CVE-2013-4164 と RHEL5

ぐぐって出てきたredhatのチケットトラックらしきものをみて、viewvcをみにいくと、差分はこんな感じであることを知る。util.cのruby_strtod()に問題があるという。この書き方は、1.9.3 の最新版だけでなく、1.8.7 の最新版で同じようになっていることがわかる。

ところが、RedHatの最新版は、
ftp://ftp.redhat.com/pub/redhat/linux/enterprise/5Client/en/os/SRPMS/ruby-1.8.5-31.el5_9.src.rpm
とかいうのである。たぶん（私は保証せんよ）。

emacs必要とかいうのでビルドする気をなくしたが、 1.8.5 のリビジョン10553あたりからとられているようである。そこでは、同じループがなく、仮数部が長すぎる場合に無視するようなコードになっている。

それが何を意味するかは、みなさんの責任でご判断ください。

（追記）
RHEL チケットトラックのコメント6番にも書いてあった。