はじめに
rubyzipというgemで、割と危険度が高い脆弱性があるという主旨の通知メールがGitHubから届いたため、いちいち面倒ではあるが、バージョンアップを行っておく。
手順
Gemfileの中身にrubyzipがないか探すが、どうも、rubyzipというgemは使っていないようだったため、Gemfile.lockの中身を検索する。すると、2ヶ所で検索される。どうも、他のgemの中から、依存関係として利用されている事のようだ。
Gemfile.lock
rubyzip (1.2.3)
selenium-webdriver (3.142.4)
childprocess (>= 0.5, < 3.0)
rubyzip (~> 1.2, >= 1.2.2)
先に、Ubuntuにインストールされているrubyzipのバージョンを確認しておく。
gem list | grep rubyzip
rubyzip (1.3.0, 1.2.4, 1.2.3)
rubyzipのバージョンを最新にする。
gem update rubyzip
2.0.0が追加されて、rubyzipのバージョンが、確かに上がった事を確認する。
gem list | grep rubyzip
rubyzip (2.0.0, 1.3.0, 1.2.4, 1.2.3)
Gemfile.lockを最新に更新する
bundel update
上記だと、全てのgemがバージョンアップされるため、特定のgemのみバージョンアップさせたい場合は、このようにしてもOK。
bundle update rubyzip
Gemfile.lockの中身を見ると、確かに、rubyzipのバージョンが上がっています。
Gemfile.lock
rubyzip (2.0.0)
selenium-webdriver (3.142.6)
childprocess (>= 0.5, < 4.0)
rubyzip (>= 1.2.2)
GitHubに最新を反映させます。
git add .
git commit -m 'rubyzipの脆弱性のバージョンアップ'
git push origin master