MoonWolfです。

Takahiro Kambe wrote:
>>     * パッチを当てたファイルは1.68.2.18になるが、CVSから取得できる
>>       1.68.2.18とは実体が異なる(1.68.2.17の変更が含まれていない)ので
>>       混乱の元である。
> そういう意味では、CGI::REVISIONは当てにはならないということです。

実体が違うのであれば、REVISIONを変える必要があるのでは?
1.68.2.17による処理の違いを説明するのに「1.68.2.17以降」という表現が
できませんね。

>>   * シェルが開放されていないサーバだと大変。
> レンタルサーバ?  そういった場合は、そのサーバでシェルを使える管理者が
> きちんと更新すべきではないのかしら?

自分の借りているサーバでパッチがあたっているか自分で確認することが難しい
ということです。
いちいち管理者に問い合わせるか、CGI::REVISIONを表示させるCGIなどを作って
確認しなくてはいけません。

>> * 1.8.5がリリースされたのは2006/8/25なのに、2006/9/4とのdiffである。
>>   * 1.68.2.17の変更がパッチに現れなかったのは偶然?
> おそらく、今回のセキュリティの問題に直接関係のない、互換性を損なう恐れ
> があるnkfに関する変更が1.68.2.17で行われているためでしょう。セキュリティ
> 対応のパッチのためであれば、ちょうど1.68.2.17と1.68.2.18の差分でちょう
> ど良いことになります。

1.68.2.17による変更が行の追加、削除を伴わないシンプルなものであったから
良いものの、複雑な変更をまたいでいたらパッチとしてなりたたなかったという
ことです。
1.6.28.16に対するパッチのはずなのに、1.6.28.17に対するdiffというのは、
パッチを当てる時に不安になりませんか?