こんにちは、なかむら(う)です。

In message "[ruby-dev:29780] Re: cgi.rbのDoS脆弱性について"
    on Nov.04,2006 13:49:46, <moonwolf / moonwolf.com> wrote:
| > (1)がスルーされてますが、わかる人に確認する、という選択肢はあ
| > りえないのでしょうか?
| 
| 人間に問い合わせるってすごく面倒ではありませんか? 時間もかかるでしょうし。
| 自分で確認できれば、すぐに済むんだけど。

真面目に運用をやってるところなら、どのようなセキュリティフィ
ックスがなされているかは、利用者に対しては当然アナウンスが行
われるんじゃないですかねえ。
アナウンスがなくて、穴を塞いでるかどうか判然としないようなと
ころだったら、自分で確認するとかしないとか以前に、どっちにし
ろ管理者にそのことを相談すべきように思います。


| http://www.ruby-lang.org/ja/news/2006/11/02/CVE-2006-5467/
| に書かれている対応方法では対策の終了条件が間違っているから
| 無限ループになりませんか?
| 1.9系では書いてある対策をとればきちんと終了するのですが。

ごめんなさい、意味がわかりません。
パッチが間違っている?
パッチは間違っていないけど記述が間違っている?


| あの書き方ではいままでの議論の「まとめ」であるかのようにとられます。
| しかし、それまでの議論ででた意見に対して白紙にするのはアンフェアではない
| か?ということです。

そう取られたのは、私の書き方が悪かったせいもあるでしょうから、
その点は申し訳ありませんが、私は「お題を提供」しただけで、全
然まとめをしたつもりはありません。
それまでの議論で出た意見を白紙にしたわけでもなくて、単に全て
を列挙する手間がめんどくさかったから、細かい意見を(3)に集約し
て省略しただけです。

書かれた文面をどう読むかは読み手の勝手ではありますが、私が書
いたことでないこと、即ち、「こうまとめたから今までの記述外の
意見は白紙」などという、存在しない意図を持ち出して、私をアン
フェアだと指摘するのは勘弁してください。


| > あのですね、「コストがかかるから脆弱性に対応しない」なんて私
| > は一言も言っていません。
| > 今回報告されている脆弱性については、コストもクソも、既に対応
| > されているわけです。
| 
| 将来発生するかもしれない脆弱性について話しています。

で、あれば、それは別の話です。
(少なくとも私は)将来の脆弱性については語るべき言葉は持ちませ
ん。


| > Rubyの脆弱性に対する対応全般についての一貫したポリシーについ
| > ては、私にはそれを語る気はありません。だって知らないし。
| 
| みんな知りませんね。誰が知っているんだろう?
| 公式サイトを見る限りsecurity / ruby-lang.orgが知っているように見えますが
| 実際にはまつもとさんの独断で行われているわけだし。。。

実際がどうかは知りませんが、一貫したポリシーがないので、毎回
個別に対応している、というあたりが妥当な推測ではないかと思い
ます。
一貫したポリシーを出せ、とか、ないなら作れ、とか、こうしろ、
とかいう話は当然あってもいいでしょうが、それはやっぱり別の話。


それでは。
-- 
U.Nakamura <usa / garbagecollect.jp>