<div dir="auto"><div>Thanks Nat, I reached out via email to who I believe is the project maintainer yesterday.</div><div dir="auto"><br></div><div dir="auto">Cheers,</div><div dir="auto"><br></div><div dir="auto">Chris<br><br><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">On Fri, Mar 1, 2019, 11:27 PM n-sakimura <<a href="mailto:n-sakimura@nri.co.jp">n-sakimura@nri.co.jp</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div>
<div style="direction:ltr">
<div>
<div>
<div style="direction:ltr">Chris, </div>
<div style="direction:ltr"><br>
</div>
<div style="direction:ltr">Thanks for reaching out. Sorry that I could not respond earlier. </div>
<div style="direction:ltr">I was flying from Tokyo to San Francisco. </div>
<div style="direction:ltr"><br>
</div>
<div style="direction:ltr">I will let the secretariat know about it so that they can act accordingly. </div>
<div style="direction:ltr"><br>
</div>
<div style="direction:ltr">In the mean time, if you could use your own path to get in touch with the author of the gem, it would be great as well as it is over the weekend in the U.S. </div>
<div><br>
</div>
<div style="direction:ltr"></div>
<div>Additionally, I will Bering it up in the board meeting to make our process more effective on these things. </div>
<div style="direction:ltr"><br>
</div>
<div style="direction:ltr">Best, </div>
<div style="direction:ltr"><br>
</div>
<div style="direction:ltr">Nat Sakimura</div>
<div style="direction:ltr">Chairmen of the board</div>
<div style="direction:ltr">OpenID Foundation </div>
</div>
</div>
<div> </div>
<hr style="display:inline-block;width:98%">
<div id="m_-5598907359425363069divRplyFwdMsg" dir="dir="ltr""><font face="Calibri, sans-serif" color="#000000" style="font-size:11pt"><b>差出人:</b> security <<a href="mailto:openid-security-bounces@lists.openid.net" target="_blank" rel="noreferrer">openid-security-bounces@lists.openid.net</a>> (Chris <<a href="mailto:setenforce1@gmail.com" target="_blank" rel="noreferrer">setenforce1@gmail.com</a>> の代理)<br>
<b>送信日時:</b> 水曜日, 2月 27, 2019 9:09 午前<br>
<b>宛先:</b> <a href="mailto:openid-security@lists.openid.net" target="_blank" rel="noreferrer">openid-security@lists.openid.net</a><br>
<b>件名:</b> [security] Security issue with ruby-openid library
<div> </div>
</font></div>

<div dir="ltr">
<div dir="ltr">
<div>openid-security mailing list:</div>
<div><br>
</div>
<div>I have discovered a remotely exploitable weakness in the ruby-openid library that Rails web applications use to integrate with OpenID Providers.  Severity can range from medium to critical, depending on how a web application developer chose to implement
 the ruby-openid library.  Developers who based their OpenID integration heavily on the "example app" provided by the project are at highest risk.</div>
<div><br>
</div>
<div>I hesitate to provide too much detail publicly, as I would prefer to responsibly report the details of this issue privately, to ensure that the OpenID community has time to confirm my findings, implement appropriate code changes, and communicate effectively
 with affected developers.</div>
<div><br>
</div>
<div>Can one of the main admins on the list please suggest a viable approach?  One of the primary maintainers of the ruby-openid project could contact me directly (reply to this email?), or I could be provided with a short list of maintainers to contact.</div>
<div><br>
</div>
<div>Thank you</div>
<div>-</div>
<div>Chris</div>
</div>
</div>
</div>
</div>

</blockquote></div></div></div>