<div dir="ltr"><div>Julian,<br></div><div><div><br></div><div>I agree. One hard lesson we've learned on this is that we should have sent a notice to oss-security first, to disseminate straight to package maintainers (it was good to see the fast response). Going through MITRE directly was letting it languish. We should have done a better job communicating this and timed it right with the release of 1.2. The CVE process was new to everyone on the team.</div>
<div><br></div><div>Would you like to help us with this in the future?</div><div><br></div><div>Regards,</div><div><br></div><div>Kyle Kelley</div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Jul 16, 2014 at 1:19 PM, Julian Taylor <span dir="ltr"><<a href="mailto:jtaylor.debian@googlemail.com" target="_blank">jtaylor.debian@googlemail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Why wasn't this disclosed on the appropriate channels 6 month ago when<br>
it was fixed?<br>
It didn't even get a proper changelog entry nor did distribution<br>
maintainers get informed at all.<br>
<br>
Remote execution on localhost notebooks is really really bad, even if<br>
you do need the kernel id.<br>
This should have been posted to oss-security at the latest when 1.2.0<br>
was released ...<br>
<div class=""><br>
On 14.07.2014 17:20, Kyle Kelley wrote:<br>
> Whoops!<br>
><br>
> Correction, CVE ID was truncated. It should read:<br>
><br>
> The CVE ID is CVE-2014-3429<br>
> (<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3429" target="_blank">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3429</a>).<br>
><br>
><br>
><br>
> On Sun, Jul 13, 2014 at 3:56 PM, Kyle Kelley <<a href="mailto:rgbkrk@gmail.com">rgbkrk@gmail.com</a><br>
</div><div class="">> <mailto:<a href="mailto:rgbkrk@gmail.com">rgbkrk@gmail.com</a>>> wrote:<br>
><br>
>     Everyone,<br>
><br>
>     On IPython ≤ 1.1, a remote site could have exploited a vulnerability<br>
>     in cross origin websocket handling to execute code on an IPython<br>
>     kernel, with knowledge of the kernel id (which requires user<br>
>     intervention).<br>
><br>
>     This vulnerability was patched<br>
>     in <a href="https://github.com/ipython/ipython/pull/4845" target="_blank">https://github.com/ipython/ipython/pull/4845</a> and reported to the<br>
>     CVE (Common Vulnerabilities and Exposure) database.<br>
><br>
>     Summary given to the CVE database: The origin of websocket requests<br>
>     was not verified within the IPython notebook server. If an attacker<br>
>     has knowledge of an IPython kernel id they can run arbitrary code on<br>
>     a user's machine when the client visits a crafted malicious page.<br>
><br>
>     The CVE ID is CVE-2014-342<br>
>     (<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-342" target="_blank">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-342</a>).<br>
><br>
>     If you were at SciPy and watched the final round of lightning talks,<br>
>     you already know about this vulnerability (as much as you can within<br>
>     a 5 minute talk that is).<br>
><br>
>     I wrote a more detailed explanation<br>
>     at <a href="http://lambdaops.com/cross-origin-websocket-hijacking-of-ipython" target="_blank">http://lambdaops.com/cross-origin-websocket-hijacking-of-ipython</a><br>
><br>
>     Feel free to ask us (the IPython team) any questions!<br>
><br>
>     Regards,<br>
><br>
>     Kyle Kelley<br>
><br>
><br>
><br>
><br>
</div>> _______________________________________________<br>
> IPython-dev mailing list<br>
> <a href="mailto:IPython-dev@scipy.org">IPython-dev@scipy.org</a><br>
> <a href="http://mail.scipy.org/mailman/listinfo/ipython-dev" target="_blank">http://mail.scipy.org/mailman/listinfo/ipython-dev</a><br>
><br>
<br>
_______________________________________________<br>
IPython-dev mailing list<br>
<a href="mailto:IPython-dev@scipy.org">IPython-dev@scipy.org</a><br>
<a href="http://mail.scipy.org/mailman/listinfo/ipython-dev" target="_blank">http://mail.scipy.org/mailman/listinfo/ipython-dev</a><br>
</blockquote></div><br></div>