Imported Upstream version 1.8.6p8
[debian/sudo] / NEWS
1 What's new in Sudo 1.8.6p8?
2
3  * Terminal dection now works properly on 64-bit AIX kernels.
4    This was broken by the removal of the ttyname() fallback in Sudo
5    1.8.6p6.  Sudo is now able to map an AIX 64-bit device number
6    to the corresponding device file in /dev.
7
8  * Sudo now checks for crypt() returning NULL when performing
9    passwd-based authentication.
10
11 What's new in Sudo 1.8.6p7?
12
13  * A time stamp file with the date set to the epoch by "sudo -k"
14    is now completely ignored regardless of what the local clock is
15    set to.  Previously, if the local clock was set to a value between
16    the epoch and the time stamp timeout value, a time stamp reset
17    by "sudo -k" would be considered current.
18
19  * The tty-specific time stamp file now includes the session ID
20    of the sudo process that created it.  If a process with the same
21    tty but a different session ID runs sudo, the user will now be
22    prompted for a password (assuming authentication is required for
23    the command).
24
25 What's new in Sudo 1.8.6p6?
26
27  * On systems where the controlling tty can be determined via /proc
28    or sysctl(), sudo will no longer fall back to using ttyname()
29    if the process has no controlling tty.  This prevents sudo from
30    using a non-controlling tty for logging and time stamp purposes.
31
32 What's new in Sudo 1.8.6p5?
33
34  * Fixed a potential crash in visudo's alias cycle detection.
35
36  * Improved performance on Solaris when retrieving the group list
37    for the target user.  On systems with a large number of groups
38    where the group database is not local (NIS, LDAP, AD), fetching
39    the group list could take a minute or more.
40
41 What's new in Sudo 1.8.6p4?
42
43  * The -fstack-protector is now used when linking visudo, sudoreplay
44    and testsudoers.
45
46  * Avoid building PIE binaries on FreeBSD/ia64 as they don't run
47    properly.
48
49  * Fixed a crash in visudo strict mode when an unknown Defaults
50    setting is encountered.
51
52  * Do not inform the user that the command was not permitted by the
53    policy if they do not successfully authenticate. This is a
54    regression introduced in sudo 1.8.6.
55
56  * Allow sudo to be build with sss support without also including
57    ldap support.
58
59  * Fix running commands that need the terminal in the background
60    when I/O logging is enabled. E.g. "sudo vi &". When the command
61    is foregrounded, it will now resume properly.
62
63 What's new in Sudo 1.8.6p3?
64
65  * Fixed post-processing of the man pages on systems with legacy
66    versions of sed.
67
68  * Fixed "sudoreplay -l" on Linux systems with file systems that
69    set DT_UNKNOWN in the d_type field of struct dirent.
70
71 What's new in Sudo 1.8.6p2?
72
73  * Fixed suspending a command after it has already been resumed
74    once when I/O logging (or use_pty) is not enabled.
75    This was a regression introduced in version 1.8.6.
76
77 What's new in Sudo 1.8.6p1?
78
79  * Fixed the setting of LOGNAME, USER and USERNAME variables in the
80    command's environment when env_reset is enabled (the default).
81    This was a regression introduced in version 1.8.6.
82
83  * Sudo now honors SUCCESS=return in /etc/nsswitch.conf.
84
85 What's new in Sudo 1.8.6?
86
87  * Sudo is now built with the -fstack-protector flag if the the
88    compiler supports it.  Also, the -zrelro linker flag is used if
89    supported.  The --disable-hardening configure option can be used
90    to build sudo without stack smashing protection.
91
92  * Sudo is now built as a Position Independent Executable (PIE)
93    if supported by the compiler and linker.
94
95  * If the user is a member of the "exempt" group in sudoers, they
96    will no longer be prompted for a password even if the -k flag
97    is specified with the command.  This makes "sudo -k command"
98    consistent with the behavior one would get if the user ran "sudo
99    -k" immediately before running the command.
100
101  * The sudoers file may now be a symbolic link.  Previously, sudo
102    would refuse to read sudoers unless it was a regular file.
103
104  * The sudoreplay command can now properly replay sessions where
105    no tty was present.
106
107  * The sudoers plugin now takes advantage of symbol visibility
108    controls when supported by the compiler or linker.  As a result,
109    only a small number of symbols are exported which significantly
110    reduces the chances of a conflict with other shared objects.
111
112  * Improved support for the Tivoli Directory Server LDAP client
113    libraries.  This includes support for using LDAP over SSL (ldaps)
114    as well as support for the BIND_TIMELIMIT, TLS_KEY and TLS_CIPHERS
115    ldap.conf options.  A new ldap.conf option, TLS_KEYPW can be
116    used to specify a password to decrypt the key database.
117
118  * When constructing a time filter for use with LDAP sudoNotBefore
119    and sudoNotAfter attributes, the current time now includes tenths
120    of a second.  This fixes a problem with timed entries on Active
121    Directory.
122
123  * If a user fails to authenticate and the command would be rejected
124    by sudoers, it is now logged with "command not allowed" instead
125    of "N incorrect password attempts".  Likewise, the "mail_no_perms"
126    sudoers option now takes precedence over "mail_badpass".
127
128  * The sudo manuals are now formatted using the mdoc macros.  Versions
129    using the legacy man macros are provided for systems that lack mdoc.
130
131  * New support for Solaris privilege sets.  This makes it possible
132    to specify fine-grained privileges in the sudoers file on Solaris
133    10 and above.  A Runas_Spec that contains no Runas_Lists can be
134    used to give a user the ability to run a command as themselves
135    but with an expanded privilege set.
136
137  * Fixed a problem with the reboot and shutdown commands on some
138    systems (such as HP-UX and BSD).  On these systems, reboot sends
139    all processes (except itself) SIGTERM.  When sudo received
140    SIGTERM, it would relay it to the reboot process, thus killing
141    reboot before it had a chance to actually reboot the system.
142
143  * Support for using the System Security Services Daemon (SSSD) as
144    a source of sudoers data.
145
146  * Slovenian translation for sudo and sudoers from translationproject.org.
147
148  * Visudo will now warn about unknown Defaults entries that are
149    per-host, per-user, per-runas or per-command.
150
151  * Fixed a race condition that could cause sudo to receive SIGTTOU
152    (and stop) when resuming a shell that was run via sudo when I/O
153    logging (and use_pty) is not enabled.
154
155  * Sending SIGTSTP directly to the sudo process will now suspend the
156    running command when I/O logging (and use_pty) is not enabled.
157
158 What's new in Sudo 1.8.5p3?
159
160  * Fixed the loading of I/O plugins that conform to a plugin API
161    version older than 1.2.
162
163 What's new in Sudo 1.8.5p2?
164
165  * Fixed use of the SUDO_ASKPASS environment variable which was
166    broken in Sudo 1.8.5.
167
168  * Fixed a problem reading the sudoers file when the file mode is
169    more restrictive than the expected mode.  For example, when the
170    expected sudoers file mode is 0440 but the actual mode is 0400.
171
172 What's new in Sudo 1.8.5p1?
173
174  * Fixed a bug that prevented files in an include directory from
175    being evaluated.
176
177 What's new in Sudo 1.8.5?
178
179  * When "noexec" is enabled, sudo_noexec.so will now be prepended
180    to any existing LD_PRELOAD variable instead of replacing it.
181
182  * The sudo_noexec.so shared library now wraps the execvpe(),
183    exect(), posix_spawn() and posix_spawnp() functions.
184
185  * The user/group/mode checks on sudoers files have been relaxed.
186    As long as the file is owned by the sudoers uid, not world-writable
187    and not writable by a group other than the sudoers gid, the file
188    is considered OK.  Note that visudo will still set the mode to
189    the value specified at configure time.
190
191  * It is now possible to specify the sudoers path, uid, gid and
192    file mode as options to the plugin in the sudo.conf file.
193
194  * Croatian, Galician, German, Lithuanian, Swedish and Vietnamese
195    translations from translationproject.org.
196
197  * /etc/environment is no longer read directly on Linux systems
198    when PAM is used.  Sudo now merges the PAM environment into the
199    user's environment which is typically set by the pam_env module.
200
201  * The initial evironment created when env_reset is in effect now
202    includes the contents of /etc/environment on AIX systems and the
203    "setenv" and "path" entries from /etc/login.conf on BSD systems.
204
205  * The plugin API has been extended in three ways.  First, options
206    specified in sudo.conf after the plugin pathname are passed to
207    the plugin's open function.  Second, sudo has limited support
208    for hooks that can be used by plugins.  Currently, the hooks are
209    limited to environment handling functions.  Third, the init_session
210    policy plugin function is passed a pointer to the user environment
211    which can be updated during session setup.  The plugin API version
212    has been incremented to version 1.2.  See the sudo_plugin manual
213    for more information.
214
215  * The policy plugin's init_session function is now called by the
216    parent sudo process, not the child process that executes the
217    command.  This allows the PAM session to be open and closed in
218    the same process, which some PAM modules require.
219
220  * Fixed parsing of "Path askpass" and "Path noexec" in sudo.conf,
221    which was broken in version 1.8.4.
222
223  * On systems with an SVR4-style /proc file system, the /proc/pid/psinfo
224    file is now uses to determine the controlling terminal, if possible.
225    This allows tty-based tickets to work properly even when, e.g.
226    standard input, output and error are redirected to /dev/null.
227
228  * The output of "sudoreplay -l" is now sorted by file name (or
229    sequence number).  Previously, entries were displayed in the
230    order in which they were found on the file system.
231
232  * Sudo now behaves properly when I/O logging is enabled and the
233    controlling terminal is revoked (e.g. the running sshd is killed).
234    Previously, sudo may have exited without calling the I/O plugin's
235    close function which can lead to an incomplete I/O log.
236
237  * Sudo can now detect when a user has logged out and back in again
238    on Solaris 11, just like it can on Solaris 10.
239
240  * The built-in zlib included with Sudo has been upgraded to version
241    1.2.6.
242
243  * Setting the SSL parameter to start_tls in ldap.conf now works
244    properly when using Mozilla-based SDKs that support the
245    ldap_start_tls_s() function.
246
247  * The TLS_CHECKPEER parameter in ldap.conf now works when the
248    Mozilla NSS crypto backend is used with OpenLDAP.
249
250  * A new group provider plugin, system_group, is included which
251    performs group look ups by name using the system groups database.
252    This can be used to restore the pre-1.7.3 sudo group lookup
253    behavior.
254
255 What's new in Sudo 1.8.4p5?
256
257  * Fixed a bug when matching against an IP address with an associated
258    netmask in the sudoers file.  In certain circumstances, this
259    could allow users to run commands on hosts they are not authorized
260    for.
261
262 What's new in Sudo 1.8.4p4?
263
264  * Fixed a bug introduced in Sudo 1.8.4 which prevented "sudo -v"
265    from working.
266
267 What's new in Sudo 1.8.4p3?
268
269  * Fixed a crash on FreeBSD when no tty is present.
270
271  * Fixed a bug introduced in Sudo 1.8.4 that allowed users to
272    specify environment variables to set on the command line without
273    having sudo "ALL" permissions or the "SETENV" tag.
274
275  * When visudo is run with the -c (check) option, the sudoers
276    file(s) owner and mode are now also checked unless the -f option
277    was specified.
278
279 What's new in Sudo 1.8.4p2?
280
281  * Fixed a bug introduced in Sudo 1.8.4 where insufficient space
282    was allocated for group IDs in the LDAP filter.
283
284  * Fixed a bug introduced in Sudo 1.8.4 where the path to sudo.conf
285    was "/sudo.conf" instead of "/etc/sudo.conf".
286
287  * Fixed a bug introduced in Sudo 1.8.4 which could cause a hang
288    when I/O logging is enabled and input is from a pipe or file.
289
290 What's new in Sudo 1.8.4p1?
291
292  * Fixed a bug introduced in sudo 1.8.4 that broke adding to or
293    deleting from the env_keep, env_check and env_delete lists in
294    sudoers on some platforms.
295
296 What's new in Sudo 1.8.4?
297
298  * The -D flag in sudo has been replaced with a more general debugging
299    framework that is configured in sudo.conf.
300
301  * Fixed a false positive in visudo strict mode when aliases are
302    in use.
303
304  * Fixed a crash with "sudo -i" when a runas group was specified
305    without a runas user.
306
307  * The line on which a syntax error is reported in the sudoers file
308    is now more accurate.  Previously it was often off by a line.
309
310  * Fixed a bug where stack garbage could be printed at the end of
311    the lecture when the "lecture_file" option was enabled.
312
313  * "make install" now honors the LINGUAS environment variable.
314
315  * The #include and #includedir directives in sudoers now support
316    relative paths.  If the path is not fully qualified it is expected
317    to be located in the same directory of the sudoers file that is
318    including it.
319
320  * Serbian and Spanish translations for sudo from translationproject.org.
321
322  * LDAP-based sudoers may now access by group ID in addition to
323    group name.
324
325  * visudo will now fix the mode on the sudoers file even if no changes
326    are made unless the -f option is specified.
327
328  * The "use_loginclass" sudoers option works properly again.
329
330  * On systems that use login.conf, "sudo -i" now sets environment
331    variables based on login.conf.
332
333  * For LDAP-based sudoers, values in the search expression are now
334    escaped as per RFC 4515.
335
336  * The plugin close function is now properly called when a login
337    session is killed (as opposed to the actual command being killed).
338    This can happen when an ssh session is disconnected or the
339    terminal window is closed.
340
341  * The deprecated "noexec_file" sudoers option is no longer supported.
342
343  * Fixed a race condition when I/O logging is not enabled that could
344    result in tty-generated signals (e.g. control-C) being received
345    by the command twice.
346
347  * If none of the standard input, output or error are connected to
348    a tty device, sudo will now check its parent's standard input,
349    output or error for the tty name on systems with /proc and BSD
350    systems that support the KERN_PROC_PID sysctl.  This allows
351    tty-based tickets to work properly even when, e.g. standard
352    input, output and error are redirected to /dev/null.
353
354  * Added the --enable-kerb5-instance configure option to allow
355    people using Kerberos V authentication to specify a custom
356    instance so the principal name can be, e.g. "username/sudo"
357    similar to how ksu uses "username/root".
358
359  * Fixed a bug where a pattern like "/usr/*" included /usr/bin/ in
360    the results, which would be incorrectly be interpreted as if the
361    sudoers file had specified a directory.
362
363  * "visudo -c" will now list any include files that were checked
364    in addition to the main sudoers file when everything parses OK.
365
366  * Users that only have read-only access to the sudoers file may
367    now run "visudo -c".  Previously, write permissions were required
368    even though no writing is down in check-only mode.
369
370  * It is now possible to prevent the disabling of core dumps from
371    within sudo itself by adding a line to the sudo.conf file like
372    "Set disable_coredump false".
373
374 What's new in Sudo 1.8.3p2?
375
376  * Fixed a format string vulnerability when the sudo binary (or a
377    symbolic link to the sudo binary) contains printf format escapes
378    and the -D (debugging) flag is used.
379
380 What's new in Sudo 1.8.3p1?
381
382  * Fixed a crash in the monitor process on Solaris when NOPASSWD
383    was specified or when authentication was disabled.
384
385  * Fixed matching of a Runas_Alias in the group section of a
386    Runas_Spec.
387
388 What's new in Sudo 1.8.3?
389
390  * Fixed expansion of strftime() escape sequences in the "log_dir"
391    sudoers setting.
392
393  * Esperanto, Italian and Japanese translations from translationproject.org.
394
395  * Sudo will now use PAM by default on AIX 6 and higher.
396
397  * Added --enable-werror configure option for gcc's -Werror flag.
398
399  * Visudo no longer assumes all editors support the +linenumber
400    command line argument.  It now uses a whitelist of editors known
401    to support the option.
402
403  * Fixed matching of network addresses when a netmask is specified
404    but the address is not the first one in the CIDR block.
405
406  * The configure script now check whether or not errno.h declares
407    the errno variable.  Previously, sudo would always declare errno
408    itself for older systems that don't declare it in errno.h.
409
410  * The NOPASSWD tag is now honored for denied commands too, which
411    matches historic sudo behavior (prior to sudo 1.7.0).
412
413  * Sudo now honors the "DEREF" setting in ldap.conf which controls
414    how alias dereferencing is done during an LDAP search.
415
416  * A symbol conflict with the pam_ssh_agent_auth PAM module that
417    would cause a crash been resolved.
418
419  * The inability to load a group provider plugin is no longer
420    a fatal error.
421
422  * A potential crash in the utmp handling code has been fixed.
423
424  * Two PAM session issues have been resolved.  In previous versions
425    of sudo, the PAM session was opened as one user and closed as
426    another.  Additionally, if no authentication was performed, the
427    PAM session would never be closed.
428
429  * Sudo will now work correctly with LDAP-based sudoers using TLS
430    or SSL on Debian systems.
431
432  * The LOGNAME, USER and USERNAME environment variables are preserved
433    correctly again in sudoedit mode.
434
435 What's new in Sudo 1.8.2?
436
437  * Sudo, visudo, sudoreplay and the sudoers plug-in now have natural
438    language support (NLS). This can be disabled by passing configure
439    the --disable-nls option.  Sudo will use gettext(), if available,
440    to display translated messages.  All translations are coordinated
441    via The Translation Project, http://translationproject.org/.
442
443  * Plug-ins are now loaded with the RTLD_GLOBAL flag instead of
444    RTLD_LOCAL.  This fixes missing symbol problems in PAM modules
445    on certain platforms, such as FreeBSD and SuSE Linux Enterprise.
446
447  * I/O logging is now supported for commands run in background mode
448    (using sudo's -b flag).
449
450  * Group ownership of the sudoers file is now only enforced when
451    the file mode on sudoers allows group readability or writability.
452
453  * Visudo now checks the contents of an alias and warns about cycles
454    when the alias is expanded.
455
456  * If the user specifies a group via sudo's -g option that matches
457    the target user's group in the password database, it is now
458    allowed even if no groups are present in the Runas_Spec.
459
460  * The sudo Makefiles now have more complete dependencies which are
461    automatically generated instead of being maintained manually.
462
463  * The "use_pty" sudoers option is now correctly passed back to the
464    sudo front end.  This was missing in previous versions of sudo
465    1.8 which prevented "use_pty" from being honored.
466
467  * "sudo -i command" now works correctly with the bash version
468    2.0 and higher.  Previously, the .bash_profile would not be
469    sourced prior to running the command unless bash was built with
470    NON_INTERACTIVE_LOGIN_SHELLS defined.
471
472  * When matching groups in the sudoers file, sudo will now match
473    based on the name of the group instead of the group ID. This can
474    substantially reduce the number of group lookups for sudoers
475    files that contain a large number of groups.
476
477  * Multi-factor authentication is now supported on AIX.
478
479  * Added support for non-RFC 4517 compliant LDAP servers that require
480    that seconds be present in a timestamp, such as Tivoli Directory Server.
481
482  * If the group vector is to be preserved, the PATH search for the
483    command is now done with the user's original group vector.
484
485  * For LDAP-based sudoers, the "runas_default" sudoOption now works
486    properly in a sudoRole that contains a sudoCommand.
487
488  * Spaces in command line arguments for "sudo -s" and "sudo -i" are
489    now escaped with a backslash when checking the security policy.
490
491 What's new in Sudo 1.8.1p2?
492
493  * Two-character CIDR-style IPv4 netmasks are now matched correctly
494    in the sudoers file.
495
496  * A build error with MIT Kerberos V has been resolved.
497
498  * A crash on HP-UX in the sudoers plugin when wildcards are
499    present in the sudoers file has been resolved.
500
501  * Sudo now works correctly on Tru64 Unix again.
502
503 What's new in Sudo 1.8.1p1?
504
505  * Fixed a problem on AIX where sudo was unable to set the final
506    uid if the PAM module modified the effective uid.
507
508  * A non-existent includedir is now treated the same as an empty
509    directory and not reported as an error.
510
511  * Removed extraneous parens in LDAP filter when sudoers_search_filter
512    is enabled that can cause an LDAP search error.
513
514  * Fixed a "make -j" problem for "make install".
515
516 What's new in Sudo 1.8.1?
517
518  * A new LDAP setting, sudoers_search_filter, has been added to
519    ldap.conf.  This setting can be used to restrict the set of
520    records returned by the LDAP query.  Based on changes from Matthew
521    Thomas.
522
523  * White space is now permitted within a User_List when used in
524    conjunction with a per-user Defaults definition.
525
526  * A group ID (%#gid) may now be specified in a User_List or Runas_List.
527    Likewise, for non-Unix groups the syntax is %:#gid.
528
529  * Support for double-quoted words in the sudoers file has been fixed.
530    The change in 1.7.5 for escaping the double quote character
531    caused the double quoting to only be available at the beginning
532    of an entry.
533
534  * The fix for resuming a suspended shell in 1.7.5 caused problems
535    with resuming non-shells on Linux.  Sudo will now save the process
536    group ID of the program it is running on suspend and restore it
537    when resuming, which fixes both problems.
538
539  * A bug that could result in corrupted output in "sudo -l" has been
540    fixed.
541
542  * Sudo will now create an entry in the utmp (or utmpx) file when
543    allocating a pseudo-tty (e.g. when logging I/O).  The "set_utmp"
544    and "utmp_runas" sudoers file options can be used to control this.
545    Other policy plugins may use the "set_utmp" and "utmp_user"
546    entries in the command_info list.
547
548  * The sudoers policy now stores the TSID field in the logs
549    even when the "iolog_file" sudoers option is defined to a value
550    other than %{sessid}.  Previously, the TSID field was only
551    included in the log file when the "iolog_file" option was set
552    to its default value.
553
554  * The sudoreplay utility now supports arbitrary session IDs.
555    Previously, it would only work with the base-36 session IDs
556    that the sudoers plugin uses by default.
557
558  * Sudo now passes "run_shell=true" to the policy plugin in the
559    settings list when sudo's -s command line option is specified.
560    The sudoers policy plugin uses this to implement the "set_home"
561    sudoers option which was missing from sudo 1.8.0.
562
563  * The "noexec" functionality has been moved out of the sudoers
564    policy plugin and into the sudo front-end, which matches the
565    behavior documented in the plugin writer's guide.  As a result,
566    the path to the noexec file is now specified in the sudo.conf
567    file instead of the sudoers file.
568
569  * On Solaris 10, the PRIV_PROC_EXEC privilege is now used to
570    implement the "noexec" feature.  Previously, this was implemented
571    via the LD_PRELOAD environment variable.
572
573  * The exit values for "sudo -l", "sudo -v" and "sudo -l command"
574    have been fixed in the sudoers policy plugin.
575
576  * The sudoers policy plugin now passes the login class, if any,
577    back to the sudo front-end.
578
579  * The sudoers policy plugin was not being linked with requisite
580    libraries in certain configurations.
581
582  * Sudo now parses command line arguments before loading any plugins.
583    This allows "sudo -V" or "sudo -h" to work even if there is a problem
584    with sudo.conf
585
586  * Plugins are now linked with the static version of libgcc to allow
587    the plugin to run on a system where no shared libgcc is installed,
588    or where it is installed in a different location.
589
590 What's new in Sudo 1.8.0?
591
592  * Sudo has been refactored to use a modular framework that can
593    support third-party policy and I/O logging plugins.  The default
594    plugin is "sudoers" which provides the traditional sudo functionality.
595    See the sudo_plugin manual for details on the plugin API and the
596    sample in the plugins directory for a simple example.
597
598 What's new in Sudo 1.7.5?
599
600  * When using visudo in check mode, a file named "-" may be used to
601    check sudoers data on the standard input.
602
603  * Sudo now only fetches shadow password entries when using the
604    password database directly for authentication.
605
606  * Password and group entries are now cached using the same key
607    that was used to look them up.  This fixes a problem when looking
608    up entries by name if the name in the retrieved entry does not
609    match the name used to look it up.  This may happen on some systems
610    that do case insensitive lookups or that truncate long names.
611
612  * GCC will no longer display warnings on glibc systems that use
613    the warn_unused_result attribute for write(2) and other system calls.
614
615  * If a PAM account management module denies access, sudo now prints
616    a more useful error message and stops trying to validate the user.
617
618  * Fixed a potential hang on idle systems when the sudo-run process
619    exits immediately.
620
621  * Sudo now includes a copy of zlib that will be used on systems
622    that do not have zlib installed.
623
624  * The --with-umask-override configure flag has been added to enable
625    the "umask_override" sudoers Defaults option at build time.
626
627  * Sudo now unblocks all signals on startup to avoid problems caused
628    by the parent process changing the default signal mask.
629
630  * LDAP Sudoers entries may now specify a time period for which
631    the entry is valid.  This requires an updated sudoers schema
632    that includes the sudoNotBefore and sudoNotAfter attributes.
633    Support for timed entries must be explicitly enabled in the
634    ldap.conf file.  Based on changes from Andreas Mueller.
635
636  * LDAP Sudoers entries may now specify a sudoOrder attribute that
637    determines the order in which matching entries are applied.  The
638    last matching entry is used, just like file-based sudoers.  This
639    requires an updated sudoers schema that includes the sudoOrder
640    attribute.  Based on changes from Andreas Mueller.
641
642  * When run as sudoedit, or when given the -e flag, sudo now treats
643    command line arguments as pathnames.  This means that slashes
644    in the sudoers file entry must explicitly match slashes in
645    the command line arguments.  As a result, and entry such as:
646         user ALL = sudoedit /etc/*
647    will allow editing of /etc/motd but not /etc/security/default.
648
649  * NETWORK_TIMEOUT is now an alias for BIND_TIMELIMIT in ldap.conf for
650    compatibility with OpenLDAP configuration files.
651
652  * The LDAP API TIMEOUT parameter is now honored in ldap.conf.
653
654  * The I/O log directory may now be specified in the sudoers file.
655
656  * Sudo will no longer refuse to run if the sudoers file is writable
657    by root.
658
659  * Sudo now performs command line escaping for "sudo -s" and "sudo -i"
660    after validating the command so the sudoers entries do not need
661    to include the backslashes.
662
663  * Logging and email sending are now done in the locale specified
664    by the "sudoers_locale" setting ("C" by default).  Email send by
665    sudo now includes MIME headers when "sudoers_locale" is not "C".
666
667  * The configure script has a new option, --disable-env-reset, to
668    allow one to change the default for the sudoers Default setting
669    "env_reset" at compile time.
670
671  * When logging "sudo -l command", sudo will now prepend "list "
672    to the command in the log line to distinguish between an
673    actual command invocation in the logs.
674
675  * Double-quoted group and user names may now include escaped double
676    quotes as part of the name.  Previously this was a parse error.
677
678  * Sudo once again restores the state of the signal handlers it
679    modifies before executing the command.  This allows sudo to be
680    used with the nohup command.
681
682  * Resuming a suspended shell now works properly when I/O logging
683    is not enabled (the I/O logging case was already correct).
684
685 What's new in Sudo 1.7.4p6?
686
687  * A bug has been fixed in the I/O logging support that could cause
688    visual artifacts in full-screen programs such as text editors.
689
690 What's new in Sudo 1.7.4p5?
691
692  * A bug has been fixed that would allow a command to be run without the
693    user entering a password when sudo's -g flag is used without the -u flag.
694
695  * If user has no supplementary groups, sudo will now fall back on checking
696    the group file explicitly, which restores historic sudo behavior.
697
698  * A crash has been fixed when sudo's -g flag is used without the -u flag
699    and the sudoers file contains an entry with no runas user or group listed.
700
701  * A crash has been fixed when the Solaris project support is enabled
702    and sudo's -g flag is used without the -u flag.
703
704  * Sudo no longer exits with an error when support for auditing is
705    compiled in but auditing is not enabled.
706
707  * Fixed a bug introduced in sudo 1.7.3 where the ticket file was not
708    being honored when the "targetpw" sudoers Defaults option was enabled.
709
710  * The LOG_INPUT and LOG_OUTPUT tags in sudoers are now parsed correctly.
711
712  * A crash has been fixed in "sudo -l" when sudo is built with auditing
713    support and the user is not allowed to run any commands on the host.
714
715 What's new in Sudo 1.7.4p4?
716
717  * A potential security issue has been fixed with respect to the handling
718    of sudo's -g command line option when -u is also specified.  The flaw
719    may allow an attacker to run commands as a user that is not authorized
720    by the sudoers file.
721
722  * A bug has been fixed where "sudo -l" output was incomplete if multiple
723    sudoers sources were defined in nsswitch.conf and there was an error
724    querying one of the sources.
725
726  * The log_input, log_output, and use_pty sudoers options now work correctly
727    on AIX.  Previously, sudo would hang if they were enabled.
728
729  * The "make install" target now works correctly when sudo is built in a
730    directory other than the source directory.
731
732  * The "runas_default" sudoers setting now works properly in a per-command
733    Defaults line.
734
735  * Suspending and resuming the bash shell when PAM is in use now works
736    correctly.  The SIGCONT signal was not propagated to the child process.
737
738 What's new in Sudo 1.7.4p3?
739
740  * A bug has been fixed where duplicate HOME environment variables could be
741    present when the env_reset setting was disabled and the always_set_home
742    setting was enabled in sudoers.
743
744  * The value of sysconfdir is now substituted into the path to the sudoers.d
745    directory in the installed sudoers file.
746
747  * Compilation problems on IRIX and other platforms have been fixed.
748
749  * If multiple PAM "auth" actions are specified and the user enters ^C at
750    the password prompt, sudo will no longer prompt for a password for any
751    subsequent "auth" actions.  Previously it was necessary to enter ^C for
752    each "auth" action.
753
754 What's new in Sudo 1.7.4p2?
755
756  * A bug where sudo could spin in a busy loop waiting for the child process
757    has been fixed.
758
759 What's new in Sudo 1.7.4p1?
760
761  * A bug introduced in sudo 1.7.3 that prevented the -k and -K options from
762    functioning when the tty_tickets sudoers option is enabled has been fixed.
763
764  * Sudo no longer prints a warning when the -k or -K options are specified
765    and the ticket file does not exist.
766
767  * It is now easier to cross-compile sudo.
768
769 What's new in Sudo 1.7.4?
770
771  * Sudoedit will now preserve the file extension in the name of the
772    temporary file being edited.  The extension is used by some
773    editors (such as emacs) to choose the editing mode.
774
775  * Time stamp files have moved from /var/run/sudo to either /var/db/sudo,
776    /var/lib/sudo or /var/adm/sudo.  The directories are checked for
777    existence in that order.  This prevents users from receiving the
778    sudo lecture every time the system reboots.  Time stamp files older
779    than the boot time are ignored on systems where it is possible to
780    determine this.
781
782  * The tty_tickets sudoers option is now enabled by default.
783
784  * Ancillary documentation (README files, LICENSE, etc) is now installed
785    in a sudo documentation directory.
786
787  * Sudo now recognizes "tls_cacert" as an alias for "tls_cacertfile"
788    in ldap.conf.
789
790  * Defaults settings that are tied to a user, host or command may
791    now include the negation operator.  For example:
792         Defaults:!millert lecture
793    will match any user but millert.
794
795  * The default PATH environment variable, used when no PATH variable
796     exists, now includes /usr/sbin and /sbin.
797
798  * Sudo now uses polypkg (http://rc.quest.com/topics/polypkg/)
799    for cross-platform packing.
800
801  * On Linux, sudo will now restore the nproc resource limit before
802    executing a command, unless the limit appears to have been modified
803    by pam_limits.  This avoids a problem with bash scripts that open
804    more than 32 descriptors on SuSE Linux, where sysconf(_SC_CHILD_MAX)
805    will return -1 when RLIMIT_NPROC is set to RLIMIT_UNLIMITED (-1).
806
807  * The HOME and MAIL environment variables are now reset based on the
808    target user's password database entry when the env_reset sudoers option
809    is enabled (which is the case in the default configuration).  Users
810    wishing to preserve the original values should use a sudoers entry like:
811         Defaults env_keep += HOME
812    to preserve the old value of HOME and
813         Defaults env_keep += MAIL
814    to preserve the old value of MAIL.
815
816  * Fixed a problem in the restoration of the AIX authdb registry setting.
817
818  * Sudo will now fork(2) and wait until the command has completed before
819    calling pam_close_session().
820
821  * The default syslog facility is now "authpriv" if the operating system
822    supports it, else "auth".
823
824 What's new in Sudo 1.7.3?
825
826  * Support for logging I/O for the command being run.
827    For more information, see the documentation for the "log_input"
828    and "log_output" Defaults options in the sudoers manual.  Also
829    see the sudoreplay manual for how to replay I/O log sessions.
830
831  * The use_pty sudoers option can be used to force a command to be
832    run in a pseudo-pty, even when I/O logging is not enabled.
833
834  * On some systems, sudo can now detect when a user has logged out
835    and back in again when tty-based time stamps are in use.  Supported
836    systems include Solaris systems with the devices file system,
837    Mac OS X, and Linux systems with the devpts filesystem (pseudo-ttys
838    only).
839
840  * On AIX systems, the registry setting in /etc/security/user is
841    now taken into account when looking up users and groups.  Sudo
842    now applies the correct the user and group ids when running a
843    command as a user whose account details come from a different
844    source (e.g. LDAP or DCE vs.  local files).
845
846  * Support for multiple 'sudoers_base' and 'uri' entries in ldap.conf.
847    When multiple entries are listed, sudo will try each one in the
848    order in which they are specified.
849
850  * Sudo's SELinux support should now function correctly when running
851    commands as a non-root user and when one of stdin, stdout or stderr
852    is not a terminal.
853
854  * Sudo will now use the Linux audit system with configure with
855    the --with-linux-audit flag.
856
857  * Sudo now uses mbr_check_membership() on systems that support it
858    to determine group membership.  Currently, only Darwin (Mac OS X)
859    supports this.
860
861  * When the tty_tickets sudoers option is enabled but there is no
862    terminal device, sudo will no longer use or create a tty-based
863    ticket file.  Previously, sudo would use a tty name of "unknown".
864    As a consequence, if a user has no terminal device, sudo will
865    now always prompt for a password.
866
867  * The passwd_timeout and timestamp_timeout options may now be
868    specified as floating point numbers for more granular timeout
869    values.
870
871  * Negating the fqdn option in sudoers now works correctly when sudo
872    is configured with the --with-fqdn option.  In previous versions
873    of sudo the fqdn was set before sudoers was parsed.
874
875 What's new in Sudo 1.7.2?
876
877  * A new #includedir directive is available in sudoers.  This can be
878    used to implement an /etc/sudo.d directory.  Files in an includedir
879    are not edited by visudo unless they contain a syntax error.
880
881  * The -g option did not work properly when only setting the group
882    (and not the user).  Also, in -l mode the wrong user was displayed
883    for sudoers entries where only the group was allowed to be set.
884
885  * Fixed a problem with the alias checking in visudo which
886    could prevent visudo from exiting.
887
888  * Sudo will now correctly parse the shell-style /etc/environment
889    file format used by pam_env on Linux.
890
891  * When doing password and group database lookups, sudo will only
892    cache an entry by name or by id, depending on how the entry was
893    looked up.  Previously, sudo would cache by both name and id
894    from a single lookup, but this breaks sites that have multiple
895    password or group database names that map to the same uid or
896    gid.
897
898  * User and group names in sudoers may now be enclosed in double
899    quotes to avoid having to escape special characters.
900
901  * BSM audit fixes when changing to a non-root uid.
902
903  * Experimental non-Unix group support.  Currently only works with
904    Quest Authorization Services and allows Active Directory groups
905    fixes for Minix-3.
906
907  * For Netscape/Mozilla-derived LDAP SDKs the certificate and key
908    paths may be specified as a directory or a file.  However, version
909    5.0 of the SDK only appears to support using a directory (despite
910    documentation to the contrary).  If SSL client initialization
911    fails and the certificate or key paths look like they could be
912    default file name, strip off the last path element and try again.
913
914  * A setenv() compatibility fix for Linux systems, where a NULL
915    value is treated the same as an empty string and the variable
916    name is checked against the NULL pointer.
917
918 What's new in Sudo 1.7.1?
919
920  * A new Defaults option "pwfeedback" will cause sudo to provide visual
921    feedback when the user is entering a password.
922
923  * A new Defaults option "fast_glob" will cause sudo to use the fnmatch()
924    function for file name globbing instead of glob().  When this option
925    is enabled, sudo will not check the file system when expanding wildcards.
926    This is faster but a side effect is that relative paths with wildcard
927    will no longer work.
928
929  * New BSM audit support for systems that support it such as FreeBSD
930    and Mac OS X.
931
932  * The file name specified with the #include directive may now include
933    a %h escape which is expanded to the short form of hostname.
934
935  * The -k flag may now be specified along with a command, causing the
936    user's timestamp file to be ignored.
937
938  * New support for Tivoli-based LDAP START_TLS, present in AIX.
939
940  * New support for /etc/netsvc.conf on AIX.
941
942  * The unused alias checks in visudo now handle the case of an alias
943    referring to another alias.
944
945 What's new in Sudo 1.7.0?
946
947  * Rewritten parser that converts sudoers into a set of data structures.
948    This eliminates a number of ordering issues and makes it possible to
949    apply sudoers Defaults entries before searching for the command.
950    It also adds support for per-command Defaults specifications.
951
952  * Sudoers now supports a #include facility to allow the inclusion of other
953    sudoers-format files.
954
955  * Sudo's -l (list) flag has been enhanced:
956     o applicable Defaults options are now listed
957     o a command argument can be specified for testing whether a user
958       may run a specific command.
959     o a new -U flag can be used in conjunction with "sudo -l" to allow
960       root (or a user with "sudo ALL") list another user's privileges.
961
962  * A new -g flag has been added to allow the user to specify a
963    primary group to run the command as.  The sudoers syntax has been
964    extended to include a group section in the Runas specification.
965
966  * A uid may now be used anywhere a username is valid.
967
968  * The "secure_path" run-time Defaults option has been restored.
969
970  * Password and group data is now cached for fast lookups.
971
972  * The file descriptor at which sudo starts closing all open files is now
973    configurable via sudoers and, optionally, the command line.
974
975  * Visudo will now warn about aliases that are defined but not used.
976
977  * The -i and -s command line flags now take an optional command
978    to be run via the shell.  Previously, the argument was passed
979    to the shell as a script to run.
980
981  * Improved LDAP support.  SASL authentication may now be used in
982    conjunction when connecting to an LDAP server.  The krb5_ccname
983    parameter in ldap.conf may be used to enable Kerberos.
984
985  * Support for /etc/nsswitch.conf.  LDAP users may now use nsswitch.conf
986    to specify the sudoers order.  E.g.:
987         sudoers: ldap files
988    to check LDAP, then /etc/sudoers.  The default is "files", even
989    when LDAP support is compiled in.  This differs from sudo 1.6
990    where LDAP was always consulted first.
991
992  * Support for /etc/environment on AIX and Linux.  If sudo is run
993    with the -i flag, the contents of /etc/environment are used to
994    populate the new environment that is passed to the command being
995    run.
996
997  * If no terminal is available or if the new -A flag is specified,
998    sudo will use a helper program to read the password if one is
999    configured.  Typically, this is a graphical password prompter
1000    such as ssh-askpass.
1001
1002  * A new Defaults option, "mailfrom" that sets the value of the
1003    "From:" field in the warning/error mail.  If unspecified, the
1004    login name of the invoking user is used.
1005
1006  * A new Defaults option, "env_file" that refers to a file containing
1007    environment variables to be set in the command being run.
1008
1009  * A new flag, -n, may be used to indicate that sudo should not
1010    prompt the user for a password and, instead, exit with an error
1011    if authentication is required.
1012
1013  * If sudo needs to prompt for a password and it is unable to disable
1014    echo (and no askpass program is defined), it will refuse to run
1015    unless the "visiblepw" Defaults option has been specified.
1016
1017  * Prior to version 1.7.0, hitting enter/return at the Password: prompt
1018    would exit sudo.  In sudo 1.7.0 and beyond, this is treated as
1019    an empty password.  To exit sudo, the user must press ^C or ^D
1020    at the prompt.
1021
1022  * visudo will now check the sudoers file owner and mode in -c (check)
1023    mode when the -s (strict) flag is specified.
1024
1025  * A new Defaults option "umask_override" will cause sudo to set the
1026    umask specified in sudoers even if it is more permissive than the
1027    invoking user's umask.