まつもと ゆきひろです

In message "Re: [ruby-list:42752] Re: JVN、スクリプト言語「Ruby」の2件の脆弱性情報を公表"
    on Sat, 26 Aug 2006 02:31:05 +0900, URABE Shyouhei <s-urabe / par.odn.ne.jp> writes:

|1.8.5も出たことですし、これの詳細な説明をしていただけませんか。
|今のままでは自分のアプリケーションに影響あるのかどうかすら分かりません。

1.8.5が出たからといって、攻撃を助長するような情報公開が望ま
しいとは思えませんが、とりあえず自分のアプリケーションに影響
が出るかどうか判断できる材料は提供しましょう。

JVN#83768862

* $SAFE=4のコードから既定義の任意のメソッドが呼び出されるよ
  うにしかけられる

JVN#13947696

* $SAFE=4の状態でtaintされていないRegexpの内容を変更できる
* (おまけ)$SAFE=4の状態でDirクラスのメソッドを呼び出せる