The first argument to load_iv should really be a char ** instead of an
unsigned char **, since it points at text.

Thanks to Nils Larsch <nils.larsch@cybertrust.com> for pointing out
the inelegance of our code :-)

More FIPS algorithm blocking.

Catch attempted use of non FIPS algorithms with HMAC.

Give an assertion error for applications that ignore FIPS digest errors.

Make -non-fips-allow work with dgst and HMAC.

Check for errors from EVP_VerifyInit_ex(), or EVP_VerifyUpdate might
cause a segfault...  This was uncovered because EVP_VerifyInit() may fail
in FIPS mode if the wrong algorithm is chosen...

Get rid if the annoying warning

make update

FIPS algorithm blocking.

Non FIPS algorithms are not normally allowed in FIPS mode.

Any attempt to use them via high level functions will return an error.

The low level non-FIPS algorithm functions cannot return errors so they
produce assertion failures. HMAC also has to give an assertion error because
it (erroneously) can't return an error either.

There are exceptions (such as MD5 in TLS and non cryptographic use of
algorithms) and applications can override the blocking and use non FIPS
algorithms anyway.

For low level functions the override is perfomed by prefixing the algorithm
initalization function with "private_" for example private_MD5_Init().

For high level functions an override is performed by setting a flag in
the context.

Respect the fact that most interactive shells don't restore stty settings
and make it work in non-interactive mode...

Don't zap AES CBC IV, when decrypting truncated content in place.

PKCS7_verify() performance optimization. When the content is large and a
memory BIO (for example from SMIME_read_PKCS7 and detached data) avoid lots
of slow memory copies from the memory BIO by saving the content in a
temporary read only memory BIO.

INSTALL.DJGPP update.
PR: 989

Rely on e_os.h to appropriately define str[n]casecmp in non-POSIX
environments.

O_NOFOLLOW is not appropriate when opening /dev/* entries on Solaris.
PR: 998

make update

Correct a faulty address assignment, and add a length check (not
really needed now, but may be needed in the future, who knows?).

Use EXIT() instead of exit().

Clear signed vs. unsigned conflicts.
Change the fingerprint accordingly.

Remove VMS_strcasecmp() from apps.c, it's not used any more.  And
besides, the implementation is bogus.

FAQ update to mention no-sha0 as possible workaround for Tru64 compiler bug.

DJGPP documentation note update.

Allow for ./config no-sha0.
PR: 993

DJGPP update.
PR: 989
Submitted by: Doug Kaufman

RSA KAT.

Borrow #include <string[s].h> from e_os.h.

Make whiny compilers stop complaining about missing prototype.

AES CBC and CFB performance tune-up from HEAD.

Fix Win32 test-suit.

Remove naming conflict between variable and label.

Prompt for passphrases with PKCS12 input format.

Cosmetic mingw update.
PR: 924

Minor cygwin update.
PR: 949

Remove CPU detect for IRIX targets. Performance gain is less than 1%, it
doesn't pay off...

As new major IRIX release is highly unlikely to appear [and break following],
I change from -notall to -none synonym in do_irix-shared to improve backward
compatibility with IRIX 5.x.
PR: 987

Summarize recent backports in CHANGES.

Improved PowerPC platform support.

When re-linking files, really relink them. In other words, emulate ln -f.

Backport of PPC BN module from HEAD.

Backport of http://cvs.openssl.org/chngview?cn=12323, as well as eliminate
message size limitations on 64-bit platforms.

Backport of http://cvs.openssl.org/chngview?cn=12449, essentially
a bug-fix for Win64/ia64.

make update

Remove duplicate lines.

Adapt FIPS sub-tree for mingw.

Solaris x86 assembler update.

Respect no-asm with fips option and disable FIPS DES assembler in
shared context [because it's not PIC].

olaris x86 perlasm update [from HEAD].

Eliminate false dependency on 386 config option is FIPS context.
At the same time limit assembler support to ELF platforms [that's
what is there, ELF modules].

Engage SHA1 IA64 assembler on IA64 platforms [from HEAD].

SHA1 assember for IA64 [from HEAD].

Cygwin specific FIPS fix-ups.

Postpone linking of shared libcrypto in FIPS build.

Eliminate dependency on UNICODE macro.

Automatically mark the CRL cached encoding as invalid when some operations
are performed.

This commit was manufactured by cvs2svn to create branch
'OpenSSL_0_9_7-stable'.

SHA1 assembler for IA-64.

Extend RC4 test.

More CA updates.

Update 'certs' directory. Move expired certificates to expired directory
and zero assurance demontrations CAs to 'demo'.

This commit was manufactured by cvs2svn to create branch
'OpenSSL_0_9_7-stable'.

Update 'certs' directory. Move expired certificates to expired directory
and zero assurance demontrations CAs to 'demo'.

Use X509_cmp_time() in -checkend option, to support GeneralizedTime.

Use X509_cmp_time() in -checkend option, to support GeneralizedTime.

Remaing bits of PR:620 relevant to 0.9.8.

Remaining parts of PR:620

Add lots of checks for memory allocation failure, error codes to indicate
failure and freeing up memory if a failure occurs.

PR:620

Add lots of checks for memory allocation failure, error codes to indicate
failure and freeing up memory if a failure occurs.

PR:620

Update year.

Update year.

In by_file.c check last error for no start line, not first error.

In by_file.c check last error for no start line, not first error.

Add -passin argument to dgst command.

Add -passin argument to dgst command.

V1 certificates that aren't self signed can't be accepted as CAs.

V1 certificates that aren't self signed can't be accepted as CAs.

sha1_block_asm_data_order can't hash if message crosses 2GB boundary.
[back-port from HEAD branch]

Back-port of RC4 assembler support for IA-64 from HEAD branch.

Downstream update from HEAD

Fix rc4-ia64.S to pass more exhaustive regression tests.

Add couple of OIDs. Resync NIDs for consistency with 0.9.7.

Add two OIDs, make update

Complete backport of i386 RC4 assembler module from HEAD.

Downstream update from HEAD.

I've introduced a bug to i386 RC4 assembler, which would emerge with
certain mix of calls to RC4 routine not covered by rc4test.c.
It's fixed now. In addition this patch inadvertently fixes minor
performance problem: in 0.9.7 context P4 was performing 12% slower
than the original implementation...

Perform partial comparison of different character types in X509_NAME_cmp().

Perform partial comparison of different character types in X509_NAME_cmp().

Back-port of RC4 assembler support for AMD64 from HEAD branch.

Downsync new and updated RC4 assembler modules from HEAD.

This commit was manufactured by cvs2svn to create branch
'OpenSSL_0_9_7-stable'.

Add 0.9.7 specific comments to RC4 assembler modules.

Mention that the keys likely to have signed the distribution are now
listed on the web site for easy finding and downloading

Split X509_check_ca() into a small self and an internal function
check_ca(), to resolve constness issue.  check_ca() is called from the
purpose checkers instead of X509_check_ca(), since the stuff done by
the latter (except for calling check_ca()) is also done by
X509_check_purpose().

Split X509_check_ca() into a small self and an internal function
check_ca(), to resolve constness issue.  check_ca() is called from the
purpose checkers instead of X509_check_ca(), since the stuff done by
the latter (except for calling check_ca()) is also done by
X509_check_purpose().

sha1_block_asm_data_order can't hash if message crosses 2GB boundary.

Final touches to rc4/asm/rc4-596.pl, +52% better performance on AMD core.

Document the change.

Document the change.

Make an explicit check during certificate validation to see that the
CA setting in each certificate on the chain is correct.  As a side-
effect always do the following basic checks on extensions, not just
when there's an associated purpose to the check:
- if there is an unhandled critical extension (unless the user has
  chosen to ignore this fault)
- if the path length has been exceeded (if one is set at all)
- that certain extensions fit the associated purpose (if one has been
  given)

Make an explicit check during certificate validation to see that the
CA setting in each certificate on the chain is correct.  As a side-
effect always do the following basic checks on extensions, not just
when there's an associated purpose to the check:
- if there is an unhandled critical extension (unless the user has
  chosen to ignore this fault)
- if the path length has been exceeded (if one is set at all)
- that certain extensions fit the associated purpose (if one has been
  given)

perlasm/x86[ms|nasm] update to accomodate updated RC4 assembler module.

Remove unnecessary check and call BIO_free_all() on bio_out to avoid a
leak on VMS.

Fix leaks and give an error if no argument specified in prime.c

Summarize recent RC4 tune-ups.