まつもと ゆきひろです

In message "Re: [ruby-dev:29729] Re: cgi.rbのDoS脆弱性について"
    on Wed, 1 Nov 2006 20:17:02 +0900, MoonWolf <moonwolf / moonwolf.com> writes:

|優先度が低いと判断したのはまつもとさんの独断ですか?

私の独断です。

|security / ruby-lang.orgの非公開MLで議論されたうえでの結論ですか?
|「脆弱性として認めていないわけではない」のであれば公式サイトの
|セキュリティのページに掲載する必要があるのではないですか?

必要が無いとは言いません。

|> |(b)1.8.6をリリースするまでパッチのみで対応する
|> 上の分類では(b)です。またこちらからディストリビュータになに
|> か依頼する予定もありません。
|
|なぜ公式なパッチが提供されていないのですか?
|ディストリビュータに非公式パッチの取捨選択の責任を擦り付けていませんか?

おっしゃることがよくわかりません。ディストリビュータにはない
「責任」が私にはあるとおっしゃってるんですかね。確か「無保証」
はライセンスの一部としてはっきりとうたってあると思うのですが。

|> |以下、cgi.rbをざっと眺めた感想です。
|> 検討してはみます。パッチなどがあれば歓迎します。
|
|私の「限られたリソースを割きたくない」のでパッチは書きたくありません。

ま、それはそれでしょうがないですよね。私もMoonWolfさんも、リ
ソースは有限なんですから、自分が使いたいようにリソースを使う
でしょう。

                                まつもと ゆきひろ /:|)