LoginSignup
0
0

More than 3 years have passed since last update.

@rarrrrsQ(れのん)inナッシュ株式会社

GitHubでMiniMagickの脆弱性アラートが出た際の解決方法

Posted at

現象

RailsアプリをGitHubにプッシュした所、mini_magickに関する脆弱性のアラームメールが届いた。
解決までの備忘録として残しておく。

問題と原因

image.png
mini_magickのバージョンが古く、フェッチされたリモートイメージファイル名がリモートコマンドの実行を引き起こす可能性があるとのこと。
解決するには、バージョンをアップグレードすれば良さそう。

GemFileを編集する

Gemfile
gem 'mini_magick',  '3.8.0'

現在のMiniMagickのバージョンは、3.8だったので
アラートにて提示されているように4.9.4以降をインストールするように修正する。

Gemfile
gem 'mini_magick', '>= 4.9.4'

上記のように編集することで、4.9.4以降にアップグレードされるはず。

bundle installする

bundle install

これでバージョンが変わっているはずなので、動作確認をして問題なければOK。
あとは、プッシュすればアラートが消えてました!

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0