Fix buffer overflow in SSL_get_shared_ciphers() function.
(CVE-2006-3738) [Tavis Ormandy and Will Drewry, Google Security Team]

Fix SSL client code which could crash if connecting to a
 malicious SSLv2 server.  (CVE-2006-4343)
[Tavis Ormandy and Will Drewry, Google Security Team]

Fixes for the following claims:

  1) Certificate Message with no certs

  OpenSSL implementation sends the Certificate message during SSL
  handshake, however as per the specification, these have been omitted.

  -- RFC 2712 --
     CertificateRequest, and the ServerKeyExchange shown in Figure 1
     will be omitted since authentication and the establishment of a
     master secret will be done using the client's Kerberos credentials
     for the TLS server.  The client's certificate will be omitted for
     the same reason.
  -- RFC 2712 --

  3) Pre-master secret Protocol version

  The pre-master secret generated by OpenSSL does not have the correct
  client version.

  RFC 2712 says, if the Kerberos option is selected, the pre-master
  secret structure is the same as that used in the RSA case.

  TLS specification defines pre-master secret as:
         struct {
             ProtocolVersion client_version;
             opaque random[46];
         } PreMasterSecret;

  where client_version is the latest protocol version supported by the
  client

  The pre-master secret generated by OpenSSL does not have the correct
  client version. The implementation does not update the first 2 bytes
  of random secret for Kerberos Cipher suites. At the server-end, the
  client version from the pre-master secret is not validated.

PR: 1336

Initialize new callbacks and make sure hent is always initialized.

Complete the change for VMS.

Submitted by: Brad Spencer <spencer@jacknife.org>
Reviewed by: steve

Buffer size handling fix for enc.

PR:1374

Using correct lock for X509_REQ.

PR:1348

Update length if copying MSB set in asn1_string_canon().

Updated file.

Add missing prototype. Fix various warnings (C++ comments, ; outside function).

Make int_rsa_sign function match prototype.

PR: 1383

Compile in gost engine.

Updated version of gost engine.

Do CRL method init after other operations.

Tidy up CRL handling by checking for critical extensions when it is
loaded. Add new function X509_CRL_get0_by_serial() to lookup a revoked
entry to avoid the need to access the structure directly.

Add new X509_CRL_METHOD to allow common CRL operations (verify, lookup) to be
redirected.

Build error on non-unix.
PR: 1390

Race condition in ms/uplink.c.
PR: 1382

As x86ms.pl is out, remove do_masm.bat and mention to it in INSTALL.W32.

Remove x86ms.pl and reimplement x86*.pl.

Improve 386 portability of aes-586.pl.

Ensure that the addition mods[i]+delta cannot overflow in probable_prime().

[Problem pointed out by Adam Young <adamy (at) acm.org>]

Overhaul of by_dir code to handle dynamic loading of CRLs.

GOST public key algorithm ENGINE donated to the OpenSSL by Cryptocom.

Very early version, doesn't do much yet, not even added to the build system.

Support for AKID in CRLs and partial support for IDP. Overhaul of CRL
handling to support this.

Update docs.

Update

Fixes for new CRL/cert callbacks. Update CRL processing code to use new
callbacks.

ensure that ciphersuite strings such as "RC4-MD5" match the SSL 2.0
ciphersuite as well

Add verify callback functions to lookup a STACK of matching certs or CRLs
based on subject name.

New thread safe functions to retrieve matching STACK from X509_STORE.

Cache some IDP components.

Make sure the int_rsa_verify() prototype matches the implementation
(m_len currently is 'unsigned int', not 'size_t')

Submitted by: Gisle Vanem

Additional detail.

update information on "current version" ...

Add an FAQ.

Remove non-functional part of recent patch, after discussion with
Colin Percival (this would have caused more problems than solved,
and isn't really necessary anyway)

Make consistent with 0.9.8-branch version of this file

Every change so far that is in the 0.9.8 branch is (or should be) in HEAD

Avoid PKCS #1 v1.5 signature attack discovered by Daniel Bleichenbacher
(CVE-2006-4339)

Submitted by: Ben Laurie, Google Security Team
Reviewed by: bmoeller, mjc, shenson

Rewrite sha1-586.pl.

Fix bug in aes-586.pl.

Fix bug in x86unix.pl introduced in latest update.
PR: 1380

Kill more C++ comments.

Fix C++ style comments, change assert to OPENSSL_assert, stop warning with
pedantic mode.

Fix leak

Forward port of IGE mode.

Make things static that should be. Declare stuff in headers that should be.
Fix warnings.

According to documentation, including time.h declares select() on
OpenVMS, and possibly more.

Ref: http://h71000.www7.hp.com/doc/82final/6529/6529pro_019.html#r_select

Correct warnings about signedness.

Use gmtime on cygwin
Submitted by: Corinna Vinschen

+20% tune-up for Power5.

Revised AES_cbc_encrypt in x86 assembler module.

Correct punctuation.
PR: 1367

Agressively prefetch S-box in SSE codepatch, relax alignment requirement,
check for SSE bit instead of MMX, as pshufw was introduces in PIII, minor
optimization, typos...

Switch to compact S-box when generating AES key schedule.

Switch to compact S-box when generating AES key schedule.

Real Bourne shell doesn't interpret ==, but =.

Engage assembler in solaris64-x86_64-cc.

perlasm/x86unix.pl update.

Next generation aes-586.pl featuring AES_[en|de]crypt, accessing exclusively
256 byte S-box. AES_cbc_encrypt needs further work as it should also use
slow routines when processing smaller amount of data.

Camellia IPR information

Support for multiple CRLs with same issuer name in X509_STORE. Modify
verify logic to try to use an unexpired CRL if possible.

Cache some CRL related extensions.

Avoid warning.

Avoid WIN32 warning.

Avoid warnings.

Use correct pointer types for various functions.

New Camellia implementation (replacing previous version)

Submitted by: NTT

Camellia information

Store canonical encodings of Name structures. Update X509_NAME_cmp() to use
them.

Reimplement outer rounds as "compact" in x86 assembler. This has rather
strong impact on decrypt performance, 20-25%. One probably should consider
switching between slower and faster routines depending on how much data
we were asked to process.

WIN32 fixes signed/unsigned issues and slightly socket semantics.

Update .cvsignore again.

Update .cvsignore

Fix various error codes to match functions.

Add -timeout option to ocsp utility.

New non-blocking OCSP functionality.

Add option for "compact" rounds to aes_x86core.c. "Compact" rounds are
those referencing compact, 256-byte, S-boxes.

There is should be no need to rewind the input stream any more.

For S/MIME multipart/signed type the signature is calculated on the fly.

For other detached data forms the stream isn't used after the single pass to
calculate signatures.

For non-detached the data is stored in a memory BIO.

In genpkey, also look for algorithm string name in any supplied ENGINE.

Bugfix: don't look in internal table for signature if found in application
supplied list.

Typo.

New docs for EVP_Digest{Sign,Verify}*() function. Update existing docs.

Add docs for pkeyparam. Update some existing docs.

Update some usage messages.

make update

Allow digests to supply S/MIME micalg values from a ctrl.

Send ctrls to EVP_PKEY_METHOD during signing of PKCS7 structure so
customisation is possible.

New functions to add and free up application defined signature OIDs.

Set detached flag in PKCS7 structure earlier to avoid eating up memory.

PR: 1071

Public key comparison and printing routine functions.

EVP_PKEY_get_default_digest() manual page.

EVP_PKEY_CTX_ctrl() docs.

Update docs.

New functions to enumerate digests and ciphers.

Keygen docs.

EVP_PKEY_derive() docs.

Add some examples.

EVP_PKEY_verify() docs.

New docs.

Update docs.

Add some EVP_PKEY_METHOD docs.

Update docs with algorithm options.