Ruby 1.9.2リリースとWEBrick脆弱性問題の顛末 - 西尾泰和のはてなダイアリー

はい、Ruby 1.9.2がリリースされましたね。このバージョンではWEBrick にゼロデイ攻撃可能な脆弱性 - スラッシュドット・ジャパンで紹介されている脆弱性が僕が書いたパッチで修正されているわけなのですけど、そもそもなんで僕が修正しているのか、って顛末がわりと面白いので紹介します。 Apple、upstreamに報告してくれないまま脆弱性をCVEに届け出る upstreamに連絡が来ないまま脆弱性が公開される ruby-devにAppleが書いたと思われるパッチが貼られる(Appleでない人間によって) パッチのライセンスが不明なので取り込めない ライセンスを問い合わせるAppleの窓口が不明なので問い合わせもできない ruby-devを読んだ人はライセンス上安全なパッチを書けない 脆弱性だから話は非公開に進めたい yuguiさんがruby-devを読んでない僕に書かせることにする

[aike]

クリーンルーム設計だ！任命されてさくっと作れる西尾さんもすごいけど適任者を見つけ出すyuguiさんの問題解決能力も超すごい。

[motchang]

"著作権を主張しないつもりなんだったらそれを明示的に宣言して欲しい。ライセンスが明示されていないのは、どんなライセンスよりも厳しいライセンスだ。"

[side_tana]

歴史

[fumikony]

Appleが連絡忘れてたらしい http://d.ma-aya.to/?date=20100829#p01

[chalcedony_htn]

『ライセンスが明示されていないのは、どんなライセンスよりも厳しいライセンスだ。』

[udzura]

へえ～。　何でアップルが、と思ったけれど、そうか、 Mac OS X には Ruby が標準添付されてるのか

[Cherenkov]

「yuguiさんがruby-devを読んでない僕に書かせることにする」

[tacroe]

"いくら白に近く見えてもグレーなものは避けなければいけない"

[os0x]

またUTF-7か！

[nitoyon]

パッチのライセンスが明示されておらず、MLに流れたパッチを見てしまった人は取り込むパッチを書けないので、部外者が攻撃用コードを参考にしてパッチを書いた。

[HeavyFeather]

知的財産周辺の難しさを如実に表す事例

[conceal-rs]

対企業なのだから政治力というか行動力が必要とされる自体は避けなければならない。ここは著作権とか関係ないよね、確かに。

[ytoku]

ruby-devを読んでる人間がライセンス不明のコードに「汚染」されたわけか……

[ruedap]

素晴らしい徹底ぶり

[const]

MLアーカイブの当該ポストも引用の要件を満たさない著作権侵害に。

[mhatta]

おっしゃるとおり:

[lll_nat_lll]

次にグレーな内容について。 件のパッチに著作権が発生するか否か、といわれるとしないと思われる。全体のコードの割合から検討するとかなり少なく(1liner)、しかも部分修正で他の人から見てもそれ以外の修正方法は

[ogijun]

解決策は見事..

[parrot_studio]

このあたりの対応を誤ると、そこに付け込まれて訴訟だライセンス料だって騒ぎになるわけで、見事な対応

[mapserver2007]

ruby-devを読んだ人はパッチが書けない。Appleだから用心したほうがいいとは思うがきちんとしてるな。端から見てる分には興味深いけど当事者になったらきついな。

[ukidousan]

これどうなったの＞ライセンスを問い合わせるAppleの窓口が不明なので問い合わせもできない

[kstnkzht]

いやん：Ruby 1.9.2リリースとWEBrick脆弱性問題の顛末 - 西尾泰和のはてなダイアリー

[adeu_w]

Appleらしいと言えばAppleらしいけど．関わりたくはないなぁ．

[hasegawayosuke]

たいへんですね。

[mkoji530]

iphone

[takehikom]

『パッチのライセンスが不明なので取り込めない』『yuguiさんがruby-devを読んでない僕に書かせることにする』

[rochefort]

ややこしいなぁ

[atq]

厄介だな。Apple経由で対策コードをアップして対策を遅らせるメソッド、が可能なのかな。

[teppeis]

「ライセンスが明示されていないのは、どんなライセンスよりも厳しいライセンスだ。」まったくそのとおり。

[mattn]

この話、面白いなー。

[K-Ono]

人脈重要って話（だよね）