<div dir="ltr"><div dir="ltr"><div style="font-family:verdana,sans-serif" class="gmail_default"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Mar 12, 2021 at 2:27 AM Jeremy Stanley <<a href="mailto:fungi@yuggoth.org">fungi@yuggoth.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 2021-03-11 14:22:21 -0600 (-0600), Ghanshyam Mann wrote:<br>
[...]<br>
> In a quick search, interop certification guidelines 1] also does<br>
> not use these API capabilities so changing to admin should be fine<br>
> from interop and so does from Tempest test modification point of<br>
> view.<br>
[...]<br>
<br>
Yep, if you check out the original bug reports leading up to the<br>
OSSN, we did at least confirm these were not part of any trademark<br>
program requirement before recommending that access be blocked. That<br>
was one of our deciding factors in the disclosure timeline.<br>
-- <br>
Jeremy Stanley<br></blockquote><div><br></div><div style="font-family:verdana,sans-serif" class="gmail_default">Thanks to Sean and Belmiro for confirming how and where metadefs are used. I think it makes more sense now to keep these metadef create/update/delete APIs admin-only and grant read-only access to normal users. In the advisory we should also specify that there is still a possibility of information leak in this case.</div><div style="font-family:verdana,sans-serif" class="gmail_default"><br></div><div style="font-family:verdana,sans-serif" class="gmail_default">Thanks and Regards,</div><div style="font-family:verdana,sans-serif" class="gmail_default"><br></div><div style="font-family:verdana,sans-serif" class="gmail_default">Abhishek Kekane<br></div></div></div>