225      [Steve Henson]
11226
11227   *) Changed obj_dat.pl script so it takes its input and output files on
11228      the command line. This should avoid shell escape redirection problems
11229      under Win32.
11230      [Steve Henson]
11231
11232   *) Initial support for certificate extension requests, these are included
11233      in things like Xenroll certificate requests. Included functions to allow
11234      extensions to be obtained and added.
11235      [Steve Henson]
11236
11237   *) -crlf option to s_client and s_server for sending newlines as
11238      CRLF (as required by many protocols).
11239      [Bodo Moeller]
11240
11241  Changes between 0.9.3a and 0.9.4  [09 Aug 1999]
11242
11243   *) Install libRSAglue.a when OpenSSL is built with RSAref.
11244      [Ralf S. Engelschall]
11245
11246   *) A few more ``#ifndef NO_FP_API / #endif'' pairs for consistency.
11247      [Andrija Antonijevic <TheAntony2@bigfoot.com>]
11248
11249   *) Fix -startdate and -enddate (which was missing) arguments to 'ca'
11250      program.
11251      [Steve Henson]
11252
11253   *) New function DSA_dup_DH, which duplicates DSA parameters/keys as
11254      DH parameters/keys (q is lost during that conversion, but the resulting
11255      DH parameters contain its length).
11256
11257      For 1024-bit p, DSA_generate_parameters followed by DSA_dup_DH is
11258      much faster than DH_generate_parameters (which creates parameters
11259      where p = 2*q + 1), and also the smaller q makes DH computations
11260      much more efficient (160-bit exponentiation instead of 1024-bit
11261      exponentiation); so this provides a convenient way to support DHE
11262      ciphersuites in SSL/TLS servers (see ssl/ssltest.c).  It is of
11263      utter importance to use
11264          SSL_CTX_set_options(s_ctx, SSL_OP_SINGLE_DH_USE);
11265      or
11266          SSL_set_options(s_ctx, SSL_OP_SINGLE_DH_USE);
11267      when such DH parameters are used, because otherwise small subgroup
11268      attacks may become possible!
11269      [Bodo Moeller]
11270
11271   *) Avoid memory leak in i2d_DHparams.
11272      [Bodo Moeller]
11273
11274   *) Allow the -k option to be used more than once in the enc program:
11275      this allows the same encrypted message to be read by multiple recipients.
11276      [Steve Henson]
11277
11278   *) New function OBJ_obj2txt(buf, buf_len, a, no_name), this converts
11279      an ASN1_OBJECT to a text string. If the "no_name" parameter is set then
11280      it will always use the numerical form of the OID, even if it has a short
11281      or long name.
11282      [Steve Henson]
11283
11284   *) Added an extra RSA flag: RSA_FLAG_EXT_PKEY. Previously the rsa_mod_exp
11285      method only got called if p,q,dmp1,dmq1,iqmp components were present,
11286      otherwise bn_mod_exp was called. In the case of hardware keys for example
11287      no private key components need be present and it might store extra data
11288      in the RSA structure, which cannot be accessed from bn_mod_exp.
11289      By setting RSA_FLAG_EXT_PKEY rsa_mod_exp will always be called for
11290      private key operations.
11291      [Steve Henson]
11292
11293   *) Added support for SPARC Linux.
11294      [Andy Polyakov]
11295
11296   *) pem_password_cb function type incompatibly changed from
11297           typedef int pem_password_cb(char *buf, int size, int rwflag);
11298      to
11299           ....(char *buf, int size, int rwflag, void *userdata);
11300      so that applications can pass data to their callbacks:
11301      The PEM[_ASN1]_{read,write}... functions and macros now take an
11302      additional void * argument, which is just handed through whenever
11303      the password callback is called.
11304      [Damien Miller <dmiller@ilogic.com.au>; tiny changes by Bodo Moeller]
11305
11306      New function SSL_CTX_set_default_passwd_cb_userdata.
11307
11308      Compatibility note: As many C implementations push function arguments
11309      onto the stack in reverse order, the new library version is likely to
11310      interoperate with programs that have been compiled with the old
11311      pem_password_cb definition (PEM_whatever takes some data that
11312      happens to be on the stack as its last argument, and the callback
11313      just ignores this garbage); but there is no guarantee whatsoever that
11314      this will work.
11315
11316   *) The -DPLATFORM="\"$(PLATFORM)\"" definition and the similar -DCFLAGS=...
11317      (both in crypto/Makefile.ssl for use by crypto/cversion.c) caused
11318      problems not only on Windows, but also on some Unix platforms.
11319      To avoid problematic command lines, these definitions are now in an
11320      auto-generated file crypto/buildinf.h (created by crypto/Makefile.ssl
11321      for standard "make" builds, by util/mk1mf.pl for "mk1mf" builds).
11322      [Bodo Moeller]
11323
11324   *) MIPS III/IV assembler module is reimplemented.
11325      [Andy Polyakov]
11326
11327   *) More DES library cleanups: remove references to srand/rand and
11328      delete an unused file.
11329      [Ulf Möller]
11330
11331   *) Add support for the free Netwide assembler (NASM) under Win32,
11332      since not many people have MASM (ml) and it can be hard to obtain.
11333      This is currently experimental but it seems to work OK and pass all
11334      the tests. Check out INSTALL.W32 for info.
11335      [Steve Henson]
11336
11337   *) Fix memory leaks in s3_clnt.c: All non-anonymous SSL3/TLS1 connections
11338      without temporary keys kept an extra copy of the server key,
11339      and connections with temporary keys did not free everything in case
11340      of an error.
11341      [Bodo Moeller]
11342
11343   *) New function RSA_check_key and new openssl rsa option -check
11344      for verifying the consistency of RSA keys.
11345      [Ulf Moeller, Bodo Moeller]
11346
11347   *) Various changes to make Win32 compile work:
11348      1. Casts to avoid "loss of data" warnings in p5_crpt2.c
11349      2. Change unsigned int to int in b_dump.c to avoid "signed/unsigned
11350         comparison" warnings.
11351      3. Add sk_<TYPE>_sort to DEF file generator and do make update.
11352      [Steve Henson]
11353
11354   *) Add a debugging option to PKCS#5 v2 key generation function: when
11355      you #define DEBUG_PKCS5V2 passwords, salts, iteration counts and
11356      derived keys are printed to stderr.
11357      [Steve Henson]
11358
11359   *) Copy the flags in ASN1_STRING_dup().
11360      [Roman E. Pavlov <pre@mo.msk.ru>]
11361
11362   *) The x509 application mishandled signing requests containing DSA
11363      keys when the signing key was also DSA and the parameters didn't match.
11364
11365      It was supposed to omit the parameters when they matched the signing key:
11366      the verifying software was then supposed to automatically use the CA's
11367      parameters if they were absent from the end user certificate.
11368
11369      Omitting parameters is no longer recommended. The test was also
11370      the wrong way round! This was probably due to unusual behaviour in
11371      EVP_cmp_parameters() which returns 1 if the parameters match.
11372      This meant that parameters were omitted when they *didn't* match and
11373      the certificate was useless. Certificates signed with 'ca' didn't have
11374      this bug.
11375      [Steve Henson, reported by Doug Erickson <Doug.Erickson@Part.NET>]
11376
11377   *) Memory leak checking (-DCRYPTO_MDEBUG) had some problems.
11378      The interface is as follows:
11379      Applications can use
11380          CRYPTO_mem_ctrl(CRYPTO_MEM_CHECK_ON) aka MemCheck_start(),
11381          CRYPTO_mem_ctrl(CRYPTO_MEM_CHECK_OFF) aka MemCheck_stop();
11382      "off" is now the default.
11383      The library internally uses
11384          CRYPTO_mem_ctrl(CRYPTO_MEM_CHECK_DISABLE) aka MemCheck_off(),
11385          CRYPTO_mem_ctrl(CRYPTO_MEM_CHECK_ENABLE) aka MemCheck_on()
11386      to disable memory-checking temporarily.
11387
11388      Some inconsistent states that previously were possible (and were
11389      even the default) are now avoided.
11390
11391      -DCRYPTO_MDEBUG_TIME is new and additionally stores the current time
11392      with each memory chunk allocated; this is occasionally more helpful
11393      than just having a counter.
11394
11395      -DCRYPTO_MDEBUG_THREAD is also new and adds the thread ID.
11396
11397      -DCRYPTO_MDEBUG_ALL enables all of the above, plus any future
11398      extensions.
11399      [Bodo Moeller]
11400
11401   *) Introduce "mode" for SSL structures (with defaults in SSL_CTX),
11402      which largely parallels "options", but is for changing API behaviour,
11403      whereas "options" are about protocol behaviour.
11404      Initial "mode" flags are:
11405
11406      SSL_MODE_ENABLE_PARTIAL_WRITE   Allow SSL_write to report success when
11407                                      a single record has been written.
11408      SSL_MODE_ACCEPT_MOVING_WRITE_BUFFER  Don't insist that SSL_write
11409                                      retries use the same buffer location.
11410                                      (But all of the contents must be
11411                                      copied!)
11412      [Bodo Moeller]
11413
11414   *) Bugfix: SSL_set_options ignored its parameter, only SSL_CTX_set_options
11415      worked.
11416
11417   *) Fix problems with no-hmac etc.
11418      [Ulf Möller, pointed out by Brian Wellington <bwelling@tislabs.com>]
11419
11420   *) New functions RSA_get_default_method(), RSA_set_method() and
11421      RSA_get_method(). These allows replacement of RSA_METHODs without having
11422      to mess around with the internals of an RSA structure.
11423      [Steve Henson]
11424
11425   *) Fix memory leaks in DSA_do_sign and DSA_is_prime.
11426      Also really enable memory leak checks in openssl.c and in some
11427      test programs.
11428      [Chad C. Mulligan, Bodo Moeller]
11429
11430   *) Fix a bug in d2i_ASN1_INTEGER() and i2d_ASN1_INTEGER() which can mess
11431      up the length of negative integers. This has now been simplified to just
11432      store the length when it is first determined and use it later, rather
11433      than trying to keep track of where data is copied and updating it to
11434      point to the end.
11435      [Steve Henson, reported by Brien Wheeler
11436       <bwheeler@authentica-security.com>]
11437
11438   *) Add a new function PKCS7_signatureVerify. This allows the verification
11439      of a PKCS#7 signature but with the signing certificate passed to the
11440      function itself. This contrasts with PKCS7_dataVerify which assumes the
11441      certificate is present in the PKCS#7 structure. This isn't always the
11442      case: certificates can be omitted from a PKCS#7 structure and be
11443      distributed by "out of band" means (such as a certificate database).
11444      [Steve Henson]
11445
11446   *) Complete the PEM_* macros with DECLARE_PEM versions to replace the
11447      function prototypes in pem.h, also change util/mkdef.pl to add the
11448      necessary function names.
11449      [Steve Henson]
11450
11451   *) mk1mf.pl (used by Windows builds) did not properly read the
11452      options set by Configure in the top level Makefile, and Configure
11453      was not even able to write more than one option correctly.
11454      Fixed, now "no-idea no-rc5 -DCRYPTO_MDEBUG" etc. works as intended.
11455      [Bodo Moeller]
11456
11457   *) New functions CONF_load_bio() and CONF_load_fp() to allow a config
11458      file to be loaded from a BIO or FILE pointer. The BIO version will
11459      for example allow memory BIOs to contain config info.
11460      [Steve Henson]
11461
11462   *) New function "CRYPTO_num_locks" that returns CRYPTO_NUM_LOCKS.
11463      Whoever hopes to achieve shared-library compatibility across versions
11464      must use this, not the compile-time macro.
11465      (Exercise 0.9.4: Which is the minimum library version required by
11466      such programs?)
11467      Note: All this applies only to multi-threaded programs, others don't
11468      need locks.
11469      [Bodo Moeller]
11470
11471   *) Add missing case to s3_clnt.c state machine -- one of the new SSL tests
11472      through a BIO pair triggered the default case, i.e.
11473      SSLerr(...,SSL_R_UNKNOWN_STATE).
11474      [Bodo Moeller]
11475
11476   *) New "BIO pair" concept (crypto/bio/bss_bio.c) so that applications
11477      can use the SSL library even if none of the specific BIOs is
11478      appropriate.
11479      [Bodo Moeller]
11480
11481   *) Fix a bug in i2d_DSAPublicKey() which meant it returned the wrong value
11482      for the encoded length.
11483      [Jeon KyoungHo <khjeon@sds.samsung.co.kr>]
11484
11485   *) Add initial documentation of the X509V3 functions.
11486      [Steve Henson]
11487
11488   *) Add a new pair of functions PEM_write_PKCS8PrivateKey() and
11489      PEM_write_bio_PKCS8PrivateKey() that are equivalent to
11490      PEM_write_PrivateKey() and PEM_write_bio_PrivateKey() but use the more
11491      secure PKCS#8 private key format with a high iteration count.
11492      [Steve Henson]
11493
11494   *) Fix determination of Perl interpreter: A perl or perl5
11495      _directory_ in $PATH was also accepted as the interpreter.
11496      [Ralf S. Engelschall]
11497
11498   *) Fix demos/sign/sign.c: well there wasn't anything strictly speaking
11499      wrong with it but it was very old and did things like calling
11500      PEM_ASN1_read() directly and used MD5 for the hash not to mention some
11501      unusual formatting.
11502      [Steve Henson]
11503
11504   *) Fix demos/selfsign.c: it used obsolete and deleted functions, changed
11505      to use the new extension code.
11506      [Steve Henson]
11507
11508   *) Implement the PEM_read/PEM_write functions in crypto/pem/pem_all.c
11509      with macros. This should make it easier to change their form, add extra
11510      arguments etc. Fix a few PEM prototypes which didn't have cipher as a
11511      constant.
11512      [Steve Henson]
11513
11514   *) Add to configuration table a new entry that can specify an alternative
11515      name for unistd.h (for pre-POSIX systems); we need this for NeXTstep,
11516      according to Mark Crispin <MRC@Panda.COM>.
11517      [Bodo Moeller]
11518
11519 #if 0
11520   *) DES CBC did not update the IV. Weird.
11521      [Ben Laurie]
11522 #else
11523      des_cbc_encrypt does not update the IV, but des_ncbc_encrypt does.
11524      Changing the behaviour of the former might break existing programs --
11525      where IV updating is needed, des_ncbc_encrypt can be used.
11526 #endif
11527
11528   *) When bntest is run from "make test" it drives bc to check its
11529      calculations, as well as internally checking them. If an internal check
11530      fails, it needs to cause bc to give a non-zero result or make test carries
11531      on without noticing the failure. Fixed.
11532      [Ben Laurie]
11533
11534   *) DES library cleanups.
11535      [Ulf Möller]
11536
11537   *) Add support for PKCS#5 v2.0 PBE algorithms. This will permit PKCS#8 to be
11538      used with any cipher unlike PKCS#5 v1.5 which can at most handle 64 bit
11539      ciphers. NOTE: although the key derivation function has been verified
11540      against some published test vectors it has not been extensively tested
11541      yet. Added a -v2 "cipher" option to pkcs8 application to allow the use
11542      of v2.0.
11543      [Steve Henson]
11544
11545   *) Instead of "mkdir -p", which is not fully portable, use new
11546      Perl script "util/mkdir-p.pl".
11547      [Bodo Moeller]
11548
11549   *) Rewrite the way password based encryption (PBE) is handled. It used to
11550      assume that the ASN1 AlgorithmIdentifier parameter was a PBEParameter
11551      structure. This was true for the PKCS#5 v1.5 and PKCS#12 PBE algorithms
11552      but doesn't apply to PKCS#5 v2.0 where it can be something else. Now
11553      the 'parameter' field of the AlgorithmIdentifier is passed to the
11554      underlying key generation function so it must do its own ASN1 parsing.
11555      This has also changed the EVP_PBE_CipherInit() function which now has a
11556      'parameter' argument instead of literal salt and iteration count values
11557      and the function EVP_PBE_ALGOR_CipherInit() has been deleted.
11558      [Steve Henson]
11559
11560   *) Support for PKCS#5 v1.5 compatible password based encryption algorithms
11561      and PKCS#8 functionality. New 'pkcs8' application linked to openssl.
11562      Needed to change the PEM_STRING_EVP_PKEY value which was just "PRIVATE
11563      KEY" because this clashed with PKCS#8 unencrypted string. Since this
11564      value was just used as a "magic string" and not used directly its
11565      value doesn't matter.
11566      [Steve Henson]
11567
11568   *) Introduce some semblance of const correctness to BN. Shame C doesn't
11569      support mutable.
11570      [Ben Laurie]
11571
11572   *) "linux-sparc64" configuration (ultrapenguin).
11573      [Ray Miller <ray.miller@oucs.ox.ac.uk>]
11574      "linux-sparc" configuration.
11575      [Christian Forster <fo@hawo.stw.uni-erlangen.de>]
11576
11577   *) config now generates no-xxx options for missing ciphers.
11578      [Ulf Möller]
11579
11580   *) Support the EBCDIC character set (work in progress).
11581      File ebcdic.c not yet included because it has a different license.
11582      [Martin Kraemer <Martin.Kraemer@MchP.Siemens.De>]
11583
11584   *) Support BS2000/OSD-POSIX.
11585      [Martin Kraemer <Martin.Kraemer@MchP.Siemens.De>]
11586
11587   *) Make callbacks for key generation use void * instead of char *.
11588      [Ben Laurie]
11589
11590   *) Make S/MIME samples compile (not yet tested).
11591      [Ben Laurie]
11592
11593   *) Additional typesafe stacks.
11594      [Ben Laurie]
11595
11596   *) New configuration variants "bsdi-elf-gcc" (BSD/OS 4.x).
11597      [Bodo Moeller]
11598
11599
11600  Changes between 0.9.3 and 0.9.3a  [29 May 1999]
11601
11602   *) New configuration variant "sco5-gcc".
11603
11604   *) Updated some demos.
11605      [Sean O Riordain, Wade Scholine]
11606
11607   *) Add missing BIO_free at exit of pkcs12 application.
11608      [Wu Zhigang]
11609
11610   *) Fix memory leak in conf.c.
11611      [Steve Henson]
11612
11613   *) Updates for Win32 to assembler version of MD5.
11614      [Steve Henson]
11615
11616   *) Set #! path to perl in apps/der_chop to where we found it
11617      instead of using a fixed path.
11618      [Bodo Moeller]
11619
11620   *) SHA library changes for irix64-mips4-cc.
11621      [Andy Polyakov]
11622
11623   *) Improvements for VMS support.
11624      [Richard Levitte]
11625
11626
11627  Changes between 0.9.2b and 0.9.3  [24 May 1999]
11628
11629   *) Bignum library bug fix. IRIX 6 passes "make test" now!
11630      This also avoids the problems with SC4.2 and unpatched SC5.
11631      [Andy Polyakov <appro@fy.chalmers.se>]
11632
11633   *) New functions sk_num, sk_value and sk_set to replace the previous macros.
11634      These are required because of the typesafe stack would otherwise break
11635      existing code. If old code used a structure member which used to be STACK
11636      and is now STACK_OF (for example cert in a PKCS7_SIGNED structure) with
11637      sk_num or sk_value it would produce an error because the num, data members
11638      are not present in STACK_OF. Now it just produces a warning. sk_set
11639      replaces the old method of assigning a value to sk_value
11640      (e.g. sk_value(x, i) = y) which the library used in a few cases. Any code
11641      that does this will no longer work (and should use sk_set instead) but
11642      this could be regarded as a "questionable" behaviour anyway.
11643      [Steve Henson]
11644
11645   *) Fix most of the other PKCS#7 bugs. The "experimental" code can now
11646      correctly handle encrypted S/MIME data.
11647      [Steve Henson]
11648
11649   *) Change type of various DES function arguments from des_cblock
11650      (which means, in function argument declarations, pointer to char)
11651      to des_cblock * (meaning pointer to array with 8 char elements),
11652      which allows the compiler to do more typechecking; it was like
11653      that back in SSLeay, but with lots of ugly casts.
11654
11655      Introduce new type const_des_cblock.
11656      [Bodo Moeller]
11657
11658   *) Reorganise the PKCS#7 library and get rid of some of the more obvious
11659      problems: find RecipientInfo structure that matches recipient certificate
11660      and initialise the ASN1 structures properly based on passed cipher.
11661      [Steve Henson]
11662
11663   *) Belatedly make the BN tests actually check the results.
11664      [Ben Laurie]
11665
11666   *) Fix the encoding and decoding of negative ASN1 INTEGERS and conversion
11667      to and from BNs: it was completely broken. New compilation option
11668      NEG_PUBKEY_BUG to allow for some broken certificates that encode public
11669      key elements as negative integers.
11670      [Steve Henson]
11671
11672   *) Reorganize and speed up MD5.
11673      [Andy Polyakov <appro@fy.chalmers.se>]
11674
11675   *) VMS support.
11676      [Richard Levitte <richard@levitte.org>]
11677
11678   *) New option -out to asn1parse to allow the parsed structure to be
11679      output to a file. This is most useful when combined with the -strparse
11680      option to examine the output of things like OCTET STRINGS.
11681      [Steve Henson]
11682
11683   *) Make SSL library a little more fool-proof by not requiring any longer
11684      that SSL_set_{accept,connect}_state be called before
11685      SSL_{accept,connect} may be used (SSL_set_..._state is omitted
11686      in many applications because usually everything *appeared* to work as
11687      intended anyway -- now it really works as intended).
11688      [Bodo Moeller]
11689
11690   *) Move openssl.cnf out of lib/.
11691      [Ulf Möller]
11692
11693   *) Fix various things to let OpenSSL even pass ``egcc -pipe -O2 -Wall
11694      -Wshadow -Wpointer-arith -Wcast-align -Wmissing-prototypes
11695      -Wmissing-declarations -Wnested-externs -Winline'' with EGCS 1.1.2+
11696      [Ralf S. Engelschall]
11697
11698   *) Various fixes to the EVP and PKCS#7 code. It may now be able to
11699      handle PKCS#7 enveloped data properly.
11700      [Sebastian Akerman <sak@parallelconsulting.com>, modified by Steve]
11701
11702   *) Create a duplicate of the SSL_CTX's CERT in SSL_new instead of
11703      copying pointers.  The cert_st handling is changed by this in
11704      various ways (and thus what used to be known as ctx->default_cert
11705      is now called ctx->cert, since we don't resort to s->ctx->[default_]cert
11706      any longer when s->cert does not give us what we need).
11707      ssl_cert_instantiate becomes obsolete by this change.
11708      As soon as we've got the new code right (possibly it already is?),
11709      we have solved a couple of bugs of the earlier code where s->cert
11710      was used as if it could not have been shared with other SSL structures.
11711
11712      Note that using the SSL API in certain dirty ways now will result
11713      in different behaviour than observed with earlier library versions:
11714      Changing settings for an SSL_CTX *ctx after having done s = SSL_new(ctx)
11715      does not influence s as it used to.
11716
11717      In order to clean up things more thoroughly, inside SSL_SESSION
11718      we don't use CERT any longer, but a new structure SESS_CERT
11719      that holds per-session data (if available); currently, this is
11720      the peer's certificate chain and, for clients, the server's certificate
11721      and temporary key.  CERT holds only those values that can have
11722      meaningful defaults in an SSL_CTX.
11723      [Bodo Moeller]
11724
11725   *) New function X509V3_EXT_i2d() to create an X509_EXTENSION structure
11726      from the internal representation. Various PKCS#7 fixes: remove some
11727      evil casts and set the enc_dig_alg field properly based on the signing
11728      key type.
11729      [Steve Henson]
11730
11731   *) Allow PKCS#12 password to be set from the command line or the
11732      environment. Let 'ca' get its config file name from the environment
11733      variables "OPENSSL_CONF" or "SSLEAY_CONF" (for consistency with 'req'
11734      and 'x509').
11735      [Steve Henson]
11736
11737   *) Allow certificate policies extension to use an IA5STRING for the
11738      organization field. This is contrary to the PKIX definition but
11739      VeriSign uses it and IE5 only recognises this form. Document 'x509'
11740      extension option.
11741      [Steve Henson]
11742
11743   *) Add PEDANTIC compiler flag to allow compilation with gcc -pedantic,
11744      without disallowing inline assembler and the like for non-pedantic builds.
11745      [Ben Laurie]
11746
11747   *) Support Borland C++ builder.
11748      [Janez Jere <jj@void.si>, modified by Ulf Möller]
11749
11750   *) Support Mingw32.
11751      [Ulf Möller]
11752
11753   *) SHA-1 cleanups and performance enhancements.
11754      [Andy Polyakov <appro@fy.chalmers.se>]
11755
11756   *) Sparc v8plus assembler for the bignum library.
11757      [Andy Polyakov <appro@fy.chalmers.se>]
11758
11759   *) Accept any -xxx and +xxx compiler options in Configure.
11760      [Ulf Möller]
11761
11762   *) Update HPUX configuration.
11763      [Anonymous]
11764
11765   *) Add missing sk_<type>_unshift() function to safestack.h
11766      [Ralf S. Engelschall]
11767
11768   *) New function SSL_CTX_use_certificate_chain_file that sets the
11769      "extra_cert"s in addition to the certificate.  (This makes sense
11770      only for "PEM" format files, as chains as a whole are not
11771      DER-encoded.)
11772      [Bodo Moeller]
11773
11774   *) Support verify_depth from the SSL API.
11775      x509_vfy.c had what can be considered an off-by-one-error:
11776      Its depth (which was not part of the external interface)
11777      was actually counting the number of certificates in a chain;
11778      now it really counts the depth.
11779      [Bodo Moeller]
11780
11781   *) Bugfix in crypto/x509/x509_cmp.c: The SSLerr macro was used
11782      instead of X509err, which often resulted in confusing error
11783      messages since the error codes are not globally unique
11784      (e.g. an alleged error in ssl3_accept when a certificate
11785      didn't match the private key).
11786
11787   *) New function SSL_CTX_set_session_id_context that allows to set a default
11788      value (so that you don't need SSL_set_session_id_context for each
11789      connection using the SSL_CTX).
11790      [Bodo Moeller]
11791
11792   *) OAEP decoding bug fix.
11793      [Ulf Möller]
11794
11795   *) Support INSTALL_PREFIX for package builders, as proposed by
11796      David Harris.
11797      [Bodo Moeller]
11798
11799   *) New Configure options "threads" and "no-threads".  For systems
11800      where the proper compiler options are known (currently Solaris
11801      and Linux), "threads" is the default.
11802      [Bodo Moeller]
11803
11804   *) New script util/mklink.pl as a faster substitute for util/mklink.sh.
11805      [Bodo Moeller]
11806
11807   *) Install various scripts to $(OPENSSLDIR)/misc, not to
11808      $(INSTALLTOP)/bin -- they shouldn't clutter directories
11809      such as /usr/local/bin.
11810      [Bodo Moeller]
11811
11812   *) "make linux-shared" to build shared libraries.
11813      [Niels Poppe <niels@netbox.org>]
11814
11815   *) New Configure option no-<cipher> (rsa, idea, rc5, ...).
11816      [Ulf Möller]
11817
11818   *) Add the PKCS#12 API documentation to openssl.txt. Preliminary support for
11819      extension adding in x509 utility.
11820      [Steve Henson]
11821
11822   *) Remove NOPROTO sections and error code comments.
11823      [Ulf Möller]
11824
11825   *) Partial rewrite of the DEF file generator to now parse the ANSI
11826      prototypes.
11827      [Steve Henson]
11828
11829   *) New Configure options --prefix=DIR and --openssldir=DIR.
11830      [Ulf Möller]
11831
11832   *) Complete rewrite of the error code script(s). It is all now handled
11833      by one script at the top level which handles error code gathering,
11834      header rewriting and C source file generation. It should be much better
11835      than the old method: it now uses a modified version of Ulf's parser to
11836      read the ANSI prototypes in all header files (thus the old K&R definitions
11837      aren't needed for error creation any more) and do a better job of
11838      translating function codes into names. The old 'ASN1 error code imbedded
11839      in a comment' is no longer necessary and it doesn't use .err files which
11840      have now been deleted. Also the error code call doesn't have to appear all
11841      on one line (which resulted in some large lines...).
11842      [Steve Henson]
11843
11844   *) Change #include filenames from <foo.h> to <openssl/foo.h>.
11845      [Bodo Moeller]
11846
11847   *) Change behaviour of ssl2_read when facing length-0 packets: Don't return
11848      0 (which usually indicates a closed connection), but continue reading.
11849      [Bodo Moeller]
11850
11851   *) Fix some race conditions.
11852      [Bodo Moeller]
11853
11854   *) Add support for CRL distribution points extension. Add Certificate
11855      Policies and CRL distribution points documentation.
11856      [Steve Henson]
11857
11858   *) Move the autogenerated header file parts to crypto/opensslconf.h.
11859      [Ulf Möller]
11860
11861   *) Fix new 56-bit DES export ciphersuites: they were using 7 bytes instead of
11862      8 of keying material. Merlin has also confirmed interop with this fix
11863      between OpenSSL and Baltimore C/SSL 2.0 and J/SSL 2.0.
11864      [Merlin Hughes <merlin@baltimore.ie>]
11865
11866   *) Fix lots of warnings.
11867      [Richard Levitte <levitte@stacken.kth.se>]
11868
11869   *) In add_cert_dir() in crypto/x509/by_dir.c, break out of the loop if
11870      the directory spec didn't end with a LIST_SEPARATOR_CHAR.
11871      [Richard Levitte <levitte@stacken.kth.se>]
11872
11873   *) Fix problems with sizeof(long) == 8.
11874      [Andy Polyakov <appro@fy.chalmers.se>]
11875
11876   *) Change functions to ANSI C.
11877      [Ulf Möller]
11878
11879   *) Fix typos in error codes.
11880      [Martin Kraemer <Martin.Kraemer@MchP.Siemens.De>, Ulf Möller]
11881
11882   *) Remove defunct assembler files from Configure.
11883      [Ulf Möller]
11884
11885   *) SPARC v8 assembler BIGNUM implementation.
11886      [Andy Polyakov <appro@fy.chalmers.se>]
11887
11888   *) Support for Certificate Policies extension: both print and set.
11889      Various additions to support the r2i method this uses.
11890      [Steve Henson]
11891
11892   *) A lot of constification, and fix a bug in X509_NAME_oneline() that could
11893      return a const string when you are expecting an allocated buffer.
11894      [Ben Laurie]
11895
11896   *) Add support for ASN1 types UTF8String and VISIBLESTRING, also the CHOICE
11897      types DirectoryString and DisplayText.
11898      [Steve Henson]
11899
11900   *) Add code to allow r2i extensions to access the configuration database,
11901      add an LHASH database driver and add several ctx helper functions.
11902      [Steve Henson]
11903
11904   *) Fix an evil bug in bn_expand2() which caused various BN functions to
11905      fail when they extended the size of a BIGNUM.
11906      [Steve Henson]
11907
11908   *) Various utility functions to handle SXNet extension. Modify mkdef.pl to
11909      support typesafe stack.
11910      [Steve Henson]
11911
11912   *) Fix typo in SSL_[gs]et_options().
11913      [Nils Frostberg <nils@medcom.se>]
11914
11915   *) Delete various functions and files that belonged to the (now obsolete)
11916      old X509V3 handling code.
11917      [Steve Henson]
11918
11919   *) New Configure option "rsaref".
11920      [Ulf Möller]
11921
11922   *) Don't auto-generate pem.h.
11923      [Bodo Moeller]
11924
11925   *) Introduce type-safe ASN.1 SETs.
11926      [Ben Laurie]
11927
11928   *) Convert various additional casted stacks to type-safe STACK_OF() variants.
11929      [Ben Laurie, Ralf S. Engelschall, Steve Henson]
11930
11931   *) Introduce type-safe STACKs. This will almost certainly break lots of code
11932      that links with OpenSSL (well at least cause lots of warnings), but fear
11933      not: the conversion is trivial, and it eliminates loads of evil casts. A
11934      few STACKed things have been converted already. Feel free to convert more.
11935      In the fullness of time, I'll do away with the STACK type altogether.
11936      [Ben Laurie]
11937
11938   *) Add `openssl ca -revoke <certfile>' facility which revokes a certificate
11939      specified in <certfile> by updating the entry in the index.txt file.
11940      This way one no longer has to edit the index.txt file manually for
11941      revoking a certificate. The -revoke option does the gory details now.
11942      [Massimiliano Pala <madwolf@openca.org>, Ralf S. Engelschall]
11943
11944   *) Fix `openssl crl -noout -text' combination where `-noout' killed the
11945      `-text' option at all and this way the `-noout -text' combination was
11946      inconsistent in `openssl crl' with the friends in `openssl x509|rsa|dsa'.
11947      [Ralf S. Engelschall]
11948
11949   *) Make sure a corresponding plain text error message exists for the
11950      X509_V_ERR_CERT_REVOKED/23 error number which can occur when a
11951      verify callback function determined that a certificate was revoked.
11952      [Ralf S. Engelschall]
11953
11954   *) Bugfix: In test/testenc, don't test "openssl <cipher>" for
11955      ciphers that were excluded, e.g. by -DNO_IDEA.  Also, test
11956      all available ciphers including rc5, which was forgotten until now.
11957      In order to let the testing shell script know which algorithms
11958      are available, a new (up to now undocumented) command
11959      "openssl list-cipher-commands" is used.
11960      [Bodo Moeller]
11961
11962   *) Bugfix: s_client occasionally would sleep in select() when
11963      it should have checked SSL_pending() first.
11964      [Bodo Moeller]
11965
11966   *) New functions DSA_do_sign and DSA_do_verify to provide access to
11967      the raw DSA values prior to ASN.1 encoding.
11968      [Ulf Möller]
11969
11970   *) Tweaks to Configure
11971      [Niels Poppe <niels@netbox.org>]
11972
11973   *) Add support for PKCS#5 v2.0 ASN1 PBES2 structures. No other support,
11974      yet...
11975      [Steve Henson]
11976
11977   *) New variables $(RANLIB) and $(PERL) in the Makefiles.
11978      [Ulf Möller]
11979
11980   *) New config option to avoid instructions that are illegal on the 80386.
11981      The default code is faster, but requires at least a 486.
11982      [Ulf Möller]
11983
11984   *) Got rid of old SSL2_CLIENT_VERSION (inconsistently used) and
11985      SSL2_SERVER_VERSION (not used at all) macros, which are now the
11986      same as SSL2_VERSION anyway.
11987      [Bodo Moeller]
11988
11989   *) New "-showcerts" option for s_client.
11990      [Bodo Moeller]
11991
11992   *) Still more PKCS#12 integration. Add pkcs12 application to openssl
11993      application. Various cleanups and fixes.
11994      [Steve Henson]
11995
11996   *) More PKCS#12 integration. Add new pkcs12 directory with Makefile.ssl and
11997      modify error routines to work internally. Add error codes and PBE init
11998      to library startup routines.
11999      [Steve Henson]
12000
12001   *) Further PKCS#12 integration. Added password based encryption, PKCS#8 and
12002      packing functions to asn1 and evp. Changed function names and error
12003      codes along the way.
12004      [Steve Henson]
12005
12006   *) PKCS12 integration: and so it begins... First of several patches to
12007      slowly integrate PKCS#12 functionality into OpenSSL. Add PKCS#12
12008      objects to objects.h
12009      [Steve Henson]
12010
12011   *) Add a new 'indent' option to some X509V3 extension code. Initial ASN1
12012      and display support for Thawte strong extranet extension.
12013      [Steve Henson]
12014
12015   *) Add LinuxPPC support.
12016      [Jeff Dubrule <igor@pobox.org>]
12017
12018   *) Get rid of redundant BN file bn_mulw.c, and rename bn_div64 to
12019      bn_div_words in alpha.s.
12020      [Hannes Reinecke <H.Reinecke@hw.ac.uk> and Ben Laurie]
12021
12022   *) Make sure the RSA OAEP test is skipped under -DRSAref because
12023      OAEP isn't supported when OpenSSL is built with RSAref.
12024      [Ulf Moeller <ulf@fitug.de>]
12025
12026   *) Move definitions of IS_SET/IS_SEQUENCE inside crypto/asn1/asn1.h
12027      so they no longer are missing under -DNOPROTO.
12028      [Soren S. Jorvang <soren@t.dk>]
12029
12030
12031  Changes between 0.9.1c and 0.9.2b  [22 Mar 1999]
12032
12033   *) Make SSL_get_peer_cert_chain() work in servers. Unfortunately, it still
12034      doesn't work when the session is reused. Coming soon!
12035      [Ben Laurie]
12036
12037   *) Fix a security hole, that allows sessions to be reused in the wrong
12038      context thus bypassing client cert protection! All software that uses
12039      client certs and session caches in multiple contexts NEEDS PATCHING to
12040      allow session reuse! A fuller solution is in the works.
12041      [Ben Laurie, problem pointed out by Holger Reif, Bodo Moeller (and ???)]
12042
12043   *) Some more source tree cleanups (removed obsolete files
12044      crypto/bf/asm/bf586.pl, test/test.txt and crypto/sha/asm/f.s; changed
12045      permission on "config" script to be executable) and a fix for the INSTALL
12046      document.
12047      [Ulf Moeller <ulf@fitug.de>]
12048
12049   *) Remove some legacy and erroneous uses of malloc, free instead of
12050      Malloc, Free.
12051      [Lennart Bang <lob@netstream.se>, with minor changes by Steve]
12052
12053   *) Make rsa_oaep_test return non-zero on error.
12054      [Ulf Moeller <ulf@fitug.de>]
12055
12056   *) Add support for native Solaris shared libraries. Configure
12057      solaris-sparc-sc4-pic, make, then run shlib/solaris-sc4.sh. It'd be nice
12058      if someone would make that last step automatic.
12059      [Matthias Loepfe <Matthias.Loepfe@AdNovum.CH>]
12060
12061   *) ctx_size was not built with the right compiler during "make links". Fixed.
12062      [Ben Laurie]
12063
12064   *) Change the meaning of 'ALL' in the cipher list. It now means "everything
12065      except NULL ciphers". This means the default cipher list will no longer
12066      enable NULL ciphers. They need to be specifically enabled e.g. with
12067      the string "DEFAULT:eNULL".
12068      [Steve Henson]
12069
12070   *) Fix to RSA private encryption routines: if p < q then it would
12071      occasionally produce an invalid result. This will only happen with
12072      externally generated keys because OpenSSL (and SSLeay) ensure p > q.
12073      [Steve Henson]
12074
12075   *) Be less restrictive and allow also `perl util/perlpath.pl
12076      /path/to/bin/perl' in addition to `perl util/perlpath.pl /path/to/bin',
12077      because this way one can also use an interpreter named `perl5' (which is
12078      usually the name of Perl 5.xxx on platforms where an Perl 4.x is still
12079      installed as `perl').
12080      [Matthias Loepfe <Matthias.Loepfe@adnovum.ch>]
12081
12082   *) Let util/clean-depend.pl work also with older Perl 5.00x versions.
12083      [Matthias Loepfe <Matthias.Loepfe@adnovum.ch>]
12084
12085   *) Fix Makefile.org so CC,CFLAG etc are passed to 'make links' add
12086      advapi32.lib to Win32 build and change the pem test comparison
12087      to fc.exe (thanks to Ulrich Kroener <kroneru@yahoo.com> for the
12088      suggestion). Fix misplaced ASNI prototypes and declarations in evp.h
12089      and crypto/des/ede_cbcm_enc.c.
12090      [Steve Henson]
12091
12092   *) DES quad checksum was broken on big-endian architectures. Fixed.
12093      [Ben Laurie]
12094
12095   *) Comment out two functions in bio.h that aren't implemented. Fix up the
12096      Win32 test batch file so it (might) work again. The Win32 test batch file
12097      is horrible: I feel ill....
12098      [Steve Henson]
12099
12100   *) Move various #ifdefs around so NO_SYSLOG, NO_DIRENT etc are now selected
12101      in e_os.h. Audit of header files to check ANSI and non ANSI
12102      sections: 10 functions were absent from non ANSI section and not exported
12103      from Windows DLLs. Fixed up libeay.num for new functions.
12104      [Steve Henson]
12105
12106   *) Make `openssl version' output lines consistent.
12107      [Ralf S. Engelschall]
12108
12109   *) Fix Win32 symbol export lists for BIO functions: Added
12110      BIO_get_ex_new_index, BIO_get_ex_num, BIO_get_ex_data and BIO_set_ex_data
12111      to ms/libeay{16,32}.def.
12112      [Ralf S. Engelschall]
12113
12114   *) Second round of fixing the OpenSSL perl/ stuff. It now at least compiled
12115      fine under Unix and passes some trivial tests I've now added. But the
12116      whole stuff is horribly incomplete, so a README.1ST with a disclaimer was
12117      added to make sure no one expects that this stuff really works in the
12118      OpenSSL 0.9.2 release.  Additionally I've started to clean the XS sources
12119      up and fixed a few little bugs and inconsistencies in OpenSSL.{pm,xs} and
12120      openssl_bio.xs.
12121      [Ralf S. Engelschall]
12122
12123   *) Fix the generation of two part addresses in perl.
12124      [Kenji Miyake <kenji@miyake.org>, integrated by Ben Laurie]
12125
12126   *) Add config entry for Linux on MIPS.
12127      [John Tobey <jtobey@channel1.com>]
12128
12129   *) Make links whenever Configure is run, unless we are on Windoze.
12130      [Ben Laurie]
12131
12132   *) Permit extensions to be added to CRLs using crl_section in openssl.cnf.
12133      Currently only issuerAltName and AuthorityKeyIdentifier make any sense
12134      in CRLs.
12135      [Steve Henson]
12136
12137   *) Add a useful kludge to allow package maintainers to specify compiler and
12138      other platforms details on the command line without having to patch the
12139      Configure script everytime: One now can use ``perl Configure
12140      <id>:<details>'', i.e. platform ids are allowed to have details appended
12141      to them (separated by colons). This is treated as there would be a static
12142      pre-configured entry in Configure's %table under key <id> with value
12143      <details> and ``perl Configure <id>'' is called.  So, when you want to
12144      perform a quick test-compile under FreeBSD 3.1 with pgcc and without
12145      assembler stuff you can use ``perl Configure "FreeBSD-elf:pgcc:-O6:::"''
12146      now, which overrides the FreeBSD-elf entry on-the-fly.
12147      [Ralf S. Engelschall]
12148
12149   *) Disable new TLS1 ciphersuites by default: they aren't official yet.
12150      [Ben Laurie]
12151
12152   *) Allow DSO flags like -fpic, -fPIC, -KPIC etc. to be specified
12153      on the `perl Configure ...' command line. This way one can compile
12154      OpenSSL libraries with Position Independent Code (PIC) which is needed
12155      for linking it into DSOs.
12156      [Ralf S. Engelschall]
12157
12158   *) Remarkably, export ciphers were totally broken and no-one had noticed!
12159      Fixed.
12160      [Ben Laurie]
12161
12162   *) Cleaned up the LICENSE document: The official contact for any license
12163      questions now is the OpenSSL core team under openssl-core@openssl.org.
12164      And add a paragraph about the dual-license situation to make sure people
12165      recognize that _BOTH_ the OpenSSL license _AND_ the SSLeay license apply
12166      to the OpenSSL toolkit.
12167      [Ralf S. Engelschall]
12168
12169   *) General source tree makefile cleanups: Made `making xxx in yyy...'
12170      display consistent in the source tree and replaced `/bin/rm' by `rm'.
12171      Additionally cleaned up the `make links' target: Remove unnecessary
12172      semicolons, subsequent redundant removes, inline point.sh into mklink.sh
12173      to speed processing and no longer clutter the display with confusing
12174      stuff. Instead only the actually done links are displayed.
12175      [Ralf S. Engelschall]
12176
12177   *) Permit null encryption ciphersuites, used for authentication only. It used
12178      to be necessary to set the preprocessor define SSL_ALLOW_ENULL to do this.
12179      It is now necessary to set SSL_FORBID_ENULL to prevent the use of null
12180      encryption.
12181      [Ben Laurie]
12182
12183   *) Add a bunch of fixes to the PKCS#7 stuff. It used to sometimes reorder
12184      signed attributes when verifying signatures (this would break them),
12185      the detached data encoding was wrong and public keys obtained using
12186      X509_get_pubkey() weren't freed.
12187      [Steve Henson]
12188
12189   *) Add text documentation for the BUFFER functions. Also added a work around
12190      to a Win95 console bug. This was triggered by the password read stuff: the
12191      last character typed gets carried over to the next fread(). If you were
12192      generating a new cert request using 'req' for example then the last
12193      character of the passphrase would be CR which would then enter the first
12194      field as blank.
12195      [Steve Henson]
12196
12197   *) Added the new `Includes OpenSSL Cryptography Software' button as
12198      doc/openssl_button.{gif,html} which is similar in style to the old SSLeay
12199      button and can be used by applications based on OpenSSL to show the
12200      relationship to the OpenSSL project.
12201      [Ralf S. Engelschall]
12202
12203   *) Remove confusing variables in function signatures in files
12204      ssl/ssl_lib.c and ssl/ssl.h.
12205      [Lennart Bong <lob@kulthea.stacken.kth.se>]
12206
12207   *) Don't install bss_file.c under PREFIX/include/
12208      [Lennart Bong <lob@kulthea.stacken.kth.se>]
12209
12210   *) Get the Win32 compile working again. Modify mkdef.pl so it can handle
12211      functions that return function pointers and has support for NT specific
12212      stuff. Fix mk1mf.pl and VC-32.pl to support NT differences also. Various
12213      #ifdef WIN32 and WINNTs sprinkled about the place and some changes from
12214      unsigned to signed types: this was killing the Win32 compile.
12215      [Steve Henson]
12216
12217   *) Add new certificate file to stack functions,
12218      SSL_add_dir_cert_subjects_to_stack() and
12219      SSL_add_file_cert_subjects_to_stack().  These largely supplant
12220      SSL_load_client_CA_file(), and can be used to add multiple certs easily
12221      to a stack (usually this is then handed to SSL_CTX_set_client_CA_list()).
12222      This means that Apache-SSL and similar packages don't have to mess around
12223      to add as many CAs as they want to the preferred list.
12224      [Ben Laurie]
12225
12226   *) Experiment with doxygen documentation. Currently only partially applied to
12227      ssl/ssl_lib.c.
12228      See http://www.stack.nl/~dimitri/doxygen/index.html, and run doxygen with
12229      openssl.doxy as the configuration file.
12230      [Ben Laurie]
12231
12232   *) Get rid of remaining C++-style comments which strict C compilers hate.
12233      [Ralf S. Engelschall, pointed out by Carlos Amengual]
12234
12235   *) Changed BN_RECURSION in bn_mont.c to BN_RECURSION_MONT so it is not
12236      compiled in by default: it has problems with large keys.
12237      [Steve Henson]
12238
12239   *) Add a bunch of SSL_xxx() functions for configuring the temporary RSA and
12240      DH private keys and/or callback functions which directly correspond to
12241      their SSL_CTX_xxx() counterparts but work on a per-connection basis. This
12242      is needed for applications which have to configure certificates on a
12243      per-connection basis (e.g. Apache+mod_ssl) instead of a per-context basis
12244      (e.g. s_server).
12245         For the RSA certificate situation is makes no difference, but
12246      for the DSA certificate situation this fixes the "no shared cipher"
12247      problem where the OpenSSL cipher selection procedure failed because the
12248      temporary keys were not overtaken from the context and the API provided
12249      no way to reconfigure them.
12250         The new functions now let applications reconfigure the stuff and they
12251      are in detail: SSL_need_tmp_RSA, SSL_set_tmp_rsa, SSL_set_tmp_dh,
12252      SSL_set_tmp_rsa_callback and SSL_set_tmp_dh_callback.  Additionally a new
12253      non-public-API function ssl_cert_instantiate() is used as a helper
12254      function and also to reduce code redundancy inside ssl_rsa.c.
12255      [Ralf S. Engelschall]
12256
12257   *) Move s_server -dcert and -dkey options out of the undocumented feature
12258      area because they are useful for the DSA situation and should be
12259      recognized by the users.
12260      [Ralf S. Engelschall]
12261
12262   *) Fix the cipher decision scheme for export ciphers: the export bits are
12263      *not* within SSL_MKEY_MASK or SSL_AUTH_MASK, they are within
12264      SSL_EXP_MASK.  So, the original variable has to be used instead of the
12265      already masked variable.
12266      [Richard Levitte <levitte@stacken.kth.se>]
12267
12268   *) Fix 'port' variable from `int' to `unsigned int' in crypto/bio/b_sock.c
12269      [Richard Levitte <levitte@stacken.kth.se>]
12270
12271   *) Change type of another md_len variable in pk7_doit.c:PKCS7_dataFinal()
12272      from `int' to `unsigned int' because it's a length and initialized by
12273      EVP_DigestFinal() which expects an `unsigned int *'.
12274      [Richard Levitte <levitte@stacken.kth.se>]
12275
12276   *) Don't hard-code path to Perl interpreter on shebang line of Configure
12277      script. Instead use the usual Shell->Perl transition trick.
12278      [Ralf S. Engelschall]
12279
12280   *) Make `openssl x509 -noout -modulus' functional also for DSA certificates
12281      (in addition to RSA certificates) to match the behaviour of `openssl dsa
12282      -noout -modulus' as it's already the case for `openssl rsa -noout
12283      -modulus'.  For RSA the -modulus is the real "modulus" while for DSA
12284      currently the public key is printed (a decision which was already done by
12285      `openssl dsa -modulus' in the past) which serves a similar purpose.
12286      Additionally the NO_RSA no longer completely removes the whole -modulus
12287      option; it now only avoids using the RSA stuff. Same applies to NO_DSA
12288      now, too.
12289      [Ralf S.  Engelschall]
12290
12291   *) Add Arne Ansper's reliable BIO - this is an encrypted, block-digested
12292      BIO. See the source (crypto/evp/bio_ok.c) for more info.
12293      [Arne Ansper <arne@ats.cyber.ee>]
12294
12295   *) Dump the old yucky req code that tried (and failed) to allow raw OIDs
12296      to be added. Now both 'req' and 'ca' can use new objects defined in the
12297      config file.
12298      [Steve Henson]
12299
12300   *) Add cool BIO that does syslog (or event log on NT).
12301      [Arne Ansper <arne@ats.cyber.ee>, integrated by Ben Laurie]
12302
12303   *) Add support for new TLS ciphersuites, TLS_RSA_EXPORT56_WITH_RC4_56_MD5,
12304      TLS_RSA_EXPORT56_WITH_RC2_CBC_56_MD5 and
12305      TLS_RSA_EXPORT56_WITH_DES_CBC_SHA, as specified in "56-bit Export Cipher
12306      Suites For TLS", draft-ietf-tls-56-bit-ciphersuites-00.txt.
12307      [Ben Laurie]
12308
12309   *) Add preliminary config info for new extension code.
12310      [Steve Henson]
12311
12312   *) Make RSA_NO_PADDING really use no padding.
12313      [Ulf Moeller <ulf@fitug.de>]
12314
12315   *) Generate errors when private/public key check is done.
12316      [Ben Laurie]
12317
12318   *) Overhaul for 'crl' utility. New function X509_CRL_print. Partial support
12319      for some CRL extensions and new objects added.
12320      [Steve Henson]
12321
12322   *) Really fix the ASN1 IMPLICIT bug this time... Partial support for private
12323      key usage extension and fuller support for authority key id.
12324      [Steve Henson]
12325
12326   *) Add OAEP encryption for the OpenSSL crypto library. OAEP is the improved
12327      padding method for RSA, which is recommended for new applications in PKCS
12328      #1 v2.0 (RFC 2437, October 1998).
12329      OAEP (Optimal Asymmetric Encryption Padding) has better theoretical
12330      foundations than the ad-hoc padding used in PKCS #1 v1.5. It is secure
12331      against Bleichbacher's attack on RSA.
12332      [Ulf Moeller <ulf@fitug.de>, reformatted, corrected and integrated by
12333       Ben Laurie]
12334
12335   *) Updates to the new SSL compression code
12336      [Eric A. Young, (from changes to C2Net SSLeay, integrated by Mark Cox)]
12337
12338   *) Fix so that the version number in the master secret, when passed
12339      via RSA, checks that if TLS was proposed, but we roll back to SSLv3
12340      (because the server will not accept higher), that the version number
12341      is 0x03,0x01, not 0x03,0x00
12342      [Eric A. Young, (from changes to C2Net SSLeay, integrated by Mark Cox)]
12343
12344   *) Run extensive memory leak checks on SSL apps. Fixed *lots* of memory
12345      leaks in ssl/ relating to new X509_get_pubkey() behaviour. Also fixes
12346      in apps/ and an unrelated leak in crypto/dsa/dsa_vrf.c
12347      [Steve Henson]
12348
12349   *) Support for RAW extensions where an arbitrary extension can be
12350      created by including its DER encoding. See apps/openssl.cnf for
12351      an example.
12352      [Steve Henson]
12353
12354   *) Make sure latest Perl versions don't interpret some generated C array
12355      code as Perl array code in the crypto/err/err_genc.pl script.
12356      [Lars Weber <3weber@informatik.uni-hamburg.de>]
12357
12358   *) Modify ms/do_ms.bat to not generate assembly language makefiles since
12359      not many people have the assembler. Various Win32 compilation fixes and
12360      update to the INSTALL.W32 file with (hopefully) more accurate Win32
12361      build instructions.
12362      [Steve Henson]
12363
12364   *) Modify configure script 'Configure' to automatically create crypto/date.h
12365      file under Win32 and also build pem.h from pem.org. New script
12366      util/mkfiles.pl to create the MINFO file on environments that can't do a
12367      'make files': perl util/mkfiles.pl >MINFO should work.
12368      [Steve Henson]
12369
12370   *) Major rework of DES function declarations, in the pursuit of correctness
12371      and purity. As a result, many evil casts evaporated, and some weirdness,
12372      too. You may find this causes warnings in your code. Zapping your evil
12373      casts will probably fix them. Mostly.
12374      [Ben Laurie]
12375
12376   *) Fix for a typo in asn1.h. Bug fix to object creation script
12377      obj_dat.pl. It considered a zero in an object definition to mean
12378      "end of object": none of the objects in objects.h have any zeros
12379      so it wasn't spotted.
12380      [Steve Henson, reported by Erwann ABALEA <eabalea@certplus.com>]
12381
12382   *) Add support for Triple DES Cipher Block Chaining with Output Feedback
12383      Masking (CBCM). In the absence of test vectors, the best I have been able
12384      to do is check that the decrypt undoes the encrypt, so far. Send me test
12385      vectors if you have them.
12386      [Ben Laurie]
12387
12388   *) Correct calculation of key length for export ciphers (too much space was
12389      allocated for null ciphers). This has not been tested!
12390      [Ben Laurie]
12391
12392   *) Modifications to the mkdef.pl for Win32 DEF file creation. The usage
12393      message is now correct (it understands "crypto" and "ssl" on its
12394      command line). There is also now an "update" option. This will update
12395      the util/ssleay.num and util/libeay.num files with any new functions.
12396      If you do a:
12397      perl util/mkdef.pl crypto ssl update
12398      it will update them.
12399      [Steve Henson]
12400
12401   *) Overhauled the Perl interface (perl/*):
12402      - ported BN stuff to OpenSSL's different BN library
12403      - made the perl/ source tree CVS-aware
12404      - renamed the package from SSLeay to OpenSSL (the files still contain
12405        their history because I've copied them in the repository)
12406      - removed obsolete files (the test scripts will be replaced
12407        by better Test::Harness variants in the future)
12408      [Ralf S. Engelschall]
12409
12410   *) First cut for a very conservative source tree cleanup:
12411      1. merge various obsolete readme texts into doc/ssleay.txt
12412      where we collect the old documents and readme texts.
12413      2. remove the first part of files where I'm already sure that we no
12414      longer need them because of three reasons: either they are just temporary
12415      files which were left by Eric or they are preserved original files where
12416      I've verified that the diff is also available in the CVS via "cvs diff
12417      -rSSLeay_0_8_1b" or they were renamed (as it was definitely the case for
12418      the crypto/md/ stuff).
12419      [Ralf S. Engelschall]
12420
12421   *) More extension code. Incomplete support for subject and issuer alt
12422      name, issuer and authority key id. Change the i2v function parameters
12423      and add an extra 'crl' parameter in the X509V3_CTX structure: guess
12424      what that's for :-) Fix to ASN1 macro which messed up
12425      IMPLICIT tag and add f_enum.c which adds a2i, i2a for ENUMERATED.
12426      [Steve Henson]
12427
12428   *) Preliminary support for ENUMERATED type. This is largely copied from the
12429      INTEGER code.
12430      [Steve Henson]
12431
12432   *) Add new function, EVP_MD_CTX_copy() to replace frequent use of memcpy.
12433      [Eric A. Young, (from changes to C2Net SSLeay, integrated by Mark Cox)]
12434
12435   *) Make sure `make rehash' target really finds the `openssl' program.
12436      [Ralf S. Engelschall, Matthias Loepfe <Matthias.Loepfe@adnovum.ch>]
12437
12438   *) Squeeze another 7% of speed out of MD5 assembler, at least on a P2. I'd
12439      like to hear about it if this slows down other processors.
12440      [Ben Laurie]
12441
12442   *) Add CygWin32 platform information to Configure script.
12443      [Alan Batie <batie@aahz.jf.intel.com>]
12444
12445   *) Fixed ms/32all.bat script: `no_asm' -> `no-asm'
12446      [Rainer W. Gerling <gerling@mpg-gv.mpg.de>]
12447
12448   *) New program nseq to manipulate netscape certificate sequences
12449      [Steve Henson]
12450
12451   *) Modify crl2pkcs7 so it supports multiple -certfile arguments. Fix a
12452      few typos.
12453      [Steve Henson]
12454
12455   *) Fixes to BN code.  Previously the default was to define BN_RECURSION
12456      but the BN code had some problems that would cause failures when
12457      doing certificate verification and some other functions.
12458      [Eric A. Young, (from changes to C2Net SSLeay, integrated by Mark Cox)]
12459
12460   *) Add ASN1 and PEM code to support netscape certificate sequences.
12461      [Steve Henson]
12462
12463   *) Add ASN1 and PEM code to support netscape certificate sequences.
12464      [Steve Henson]
12465
12466   *) Add several PKIX and private extended key usage OIDs.
12467      [Steve Henson]
12468
12469   *) Modify the 'ca' program to handle the new extension code. Modify
12470      openssl.cnf for new extension format, add comments.
12471      [Steve Henson]
12472
12473   *) More X509 V3 changes. Fix typo in v3_bitstr.c. Add support to 'req'
12474      and add a sample to openssl.cnf so req -x509 now adds appropriate
12475      CA extensions.
12476      [Steve Henson]
12477
12478   *) Continued X509 V3 changes. Add to other makefiles, integrate with the
12479      error code, add initial support to X509_print() and x509 application.
12480      [Steve Henson]
12481
12482   *) Takes a deep breath and start adding X509 V3 extension support code. Add
12483      files in crypto/x509v3. Move original stuff to crypto/x509v3/old. All this
12484      stuff is currently isolated and isn't even compiled yet.
12485      [Steve Henson]
12486
12487   *) Continuing patches for GeneralizedTime. Fix up certificate and CRL
12488      ASN1 to use ASN1_TIME and modify print routines to use ASN1_TIME_print.
12489      Removed the versions check from X509 routines when loading extensions:
12490      this allows certain broken certificates that don't set the version
12491      properly to be processed.
12492      [Steve Henson]
12493
12494   *) Deal with irritating shit to do with dependencies, in YAAHW (Yet Another
12495      Ad Hoc Way) - Makefile.ssls now all contain local dependencies, which
12496      can still be regenerated with "make depend".
12497      [Ben Laurie]
12498
12499   *) Spelling mistake in C version of CAST-128.
12500      [Ben Laurie, reported by Jeremy Hylton <jeremy@cnri.reston.va.us>]
12501
12502   *) Changes to the error generation code. The perl script err-code.pl
12503      now reads in the old error codes and retains the old numbers, only
12504      adding new ones if necessary. It also only changes the .err files if new
12505      codes are added. The makefiles have been modified to only insert errors
12506      when needed (to avoid needlessly modifying header files). This is done
12507      by only inserting errors if the .err file is newer than the auto generated
12508      C file. To rebuild all the error codes from scratch (the old behaviour)
12509      either modify crypto/Makefile.ssl to pass the -regen flag to err_code.pl
12510      or delete all the .err files.
12511      [Steve Henson]
12512
12513   *) CAST-128 was incorrectly implemented for short keys. The C version has
12514      been fixed, but is untested. The assembler versions are also fixed, but
12515      new assembler HAS NOT BEEN GENERATED FOR WIN32 - the Makefile needs fixing
12516      to regenerate it if needed.
12517      [Ben Laurie, reported (with fix for C version) by Jun-ichiro itojun
12518       Hagino <itojun@kame.net>]
12519
12520   *) File was opened incorrectly in randfile.c.
12521      [Ulf Möller <ulf@fitug.de>]
12522
12523   *) Beginning of support for GeneralizedTime. d2i, i2d, check and print
12524      functions. Also ASN1_TIME suite which is a CHOICE of UTCTime or
12525      GeneralizedTime. ASN1_TIME is the proper type used in certificates et
12526      al: it's just almost always a UTCTime. Note this patch adds new error
12527      codes so do a "make errors" if there are problems.
12528      [Steve Henson]
12529
12530   *) Correct Linux 1 recognition in config.
12531      [Ulf Möller <ulf@fitug.de>]
12532
12533   *) Remove pointless MD5 hash when using DSA keys in ca.
12534      [Anonymous <nobody@replay.com>]
12535
12536   *) Generate an error if given an empty string as a cert directory. Also
12537      generate an error if handed NULL (previously returned 0 to indicate an
12538      error, but didn't set one).
12539      [Ben Laurie, reported by Anonymous <nobody@replay.com>]
12540
12541   *) Add prototypes to SSL methods. Make SSL_write's buffer const, at last.
12542      [Ben Laurie]
12543
12544   *) Fix the dummy function BN_ref_mod_exp() in rsaref.c to have the correct
12545      parameters. This was causing a warning which killed off the Win32 compile.
12546      [Steve Henson]
12547
12548   *) Remove C++ style comments from crypto/bn/bn_local.h.
12549      [Neil Costigan <neil.costigan@celocom.com>]
12550
12551   *) The function OBJ_txt2nid was broken. It was supposed to return a nid
12552      based on a text string, looking up short and long names and finally
12553      "dot" format. The "dot" format stuff didn't work. Added new function
12554      OBJ_txt2obj to do the same but return an ASN1_OBJECT and rewrote
12555      OBJ_txt2nid to use it. OBJ_txt2obj can also return objects even if the
12556      OID is not part of the table.
12557      [Steve Henson]
12558
12559   *) Add prototypes to X509 lookup/verify methods, fixing a bug in
12560      X509_LOOKUP_by_alias().
12561      [Ben Laurie]
12562
12563   *) Sort openssl functions by name.
12564      [Ben Laurie]
12565
12566   *) Get the gendsa program working (hopefully) and add it to app list. Remove
12567      encryption from sample DSA keys (in case anyone is interested the password
12568      was "1234").
12569      [Steve Henson]
12570
12571   *) Make _all_ *_free functions accept a NULL pointer.
12572      [Frans Heymans <fheymans@isaserver.be>]
12573
12574   *) If a DH key is generated in s3_srvr.c, don't blow it by trying to use
12575      NULL pointers.
12576      [Anonymous <nobody@replay.com>]
12577
12578   *) s_server should send the CAfile as acceptable CAs, not its own cert.
12579      [Bodo Moeller <3moeller@informatik.uni-hamburg.de>]
12580
12581   *) Don't blow it for numeric -newkey arguments to apps/req.
12582      [Bodo Moeller <3moeller@informatik.uni-hamburg.de>]
12583
12584   *) Temp key "for export" tests were wrong in s3_srvr.c.
12585      [Anonymous <nobody@replay.com>]
12586
12587   *) Add prototype for temp key callback functions
12588      SSL_CTX_set_tmp_{rsa,dh}_callback().
12589      [Ben Laurie]
12590
12591   *) Make DH_free() tolerate being passed a NULL pointer (like RSA_free() and
12592      DSA_free()). Make X509_PUBKEY_set() check for errors in d2i_PublicKey().
12593      [Steve Henson]
12594
12595   *) X509_name_add_entry() freed the wrong thing after an error.
12596      [Arne Ansper <arne@ats.cyber.ee>]
12597
12598   *) rsa_eay.c would attempt to free a NULL context.
12599      [Arne Ansper <arne@ats.cyber.ee>]
12600
12601   *) BIO_s_socket() had a broken should_retry() on Windoze.
12602      [Arne Ansper <arne@ats.cyber.ee>]
12603
12604   *) BIO_f_buffer() didn't pass on BIO_CTRL_FLUSH.
12605      [Arne Ansper <arne@ats.cyber.ee>]
12606
12607   *) Make sure the already existing X509_STORE->depth variable is initialized
12608      in X509_STORE_new(), but document the fact that this variable is still
12609      unused in the certificate verification process.
12610      [Ralf S. Engelschall]
12611
12612   *) Fix the various library and apps files to free up pkeys obtained from
12613      X509_PUBKEY_get() et al. Also allow x509.c to handle netscape extensions.
12614      [Steve Henson]
12615
12616   *) Fix reference counting in X509_PUBKEY_get(). This makes
12617      demos/maurice/example2.c work, amongst others, probably.
12618      [Steve Henson and Ben Laurie]
12619
12620   *) First cut of a cleanup for apps/. First the `ssleay' program is now named
12621      `openssl' and second, the shortcut symlinks for the `openssl <command>'
12622      are no longer created. This way we have a single and consistent command
12623      line interface `openssl <command>', similar to `cvs <command>'.
12624      [Ralf S. Engelschall, Paul Sutton and Ben Laurie]
12625
12626   *) ca.c: move test for DSA keys inside #ifndef NO_DSA. Make pubkey
12627      BIT STRING wrapper always have zero unused bits.
12628      [Steve Henson]
12629
12630   *) Add CA.pl, perl version of CA.sh, add extended key usage OID.
12631      [Steve Henson]
12632
12633   *) Make the top-level INSTALL documentation easier to understand.
12634      [Paul Sutton]
12635
12636   *) Makefiles updated to exit if an error occurs in a sub-directory
12637      make (including if user presses ^C) [Paul Sutton]
12638
12639   *) Make Montgomery context stuff explicit in RSA data structure.
12640      [Ben Laurie]
12641
12642   *) Fix build order of pem and err to allow for generated pem.h.
12643      [Ben Laurie]
12644
12645   *) Fix renumbering bug in X509_NAME_delete_entry().
12646      [Ben Laurie]
12647
12648   *) Enhanced the err-ins.pl script so it makes the error library number
12649      global and can add a library name. This is needed for external ASN1 and
12650      other error libraries.
12651      [Steve Henson]
12652
12653   *) Fixed sk_insert which never worked properly.
12654      [Steve Henson]
12655
12656   *) Fix ASN1 macros so they can handle indefinite length constructed
12657      EXPLICIT tags. Some non standard certificates use these: they can now
12658      be read in.
12659      [Steve Henson]
12660
12661   *) Merged the various old/obsolete SSLeay documentation files (doc/xxx.doc)
12662      into a single doc/ssleay.txt bundle. This way the information is still
12663      preserved but no longer messes up this directory. Now it's new room for
12664      the new set of documentation files.
12665      [Ralf S. Engelschall]
12666
12667   *) SETs were incorrectly DER encoded. This was a major pain, because they
12668      shared code with SEQUENCEs, which aren't coded the same. This means that
12669      almost everything to do with SETs or SEQUENCEs has either changed name or
12670      number of arguments.
12671      [Ben Laurie, based on a partial fix by GP Jayan <gp@nsj.co.jp>]
12672
12673   *) Fix test data to work with the above.
12674      [Ben Laurie]
12675
12676   *) Fix the RSA header declarations that hid a bug I fixed in 0.9.0b but
12677      was already fixed by Eric for 0.9.1 it seems.
12678      [Ben Laurie - pointed out by Ulf Möller <ulf@fitug.de>]
12679
12680   *) Autodetect FreeBSD3.
12681      [Ben Laurie]
12682
12683   *) Fix various bugs in Configure. This affects the following platforms:
12684      nextstep
12685      ncr-scde
12686      unixware-2.0
12687      unixware-2.0-pentium
12688      sco5-cc.
12689      [Ben Laurie]
12690
12691   *) Eliminate generated files from CVS. Reorder tests to regenerate files
12692      before they are needed.
12693      [Ben Laurie]
12694
12695   *) Generate Makefile.ssl from Makefile.org (to keep CVS happy).
12696      [Ben Laurie]
12697
12698
12699  Changes between 0.9.1b and 0.9.1c  [23-Dec-1998]
12700
12701   *) Added OPENSSL_VERSION_NUMBER to crypto/crypto.h and
12702      changed SSLeay to OpenSSL in version strings.
12703      [Ralf S. Engelschall]
12704
12705   *) Some fixups to the top-level documents.
12706      [Paul Sutton]
12707
12708   *) Fixed the nasty bug where rsaref.h was not found under compile-time
12709      because the symlink to include/ was missing.
12710      [Ralf S. Engelschall]
12711
12712   *) Incorporated the popular no-RSA/DSA-only patches
12713      which allow to compile a RSA-free SSLeay.
12714      [Andrew Cooke / Interrader Ldt., Ralf S. Engelschall]
12715
12716   *) Fixed nasty rehash problem under `make -f Makefile.ssl links'
12717      when "ssleay" is still not found.
12718      [Ralf S. Engelschall]
12719
12720   *) Added more platforms to Configure: Cray T3E, HPUX 11,
12721      [Ralf S. Engelschall, Beckmann <beckman@acl.lanl.gov>]
12722
12723   *) Updated the README file.
12724      [Ralf S. Engelschall]
12725
12726   *) Added various .cvsignore files in the CVS repository subdirs
12727      to make a "cvs update" really silent.
12728      [Ralf S. Engelschall]
12729
12730   *) Recompiled the error-definition header files and added
12731      missing symbols to the Win32 linker tables.
12732      [Ralf S. Engelschall]
12733
12734   *) Cleaned up the top-level documents;
12735      o new files: CHANGES and LICENSE
12736      o merged VERSION, HISTORY* and README* files a CHANGES.SSLeay
12737      o merged COPYRIGHT into LICENSE
12738      o removed obsolete TODO file
12739      o renamed MICROSOFT to INSTALL.W32
12740      [Ralf S. Engelschall]
12741
12742   *) Removed dummy files from the 0.9.1b source tree:
12743      crypto/asn1/x crypto/bio/cd crypto/bio/fg crypto/bio/grep crypto/bio/vi
12744      crypto/bn/asm/......add.c crypto/bn/asm/a.out crypto/dsa/f crypto/md5/f
12745      crypto/pem/gmon.out crypto/perlasm/f crypto/pkcs7/build crypto/rsa/f
12746      crypto/sha/asm/f crypto/threads/f ms/zzz ssl/f ssl/f.mak test/f
12747      util/f.mak util/pl/f util/pl/f.mak crypto/bf/bf_locl.old apps/f
12748      [Ralf S. Engelschall]
12749
12750   *) Added various platform portability fixes.
12751      [Mark J. Cox]
12752
12753   *) The Genesis of the OpenSSL rpject:
12754      We start with the latest (unreleased) SSLeay version 0.9.1b which Eric A.
12755      Young and Tim J. Hudson created while they were working for C2Net until
12756      summer 1998.
12757      [The OpenSSL Project]
12758
12759
12760  Changes between 0.9.0b and 0.9.1b  [not released]
12761
12762   *) Updated a few CA certificates under certs/
12763      [Eric A. Young]
12764
12765   *) Changed some BIGNUM api stuff.
12766      [Eric A. Young]
12767
12768   *) Various platform ports: OpenBSD, Ultrix, IRIX 64bit, NetBSD,
12769      DGUX x86, Linux Alpha, etc.
12770      [Eric A. Young]
12771
12772   *) New COMP library [crypto/comp/] for SSL Record Layer Compression:
12773      RLE (dummy implemented) and ZLIB (really implemented when ZLIB is
12774      available).
12775      [Eric A. Young]
12776
12777   *) Add -strparse option to asn1pars program which parses nested
12778      binary structures
12779      [Dr Stephen Henson <shenson@bigfoot.com>]
12780
12781   *) Added "oid_file" to ssleay.cnf for "ca" and "req" programs.
12782      [Eric A. Young]
12783
12784   *) DSA fix for "ca" program.
12785      [Eric A. Young]
12786
12787   *) Added "-genkey" option to "dsaparam" program.
12788      [Eric A. Young]
12789
12790   *) Added RIPE MD160 (rmd160) message digest.
12791      [Eric A. Young]
12792
12793   *) Added -a (all) option to "ssleay version" command.
12794      [Eric A. Young]
12795
12796   *) Added PLATFORM define which is the id given to Configure.
12797      [Eric A. Young]
12798
12799   *) Added MemCheck_XXXX functions to crypto/mem.c for memory checking.
12800      [Eric A. Young]
12801
12802   *) Extended the ASN.1 parser routines.
12803      [Eric A. Young]
12804
12805   *) Extended BIO routines to support REUSEADDR, seek, tell, etc.
12806      [Eric A. Young]
12807
12808   *) Added a BN_CTX to the BN library.
12809      [Eric A. Young]
12810
12811   *) Fixed the weak key values in DES library
12812      [Eric A. Young]
12813
12814   *) Changed API in EVP library for cipher aliases.
12815      [Eric A. Young]
12816
12817   *) Added support for RC2/64bit cipher.
12818      [Eric A. Young]
12819
12820   *) Converted the lhash library to the crypto/mem.c functions.
12821      [Eric A. Young]
12822
12823   *) Added more recognized ASN.1 object ids.
12824      [Eric A. Young]
12825
12826   *) Added more RSA padding checks for SSL/TLS.
12827      [Eric A. Young]
12828
12829   *) Added BIO proxy/filter functionality.
12830      [Eric A. Young]
12831
12832   *) Added extra_certs to SSL_CTX which can be used
12833      send extra CA certificates to the client in the CA cert chain sending
12834      process. It can be configured with SSL_CTX_add_extra_chain_cert().
12835      [Eric A. Young]
12836
12837   *) Now Fortezza is denied in the authentication phase because
12838      this is key exchange mechanism is not supported by SSLeay at all.
12839      [Eric A. Young]
12840
12841   *) Additional PKCS1 checks.
12842      [Eric A. Young]
12843
12844   *) Support the string "TLSv1" for all TLS v1 ciphers.
12845      [Eric A. Young]
12846
12847   *) Added function SSL_get_ex_data_X509_STORE_CTX_idx() which gives the
12848      ex_data index of the SSL context in the X509_STORE_CTX ex_data.
12849      [Eric A. Young]
12850
12851   *) Fixed a few memory leaks.
12852      [Eric A. Young]
12853
12854   *) Fixed various code and comment typos.
12855      [Eric A. Young]
12856
12857   *) A minor bug in ssl/s3_clnt.c where there would always be 4 0
12858      bytes sent in the client random.
12859      [Edward Bishop <ebishop@spyglass.com>]
12860