現象
RailsアプリをGitHubにプッシュした所、mini_magickに関する脆弱性のアラームメールが届いた。
解決までの備忘録として残しておく。
問題と原因
mini_magickのバージョンが古く、フェッチされたリモートイメージファイル名がリモートコマンドの実行を引き起こす可能性があるとのこと。
解決するには、バージョンをアップグレードすれば良さそう。
GemFileを編集する
Gemfile
gem 'mini_magick', '3.8.0'
現在のMiniMagickのバージョンは、3.8だったので
アラートにて提示されているように4.9.4以降をインストールするように修正する。
Gemfile
gem 'mini_magick', '>= 4.9.4'
上記のように編集することで、4.9.4以降にアップグレードされるはず。
bundle installする
bundle install
これでバージョンが変わっているはずなので、動作確認をして問題なければOK。
あとは、プッシュすればアラートが消えてました!