こんにちは、なかむら(う)です。

In message "[ruby-dev:29753] Re: cgi.rbのDoS脆弱性について"
    on Nov.03,2006 11:16:51, <moonwolf / moonwolf.com> wrote:
| しかし、新しいパッチにも問題があります。
| CGI::REVISIONが1.68.2.16のままです。
| パッチがあたっているか確認する方法としてCGI::REVISIONを参考にできないと
| いうことです。
| 変更された行を自分で目視して確認しないとパッチがあたっているかわかりません。

それが問題であるかどうかは議論の余地があると思います。
ですが、私もどうやらリソースが足りてなくてこの件について議論
するだけの余力はなさそうです。
お題だけ提供しときますので、この件にリソースが割ける方々にお
まかせします。

(1) パッチを当てたであろう人に確認せずにプログラム的にパッチ
    が当たっているかどうかを確認できるようにしない必然性は存
    在するのか
(2) その必然性が存在すると仮定して、パッチが当たっているかど
    うかをプログラム的に確認するのにCGI::REVISIONが適切な手段
    なのか
(3) もしCGI::REVISIONが適切でないとしたら、どのような手段が適
    切と考えられるか
(4) 以上を踏まえた上で、それにかかるコスト(誰かのリソースを使
    うんでしょうねえ)が効果に見合っているのか


それでは。
-- 
U.Nakamura <usa / garbagecollect.jp>
11/5の夕方まで在松江