こんにちは、なかむら(う)です。

In message "[ruby-dev:29756] Re: cgi.rbのDoS脆弱性について"
    on Nov.03,2006 14:53:52, <moonwolf / moonwolf.com> wrote:
| あと、プログラム的に確認することだけではなく人間が確認して安心するための
| 手段を用意して欲しいということが私の趣旨です。

(1)がスルーされてますが、わかる人に確認する、という選択肢はあ
りえないのでしょうか?

| パッチをあてても、脆弱性の存在する「バージョン1.8.5以前」のままであっ
| て、本当に対策できたのか判断できませんがそれでもいいと?

「本当に対策できたのか」は、実際にその脆弱性が再現するかどう
かを確認する以外に判断不可能だと思いますが...


| > (3) もしCGI::REVISIONが適切でないとしたら、どのような手段が適
| >     切と考えられるか
| 
| [ruby-dev:29726]では(a)としてRuby自体のバージョンをあげるという
| 別の選択肢も提示しています。
| すでに選択肢が提示されているにも関わらず、このような書き方をするのは
| フェアではありません。

なんだか誤解があるようですが、
 (1)で書いた必然性がないならそもそもこの話は不要
 (1)で書いた必然性があるなら、(2)の確認が必要
 (2)で適切でないなら(3)の検討が必要
という、私からするとごく当たり前の思考順序を提示しただけです
よ。

私は(1)〜(4)のいずれについても細かく検討したい状況に今はいな
いので、後は必要性があると感じる人にお任せしますが、これくら
い検討して初めて「じゃあCGI::REVISIONをこうしましょう」とか、
「ruby -vの出力を変えましょう」とか、「システム管理者に聞けば
終わりだからどうでもいい」とか、まあどんなのになるかわかんな
いですがどっか適切な結論に到達するのではないでしょうか。
MoonWolfさんが意見を出したのは見ましたし検討に値すると思いま
すので、その「検討」をしてどうするか決めないといけないよね、
と言っているつもりです。


| このまま誰も意見を出さずにフェードアウトさせたいのですか?

逆です。
必要なら、他にもっといい案がないかも検討してね、と言ってるの
です。
だから、いらん裏読みとかしないで、がんがん議論してください。


| > (4) 以上を踏まえた上で、それにかかるコスト(誰かのリソースを使
| >     うんでしょうねえ)が効果に見合っているのか
| 
| 「コストがかかるから脆弱性に対応しない」というポリシーなのでしょうか?

あのですね、「コストがかかるから脆弱性に対応しない」なんて私
は一言も言っていません。
今回報告されている脆弱性については、コストもクソも、既に対応
されているわけです。

今話しているのは、脆弱性の対応一般の話でも、今回の脆弱性に対
応するかどうかでもなく、「パッチがあたっているか確認する方法
としてCGI::REVISIONを参考にできない」というMoonWolfさんのご指
摘についてです。
ご理解していただけますか?


Rubyの脆弱性に対する対応全般についての一貫したポリシーについ
ては、私にはそれを語る気はありません。だって知らないし。


それでは。
-- 
U.Nakamura <usa / garbagecollect.jp>