
<div dir="ltr">Axel, no contact yet. I will contact the gem maintainer directly.<div><br></div><div>Cheers</div><div>Chris</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Feb 28, 2019 at 12:25 AM <<a href="mailto:Axel.Nennker@telekom.de">Axel.Nennker@telekom.de</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">


<div lang="EN-US">

<div class="gmail-m_2457201418650328645WordSection1">

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">HI Chris,<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">did somebody reach out to you already?<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">Please either reach out to the maintainer of the gem yourself or tell me who you think should be contacted.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">Kind regards<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">Axel<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"><u></u> <u></u></span></p>

<p class="MsoNormal"><b><span style="font-size:11pt;font-family:Calibri,sans-serif">From:</span></b><span style="font-size:11pt;font-family:Calibri,sans-serif"> security <<a href="mailto:openid-security-bounces@lists.openid.net" target="_blank">openid-security-bounces@lists.openid.net</a>>

<b>On Behalf Of </b>Chris<br>

<b>Sent:</b> Mittwoch, 27. Februar 2019 01:09<br>

<b>To:</b> <a href="mailto:openid-security@lists.openid.net" target="_blank">openid-security@lists.openid.net</a><br>

<b>Subject:</b> [security] Security issue with ruby-openid library<u></u><u></u></span></p>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<div>

<div>

<p class="MsoNormal">openid-security mailing list:<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">I have discovered a remotely exploitable weakness in the ruby-openid library that Rails web applications use to integrate with OpenID Providers.  Severity can range from medium to critical, depending on how a web application developer chose

 to implement the ruby-openid library.  Developers who based their OpenID integration heavily on the "example app" provided by the project are at highest risk.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">I hesitate to provide too much detail publicly, as I would prefer to responsibly report the details of this issue privately, to ensure that the OpenID community has time to confirm my findings, implement appropriate code changes, and communicate

 effectively with affected developers.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">Can one of the main admins on the list please suggest a viable approach?  One of the primary maintainers of the ruby-openid project could contact me directly (reply to this email?), or I could be provided with a short list of maintainers

 to contact.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">Thank you<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">-<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">Chris<u></u><u></u></p>

</div>

</div>

</div>

</div>

</div>


</blockquote></div>