<div dir="ltr"><span style="font-size:12.8px">Some folks from our security team here asked me to ensure them that our services were patched for all the OSSNs that are listed here: </span><a href="https://wiki.openstack.org/wiki/Security_Notes" target="_blank" style="font-size:12.8px">https://wiki.openstack.org/wiki/Security_Notes</a><div style="font-size:12.8px"><font face="arial, helvetica, sans-serif"><br></font></div><div style="font-size:12.8px"><font face="arial, helvetica, sans-serif">Most of these are straight-forward, but there are some OSSNs that have been allocated an ID but then abandoned. There is no detailed wiki page and my best google efforts lead me to a possible IRC mention and maybe an abandoned review. The two specifically are OSSN-50/51.</font></div><div style="font-size:12.8px"><font face="arial, helvetica, sans-serif"><br></font></div><div style="font-size:12.8px"><font face="arial, helvetica, sans-serif">So what am I to do with an "abandoned" OSSN? Has it been decided that there is no issue anymore? These are pretty old if I look at the dates framing the other OSSNs (49/52), so I assume they aren't urgent. Can we ignore these? They sound somewhat scary, for example, "<span style="color:rgb(51,51,51);line-height:20px">keystonemiddleware can allow access after token revocation" but I have no means to say whether it affects us or how we can mitigate without more info.</span></font></div><div style="font-size:12.8px"><span style="color:rgb(51,51,51);line-height:20px"><font face="arial, helvetica, sans-serif"><br></font></span></div><div style="font-size:12.8px"><span style="color:rgb(51,51,51);line-height:20px"><font face="arial, helvetica, sans-serif">Thoughts?</font></span></div></div>