Rubyにセキュリティの脆弱性 CVE-2013-4164

herokuからメールが届いて、Rubyの脆弱性について教えてくれました。
• 信頼できないソースからJSONをパースするとクラッシュする可能性があるよ。
• 任意のコードを実行できる脆弱性がないこともないよ。

以下がリリースされたので、変更してくださいとのことです。
※アップグレードは自己責任で。

• 1.8.7p375,
• 1.9.2p321
• 1.9.3p484
• 2.0.0p353

herokuで使っているRubyのバージョン確認。

1
$ heroku run ruby -v -a APPNAME

アップグレードにはデプロイが必要です。

そのためにはgit pushが必要なんだけど、何もpushするものがないので --allow-emptyオプションを付ける。

1
2
$ git commit --allow-empty -m "upgrade ruby version"
$ git push heroku master

　　
デプロイ時のメッセージにこんなのが出てたら完了。

1
New: ruby 2.0.0p353 (2013-11-22 revision 43784) [x86_64-linux]

　　
以上。
念のため確認しておきましょう。

1
$ heroku run ruby -v -a MYAPPNAME

• 1.8.7p375,
• 1.9.2p321
• 1.9.3p484
• 2.0.0p353

のどれかが表示されたら成功です。