<div dir="ltr"><br><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature">----------<br>Nancy</div></div>
<br><div class="gmail_quote">On Thu, May 31, 2018 at 5:38 PM, Andrew Jeffery <span dir="ltr"><<a href="mailto:andrew@aj.id.au" target="_blank">andrew@aj.id.au</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Thu, 31 May 2018, at 18:08, Stewart Smith wrote:<br>
> Nancy Yuen <<a href="mailto:yuenn@google.com">yuenn@google.com</a>> writes:<br>
> > The OpenBMC Security Work Group kick off meeting is scheduled for Thurs May<br>
> > 31, 9AM PDT.  This first meeting is by invite only.  Please email me if you<br>
> > are interested in participating in this working group.<br>
> <br>
> Would topics like "security of the BMC from a hostile host" be part of<br>
> this?<br>
<br>
</span>I vote yes, and I'm picking up the work to shut down some of the obvious holes again now, at least from an OpenPOWER perspective.<br></blockquote><div><br></div><div>Definitely it would be a security topic for our platforms.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<span class=""><br>
> <br>
> A design of OpenPOWER systems is that the BMC and the Host don't have to<br>
> trust each other, and this should extend to a host that's hostile<br>
> towards the BMC.<br>
> <br>
> I'd be surprised if we didn't find bugs in both mboxd and host ipmi if<br>
> we started fuzzing those interfaces.<br>
<br>
</span>I've have a neglected branch floating around that adds an AFL harness for mboxd. I should start hacking on that again :)<br></blockquote><div><br></div><div>Maybe for OpenBMC Fix it next week? :D</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<span class="HOEnZb"><font color="#888888"><br>
Andrew<br>
</font></span></blockquote></div><br></div></div>