MoonWolfです。

Yukihiro Matsumoto wrote:
> |CVSをみると9/23に修正されていますね。
> |1ヶ月以上経つのにアナウンスなしというのは、脆弱性として認めていないから
> |でしょうか?
> 
> 脆弱性として認めていないわけではないですが、この種のDoS脆弱
> 性は他のものよりも優先度は低いと考えてはいます。正直、こちら
> の限られたリソースを割きたくないです。ですから、

優先度が低いと判断したのはまつもとさんの独断ですか?
security / ruby-lang.orgの非公開MLで議論されたうえでの結論ですか?
「脆弱性として認めていないわけではない」のであれば公式サイトの
セキュリティのページに掲載する必要があるのではないですか?

> |(b)1.8.6をリリースするまでパッチのみで対応する
> 上の分類では(b)です。またこちらからディストリビュータになに
> か依頼する予定もありません。

なぜ公式なパッチが提供されていないのですか?
ディストリビュータに非公式パッチの取捨選択の責任を擦り付けていませんか?

> |以下、cgi.rbをざっと眺めた感想です。
> 検討してはみます。パッチなどがあれば歓迎します。

私の「限られたリソースを割きたくない」のでパッチは書きたくありません。