«前の日記(2010-07-30) 最新 次の日記(2010-08-20)» 編集

ポケットを空にして。

1985|10|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|04|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|04|05|06|07|08|09|10|11|12|
2012|01|02|03|04|05|06|07|08|09|10|11|12|
2013|01|02|03|04|05|06|07|08|09|10|11|12|
2014|01|02|03|04|05|06|07|08|09|10|11|12|
2100|01|

「人の心に残るというのが大事」と言う話。

何か連絡がある場合はメールでどうぞ(過去の日記へのツッコミは基本的にみていません)
プレゼントは随時受け付けております :-) ここ最近のツッコミ/トラックバックリスト。

  1. @nahi (09-09)


2010-08-19 [長年日記]

Ruby の webrick 脆弱性の話。

いや、正直言ってみんながこんなに食いつく話だとは思わなかった。脆弱性があるにはあったが、実際攻略されるようなシチュエーションがそんなには無いだろう、という風に思っていたので(実運用環境では利用しないだろうなぁ、という点から)。

  • そもそも Apple がパッチをサクッと upstream に還元しておけば良かったのに、というのは衆目の一致するところではある。まったくもー あっぷるって奴は!(よつば風)
    ソースがどこから取れるかも最初は分からず、私なんぞはすらどのコメントで知る始末である。http://opensource.apple.com/ らしいですよ。ところで窓口は結局どこなんだろう、opensource@apple.com かな?
  • で、件のパッチに著作権が発生するか否か、といわれるとしないと思われる。全体のコードの割合から検討するとかなり少なく(1liner)、しかも部分修正で他の人から見てもそれ以外の修正方法はあまりないという時点で著作物とは見なせないと考える。
  • また、Ruby に不適合なライセンスであるとしたら、それを組み込んで Apple が配布した Ruby がライセンス違反になるので、Ruby に適合したライセンスであると見なすのが適当であろう。

まぁ、しかし自分の問いかけの仕方も迂闊ではあった。CVE 発行済み、かつベンダがリリースしている(&Red Hat の Bugzilla でパッチが見れる状態だった)ので、security の窓口よりも -dev な方を選んでしまった。ここはミスだったなぁ…。

何にせよリリース準備で大変だったろうにご対応いただいた yugui さんらやパッチを書いていただいた西尾さんには感謝感謝である。

西尾さんの指摘について、さらに追記。

  • 一般論でどうこう、じゃなくて、Ruby を配布するのに何のライセンスで配布しているのか、という事が肝要だと思うのだけど。GPL か ruby ライセンスのどちらかに適合していないと Apple が配布できないでしょ、と(あ、でもどちらかになっちゃうか。悩ましいな)
    だから「たとえばAさんが自分のプログラムをパブリックドメインやNYSLで公開していたとする。Bさんはそれを修正したコードを自分の好きなライセンスで公開できる。AさんがBさんの行った修正を自分のソフトに取り込んでパブリックドメインを維持したら、これは明らかにライセンス違反だ。」というのは全く筋が違う話。パブリックドメイン相当にした場合とGPLや他の一般的ライセンスで公開しているものを利用するのを混同してはいけない。
  • 法的な事になったときに手間がかかるので避けるべきだという論は理解できる。「私はこう思うな」というのは別にそういう考えでいる、というだけの話。

もう一点だけ確認で。「またCさんがLGPLでライブラリを公開して、Dさんがそれを修正してGPLで公開したとする。Cさんがその修正コードを取り込んだら、やっぱこれもGPLにしないとライセンス違反だ。」って「CさんがLGPLでライブラリを公開して、Dさんがそれを修正してGPLで公開」って、"そのライブラリ自体のライセンスを変更しての公開"は間違いなくできないでしょ。これができたらあらゆるソフトでパッチちょっと書いただけでライセンス変更できちゃうことになる。「パッチ自体が不適合なライセンス条件をもって公開したもの」といいたい話なのかな。うーん、それも可能「かもしれないけど」というぐらいの意見。

追記: Apple の担当者に連絡が取れた後日談も一応あるんですよ。