Taint: track SASL auth intermediate inputs
[exim.git] / doc / doc-txt / NewStuff
index 46e6254bb862db2e19d98c33bf1b2b9c7aec0ec0..25a8ae689f27c925b78e431abed69b4d6e822082 100644 (file)
@@ -6,6 +6,37 @@ Before a formal release, there may be quite a lot of detail so that people can
 test from the snapshots or the Git before the documentation is updated. Once
 the documentation is updated, this file is reduced to a short list.
 
+Version 4.97
+------------
+
+ 1. The expansion-test faciility (exim -be) can set variables.
+
+ 2. An event on a failing SMTP AUTH, for both client and server operations.
+
+ 3. Variable $sender_helo_verified with the result of an ACL "verify = helo".
+
+ 4. Predefined macros for expansion items, operators, conditions and variables.
+
+ 5. The smtp transport option "max_rcpt" is now expanded before use.
+
+ 6. The tls_eccurve option for OpenSSL now takes a list of group names.
+
+ 7. Queue runners for several queues can now be started from one daemon.
+
+ 8. New utility exim_msgdate converts message-ids to human readable format.
+
+ 9. An expansion operator for wrapping long header lines.
+
+ 10. A commandline option to print just the message IDs of the queue
+
+ 11. An option for the ${readsocket } expansion to set an SNI for TLS.
+
+ 12. The ACL remove_header modifier can take a pattern.
+
+ 13. Variable $recipients_list, a properly-quoted exim list.
+
+ 14. A log_selector for an incoming connection ID.
+
 Version 4.96
 ------------
 
@@ -17,13 +48,18 @@ Version 4.96
 
  4. An event for failing TLS connects to the daemon.
 
- 5. Tainted data used for a query-style lookup should be quoted using the
-    expansion item for the lookup type.  If not, a warning will be written to
-    the main and panic logs.  A future release will enforce this by failing
-    the lookup.
+ 5. The ACL "debug" control gains options "stop", "pretrigger" and "trigger".
+
+ 6. Query-style lookups are now checked for quoting, if the query string is
+    built using untrusted data ("tainted").  For now lack of quoting is merely
+    logged; a future release will upgrade this to an error.
 
- 6. The ACL "debug" control gains a "stop" option.
+ 7. The expansion conditions match_<list-type> and inlist now set $value for
+    the expansion of the "true" result of the ${if}.  With a static list, this
+    can be used for de-tainting.
 
+ 8. Recipient verify callouts now set $domain_data & $local_part_data, with
+    de-tainted values.
 
 Version 4.95
 ------------