MoonWolfです。

cgi.rbにマルチパート処理時のDoS脆弱性があるという報告(CVE-2006-5467)を
読みました。

http://rubyforge.org/pipermail/mongrel-users/2006-October/001946.html
http://en.securitylab.ru/nvd/276121.php
http://www.frsirt.com/english/CVE-2006-5467.php

CVSをみると9/23に修正されていますね。
1ヶ月以上経つのにアナウンスなしというのは、脆弱性として認めていないから
でしょうか?

どのように対応する予定ですか?

(a)1.8.5に最低限のパッチを当てたものをリリースする
  * バージョンは1.8.6? 1.8.5.1? 1.8.5p1?
(b)1.8.6をリリースするまでパッチのみで対応する
  * ディストリビュータにパッチ済みバイナリを作ってもらうよう
    お願いしないといけない?
  * Mandriva,FedoraはすでにFixしたものを提供しています。
  * ちなみにDebian unstableのRubyはパッチがあたっていません。
    ruby 1.8.5 (2006-08-25) [i486-linux]

以下、cgi.rbをざっと眺めた感想です。

* 否定形の文字クラスは[\x00-\x1f\x7f-\xff]などの非ASCII文字にも
マッチしてしまいます。許可する文字を明示するようにしましょう。

* [\r\n]{1,2}という表現は何を意図していますか? このままだと"\r\r","\n\
n","\n\r"も受け付けてしまう。(\r?\n|\r)と書くべき?
  EOLが"\r"という可能性は低いしシンプルに(?:\r?\n)でいいかもしれません。

* read_multipartのheadの扱いが雑。きちんとパースしたほうがいいと思う。

* Integer(str)は負の数も受け付けます。正の数だけが欲しいのではないですか?