おはようございます。

NetBSDのpkgsrc方面から、

	http://secunia.com/advisories/15767/

というxmlrpc関連のセキュリティの問題があると連絡を受けました。Rubyの
CVSのレポジトリで確認すると、lib/xmlrpc/utils.rbの1行fixがHEADではなさ
れています。一方、1.8のブランチでは、まだ対処されていないようです。

Index: lib/xmlrpc/utils.rb
===================================================================
RCS file: /src/ruby/lib/xmlrpc/utils.rb,v
retrieving revision 1.3
retrieving revision 1.4
diff -u -u -r1.3 -r1.4
--- lib/xmlrpc/utils.rb	15 Nov 2004 23:26:20 -0000	1.3
+++ lib/xmlrpc/utils.rb	19 Jun 2005 15:47:31 -0000	1.4
@@ -6,7 +6,7 @@
 # 
 # Copyright (C) 2001, 2002, 2003 by Michael Neumann (mneumann / ntecs.de)
 #
-# $Id: utils.rb,v 1.3 2004/11/15 23:26:20 mneumann Exp $ 
+# $Id: utils.rb,v 1.4 2005/06/19 15:47:31 mneumann Exp $ 
 #
 
 module XMLRPC
@@ -131,7 +131,7 @@
 
     def get_methods(obj, delim=".")
       prefix = @prefix + delim
-      obj.class.public_instance_methods.collect { |name|
+      obj.class.public_instance_methods(false).collect { |name|
         [prefix + name, obj.method(name).to_proc, nil, nil] 
       }
     end


この変更は、そのまま1.8のブランチにも適用できると思いますし、実際
Fedoraのパッケージでは変更が加えられているようです。

http://download.fedora.redhat.com/pub/fedora/linux/core/updates/3/SRPMS/ruby-1.8.2-1.fc3.3.src.rpm


-- 
神戸 隆博 / Takahiro Kambe