はじめに

rubyzipというgemで、割と危険度が高い脆弱性があるという主旨の通知メールがGitHubから届いたため、いちいち面倒ではあるが、バージョンアップを行っておく。

手順

Gemfileの中身にrubyzipがないか探すが、どうも、rubyzipというgemは使っていないようだったため、Gemfile.lockの中身を検索する。すると、２ヶ所で検索される。どうも、他のgemの中から、依存関係として利用されている事のようだ。

rubyzip (1.2.3)
selenium-webdriver (3.142.4)
      childprocess (>= 0.5, < 3.0)
      rubyzip (~> 1.2, >= 1.2.2)

先に、Ubuntuにインストールされているrubyzipのバージョンを確認しておく。

gem list | grep rubyzip
rubyzip (1.3.0, 1.2.4, 1.2.3)

rubyzipのバージョンを最新にする。

gem update rubyzip

2.0.0が追加されて、rubyzipのバージョンが、確かに上がった事を確認する。

gem list | grep rubyzip
rubyzip (2.0.0, 1.3.0, 1.2.4, 1.2.3)

Gemfile.lockを最新に更新する

bundel update

上記だと、全てのgemがバージョンアップされるため、特定のgemのみバージョンアップさせたい場合は、このようにしてもOK。

bundle update rubyzip

Gemfile.lockの中身を見ると、確かに、rubyzipのバージョンが上がっています。

rubyzip (2.0.0)

selenium-webdriver (3.142.6)
      childprocess (>= 0.5, < 4.0)
      rubyzip (>= 1.2.2)

GitHubに最新を反映させます。

git add .
git commit -m 'rubyzipの脆弱性のバージョンアップ'
git push origin master