Rubyのセキュリティ問題窓口に報告するための雛形を作成してみました
セーフレベル4にまつわる問題は報告者はその程度の判断をせずにRubyセキュリティ問題窓口に報告してね!ということのようです。そこで、その指針に従い、先日からそうしたパッチを送らせて頂いております。セーフレベル4に関連する問題点は、その程度を問わない場合手におえないくらいたくさん存在しているのですが、私の判断ではほぼ無害と思えるような点であっても、全てセキュリティテームの判断を仰ぐことにしました。実際のところ、最初は「これは大したことないに決ってるじゃない!」とか思っていたものが、実は結構何かに使えそうだなぁ、と考え直したものもあります。だから、皆さんも何か気になるものをみつけた時には、とっても気軽にセキュリティ問題窓口に送ちゃった方が良いのではないかと思います。
http://www.ruby-lang.org/ja/security/
しかし先程も述べたように、なにせ問題点は多いわけですから、何度も何度も報告の度にメールのフォーマットを考えるのはとても面倒です。そこで予め雛形を作成しておくと便利ではないかと思いました。こういうものは皆でシェアした方が良いと思いますので、これを公開しておきます。ここをこうした方が良いよ!とか、報告の時はこういう点について書いておくといいよ!というご意見があれば、是非ともよろしくご指摘願います。
セキュリティ問題窓口担当者様 <%= 名前 %>と申します。 <%= 問題点の要約 %> <%# 問題は1.8で起きるのか、1.9で起きるのか、などを明記 %> <%= exploit的な何かをコードで示す %> <%# だけどそんなにすごいものではなくて %> <%# 問題が起こり得る状況を明確にすることを目的とします %> <%= 問題点の解説 %> <%# 何が問題なのか、またどう修正すべきであると考えるのかを書く %> 以下 1.8 用のパッチです。 <%= 1.8 パッチ、LANG=C svn diff で作成 %> <%# たとえ問題点を完全解決できなくてもパッチを作成 %> <%# パッチは意図を明確にするためのものと割り切る %> <%# だってC言語よく分かんないもん %> 1.9 用のパッチです。 <%= 1.9 パッチ %> ではよろしくお願い致します。 --- <%= 名前 %> <%= 所属 %> <%= 連絡先 %>
というわけで、今後はこれを使い回して報告していきたいと思います。ところで私は本文を日本語のみで書いておりますが(なんとなくsubjectだけは英語で書いてます)、セキュリティチームに日本語が読めない人が含まれていたりして、結構迷惑とかそういう状況になっていないのかやや心配です。でも英語で書けとは指定されていないので、たとえそうであったとしても、私は悪くはないと思います!