MoonWolfです。

U.Nakamura wrote:

> (2) その必然性が存在すると仮定して、パッチが当たっているかど
>     うかをプログラム的に確認するのにCGI::REVISIONが適切な手段
>     なのか

CGI::REVISIONが適切だとは言っていません。
今回かろうじてCGI::REVISIONでパッチがあたっているか確認できたから
例としてあげただけです。
現在ではもうCGI::REVISIONですら信用できませんが^^;

あと、プログラム的に確認することだけではなく人間が確認して安心するための
手段を用意して欲しいということが私の趣旨です。
もしC言語部分に脆弱性があった場合、バイナリを読める人ででもないと確認で
きません。
CGI::REVISIONによってプログラムの処理を切り替えるなどといったことは想定
していません。(すくなくともセキュリティの変更に関しては)

http://www.ruby-lang.org/ja/news/2006/11/02/CVE-2006-5467/
> 脆弱性の存在するバージョン
> 1.8系
> 1.8.5以前の全てのバージョン 
> 開発版(1.9系)
> 2006-09-23以前の全てのバージョン

パッチをあてても、脆弱性の存在する「バージョン1.8.5以前」のままであっ
て、本当に対策できたのか判断できませんがそれでもいいと?

> (3) もしCGI::REVISIONが適切でないとしたら、どのような手段が適
>     切と考えられるか

[ruby-dev:29726]では(a)としてRuby自体のバージョンをあげるという
別の選択肢も提示しています。
すでに選択肢が提示されているにも関わらず、このような書き方をするのは
フェアではありません。
このまま誰も意見を出さずにフェードアウトさせたいのですか?

> (4) 以上を踏まえた上で、それにかかるコスト(誰かのリソースを使
>     うんでしょうねえ)が効果に見合っているのか

「コストがかかるから脆弱性に対応しない」というポリシーなのでしょうか?
いままで曖昧になっていましたが、明確にするといいと思います。
Rubyを今後も利用し続けていくか判断するいい材料になりますから。
他の言語ユーザがRubyから自分たちの使用している言語を使うよう勧誘するなら
いまがチャンスかもしれません。