まつもと ゆきひろです

In message "Re: [ruby-dev:35228] Re: [PATCH] freeze required_paths in gem_prelude.rb"
    on Wed, 25 Jun 2008 23:00:43 +0900, "Yusuke ENDOH" <mame / tsg.ne.jp> writes:

|2008/06/25 22:11 Keita Yamaguchi <keita.yamaguchi / gmail.com>:
|> 1.9 においてセーフレベル4環境から $LOAD_PATH の書き換えられるのを防止するパッチを投稿致します。
|
|ご報告＆パッチの投稿ありがとうございます。

私からもお礼を言います。このパッチは取り込んでおきますね。

|第三者的意見ですが、このように脆弱性になりそうな話は
|  security / ruby-lang.org
|に投稿して頂く方がいいかと思います。

セーフレベル4に関してはこちらでも構わないと思います。正直な
ところ、セーフレベル4は「努力目標」的なところもありますから。

で、前々からこのtaintされたオブジェクトを書き換えられること
は気になっていて、外部から入力されたことに由来するtaintと、
セーフレベル3異常で生成されたことに由来するtaintは分離した方
がよいのではないかとも考えています。しかし、今度はユーザに二
種類の汚染を認知してもらう必要があるわけで、それぞれに名前も
必要ですし、それはそれで困難な道だよなあと思うところでもあり
ます。

                                まつもと ゆきひろ /:|)