HsbtDiary
2025/10/07 (火) [長年日記]
■ CVE-2025-61594 を公開した
ちょっと前に CVE-2025-27221 として修正した URI オブジェクトを操作したときに basic auth 的な情報が残ってしまう問題の追加修正が発生したので新しく CVE をとって修正したものを公開した。
https://www.ruby-lang.org/en/news/2025/10/07/uri-cve-2025-61594/
主に nobu がパッチを書いて、公開などの作業を自分がやる、というやつで楽ではあるけど、どのバージョンに何を merge するのか、などでまあまあ手間暇かかるのはしょうがない。
■ Ruby office hour
URI のリリースをしたばかりなので Ruby の安定バージョンにもバックポートしないとねえという話をしたり、git.ruby-lang.org に DDoS がきてまじ辛いという話をしていた。
Ruby の bare repository が GitHub の場合は 450MB で git.ruby-lang.org だと 300MB くらいで、なんでこんなに違うの、という話題をして mame さんが調べてみたら圧縮展開後のサイズはどっちも同じなので GitHub の方が pack する時の圧縮方式が異なるのだろうという結論になった。
Matz がきてからは Prism で parse する時のバージョン指定ってできるようにすべきなの、とかそういう話をしていたら時間切れ。
■ Asakusa.rb 第834回
ゆらゆらっと discord に入ってお喋りしていた。
https://asakusarb.esa.io/posts/1269
互いにネタバレは避けつつ Yotei どこまで進みました? などの感想戦を超早口でやったり、ML はやっぱり in-reply-to で繋げられるようにならないとしんどいですねえ、とかそういう話をしていた。