
<div dir="ltr">If we are going to do something, let's do an OSSN.  Given the discussion here, I'm going to flip my opinion and suggest that we cut an OSSN in short order.  Who would like to write it up?  I'm traveling today, so I'm out.<div>


<br></div><div>-bryan</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Apr 9, 2014 at 1:28 PM, Cody Bunch <span dir="ltr"><<a href="mailto:cody.bunch@rackspace.com" target="_blank">cody.bunch@rackspace.com</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div lang="EN-GB" link="blue" vlink="purple">

<div style="direction:ltr;font-size:10pt;font-family:Tahoma">If not an OSSN a small faq of sorts as it pertains to OpenStack.<br>

<br>

-C<br>

<br>

<div style="font-size:16px;font-family:Times New Roman">

<hr>

<div style="direction:ltr"><font color="#000000" face="Tahoma"><b>From:</b> Clark, Robert Graham [<a href="mailto:robert.clark@hp.com" target="_blank">robert.clark@hp.com</a>]<br>

<b>Sent:</b> Wednesday, April 09, 2014 3:24 PM<br>

<b>To:</b> Bryan D. Payne; Thierry Carrez; Nathan Kinder<div class=""><br>

<b>Cc:</b> <a href="mailto:openstack-security@lists.openstack.org" target="_blank">openstack-security@lists.openstack.org</a><br>

<b>Subject:</b> Re: [Openstack-security] FW: OpenSSL Heartblead (CVE-2014-0160)<br>

</div></font><br>

</div><div class="">

<div></div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I think there may be some value in us creating an OSSN that runs through the issue, it’s coming up a lot on the ML and while I agree with Bryan in principle

 that it’s not completely within the realm of the OSSN process, there’s value in having one well written summary that people can refer to on the ML and elsewhere rather than having lots of add hock conversations.</span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Thoughts?</span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span></p>

<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"" lang="EN-US">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"" lang="EN-US"> Bryan D. Payne [mailto:<a href="mailto:bdpayne@acm.org" target="_blank">bdpayne@acm.org</a>]

<br>

<b>Sent:</b> 09 April 2014 09:35<br>

<b>To:</b> Thierry Carrez<br>

<b>Cc:</b> <a href="mailto:openstack-security@lists.openstack.org" target="_blank">openstack-security@lists.openstack.org</a><br>

<b>Subject:</b> Re: [Openstack-security] FW: OpenSSL Heartblead (CVE-2014-0160)</span></p>

<p class="MsoNormal"> </p>

<div>

<div>

<div>

<blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">

<div>

<p class="MsoNormal">Should we consider issuing an OSSN describing steps for heartbleed</p>

</div>

<p class="MsoNormal">mitigation in OpenStack deployments ? I know it's not very different<br>

from other affected SSL services, but I've already answered that<br>

question twice on MLs and people are apparently very confused about it<br>

so it looks like something that could use a reference official answer :)</p>

</blockquote>

<div>

<p class="MsoNormal"> </p>

</div>

<div>

<p class="MsoNormal">Unless we have something specifically related to OpenStack to add, I'd suggest just pointing people to <a href="http://heartbleed.com/" target="_blank">http://heartbleed.com/</a>.</p>

</div>

<div>

<p class="MsoNormal"> </p>

</div>

<div>

<p class="MsoNormal">-bryan</p>

</div>

</div>

</div>

</div>

</div>

</div>

</div></div>

</div>

</div>


</blockquote></div><br></div>