That was the main point that I was trying to get across as well Michael. While notification lists are important, having the process documented is *very* important.<br><br>Examples we can go off of:<br><a href="http://germany.rsa.com/node.aspx?id=2928">http://germany.rsa.com/node.aspx?id=2928</a><br>
<a href="http://httpd.apache.org/security_report.html">http://httpd.apache.org/security_report.html</a><br><a href="http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html">http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html</a><br>
<br>Summary of what I think we need:<br><br>1. Any issues tagged with Security in Issue Tracker should be hidden to non-commiters (if possible)<br>2. A certificate available for download to allow researchers to encrypt vulnerability details that they e-mail to us<br>
3. A notification list for security-alerts<br>4. Define an expected response time to resolve vulnerabilities<br>5. Do we go with CVE labels for vulnerabilities or use our own labeling system<br><br>I think that these 5 things should probably be owasp wide, and projects should be required to have a link on their *main pages* pointing people to the OWASP Policy for reporting Security Vulnerabilities.<br>
<br>The policy itself should be pretty standard, <br><br>1. Send as much info as possible, including PoC code if available. <br>2. Ask nicely to not disclose publicly until we have had a chance to respond and/or resolve<br>
3, Encouraged use of OWASP cert to encrypt details of vuln in e-mail<br><br>We should have a central e-mail distribution that goes to project leads for all owasp projects (something along the lines of <a href="mailto:vulnerable@owasp.org">vulnerable@owasp.org</a>) <br>
<br>We should only encourage people to submit security vulnerabilities using Issue Trackers if we have the ability to *hide* those issues from anonymous and/or non project commiters.<br><br>Thoughts?<br><br><div class="gmail_quote">
On Mon, May 3, 2010 at 9:47 AM, Michael Coates <span dir="ltr">&lt;<a href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">This event raises a really important issue for consideration - how will security issues in ESAPI be handled?  Despite our best efforts there will be security issues that pop up from time to time. One thing that may hold organizations back from adopting ESAPI is a documented understanding of how OWASP/ESAPI will handle security bugs in ESAPI. Mainly, we need to document how security bugs should be reported to OWASP, how OWASP will traige the issue, how the issue and risk will be communicated to the ESAPI user community, how the issue will be fixed and whether post mortem details will be published.<br>


<br>
But to Jeff&#39;s point, there are always those who will publicly disclose an issue before contacting the vendor/software owner.  However, this isn&#39;t that bad. The worst would be a private disclosure to an maliciously focused group.  (Granted private disclosure to the software owner before public disclosure is the preferred approach).<br>

<font color="#888888">
<br>
Michael Coates</font><div><div></div><div><br>
<br>
<br>
<br>
On 5/2/10 2:40 PM, Jim Manico wrote:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
It&#39;s my opinion that OWASP needs an organization-wide security<br>
notification email list but I was turned down. And thats ok. So for<br>
now we can email the esapi-dev and the esapi-users list with any<br>
notification.<br>
<br>
Jim Manico<br>
<br>
On May 2, 2010, at 2:15 PM, Chris Schmidt&lt;<a href="mailto:chrisisbeef@gmail.com" target="_blank">chrisisbeef@gmail.com</a>&gt;  wrote:<br>
<br>
   <br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
I think this also may partially be a result of not having a well<br>
defined and documented process for reportig vulnerabilities in the<br>
code. Did we ever get anywhere with setting up a mailing list or group<br>
for security notifications?<br>
<br>
Sent from my iPwn<br>
<br>
On May 2, 2010, at 2:55 PM, &quot;Jeff Williams&quot;&lt;<a href="mailto:jeff.williams@owasp.org" target="_blank">jeff.williams@owasp.org</a>&gt;<br>
wrote:<br>
<br>
     <br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
IMHO this is just one more sign of a healthy security ecosystem.<br>
There will always be folks who think it&#39;s 37337 to release an<br>
unknown exploit regardless of the harm it causes. But complaining<br>
about it won&#39;t help.  No matter what, we need to have a measured<br>
response capability ready. It&#39;s entirely possible that this is an<br>
esoteric risk that doesn&#39;t really expose any real applications,<br>
however it could also be critical. At this point we don&#39;t know. I&#39;m<br>
looking forward to evaluating the alleged flaw, whatever it might be.<br>
<br>
--Jeff<br>
<br>
<br>
-----Original Message-----<br>
From: <a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">owasp-leaders-bounces@lists.owasp.org</a> [mailto:<a href="mailto:owasp-leaders-" target="_blank">owasp-leaders-</a><br>
<a href="mailto:bounces@lists.owasp.org" target="_blank">bounces@lists.owasp.org</a>] On Behalf Of Jim Manico<br>
Sent: Sunday, May 02, 2010 1:30 PM<br>
To: <a href="mailto:owasp-leaders@lists.owasp.org" target="_blank">owasp-leaders@lists.owasp.org</a>; ESAPI-Developers; ESAPI-Users<br>
Subject: Re: [Owasp-leaders] Crypto attack and OWASP<br>
<br>
We deprecated 1.4 encryption and are seeking bids for professional<br>
cryptographic-centric review of ESAPI 2.0 rc6 before we promote ESAPI<br>
to GA (general availability). I have stated on several occasions that<br>
no one should be using ESAPI for cryptographic storage in production<br>
apps - yet.<br>
<br>
However, I do have issue with the irresponsible nature of this<br>
disclosure:<br>
<br>
       <br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
We leave the finding of thes bugs as an exercise for readers<br>
         <br>
</blockquote>
And I know that members of OWASP would NEVER pull a stunt like this<br>
to<br>
any vendor. Our ethics put community and open way above glory-<br>
seeking,<br>
correct?<br>
<br>
Jim Manico<br>
<br>
On May 2, 2010, at 1:50 AM, Christian Heinrich&lt;<a href="mailto:christian.heinrich@owasp.org" target="_blank">christian.heinrich@owasp.org</a><br>
       <br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
wrote:<br>
         <br>
</blockquote>
       <br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
Nam,<br>
<br>
To quote <a href="https://media.blackhat.com/bh-eu-10/whitepapers/Duong_Rizzo/BlackHat-EU-2010-Duong-Rizzo-Padding-Oracle-wp.pdf" target="_blank">https://media.blackhat.com/bh-eu-10/whitepapers/Duong_Rizzo/BlackHat-EU-2010-Duong-Rizzo-Padding-Oracle-wp.pdf</a><br>


<br>
&quot;5.3.2 OWASP ESAPI<br>
<br>
OWASP ESAPI 20, which stands for OWASP Enterprise Security API<br>
Toolkits, is a project that claim to “help software developers gu<br>
ard<br>
against security-related design and implementation flaws.” Howe<br>
ver,<br>
we<br>
found that all OWASP ESAPI for Java up to version 2.0 RC2 are<br>
vulnerable to Padding Oracle attacks 21. There were some significant<br>
changes in ESAPI Encryption API since 2.0 RC3 22. Unfortunately,<br>
while<br>
these changes are heading towards the correct direction, i.e.<br>
signing<br>
the ciphertex or using an authenticated encryption mode, but at the<br>
time of this writing, there are still some bugs in the latest<br>
implementation 23 that make applications using ESAPI for Java still<br>
vulnerable to Padding Oracle attacks. .&quot;<br>
<br>
On Fri, Mar 5, 2010 at 12:15 PM, Nam Nguyen&lt;<a href="mailto:namn@bluemoon.com.vn" target="_blank">namn@bluemoon.com.vn</a>&gt;<br>
wrote:<br>
         <br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
Quote: We show that even OWASP folks can&#39;t get it right, how can an<br>
average Joe survive this new class of vulnerabilities?<br>
<br>
<a href="http://www.blackhat.com/html/bh-eu-10/bh-eu-10-briefings.html#Duong" target="_blank">http://www.blackhat.com/html/bh-eu-10/bh-eu-10-briefings.html#Duong</a><br>
<br>
Anyone going to BH-EU?<br>
           <br>
</blockquote>
--<br>
Regards,<br>
Christian Heinrich - <a href="http://www.owasp.org/index.php/user:cmlh" target="_blank">http://www.owasp.org/index.php/user:cmlh</a><br>
OWASP &quot;Google Hacking&quot; Project Lead - <a href="http://sn.im/" target="_blank">http://sn.im/</a><br>
owasp_google_hacking<br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
         <br>
</blockquote>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br>
_______________________________________________<br>
Esapi-dev mailing list<br>
<a href="mailto:Esapi-dev@lists.owasp.org" target="_blank">Esapi-dev@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/esapi-dev" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-dev</a><br>
       <br>
</blockquote>
_______________________________________________<br>
Esapi-user mailing list<br>
<a href="mailto:Esapi-user@lists.owasp.org" target="_blank">Esapi-user@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/esapi-user" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-user</a><br>
     <br>
</blockquote>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
   <br>
</blockquote>
<br>
<br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Chris Schmidt<br><br>OWASP ESAPI Developer<br><a href="http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API" target="_blank">http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API</a><br>

<br>Check out OWASP ESAPI for Java<br><a href="http://code.google.com/p/owasp-esapi-java/" target="_blank">http://code.google.com/p/owasp-esapi-java/</a><br><br>OWASP ESAPI for JavaScript<br><a href="http://code.google.com/p/owasp-esapi-js/" target="_blank">http://code.google.com/p/owasp-esapi-js/</a><br>

<br>Yet Another Developers Blog<br><a href="http://yet-another-dev.blogspot.com" target="_blank">http://yet-another-dev.blogspot.com</a><br><br>Bio and Resume<br><a href="http://www.digital-ritual.net/resume.html" target="_blank">http://www.digital-ritual.net/resume.html</a><br>

<br>