CVE-2014-2525 の修正を含んだ libyaml-0.1.6 がリリースされたので psych にパッチ送って、その変更内容をそのまま trunk に突っ込んだ。
yaml に % エスケープを含む url として識別可能な文字列を突っ込んだ時にバッファオーバーフローを起こせるという奴らしいけど、どう書けばそんなことができるのか全くわからないというのが今ここ。
気になる人はベンダが出している libyaml のアップデートもしくは psych-2.0.5 にしてバンドルしている libyaml を使うのがよいでしょう。