2006年7月12日

[ruby-list:42578] Re: JVN、スクリプト言語「Ruby」の2件の脆弱性情報を公表

かずひこです。

At Wed, 12 Jul 2006 08:16:55 +0900,
Yukihiro Matsumoto wrote:

> |パッチみたいなものも、ないのですねぇ...。
>
> 今のところ用意していません。というのも、これらは両方とも

> $SAFE=4に関連するものですから、問題になるのは
>
> * $SAFE=4のサンドボックスを使って
> * まったく信頼できないコードを動かしている
>
> ようなプログラムだけで、影響範囲は少ないと考えているからです。
> 上記の条件を満たしつつ、古いバージョンで運用したいケースがあ
> りましたらご相談ください。

現在公開されている情報から判断すると、例えば tDiary のホスティングサービ
スが上記の条件を満たすのではないかと懸念しています。

また、ディストリビュータにとっては、ユーザがどういう使いかたをするか分か
らないので、「とにかく何らかの脆弱性がある」という状況に対して、対策をと
りたいと考えると思います。

その上で、「古いバージョン」に固執するわけではないけれど、かといってバー
ジョンを「Ruby 1.8.4 最新版スナップショット」に上げるのは影響範囲が読め
なくて躊躇する、というシチュエーションはありえると思います。

後学のためというか、フル・ディスクロージャという意味でもというか、「最小
限の修正パッチ」をリリースしてくださると幸いです。
--
かずひこ http://wiki.fdiary.net/kazuhiko/>
「恋とハックはアジャイルが命!」

投稿者 xml-rpc : 2006年7月12日 12:02
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/41489
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。