在 "activejob" 和 "activestorage" gem 中发现漏洞。更新方法无效
Vulnerabilities found in "activejob" and "activestorage" gems. Method of update not working
我有一个错误说我有一个漏洞,我需要在我的 rails 应用程序
中将 activejob 和 activestorage 更新为 >= 5.2.1.1
所以在我的 Gemfile 我有
gem 'activejob', '<= 5.2.1.1'
gem 'activestorage', '<= 5.2.1.1'
而我运行
bundle update activejob
bundle update activestorage
我使用了 <=,因为我有一些依赖项依赖于旧版本的 activejob 和 activestorage。它不适用于 5.2.1.1 版本。而且我无法更新这些 gem,因为这可能会导致我的应用程序此时中断。
当我 运行 bundle audit --update 它仍然说我有同样的漏洞,我应该升级。
在 运行ning bundle install 之后,这就是我 Gemfile.lock
中的内容
GEM
specs:
activejob (5.2.0)
activesupport (= 5.2.0)
globalid (>= 0.3.6)
activestorage (5.2.0)
actionpack (= 5.2.0)
activerecord (= 5.2.0)
marcel (~> 0.3.1)
DEPENDENCIES
activejob (<= 5.2.1.1)
activestorage (<= 5.2.1.1)
我无法删除我的 Gemfile.lock 和 运行 bundle install。我也不能 运行 bundle update 因为我有不想更新的宝石。它可以破坏应用程序。有什么建议吗?
ActiveJob 和 ActiveSupport 取决于您的 rails 版本。
如果您的 rails(或任何其他对 AJ 和 AS 进行限制的 gem)版本(可能是 5.0)被锁定并且限制了 ActiveJob 和 ActiveStorage 的版本,那么它将覆盖您在 gem 文件中为这两个 gem 设置的版本要求。
我猜测您需要将 rails 更新到 5.1 并捆绑更新,但如果没有看到完整的 gemfile/gemfile.lock
很难说
我有一个错误说我有一个漏洞,我需要在我的 rails 应用程序
中将activejob 和 activestorage 更新为 >= 5.2.1.1
所以在我的 Gemfile 我有
gem 'activejob', '<= 5.2.1.1'
gem 'activestorage', '<= 5.2.1.1'
而我运行
bundle update activejob
bundle update activestorage
我使用了 <=,因为我有一些依赖项依赖于旧版本的 activejob 和 activestorage。它不适用于 5.2.1.1 版本。而且我无法更新这些 gem,因为这可能会导致我的应用程序此时中断。
当我 运行 bundle audit --update 它仍然说我有同样的漏洞,我应该升级。
在 运行ning bundle install 之后,这就是我 Gemfile.lock
GEM
specs:
activejob (5.2.0)
activesupport (= 5.2.0)
globalid (>= 0.3.6)
activestorage (5.2.0)
actionpack (= 5.2.0)
activerecord (= 5.2.0)
marcel (~> 0.3.1)
DEPENDENCIES
activejob (<= 5.2.1.1)
activestorage (<= 5.2.1.1)
我无法删除我的 Gemfile.lock 和 运行 bundle install。我也不能 运行 bundle update 因为我有不想更新的宝石。它可以破坏应用程序。有什么建议吗?
ActiveJob 和 ActiveSupport 取决于您的 rails 版本。
如果您的 rails(或任何其他对 AJ 和 AS 进行限制的 gem)版本(可能是 5.0)被锁定并且限制了 ActiveJob 和 ActiveStorage 的版本,那么它将覆盖您在 gem 文件中为这两个 gem 设置的版本要求。
我猜测您需要将 rails 更新到 5.1 并捆绑更新,但如果没有看到完整的 gemfile/gemfile.lock
很难说