NEWS

   1                     User-Visible krb5-strength Changes
   2
   3 krb5-strength 2.0 (unreleased)
   4
   5     Add support for the MIT Kerberos password quality plugin interface,
   6     available in MIT Kerberos 1.9 and later, contributed by Greg Hudson
   7     and MIT.  Drop the patch for MIT Kerberos 1.4 (and hence support for
   8     versions of MIT Kerberos prior to 1.9).
   9
  10     The plugin now sets the Kerberos error message in the context to pass
  11     error information, resulting in higher-quality error reporting in the
  12     MIT Kerberos plugin.
  13
  14     CrackLib checks for passwords where a character is a simple increment
  15     or decrement of the previous character.  In previous versions, the
  16     embedded version of CrackLib allowed at most four such occurrences in
  17     the entire password.  This results in false positives on long
  18     passphrases, since such accidental letter relationships aren't
  19     uncommon in human languages.  Change the embedded CrackLib to allow
  20     one such simple increment for every three characters in the password,
  21     which tightens the check somewhat for shorter passwords and loosens it
  22     considerably for longer passwords.
  23
  24     Expect the Heimdal password strength checking plugin header in
  25     kadm5/kadm5-pwcheck.h instead of outside of the kadm5 directory.  This
  26     is the path used by current versions of Heimdal.
  27
  28     Update to rra-c-util 4.9:
  29
  30     * Probe for Kerberos headers using file checks instead of compiles.
  31     * Improve probe for the Heimdal libroken library.
  32     * Always build with large file support.
  33     * Conditionally call AM_PROG_AR for portability to new Autotools.
  34
  35     Update to C TAP Harness 2.2:
  36
  37     * Allow more easily running single programs under tests/runtests.
  38     * Flush the output from the test harness after each test.
  39
  40 krb5-strength 1.1 (2012-05-11)
  41
  42     Change the minimum password length in the embedded CrackLib to 8.
  43
  44     Reject passwords formed from the username portion of the principal
  45     with digits appended.
  46
  47     In the embedded CrackLib, also check for a duplicated dictionary word.
  48
  49     Support linking with the system CrackLib instead of the embedded and
  50     stricter copy by passing --with-cracklib to configure.
  51
  52     Fix variable sizes in the embedded CrackLib on 64-bit platforms.  This
  53     may fix interoperability problems with databases created on platforms
  54     with a different native integer size.  Thanks, Karl Lehnberger and
  55     Benj Carson.
  56
  57     Stop using local in the test suite for portability to Solaris /bin/sh.
  58
  59     Update to rra-c-util 4.4:
  60
  61     * Use PATH_KRB5_CONFIG to override krb5-config location.
  62     * Fix probing for ibm_svc/krb5_svc.h on AIX.
  63     * Support Heimdal libraries without libroken, like OpenBSD.
  64     * Fix manual Kerberos library probing without transitive dependencies.
  65     * Support systems that only have krb5/krb5.h.
  66     * Pass --deps to krb5-config in the non-reduced-dependencies case.
  67     * Silence __attribute__ warnings on more compilers.
  68     * Update warning flags for make warnings.
  69     * Flesh out MAINTCLEANFILES to remove autogen results.
  70     * Add notices to all files copied from rra-c-util.
  71
  72     Update to C TAP Harness 1.12:
  73
  74     * Drop is_double from the C TAP library to avoid requiring -lm.
  75     * Avoid using local in the shell libtap.sh library.
  76     * Silence __attribute__ warnings on more compilers.
  77     * runtests now frees all allocated resources on exit.
  78     * Fix runtests to still honor SOURCE and -s without BUILD and -b.
  79     * Add tests/HOWTO documenting how to add new tests.
  80     * Ensure correct output ordering in test results.
  81     * Add -h and a better usage message to tests/runtests.
  82
  83 krb5-strength 1.0 (2010-02-16)
  84
  85     Add heimdal-strength, a program that checks password strength using
  86     the protocol for a Heimdal external check program.
  87
  88     The shared module now also exports the interface expected by Heimdal's
  89     dynamically loaded password strength checking API and can be used as a
  90     Heimdal kadmin plugin.
  91
  92     Add a new plugin API for MIT Kerberos modelled after the plugin API
  93     used for other MIT Kerberos plugins.  Thanks to Marcus Watts for
  94     substantial research and contributions to the interface design.  This
  95     work is incomplete in this release, missing the corresponding patch to
  96     MIT Kerberos.
  97
  98     Fixed the data format written by the included packer program to add
  99     enough nul bytes at the end of the data.  Previously, there was not
 100     enough trailing nul bytes for the expected input format, leading to
 101     uninitialized memory reads in the password lookup.
 102
 103     Add a test suite using the driver and library from C TAP Harness 1.1.
 104
 105     Add portability code for platforms without a working snprintf or other
 106     deficiencies and updated the code to take advantage of those
 107     guarantees.
 108
 109 krb5-strength 0.5 (2007-07-18)
 110
 111     The check of the password against the principal checked against the
 112     fully-qualified principal, which is not the usual problem.
 113     Additionally check that the password doesn't match the principal with
 114     the realm removed or the reverse of that (case-insensitive).
 115
 116 krb5-strength 0.4 (2007-03-28)
 117
 118     The patches directory was omitted from the distribution.  Really
 119     include it.
 120
 121 krb5-strength 0.3 (2007-03-23)
 122
 123     Initial public release.  Includes a patch for MIT Kerberos, a slightly
 124     modified version of CrackLib, and glue wrapped around CrackLib to make
 125     a loadable module.