植田です。


一日、間を置いて頭を冷やしてみたのですが、どうも納得が出来ないので...


> 前田です。
> 
> Yukihiro Matsumoto wrote:
> > | これから 1.8.5 環境を使うユーザに対して脆弱性が残っている 
> > |ruby-1.8.5.tar.gz をダウンロードし、パッチを当てて... という作業をさせる
> > |にしても、ダウンロードページにはそのような文言がありません。
> > 
> > 一番最初に述べた通り、DoS脆弱性は優先度が低いのでこのような
> > 対応はとらなくてもだいじょうぶかな、と考えています。より重大
> > な問題が発生すれば、1.8.6を出します。
> 
> まつもとさんにとっては「優先度が低い」かもしれませんが、利用する
> 人によって事情は異なるので、1.8.5.1みたいな形で修正版があった方が
> よいとは思います。
> # とくにバイナリパッケージを使っていない人にとっては。

 前田さんがこうおっしゃった後、どうも CVS や SVN でのブランチ分けの話に
進んでしまっていて

	いま公開されている ruby-1.8.5.tar.gz ファイルをどうするか

という議論にはなっていないのですが、どうするのでしょうか?


 1.8.5.1 なり 1.8.5a なり 1.8.5-p1 なりがスグ出ないのであれば、せめてダ
ウンロードページ http://www.ruby-lang.org/ja/downloads/ の

	安定版であるruby 1.8.5を各ミラーサイトから入手できます。

という表記を

	安定版であるruby 1.8.5を各ミラーサイトから入手できます。
	※ CVE-2006-5467 の脆弱性は修正されていません。別途パッチを適応
	  することを推奨します。

に直すべきだと思います。


-- 
植田裕之 <ueda / netforest.ad.jp>