* New upstream release.
  - The temporary root-only ticket cache is now stored relative to
    ccache_dir rather than hard-coded to be in /tmp.
  - Suppress the notice that the password is being changed because it's
    expired if force_first_pass or use_first_pass are set in the
    password stack.
  - Confirm the password can get kadmin/changepw credentials before
    returning the status code indicating it's expired, working around a
    bug in old Heimdal versions that return expired even for incorrect
    passwords.
  - Better error reporting of authorization (such as .k5login) failures.
  - Prefer the change password protocol when linked with MIT libraries
    for better compatibility with older KDCs.
  - Improve logging and authorization when defer_pwchange is set.
  - Close some memory leaks.
  - Report symbolic names of PAM flags in debug logging.
* Enable compiler hardening flags.
* Remove "v5" from the long description.  Kerberos v5 has been the
  default version of Kerberos for over ten years.