[RUBY] Que faire si vous recevez une alerte de vulnérabilité MiniMagick sur GitHub

phénomène

Lorsque j'ai poussé l'application Rails sur GitHub, j'ai reçu un e-mail d'alarme pour une vulnérabilité liée à mini_magick. Conservez-le comme mémorandum jusqu'à la solution.

Problèmes et causes

image.png La version de mini_magick est ancienne et le nom du fichier image distant récupéré peut provoquer l'exécution de commandes distantes. La solution semble être de mettre à niveau la version.

Modifier GemFile

Gemfile

gem 'mini_magick',  '3.8.0'

La version actuelle de MiniMagick était 3.8 Modifiez pour installer 4.9.4 ou version ultérieure comme suggéré dans l'alerte.

Gemfile

gem 'mini_magick', '>= 4.9.4'

En modifiant comme ci-dessus, vous devriez être mis à niveau vers la version 4.9.4 ou ultérieure.

installation groupée

python

bundle install

La version devrait avoir changé avec cela, alors vérifiez le fonctionnement et s'il n'y a pas de problème, c'est OK. Après cela, si vous le poussez, l'alerte disparaît!

Recommended Posts

Que faire si vous recevez une alerte de vulnérabilité MiniMagick sur GitHub
Que faire si vous obtenez une erreur NoClassDefFoundError lorsque vous essayez d'exécuter eclipse sur Java 9
Que faire si vous obtenez un avertissement groovy dans Thymeleaf Layout
Que faire si vous créez accidentellement un modèle
Que faire si vous obtenez une erreur de nombre d'arguments erroné dans binding.pry
Que faire si vous vous fâchez contre OpenSSL avec Pyenv Install
[Rails] Que faire si vous ne pouvez pas obtenir de paramètres avec form_with
Que faire si vous obtenez une erreur «302» dans le code de test du contrôleur dans Rails
Que faire si vous transmettez des informations incorrectes
Que faire si vous obtenez une erreur de bibliothèque partagée JNI lorsque vous essayez de créer avec Eclipse
Que faire si vous obtenez l'erreur Trop long sans sortie (dépassé 10m0s) dans CircleCI
Que faire si vous obtenez Impossible de localiser le répertoire Gemfile ou .bundle /
Que faire si vous avez installé Java pour OS X sur macOS
Que faire quand Pour installer la version manquante, exécutez `gem install bundler: 2.1.4`
Que faire si le message "Un serveur est déjà en cours d'exécution" s'affiche. Erreur lors de la tentative de démarrage du serveur rails
Que faire si vous obtenez une exception javax.net.ssl.SSLHandshakeException: connexion de l'hôte distant fermée pendant l'établissement de liaison dans IBM JDK
Que faire si vous obtenez Impossible d'enregistrer la table principale dans un fichier après l'importation d'un projet dans Eclipse
Que faire si vous ne pouvez pas obtenir le texte d'un élément dans Selenium
[Rails] Que faire si vous obtenez une erreur indiquant "Impossible de trouver un moteur d'exécution JavaScript." Lors de l'exécution de la commande rails dans Catalina
Que faire si mysql2 obtient une erreur d'installation de bundle
Que faire si vous obtenez une erreur indiquant "Veuillez saisir une valeur valide" lors de l'obtention avec Rails datetime_field
Que faire si le message d'erreur "Impossible de trouver un moteur d'exécution JavaScript" s'affiche lors du démarrage du serveur rails
[Solution] Que faire si vous obtenez une erreur Docker "ERREUR: Impossible de se connecter au démon Docker sous unix: ///var/run/docker.sock. Le démon docker est-il en cours d'exécution?"
Que faire si une erreur d'analyseur SAX se produit lors de l'utilisation de Liferay 7 / DXP sur AWS
Que faire si vous obtenez une erreur avec l'authentification de base pendant le code de test Rails
Comment faire un pot avec l'ancien Hadoop (hadoop-core-0.20.2-cdh3u6) dans Gradle: (Que faire si vous obtenez Impossible de développer ZIP ..)
Que faire si vous sélectionnez un JRE dans Eclipse et obtenez "Le JRE sélectionné ne prend pas en charge le niveau de conformité actuel 11"
Que faire lorsque vous rencontrez le problème node_modules avec docker-compose
Que faire si vous obtenez une [Une requête HTTP a pris trop de temps à se terminer.] Erreur dans Docker.
Que faire si le déploiement échoue dans Heroku (application Ruby non détectée)
il ne reste plus d'espace sur l'appareil Que faire en cas d'erreur
Que faire si vous n'aimez pas le code généré par swagger-codegen-cli
Que faire lorsque "call'Hoge.connection 'pour établir une connexion" apparaît sur les rails c
Remarques sur la marche à suivre lorsqu'une exception WebView ClassNotFoundException se produit dans JavaFX 12
Que faire si vous entrez gem'bcrypt 'dans votre Gemfile et obtenez une erreur avec l'installation du bundle
Que faire si l'application dont le nom est appName est déjà enregistrée. Lorsque vous essayez de démarrer GlassFish
Que faire si l'opération non autorisée s'affiche lors de l'exécution d'une commande dans le terminal
<f: ajax> Impossible d'attacher <f: ajax> à un non-ClientBehaviorHolder Que faire lorsque vous devenez parent
Que faire si le serveur Tomcat meurt
Qu'utilisez-vous lors de la conversion en String?