Fixes for CVE-2006-6235
[gnupg.git] / NEWS
1 Noteworthy changes in version 2.0.2 (unreleased)
2 ------------------------------------------------
3
4  * Fixed a serious and exploitable bug in processing encrypted
5    packages. [CVE-2006-6235].
6
7  * Added --passphrase-repeat to set the number of times GPG will
8    prompt for a new passphrase to be repeated.  This is useful to help
9    memorize a new passphrase.  The default is 1 repetition.
10
11
12 Noteworthy changes in version 2.0.1 (2006-11-28)
13 ------------------------------------------------
14
15  * Experimental support for the PIN pads of the SPR 532 and the Kaan
16    Advanced card readers.  Add "disable-keypad" scdaemon.conf if you
17    don't want it.  Does currently only work for the OpenPGP card and
18    its authentication and decrypt keys.
19
20  * Fixed build problems on some some platforms and crashes on amd64.
21
22  * Fixed a buffer overflow in gpg2. [bug#728,CVE-2006-6169]
23
24
25 Noteworthy changes in version 2.0.0 (2006-11-11)
26 ------------------------------------------------
27
28  * First stable version of a GnuPG integrating OpenPGP and S/MIME.
29
30
31 Noteworthy changes in version 1.9.95 (2006-11-06)
32 -------------------------------------------------
33
34  * Minor bug fixes.
35
36
37 Noteworthy changes in version 1.9.94 (2006-10-24)
38 -------------------------------------------------
39
40  * Keys for gpgsm may now be specified using a keygrip.  A keygrip is
41    indicated by a prefixing it with an ampersand.
42
43  * gpgconf now supports switching the CMS cipher algo (e.g. to AES).
44
45  * New command --gpgconf-test for all major tools. This may be used to
46    check whether the configuration file is sane.
47
48
49 Noteworthy changes in version 1.9.93 (2006-10-18)
50 -------------------------------------------------
51
52  * In --with-validation mode gpgsm will now also ask whether a root
53    certificate should be trusted.
54
55  * Link to Pth only if really necessary.
56
57  * Fixed a pubring corruption bug in gpg2 occurring when importing
58    signatures or keys with insane lengths.
59
60  * Fixed v3 keyID calculation bug in gpg2.
61
62  * More tweaks for certificates without extensions.
63
64
65 Noteworthy changes in version 1.9.92 (2006-10-11)
66 -------------------------------------------------
67
68  * Bug fixes.
69
70
71 Noteworthy changes in version 1.9.91 (2006-10-04)
72 -------------------------------------------------
73
74  * New "relax" flag for trustlist.txt to allow root CA certificates
75    without BasicContraints.
76
77  * [gpg2] Removed the -k PGP 2 compatibility hack.  -k is now an
78    alias for --list-keys.
79
80  * [gpg2] Print a warning if "-sat" is used instead of "--clearsign".
81
82
83 Noteworthy changes in version 1.9.90 (2006-09-25)
84 -------------------------------------------------
85
86  * Made readline work for gpg.
87
88  * Cleanups und minor bug fixes.
89
90  * Included translations from gnupg 1.4.5.
91
92
93 Noteworthy changes in version 1.9.23 (2006-09-18)
94 -------------------------------------------------
95
96  * Regular man pages for most tools are now build directly from the
97    Texinfo source.
98
99  * The gpg code from 1.4.5 has been fully merged into this release.
100    The configure option --enable-gpg is still required to build this
101    gpg part.  For production use of OpenPGP the gpg version 1.4.5 is
102    still recommended.  Note, that gpg will be installed under the name
103    gpg2 to allow coexisting with an 1.4.x gpg.
104
105  * API change in gpg-agent's pkdecrypt command.  Thus an older gpgsm
106    may not be used with the current gpg-agent.
107
108  * The scdaemon will now call a script on reader status changes.
109
110  * gpgsm now allows file descriptor passing for "INPUT", "OUTPUT" and
111    "MESSAGE".
112
113  * The gpgsm server may now output a key listing to the output file
114    handle. This needs to be enabled using "OPTION list-to-output=1".
115
116  * The --output option of gpgsm has now an effect on list-keys.
117
118  * New gpgsm commands --dump-chain and list-chain.
119
120  * gpg-connect-agent has new options to utilize descriptor passing.
121
122  * A global trustlist may now be used.  See doc/examples/trustlist.txt.
123
124  * When creating a new pubring.kbx keybox common certificates are
125    imported.
126
127
128 Noteworthy changes in version 1.9.22 (2006-07-27)
129 -------------------------------------------------
130
131  * Enhanced pkcs#12 support to allow import from simple keyBags.
132
133  * Exporting to pkcs#12 now create bag attributes so that Mozilla is
134    able to import the files.
135
136  * Fixed uploading of certain keys to the smart card.
137
138
139 Noteworthy changes in version 1.9.21 (2006-06-20)
140 -------------------------------------------------
141
142  * New command APDU for scdaemon to allow using it for general card
143    access.  Might be used through gpg-connect-agent by using the SCD
144    prefix command.
145
146  * Support for the CardMan 4040 PCMCIA reader (Linux 2.6.15 required).
147
148  * Scdaemon does not anymore reset cards at the end of a connection. 
149
150  * Kludge to allow use of Bundesnetzagentur issued X.509 certificates.
151
152  * Added --hash=xxx option to scdaemon's PKSIGN command.
153
154  * Pkcs#12 files are now created with a MAC.  This is for better
155    interoperability.
156
157  * Collected bug fixes and minor other changes.
158
159
160 Noteworthy changes in version 1.9.20 (2005-12-20)
161 -------------------------------------------------
162
163  * Importing pkcs#12 files created be recent versions of Mozilla works
164    again.
165
166  * Basic support for qualified signatures.
167
168  * New debug tool gpgparsemail. 
169
170
171 Noteworthy changes in version 1.9.19 (2005-09-12)
172 -------------------------------------------------
173
174  * The Belgian eID card is now supported for signatures and ssh.
175    Other pkcs#15 cards should work as well.
176
177  * Fixed bug in --export-secret-key-p12 so that certificates are again
178    included.
179
180
181 Noteworthy changes in version 1.9.18 (2005-08-01)
182 -------------------------------------------------
183
184  * [gpgsm] Now allows for more than one email address as well as URIs
185    and dnsNames in certificate request generation.  A keygrip may be
186    given to create a request from an existing key.
187
188  * A couple of minor bug fixes.
189
190
191 Noteworthy changes in version 1.9.17 (2005-06-20)
192 -------------------------------------------------
193
194  * gpg-connect-agent has now features to handle Assuan INQUIRE
195    commands.
196
197  * Internal changes for OpenPGP cards. New Assuan command WRITEKEY.
198
199  * GNU Pth is now a hard requirement.
200
201  * [scdaemon] Support for OpenSC has been removed.  Instead a new and
202    straightforward pkcs#15 modules has been written.  As of now it
203    does allows only signing using TCOS cards but we are going to
204    enhance it to match all the old capabilities.
205
206  * [gpg-agent] New option --write-env-file and Assuan command
207    UPDATESTARTUPTTY.
208
209  * [gpg-agent] New option --default-cache-ttl-ssh to set the TTL for
210    SSH passphrase caching independent from the other passphrases.
211
212
213 Noteworthy changes in version 1.9.16 (2005-04-21)
214 -------------------------------------------------
215
216  * gpg-agent does now support the ssh-agent protocol and thus allows
217    to use the pinentry as well as the OpenPGP smartcard with ssh.
218
219  * New tool gpg-connect-agent as a general client for the gpg-agent.
220
221  * New tool symcryptrun as a wrapper for certain encryption tools.
222
223  * The gpg tool is not anymore build by default because those gpg
224    versions available in the gnupg 1.4 series are far more matured.
225
226
227 Noteworthy changes in version 1.9.15 (2005-01-13)
228 -------------------------------------------------
229
230  * Fixed passphrase caching bug.
231
232  * Better support for CCID readers; the reader from Cherry RS 6700 USB
233    does now work.
234
235
236 Noteworthy changes in version 1.9.14 (2004-12-22)
237 -------------------------------------------------
238
239  * [gpg-agent] New option --use-standard-socket to allow the use of a
240    fixed socket.  gpgsm falls back to this socket if GPG_AGENT_INFO
241    has not been set.
242
243  * Ported to MS Windows with some functional limitations.
244
245  * New tool gpg-preset-passphrase.
246
247
248 Noteworthy changes in version 1.9.13 (2004-12-03)
249 -------------------------------------------------
250
251  * [gpgsm] New option --prefer-system-dirmngr.
252
253  * Minor cleanups and debugging aids.
254
255
256 Noteworthy changes in version 1.9.12 (2004-10-22)
257 -------------------------------------------------
258
259  * [scdaemon] Partly rewrote the PC/SC code.
260
261  * Removed the sc-investigate tool.  It is now in a separate package
262    available at ftp://ftp.g10code.com/g10code/gscutils/ .
263
264  * [gpg-agent] Fixed logging problem.
265
266
267 Noteworthy changes in version 1.9.11 (2004-10-01)
268 -------------------------------------------------
269
270  * When using --import along with --with-validation, the imported
271    certificates are validated and only imported if they are fully
272    valid.
273
274  * [gpg-agent] New option --max-cache-ttl.
275
276  * [gpg-agent] When used without --daemon or --server, gpg-agent now
277    check whether a agent is already running and usable.
278
279  * Fixed some i18n problems.
280
281
282 Noteworthy changes in version 1.9.10 (2004-07-22)
283 -------------------------------------------------
284
285  * Fixed a serious bug in the checking of trusted root certificates.
286
287  * New configure option --enable-agent-pnly allows to build and
288    install just the agent.
289
290  * Fixed a problem with the log file handling.
291
292
293 Noteworthy changes in version 1.9.9 (2004-06-08)
294 ------------------------------------------------
295
296  * [gpg-agent] The new option --allow-mark-trusted is now required to
297    allow gpg-agent to add a key to the trustlist.txt after user
298    confirmation.
299
300  * Creating PKCS#10 requests does now honor the key usage.
301
302
303 Noteworthy changes in version 1.9.8 (2004-04-29)
304 ------------------------------------------------
305
306  * [scdaemon] Overhauled the internal CCID driver.
307
308  * [scdaemon] Status files named ~/.gnupg/reader_<n>.status are now
309    written when using the internal CCID driver.
310
311  * [gpgsm] New commands --dump-{,secret,external}-keys to show a very
312    detailed view of the certificates.
313
314  * The keybox gets now compressed after 3 hours and ephemeral
315    stored certificates are deleted after about a day.
316
317  * [gpg] Usability fixes for --card-edit.  Note, that this has already
318    been ported back to gnupg-1.3
319
320
321 Noteworthy changes in version 1.9.7 (2004-04-06)
322 ------------------------------------------------
323
324  * Instrumented the modules for gpgconf.
325
326  * Added support for DINSIG card applications.
327
328  * Include the smimeCapabilities attribute with signed messages.
329
330  * Now uses the gettext domain "gnupg2" to avoid conflicts with gnupg
331    versions < 1.9.
332
333
334 Noteworthy changes in version 1.9.6 (2004-03-06)
335 ------------------------------------------------
336
337  * Code cleanups and bug fixes.
338
339
340 Noteworthy changes in version 1.9.5 (2004-02-21)
341 ------------------------------------------------
342
343  * gpg-protect-tool gets now installed into libexec as it ought to be.
344    Cleaned up the build system to better comply with the coding
345    standards.
346
347  * [gpgsm] The --import command is now able to autodetect pkcs#12
348    files and import secret and private keys from this file format.
349    A new command --export-secret-key-p12 is provided to allow
350    exporting of secret keys in PKCS\#12 format.
351
352  * [gpgsm] The pinentry will now present a description of the key for
353    whom the passphrase is requested.
354
355  * [gpgsm] New option --with-validation to check the validity of key
356    while listing it.
357
358  * New option --debug-level={none,basic,advanced,expert,guru} to map
359    the debug flags to sensitive levels on a per program base.
360
361
362 Noteworthy changes in version 1.9.4 (2004-01-30)
363 ------------------------------------------------
364
365  * Added support for the Telesec NKS 2.0 card application.
366
367  * Added simple tool addgnupghome to create .gnupg directories from
368    /etc/skel/.gnupg.
369
370  * Various minor bug fixes and cleanups; mainly gpgsm and gpg-agent
371    related.
372
373
374 Noteworthy changes in version 1.9.3 (2003-12-23)
375 ------------------------------------------------
376
377  * New gpgsm options --{enable,disable}-ocsp to validate keys using
378    OCSP. This option requires a not yet released DirMngr version.
379    Default is disabled.
380
381  * The --log-file option may now be used to print logs to a socket.
382    Prefix the socket name with "socket://" to enable this.  This does
383    not work on all systems and falls back to stderr if there is a
384    problem with the socket.
385
386  * The options --encrypt-to and --no-encrypt-to now work the same in
387    gpgsm as in gpg.  Note, they are also used in server mode.
388
389  * Duplicated recipients are now silently removed in gpgsm.
390
391
392 Noteworthy changes in version 1.9.2 (2003-11-17)
393 ------------------------------------------------
394
395  * On card key generation is no longer done using the --gen-key
396    command but from the menu provided by the new --card-edit command.
397
398  * PINs are now properly cached and there are only 2 PINs visible.
399    The 3rd PIN (CHV2) is internally syncronized with the regular PIN.
400
401  * All kind of other internal stuff.
402
403
404 Noteworthy changes in version 1.9.1 (2003-09-06)
405 ------------------------------------------------
406
407  * Support for OpenSC is back. scdaemon supports a --disable-opensc to
408    disable OpenSC use at runtime, so that PC/SC or ct-API can still be
409    used directly.
410
411  * Rudimentary support for the SCR335 smartcard reader using an
412    internal driver.  Requires current libusb from CVS.
413
414  * Bug fixes.
415
416
417 Noteworthy changes in version 1.9.0 (2003-08-05)
418 ------------------------------------------------
419
420       ====== PLEASE SEE README-alpha =======
421
422  * gpg has been renamed to gpg2 and gpgv to gpgv2.  This is a
423    temporary change to allow co-existing with stable gpg versions.
424
425  * ~/.gnupg/gpg.conf-1.9.0 is fist tried as config file before the
426    usual gpg.conf.
427
428  * Removed the -k, -kv and -kvv commands.  -k is now an alias to
429    --list-keys.  New command -K as alias for --list-secret-keys.
430
431  * Removed --run-as-shm-coprocess feature.
432
433  * gpg does now also use libgcrypt, libgpg-error is required.
434
435  * New gpgsm commands --call-dirmngr and --call-protect-tool.
436
437  * Changing a passphrase is now possible using "gpgsm --passwd"
438
439  * The content-type attribute is now recognized and created.
440
441  * The agent does now reread certain options on receiving a HUP.
442
443  * The pinentry is now forked for each request so that clients with
444    different environments are supported.  When running in daemon mode
445    and --keep-display is not used the DISPLAY variable is ignored.
446
447  * Merged stuff from the newpg branch and started this new
448    development branch.
449
450
451  Copyright 2002, 2003, 2004, 2005, 2006 Free Software Foundation, Inc.
452
453  This file is free software; as a special exception the author gives
454  unlimited permission to copy and/or distribute it, with or without
455  modifications, as long as this notice is preserved.
456
457  This file is distributed in the hope that it will be useful, but
458  WITHOUT ANY WARRANTY, to the extent permitted by law; without even the
459  implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.