Q&A
前提・実現したいこと
Ruby on Railsで作成したアプリケーションをgithubに上げたところ、脆弱性を指摘されてしまったので、このセキュリティの問題を解決したいです。
発生している問題・エラーメッセージ
試したこと
調べたところ
bundle update #全てのgemを更新 bundle update gem名 #指定したgemを更新
ということがわかりました。
しかし、実行してもgemfile.lockに出力されるgemのバージョン表記は変わりませんでした。
補足情報(FW/ツールのバージョンなど)
ruby 2.5.3
rails 5.2.1
gemfile.lock(bundle update後)
GEM remote: https://rubygems.org/ specs: actioncable (5.2.2) actionpack (= 5.2.2) nio4r (~> 2.0) websocket-driver (>= 0.6.1) actionmailer (5.2.2) actionpack (= 5.2.2) actionview (= 5.2.2) activejob (= 5.2.2) mail (~> 2.5, >= 2.5.4) rails-dom-testing (~> 2.0) actionpack (5.2.2) actionview (= 5.2.2) activesupport (= 5.2.2) rack (~> 2.0) rack-test (>= 0.6.3) rails-dom-testing (~> 2.0) rails-html-sanitizer (~> 1.0, >= 1.0.2) actionview (5.2.2) activesupport (= 5.2.2) builder (~> 3.1) erubi (~> 1.4) rails-dom-testing (~> 2.0) rails-html-sanitizer (~> 1.0, >= 1.0.3) activejob (5.2.2) activesupport (= 5.2.2) globalid (>= 0.3.6) activemodel (5.2.2) activesupport (= 5.2.2) activerecord (5.2.2) activemodel (= 5.2.2) activesupport (= 5.2.2) arel (>= 9.0) activestorage (5.2.2) actionpack (= 5.2.2) activerecord (= 5.2.2) marcel (~> 0.3.1) activesupport (5.2.2) concurrent-ruby (~> 1.0, >= 1.0.2) i18n (>= 0.7, < 2) minitest (~> 5.1) tzinfo (~> 1.1) addressable (2.5.2) public_suffix (>= 2.0.2, < 4.0) archive-zip (0.11.0) io-like (~> 0.3.0) arel (9.0.0) bindex (0.5.0) bootsnap (1.3.2) msgpack (~> 1.0) bootsnap (1.3.2-java) msgpack (~> 1.0) builder (3.2.3) byebug (10.0.2) capybara (3.12.0) addressable mini_mime (>= 0.1.3) nokogiri (~> 1.8) rack (>= 1.6.0) rack-test (>= 0.6.3) regexp_parser (~> 1.2) xpath (~> 3.2) childprocess (0.9.0) ffi (~> 1.0, >= 1.0.11) chromedriver-helper (2.1.0) archive-zip (~> 0.10) nokogiri (~> 1.8) coffee-rails (4.2.2) coffee-script (>= 2.2.0) railties (>= 4.0.0) coffee-script (2.4.1) coffee-script-source execjs coffee-script-source (1.12.2) concurrent-ruby (1.1.3) crass (1.0.4) erubi (1.7.1) execjs (2.7.0) ffi (1.9.25) ffi (1.9.25-java) ffi (1.9.25-x64-mingw32) ffi (1.9.25-x86-mingw32) globalid (0.4.1) activesupport (>= 4.2.0) i18n (1.2.0) concurrent-ruby (~> 1.0) io-like (0.3.0) jbuilder (2.8.0) activesupport (>= 4.2.0) multi_json (>= 1.2) listen (3.1.5) rb-fsevent (~> 0.9, >= 0.9.4) rb-inotify (~> 0.9, >= 0.9.7) ruby_dep (~> 1.2) loofah (2.2.3) crass (~> 1.0.2) nokogiri (>= 1.5.9) mail (2.7.1) mini_mime (>= 0.1.1) marcel (0.3.3) mimemagic (~> 0.3.2) method_source (0.9.2) mimemagic (0.3.2) mini_mime (1.0.1) mini_portile2 (2.3.0) minitest (5.11.3) msgpack (1.2.4) msgpack (1.2.4-java) msgpack (1.2.4-x64-mingw32) msgpack (1.2.4-x86-mingw32) multi_json (1.13.1) nio4r (2.3.1) nio4r (2.3.1-java) nokogiri (1.8.5) mini_portile2 (~> 2.3.0) nokogiri (1.8.5-java) nokogiri (1.8.5-x64-mingw32) mini_portile2 (~> 2.3.0) nokogiri (1.8.5-x86-mingw32) mini_portile2 (~> 2.3.0) public_suffix (3.0.3) puma (3.12.0) puma (3.12.0-java) rack (2.0.6) rack-test (1.1.0) rack (>= 1.0, < 3) rails (5.2.2) actioncable (= 5.2.2) actionmailer (= 5.2.2) actionpack (= 5.2.2) actionview (= 5.2.2) activejob (= 5.2.2) activemodel (= 5.2.2) activerecord (= 5.2.2) activestorage (= 5.2.2) activesupport (= 5.2.2) bundler (>= 1.3.0) railties (= 5.2.2) sprockets-rails (>= 2.0.0) rails-dom-testing (2.0.3) activesupport (>= 4.2.0) nokogiri (>= 1.6) rails-html-sanitizer (1.0.4) loofah (~> 2.2, >= 2.2.2) railties (5.2.2) actionpack (= 5.2.2) activesupport (= 5.2.2) method_source rake (>= 0.8.7) thor (>= 0.19.0, < 2.0) rake (12.3.2) rb-fsevent (0.10.3) rb-inotify (0.9.10) ffi (>= 0.5.0, < 2) regexp_parser (1.3.0) ruby_dep (1.5.0) rubyzip (1.2.2) sass (3.7.2) sass-listen (~> 4.0.0) sass-listen (4.0.0) rb-fsevent (~> 0.9, >= 0.9.4) rb-inotify (~> 0.9, >= 0.9.7) sass-rails (5.0.7) railties (>= 4.0.0, < 6) sass (~> 3.1) sprockets (>= 2.8, < 4.0) sprockets-rails (>= 2.0, < 4.0) tilt (>= 1.1, < 3) selenium-webdriver (3.141.0) childprocess (~> 0.5) rubyzip (~> 1.2, >= 1.2.2) spring (2.0.2) activesupport (>= 4.2) spring-watcher-listen (2.0.1) listen (>= 2.7, < 4.0) spring (>= 1.2, < 3.0) sprockets (3.7.2) concurrent-ruby (~> 1.0) rack (> 1, < 3) sprockets-rails (3.2.1) actionpack (>= 4.0) activesupport (>= 4.0) sprockets (>= 3.0.0) sqlite3 (1.3.13) sqlite3 (1.3.13-x64-mingw32) sqlite3 (1.3.13-x86-mingw32) sqlite3 (1.3.13-x86-mswin32-60) thor (0.20.3) thread_safe (0.3.6) thread_safe (0.3.6-java) tilt (2.0.9) turbolinks (5.2.0) turbolinks-source (~> 5.2) turbolinks-source (5.2.0) tzinfo (1.2.5) thread_safe (~> 0.1) tzinfo-data (1.2018.7) tzinfo (>= 1.0.0) uglifier (4.1.20) execjs (>= 0.3.0, < 3) web-console (3.7.0) actionview (>= 5.0) activemodel (>= 5.0) bindex (>= 0.4.0) railties (>= 5.0) websocket-driver (0.7.0) websocket-extensions (>= 0.1.0) websocket-driver (0.7.0-java) websocket-extensions (>= 0.1.0) websocket-extensions (0.1.3) xpath (3.2.0) nokogiri (~> 1.8) PLATFORMS java ruby x64-mingw32 x86-mingw32 x86-mswin32 DEPENDENCIES bootsnap (>= 1.1.0) byebug capybara (>= 2.15) chromedriver-helper coffee-rails (~> 4.2) jbuilder (~> 2.5) listen (>= 3.0.5, < 3.2) puma (~> 3.11) rails (~> 5.2.1) sass-rails (~> 5.0) selenium-webdriver spring spring-watcher-listen (~> 2.0.0) sqlite3 turbolinks (~> 5) tzinfo-data uglifier (>= 1.3.0) web-console (>= 3.3.0) RUBY VERSION ruby 2.5.3p105 BUNDLED WITH 1.17.1
回答1件
0
ベストアンサー
いまのところ、loofahについてはCVE-2018-16468の修正対応を行ったバージョンは未リリースです(CHANGELOG)。GitHub版を入れることもできるかもしれませんが、待ったほうがいいかもしれません。
投稿2018/12/13 00:43
総合スコア145183
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2018/12/13 00:59
2018/12/13 00:59
2018/12/13 01:01
退会済みユーザー
2018/12/13 01:16 編集