Humm, Jim I was actually under the impression we were trying to set up a OWASP wide security notification system.<div><br></div><div>Who turned you down?<br clear="all"><br>Dinis Cruz<br><br><br><div class="gmail_quote">On 2 May 2010 22:40, Jim Manico <span dir="ltr">&lt;<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">It&#39;s my opinion that OWASP needs an organization-wide security<br>
notification email list but I was turned down. And thats ok. So for<br>
now we can email the esapi-dev and the esapi-users list with any<br>
notification.<br>
<br>
Jim Manico<br>
<br>
On May 2, 2010, at 2:15 PM, Chris Schmidt &lt;<a href="mailto:chrisisbeef@gmail.com">chrisisbeef@gmail.com</a>&gt; wrote:<br>
<br>
&gt; I think this also may partially be a result of not having a well<br>
&gt; defined and documented process for reportig vulnerabilities in the<br>
&gt; code. Did we ever get anywhere with setting up a mailing list or group<br>
&gt; for security notifications?<br>
&gt;<br>
&gt; Sent from my iPwn<br>
&gt;<br>
&gt; On May 2, 2010, at 2:55 PM, &quot;Jeff Williams&quot; &lt;<a href="mailto:jeff.williams@owasp.org">jeff.williams@owasp.org</a>&gt;<br>
<div><div></div><div class="h5">&gt; wrote:<br>
&gt;<br>
&gt;&gt; IMHO this is just one more sign of a healthy security ecosystem.<br>
&gt;&gt; There will always be folks who think it&#39;s 37337 to release an<br>
&gt;&gt; unknown exploit regardless of the harm it causes. But complaining<br>
&gt;&gt; about it won&#39;t help.  No matter what, we need to have a measured<br>
&gt;&gt; response capability ready. It&#39;s entirely possible that this is an<br>
&gt;&gt; esoteric risk that doesn&#39;t really expose any real applications,<br>
&gt;&gt; however it could also be critical. At this point we don&#39;t know. I&#39;m<br>
&gt;&gt; looking forward to evaluating the alleged flaw, whatever it might be.<br>
&gt;&gt;<br>
&gt;&gt; --Jeff<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt; -----Original Message-----<br>
&gt;&gt; From: <a href="mailto:owasp-leaders-bounces@lists.owasp.org">owasp-leaders-bounces@lists.owasp.org</a> [mailto:<a href="mailto:owasp-leaders-">owasp-leaders-</a><br>
&gt;&gt; <a href="mailto:bounces@lists.owasp.org">bounces@lists.owasp.org</a>] On Behalf Of Jim Manico<br>
&gt;&gt; Sent: Sunday, May 02, 2010 1:30 PM<br>
&gt;&gt; To: <a href="mailto:owasp-leaders@lists.owasp.org">owasp-leaders@lists.owasp.org</a>; ESAPI-Developers; ESAPI-Users<br>
&gt;&gt; Subject: Re: [Owasp-leaders] Crypto attack and OWASP<br>
&gt;&gt;<br>
&gt;&gt; We deprecated 1.4 encryption and are seeking bids for professional<br>
&gt;&gt; cryptographic-centric review of ESAPI 2.0 rc6 before we promote ESAPI<br>
&gt;&gt; to GA (general availability). I have stated on several occasions that<br>
&gt;&gt; no one should be using ESAPI for cryptographic storage in production<br>
&gt;&gt; apps - yet.<br>
&gt;&gt;<br>
&gt;&gt; However, I do have issue with the irresponsible nature of this<br>
&gt;&gt; disclosure:<br>
&gt;&gt;<br>
&gt;&gt;&gt; We leave the finding of thes bugs as an exercise for readers<br>
&gt;&gt;<br>
&gt;&gt; And I know that members of OWASP would NEVER pull a stunt like this<br>
&gt;&gt; to<br>
&gt;&gt; any vendor. Our ethics put community and open way above glory-<br>
&gt;&gt; seeking,<br>
&gt;&gt; correct?<br>
&gt;&gt;<br>
&gt;&gt; Jim Manico<br>
&gt;&gt;<br>
&gt;&gt; On May 2, 2010, at 1:50 AM, Christian Heinrich &lt;<a href="mailto:christian.heinrich@owasp.org">christian.heinrich@owasp.org</a><br>
&gt;&gt;&gt; wrote:<br>
&gt;&gt;<br>
&gt;&gt;&gt; Nam,<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; To quote <a href="https://media.blackhat.com/bh-eu-10/whitepapers/Duong_Rizzo/BlackHat-EU-2010-Duong-Rizzo-Padding-Oracle-wp.pdf" target="_blank">https://media.blackhat.com/bh-eu-10/whitepapers/Duong_Rizzo/BlackHat-EU-2010-Duong-Rizzo-Padding-Oracle-wp.pdf</a><br>

&gt;&gt;&gt;<br>
&gt;&gt;&gt; &quot;5.3.2 OWASP ESAPI<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; OWASP ESAPI 20, which stands for OWASP Enterprise Security API<br>
&gt;&gt;&gt; Toolkits, is a project that claim to “help software developers gu<br>
&gt;&gt;&gt; ard<br>
&gt;&gt;&gt; against security-related design and implementation flaws.” Howe<br>
&gt;&gt;&gt; ver,<br>
&gt;&gt;&gt; we<br>
&gt;&gt;&gt; found that all OWASP ESAPI for Java up to version 2.0 RC2 are<br>
&gt;&gt;&gt; vulnerable to Padding Oracle attacks 21. There were some significant<br>
&gt;&gt;&gt; changes in ESAPI Encryption API since 2.0 RC3 22. Unfortunately,<br>
&gt;&gt;&gt; while<br>
&gt;&gt;&gt; these changes are heading towards the correct direction, i.e.<br>
&gt;&gt;&gt; signing<br>
&gt;&gt;&gt; the ciphertex or using an authenticated encryption mode, but at the<br>
&gt;&gt;&gt; time of this writing, there are still some bugs in the latest<br>
&gt;&gt;&gt; implementation 23 that make applications using ESAPI for Java still<br>
&gt;&gt;&gt; vulnerable to Padding Oracle attacks. .&quot;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; On Fri, Mar 5, 2010 at 12:15 PM, Nam Nguyen &lt;<a href="mailto:namn@bluemoon.com.vn">namn@bluemoon.com.vn</a>&gt;<br>
&gt;&gt;&gt; wrote:<br>
&gt;&gt;&gt;&gt; Quote: We show that even OWASP folks can&#39;t get it right, how can an<br>
&gt;&gt;&gt;&gt; average Joe survive this new class of vulnerabilities?<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; <a href="http://www.blackhat.com/html/bh-eu-10/bh-eu-10-briefings.html#Duong" target="_blank">http://www.blackhat.com/html/bh-eu-10/bh-eu-10-briefings.html#Duong</a><br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; Anyone going to BH-EU?<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; --<br>
&gt;&gt;&gt; Regards,<br>
&gt;&gt;&gt; Christian Heinrich - <a href="http://www.owasp.org/index.php/user:cmlh" target="_blank">http://www.owasp.org/index.php/user:cmlh</a><br>
&gt;&gt;&gt; OWASP &quot;Google Hacking&quot; Project Lead - <a href="http://sn.im/" target="_blank">http://sn.im/</a><br>
&gt;&gt;&gt; owasp_google_hacking<br>
&gt;&gt;&gt; _______________________________________________<br>
&gt;&gt;&gt; OWASP-Leaders mailing list<br>
&gt;&gt;&gt; <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
&gt;&gt;&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
&gt;&gt; _______________________________________________<br>
&gt;&gt; OWASP-Leaders mailing list<br>
&gt;&gt; <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
&gt;&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
&gt;&gt;<br>
&gt;&gt; _______________________________________________<br>
</div></div>&gt;&gt; Esapi-dev mailing list<br>
&gt;&gt; <a href="mailto:Esapi-dev@lists.owasp.org">Esapi-dev@lists.owasp.org</a><br>
&gt;&gt; <a href="https://lists.owasp.org/mailman/listinfo/esapi-dev" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-dev</a><br>
&gt; _______________________________________________<br>
&gt; Esapi-user mailing list<br>
&gt; <a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a><br>
&gt; <a href="https://lists.owasp.org/mailman/listinfo/esapi-user" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-user</a><br>
<div><div></div><div class="h5">_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</div></div></blockquote></div><br></div>