tkymtk's blog

Ruby on Rails及びその周辺について調べたこと。Do whatever you want to do at your own pace.

Rubyの脆弱性:herokuから早くアップデートしろとメールがきた

原文: [ACTION REQUIRED] Ruby Security Vulnerability; CVE-2013-4164

Ruby(MRI)のアプリを一つでも動かしてる人にはくるらしい。

要約

Herokuでの対策

rubyのバージョンをチェック

注意: Cedarスタックのみ対策可能です。 Bambooを使用しているユーザは出来る限り早くCederにアプリを移行させて下さい。

$ heroku run "ruby -v" -a APPNAME

以下にリストに該当すれば、脆弱性があります。

  • 全ての ruby 1.8 系列
  • ruby 1.9.3 patchlevel 484 より前の全ての ruby 1.9 系列
  • ruby 2.0.0 patchlevel 353 より前の全ての ruby 2.0 系列
  • ruby 2.1.0 preview2 より前の全ての ruby 2.1 系列
  • trunk のリビジョン 43780 より前の全ての ruby 開発バージョン

アップデート

アプリにコミットをプッシュする。実際の変更を何もpushしたくなければ、 空のcommitでいい。

$ git commit --allow-empty -m "upgrade ruby version"
$ git push heroku master
  • Rubyのバージョンによるが、以下のようなメッセージが表示されることを確認する。
New: ruby 1.8.7p375 (2013-11-22 revision 375) [x86_64-linux]
New: ruby 1.9.2p321 (2013-11-22 revision 321) [x86_64-linux]
New: ruby 1.9.3p484 (2013-11-22 revision 43786) [x86_64-linux]
New: ruby 2.0.0p353 (2013-11-22 revision 43784) [x86_64-linux]

Ruby buildpackのフォークされたバージョンを使っている場合は、 最新のものをpullすること。

修正されたバージョンのRubyが実行されていることを確認

$ heroku run "ruby -v" -a MYAPPNAME

このコマンドで、バージョンを表す文字列が表示される
例:

ruby 1.9.3p484 (2013-11-22 revision 43786) [x86_64-linux], 
または
2.0.0p353 (2013-11-22 revision 43784) [x86_64-linux], 
など

責任はもてませんので詳細は原文を確認して下さい。

間違いがあれば、ご指摘下さると幸いです。