<html><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">
 <div><br></div><div>The MIT Kerberos Consortium Team announces the availability of the krb5-1.7 release.</div><div><br></div><div>The krb5-1.7 release contains a large number of changes, featuring improvements in the following broad areas:</div><div><br></div><div>    * Compatibility with Microsoft Windows</div><div>    * Administrator experience</div><div>    * User experience</div><div>    * Code quality</div><div>    * Protocol evolution </div><div><br></div><div>Compatibility with Microsoft Windows:</div><div><br></div><div>    * Follow client principal referrals in the client library when obtaining initial tickets.</div><div>    * KDC can issue realm referrals for service principals based on domain names.</div><div>    * Extensions supporting DCE RPC, including three-leg GSS context setup and unencapsulated GSS tokens inside SPNEGO.</div><div>    * Microsoft GSS_WrapEX, implemented using the gss_iov API, which is similar to the equivalent SSPI functionality. This is needed to support some instances of DCE RPC.</div><div>    * NTLM recognition support in GSS-API, to facilitate dropping in an NTLM implementation for improved compatibility with older releases of Microsoft Windows.</div><div>    * KDC support for principal aliases, if the back end supports them. Currently, only the LDAP back end supports aliases.</div><div>    * Support Microsoft set/change password (RFC 3244) protocol in kadmind.</div><div>    * Implement client and KDC support for GSS_C_DELEG_POLICY_FLAG, which allows a GSS application to request credential delegation only if permitted by KDC policy. </div><div><br></div><div>Administrator experience:</div><div><br></div><div>    * Install header files for the administration API, allowing third-party software to manipulate the KDC database.</div><div>    * Incremental propagation support for the KDC database.</div><div>    * Master key rollover support, making it easier to change master key passwords or encryption types.</div><div>    * New libdefaults configuration variable "allow_weak_crypto". NOTE: Currently defaults to "true", but may default to "false" in a future release. Setting this variable to "false" will have the effect of removing weak enctypes (currently defined to be all single-DES enctypes) from permitted_enctypes, default_tkt_enctypes, and default_tgs_enctypes. </div><div><br></div><div>User experience:</div><div><br></div><div>    * Provide enhanced GSS-API error message including supplementary details about error conditions.</div><div>    * In the replay cache, use a hash over the complete ciphertext to avoid false-positive replay indications. </div><div><br></div><div>Code quality:</div><div><br></div><div>    * Replace many uses of "unsafe" string functions. While most of these instances were innocuous, they impeded efficient automatic and manual static code analysis.</div><div>    * Fix many instances of resource leaks and similar bugs identified by static analysis tools.</div><div>    * Fix CVE-2009-0844, CVE-2009-0845, CVE-2009-0846, CVE-2009-0847 -- various vulnerabilities in SPNEGO and ASN.1 code. </div><div><br></div><div>Protocol evolution:</div><div><br></div><div>    * Remove support for version 4 of the Kerberos protocol (krb4).</div><div>    * Encryption algorithm negotiation (RFC 4537), allowing clients and application services to negotiate stronger encryption than their KDC supports.</div><div>    * Flexible Authentication Secure Tunneling (FAST), a preauthentiation framework that can protect the AS exchange from dictionary attacks on weak user passwords. </div><div><br></div><div>More information is available on on the Kerberos Release Page at MIT: <a href="http://web.mit.edu/kerberos/krb5-1.7/krb5-1.7.html">http://web.mit.edu/kerberos/krb5-1.7/krb5-1.7.html</a></div><div><br></div><div>Kind regards,</div><div><br></div><div>s</div><div><br></div><br><div> <span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0; "><div><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/</div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; font: normal normal normal 12px/normal Helvetica; min-height: 14px; "><br></div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">Stephen C. Buckley</div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">Executive Director</div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">MIT Kerberos Consortium</div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">Massachusetts Institute of Technology     </div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">web: <a href="http://www.kerberos.org">http://www.kerberos.org</a></div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">office: + 1 617-324-9167</div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">mobile: + 1 617-645-6278</div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; font: normal normal normal 12px/normal Helvetica; min-height: 14px; "><br></div></div></div></span><br class="Apple-interchange-newline"> </div><br></body></html>