LCL Engineers' Blog

バス比較なび・格安移動・バスとりっぷを運営する LCLの開発者ブログ

RubyGemsのアップデート

Webエンジニアの横塚です。

先日、Rubyのパッケージ管理システム・標準添付ライブラリであるRubyGemsに複数の脆弱性が発見されたことが開発元から公表されました。
悪意のあるGemにより任意のファイルを削除されたり、エスケープシークエンスインジェクションが行われる可能性がありました。 詳しくは下記を参照ください。

blog.rubygems.org

www.ruby-lang.org

公表時点で本脆弱性が修正されたRubyは公開されていないため、RubyGemsのバージョンアップをする必要がありました。
今回対応したRubyGemsのバージョンアップの方法とバージョンダウンの方法を備忘のためにまとめておきたいと思います。

RubyGemsのバージョンアップ方法

以下のコマンドで、RubyGems本体を最新のバージョンにあげることができます。

$ gem update --system

バージョンを戻したい時

rubygems-updateというgemをバージョン指定してインストールします。
すでにrubygems-updateがインストールされていた場合は、まずアンインストールしてください。インストールしたらupdate_rubygemsコマンドを実行すれば、先ほど指定したバージョンへ変更することができます。 下記は、バージョン2.7.6へ変更したい時のコマンド例になります。

$ gem uninstall rubygems-update
$ gem install rubygems-update -v=2.7.6
$ update_rubygems

LCLではサービス開発から開発基盤構築、脆弱性対策など、幅広い領域にチャレンジしたいエンジニアを絶賛募集中です。少しでもご興味のある方は、気軽にご連絡ください!

www.lclco.com