<html><body bgcolor="#FFFFFF"><div>I think it's a good idea too. &nbsp;Just because it didn't happen immediately doesn't mean it's dead.<br><br>--Jeff<div><br></div><div>Jeff Williams</div><div>Aspect Security</div><div>work: 410-707-1487</div><div>main: 301-604-4882</div><div><br></div><div><br></div></div><div><br>On May 3, 2010, at 7:35 AM, dinis cruz &lt;<a href="mailto:dinis.cruz@owasp.org">dinis.cruz@owasp.org</a>&gt; wrote:<br><br></div><div></div><blockquote type="cite"><div>Humm, Jim I was actually under the impression we were trying to set up a OWASP wide security notification system.<div><br></div><div>Who turned you down?<br clear="all"><br>Dinis Cruz<br><br><br><div class="gmail_quote">On 2 May 2010 22:40, Jim Manico <span dir="ltr">&lt;<a href="mailto:jim.manico@owasp.org"><a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a></a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">It's my opinion that OWASP needs an organization-wide security<br>
notification email list but I was turned down. And thats ok. So for<br>
now we can email the esapi-dev and the esapi-users list with any<br>
notification.<br>
<br>
Jim Manico<br>
<br>
On May 2, 2010, at 2:15 PM, Chris Schmidt &lt;<a href="mailto:chrisisbeef@gmail.com"><a href="mailto:chrisisbeef@gmail.com">chrisisbeef@gmail.com</a></a>&gt; wrote:<br>
<br>
&gt; I think this also may partially be a result of not having a well<br>
&gt; defined and documented process for reportig vulnerabilities in the<br>
&gt; code. Did we ever get anywhere with setting up a mailing list or group<br>
&gt; for security notifications?<br>
&gt;<br>
&gt; Sent from my iPwn<br>
&gt;<br>
&gt; On May 2, 2010, at 2:55 PM, "Jeff Williams" &lt;<a href="mailto:jeff.williams@owasp.org"><a href="mailto:jeff.williams@owasp.org">jeff.williams@owasp.org</a></a>&gt;<br>
<div><div></div><div class="h5">&gt; wrote:<br>
&gt;<br>
&gt;&gt; IMHO this is just one more sign of a healthy security ecosystem.<br>
&gt;&gt; There will always be folks who think it's 37337 to release an<br>
&gt;&gt; unknown exploit regardless of the harm it causes. But complaining<br>
&gt;&gt; about it won't help. &nbsp;No matter what, we need to have a measured<br>
&gt;&gt; response capability ready. It's entirely possible that this is an<br>
&gt;&gt; esoteric risk that doesn't really expose any real applications,<br>
&gt;&gt; however it could also be critical. At this point we don't know. I'm<br>
&gt;&gt; looking forward to evaluating the alleged flaw, whatever it might be.<br>
&gt;&gt;<br>
&gt;&gt; --Jeff<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt; -----Original Message-----<br>
&gt;&gt; From: <a href="mailto:owasp-leaders-bounces@lists.owasp.org"><a href="mailto:owasp-leaders-bounces@lists.owasp.org">owasp-leaders-bounces@lists.owasp.org</a></a> [mailto:<a href="mailto:owasp-leaders-">owasp-leaders-</a><br>
&gt;&gt; <a href="mailto:bounces@lists.owasp.org"><a href="mailto:bounces@lists.owasp.org">bounces@lists.owasp.org</a></a>] On Behalf Of Jim Manico<br>
&gt;&gt; Sent: Sunday, May 02, 2010 1:30 PM<br>
&gt;&gt; To: <a href="mailto:owasp-leaders@lists.owasp.org"><a href="mailto:owasp-leaders@lists.owasp.org">owasp-leaders@lists.owasp.org</a></a>; ESAPI-Developers; ESAPI-Users<br>
&gt;&gt; Subject: Re: [Owasp-leaders] Crypto attack and OWASP<br>
&gt;&gt;<br>
&gt;&gt; We deprecated 1.4 encryption and are seeking bids for professional<br>
&gt;&gt; cryptographic-centric review of ESAPI 2.0 rc6 before we promote ESAPI<br>
&gt;&gt; to GA (general availability). I have stated on several occasions that<br>
&gt;&gt; no one should be using ESAPI for cryptographic storage in production<br>
&gt;&gt; apps - yet.<br>
&gt;&gt;<br>
&gt;&gt; However, I do have issue with the irresponsible nature of this<br>
&gt;&gt; disclosure:<br>
&gt;&gt;<br>
&gt;&gt;&gt; We leave the finding of thes bugs as an exercise for readers<br>
&gt;&gt;<br>
&gt;&gt; And I know that members of OWASP would NEVER pull a stunt like this<br>
&gt;&gt; to<br>
&gt;&gt; any vendor. Our ethics put community and open way above glory-<br>
&gt;&gt; seeking,<br>
&gt;&gt; correct?<br>
&gt;&gt;<br>
&gt;&gt; Jim Manico<br>
&gt;&gt;<br>
&gt;&gt; On May 2, 2010, at 1:50 AM, Christian Heinrich &lt;<a href="mailto:christian.heinrich@owasp.org"><a href="mailto:christian.heinrich@owasp.org">christian.heinrich@owasp.org</a></a><br>
&gt;&gt;&gt; wrote:<br>
&gt;&gt;<br>
&gt;&gt;&gt; Nam,<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; To quote <a href="https://media.blackhat.com/bh-eu-10/whitepapers/Duong_Rizzo/BlackHat-EU-2010-Duong-Rizzo-Padding-Oracle-wp.pdf" target="_blank"><a href="https://media.blackhat.com/bh-eu-10/whitepapers/Duong_Rizzo/BlackHat-EU-2010-Duong-Rizzo-Padding-Oracle-wp.pdf">https://media.blackhat.com/bh-eu-10/whitepapers/Duong_Rizzo/BlackHat-EU-2010-Duong-Rizzo-Padding-Oracle-wp.pdf</a></a><br>

&gt;&gt;&gt;<br>
&gt;&gt;&gt; "5.3.2 OWASP ESAPI<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; OWASP ESAPI 20, which stands for OWASP Enterprise Security API<br>
&gt;&gt;&gt; Toolkits, is a project that claim to “help software developers gu<br>
&gt;&gt;&gt; ard<br>
&gt;&gt;&gt; against security-related design and implementation flaws.” Howe<br>
&gt;&gt;&gt; ver,<br>
&gt;&gt;&gt; we<br>
&gt;&gt;&gt; found that all OWASP ESAPI for Java up to version 2.0 RC2 are<br>
&gt;&gt;&gt; vulnerable to Padding Oracle attacks 21. There were some significant<br>
&gt;&gt;&gt; changes in ESAPI Encryption API since 2.0 RC3 22. Unfortunately,<br>
&gt;&gt;&gt; while<br>
&gt;&gt;&gt; these changes are heading towards the correct direction, i.e.<br>
&gt;&gt;&gt; signing<br>
&gt;&gt;&gt; the ciphertex or using an authenticated encryption mode, but at the<br>
&gt;&gt;&gt; time of this writing, there are still some bugs in the latest<br>
&gt;&gt;&gt; implementation 23 that make applications using ESAPI for Java still<br>
&gt;&gt;&gt; vulnerable to Padding Oracle attacks. ."<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; On Fri, Mar 5, 2010 at 12:15 PM, Nam Nguyen &lt;<a href="mailto:namn@bluemoon.com.vn"><a href="mailto:namn@bluemoon.com.vn">namn@bluemoon.com.vn</a></a>&gt;<br>
&gt;&gt;&gt; wrote:<br>
&gt;&gt;&gt;&gt; Quote: We show that even OWASP folks can't get it right, how can an<br>
&gt;&gt;&gt;&gt; average Joe survive this new class of vulnerabilities?<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; <a href="http://www.blackhat.com/html/bh-eu-10/bh-eu-10-briefings.html#Duong" target="_blank"><a href="http://www.blackhat.com/html/bh-eu-10/bh-eu-10-briefings.html#Duong">http://www.blackhat.com/html/bh-eu-10/bh-eu-10-briefings.html#Duong</a></a><br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; Anyone going to BH-EU?<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; --<br>
&gt;&gt;&gt; Regards,<br>
&gt;&gt;&gt; Christian Heinrich - <a href="http://www.owasp.org/index.php/user:cmlh" target="_blank"><a href="http://www.owasp.org/index.php/user:cmlh">http://www.owasp.org/index.php/user:cmlh</a></a><br>
&gt;&gt;&gt; OWASP "Google Hacking" Project Lead - <a href="http://sn.im/" target="_blank"><a href="http://sn.im/">http://sn.im/</a></a><br>
&gt;&gt;&gt; owasp_google_hacking<br>
&gt;&gt;&gt; _______________________________________________<br>
&gt;&gt;&gt; OWASP-Leaders mailing list<br>
&gt;&gt;&gt; <a href="mailto:OWASP-Leaders@lists.owasp.org"><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></a><br>
&gt;&gt;&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank"><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></a><br>
&gt;&gt; _______________________________________________<br>
&gt;&gt; OWASP-Leaders mailing list<br>
&gt;&gt; <a href="mailto:OWASP-Leaders@lists.owasp.org"><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></a><br>
&gt;&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank"><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></a><br>
&gt;&gt;<br>
&gt;&gt; _______________________________________________<br>
</div></div>&gt;&gt; Esapi-dev mailing list<br>
&gt;&gt; <a href="mailto:Esapi-dev@lists.owasp.org"><a href="mailto:Esapi-dev@lists.owasp.org">Esapi-dev@lists.owasp.org</a></a><br>
&gt;&gt; <a href="https://lists.owasp.org/mailman/listinfo/esapi-dev" target="_blank"><a href="https://lists.owasp.org/mailman/listinfo/esapi-dev">https://lists.owasp.org/mailman/listinfo/esapi-dev</a></a><br>
&gt; _______________________________________________<br>
&gt; Esapi-user mailing list<br>
&gt; <a href="mailto:Esapi-user@lists.owasp.org"><a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a></a><br>
&gt; <a href="https://lists.owasp.org/mailman/listinfo/esapi-user" target="_blank"><a href="https://lists.owasp.org/mailman/listinfo/esapi-user">https://lists.owasp.org/mailman/listinfo/esapi-user</a></a><br>
<div><div></div><div class="h5">_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org"><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank"><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></a><br>
</div></div></blockquote></div><br></div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>OWASP-Leaders mailing list</span><br><span><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span><br></div></blockquote></body></html>