Webエンジニアの横塚です。
先日、Rubyのパッケージ管理システム・標準添付ライブラリであるRubyGemsに複数の脆弱性が発見されたことが開発元から公表されました。
悪意のあるGemにより任意のファイルを削除されたり、エスケープシークエンスインジェクションが行われる可能性がありました。
詳しくは下記を参照ください。
公表時点で本脆弱性が修正されたRubyは公開されていないため、RubyGemsのバージョンアップをする必要がありました。
今回対応したRubyGemsのバージョンアップの方法とバージョンダウンの方法を備忘のためにまとめておきたいと思います。
RubyGemsのバージョンアップ方法
以下のコマンドで、RubyGems本体を最新のバージョンにあげることができます。
$ gem update --system
バージョンを戻したい時
rubygems-update
というgemをバージョン指定してインストールします。
すでにrubygems-update
がインストールされていた場合は、まずアンインストールしてください。インストールしたらupdate_rubygems
コマンドを実行すれば、先ほど指定したバージョンへ変更することができます。
下記は、バージョン2.7.6へ変更したい時のコマンド例になります。
$ gem uninstall rubygems-update $ gem install rubygems-update -v=2.7.6 $ update_rubygems
LCLではサービス開発から開発基盤構築、脆弱性対策など、幅広い領域にチャレンジしたいエンジニアを絶賛募集中です。少しでもご興味のある方は、気軽にご連絡ください!