MoonWolfです。

Yukihiro Matsumoto wrote:
> |security / ruby-lang.orgの非公開MLで議論されたうえでの結論ですか?
> |「脆弱性として認めていないわけではない」のであれば公式サイトの
> |セキュリティのページに掲載する必要があるのではないですか?
> 
> 必要が無いとは言いません。

やっとWebに掲載されましたね。
おつかれさまでした。と、言いたいところですが、まだいくつか問題があります。

* パッチがあたっているかどうかruby -vやRUBY_RELEASE_DATEで区別できない。
  * CGI::REVISIONでなんとか判別可能
    * パッチを当てたファイルは1.68.2.18になるが、CVSから取得できる
      1.68.2.18とは実体が異なる(1.68.2.17の変更が含まれていない)ので
      混乱の元である。
    * すべてのライブラリでREVISIONが取得できるわけではないので、
      今後注意が必要。今回はたまたま運が良かっただけ。
  * シェルが開放されていないサーバだと大変。
* パッチのmd5sumがない。
* パッチのミラーがない。
  * cvsweb.cgiによる動的な出力では心もとない。静的なファイルとして
    きちんとミラーされる場所に置いて欲しい。
* 1.8.5がリリースされたのは2006/8/25なのに、2006/9/4とのdiffである。
  * 1.68.2.17の変更がパッチに現れなかったのは偶然?