Rubyの脆弱性:herokuから早くアップデートしろとメールがきた
原文: [ACTION REQUIRED] Ruby Security Vulnerability; CVE-2013-4164
Ruby(MRI)のアプリを一つでも動かしてる人にはくるらしい。
要約
- セキュリティの脆弱性: MRI 1.8.7, 1.9.2, 1.9.3, 2.0.0
詳細: 浮動小数点数パースにおけるヒープオーバーフロー (CVE-2013-4164)
Herokuでの対策
rubyのバージョンをチェック
注意: Cedarスタックのみ対策可能です。 Bambooを使用しているユーザは出来る限り早くCederにアプリを移行させて下さい。
$ heroku run "ruby -v" -a APPNAME
以下にリストに該当すれば、脆弱性があります。
- 全ての ruby 1.8 系列
- ruby 1.9.3 patchlevel 484 より前の全ての ruby 1.9 系列
- ruby 2.0.0 patchlevel 353 より前の全ての ruby 2.0 系列
- ruby 2.1.0 preview2 より前の全ての ruby 2.1 系列
- trunk のリビジョン 43780 より前の全ての ruby 開発バージョン
アップデート
アプリにコミットをプッシュする。実際の変更を何もpushしたくなければ、 空のcommitでいい。
$ git commit --allow-empty -m "upgrade ruby version" $ git push heroku master
- Rubyのバージョンによるが、以下のようなメッセージが表示されることを確認する。
New: ruby 1.8.7p375 (2013-11-22 revision 375) [x86_64-linux] New: ruby 1.9.2p321 (2013-11-22 revision 321) [x86_64-linux] New: ruby 1.9.3p484 (2013-11-22 revision 43786) [x86_64-linux] New: ruby 2.0.0p353 (2013-11-22 revision 43784) [x86_64-linux]
Ruby buildpackのフォークされたバージョンを使っている場合は、 最新のものをpullすること。
修正されたバージョンのRubyが実行されていることを確認
$ heroku run "ruby -v" -a MYAPPNAME
このコマンドで、バージョンを表す文字列が表示される
例:
ruby 1.9.3p484 (2013-11-22 revision 43786) [x86_64-linux], または 2.0.0p353 (2013-11-22 revision 43784) [x86_64-linux], など
責任はもてませんので詳細は原文を確認して下さい。