
<p dir="ltr">Hi,</p>

<p dir="ltr">I believe 50 and 51 were both assigned to me.  They were closely linked, but seperate issues.</p>

<p dir="ltr">I wrote 50 up here:<br>

<a href="https://review.openstack.org/#/c/200303/2">https://review.openstack.org/#/c/200303/2</a></p>

<p dir="ltr">After discussion in a security meeting, my memory is that it was agreed that they probably weren't required.</p>

<p dir="ltr">I'd have to pull out the meeting log to be certain, but I'd also continue them if the mood has now changed. </p>

<p dir="ltr">--<br>

Kind Regards,<br>

Dave Walker</p>

<p dir="ltr">On 11 Apr 2016 16:06, "Clark, Robert Graham" <<a href="mailto:robert.clark@hpe.com">robert.clark@hpe.com</a>> wrote:<br>

><br>

> Thanks Matt, Michael,<br>

><br>

>  <br>

><br>

> To start with, lets look quickly at the more recent OSSNs that are marked as work in progress, namely 63,64,65 and 66 – these should all be published within a week or so.<br>

><br>

>  <br>

><br>

> Looking further back we have the more difficult OSSNs 50 and 51, I’m not 100% sure what the blockers are on these.  I believe <a href="https://wiki.openstack.org/wiki/OSSN/OSSN-0056">https://wiki.openstack.org/wiki/OSSN/OSSN-0056</a> may supersede OSSN-0051 and is rooted in bug <a href="https://bugs.launchpad.net/ossn/+bug/1435530">https://bugs.launchpad.net/ossn/+bug/1435530</a> - it looks to me like OSSN-0056 was written during a mid-cycle and could be the right one.<br>

><br>

>  <br>

><br>

> I’m struggling to work out the story behind OSSN-0050 – I’m adding Nathan Kinder who might be able to shed more light on this.<br>

><br>

>  <br>

><br>

> -Rob<br>

><br>

>  <br>

><br>

>  <br>

><br>

>  <br>

><br>

> From: Michael Xin [mailto:<a href="mailto:michael.xin@RACKSPACE.COM">michael.xin@RACKSPACE.COM</a>] <br>

> Sent: 11 April 2016 15:28<br>

> To: Matt Fischer; OpenStack Development Mailing List (not for usage questions)<br>

> Subject: Re: [openstack-dev] [Openstack-security] [Security]abandoned OSSNs?<br>

><br>

>  <br>

><br>

> Matt:<br>

><br>

> Thanks for asking this. I forwarded this email to the new email list so that folks with better knowledge can answer this. <br>

><br>

>  <br>

><br>

>  <br>

><br>

> Thanks and have a great day. <br>

><br>

>  <br>

><br>

> Yours,<br>

><br>

> Michael <br>

><br>

>  <br>

><br>

>  <br>

><br>

> -----------------------------------------------------------------------------<br>

><br>

> Michael Xin | Manager, Security Engineering - US <br>

><br>

> Product Security  |Rackspace Hosting<br>

><br>

> Office #: 501-7341   or  210-312-7341<br>

><br>

> Mobile #: 210-284-8674 <br>

><br>

> 5000 Walzem Road, San Antonio, Tx 78218<br>

><br>

> ----------------------------------------------------------------------------<br>

><br>

> Experience fanatical support<br>

><br>

>  <br>

><br>

> From: Matt Fischer <<a href="mailto:matt@mattfischer.com">matt@mattfischer.com</a>><br>

> Date: Monday, April 11, 2016 at 9:19 AM<br>

> To: "<a href="mailto:openstack-security@lists.openstack.org">openstack-security@lists.openstack.org</a>" <<a href="mailto:openstack-security@lists.openstack.org">openstack-security@lists.openstack.org</a>><br>

> Subject: [Openstack-security] abandoned OSSNs?<br>

><br>

>  <br>

><br>

> Some folks from our security team here asked me to ensure them that our services were patched for all the OSSNs that are listed here: <a href="https://wiki.openstack.org/wiki/Security_Notes">https://wiki.openstack.org/wiki/Security_Notes</a><br>

><br>

>  <br>

><br>

> Most of these are straight-forward, but there are some OSSNs that have been allocated an ID but then abandoned. There is no detailed wiki page and my best google efforts lead me to a possible IRC mention and maybe an abandoned review. The two specifically are OSSN-50/51.<br>

><br>

>  <br>

><br>

> So what am I to do with an "abandoned" OSSN? Has it been decided that there is no issue anymore? These are pretty old if I look at the dates framing the other OSSNs (49/52), so I assume they aren't urgent. Can we ignore these? They sound somewhat scary, for example, "keystonemiddleware can allow access after token revocation" but I have no means to say whether it affects us or how we can mitigate without more info.<br>

><br>

>  <br>

><br>

> Thoughts?<br>

><br>

><br>

> __________________________________________________________________________<br>

> OpenStack Development Mailing List (not for usage questions)<br>

> Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>

> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>

><br>

</p>