ruby:2.5 security, bug fix, and enhancement update

以下項目について対処しました。

[Security Fix]
- Ruby には File.fnmatch 関数内でのパスチェックを誤って処理してしまう脆弱性が
あります。(CVE-2019-15845)

- Ruby の WEBrick::HTTPAuth::DigestAuth クラスには、DigestAuth を使用している
WEBrick サーバーがインターネットもしくは信頼できないネットワークに公開されてい
る場合、ループやバックトラッキングが原因で正規表現によるサービス拒否状態に陥る
脆弱性があります。(CVE-2019-16201)

- Ruby には、WEBrick を使用するプログラムが信頼できない入力を HTTP レスポンス
ヘッダーに挿入した場合に、攻撃者が悪用して改行文字を挿入してヘッダーを分割し、
悪意のあるコンテンツを差し込んでクライアントを欺く脆弱性があります。
(CVE-2019-16254)

- Ruby の Shell#[] 、または lib/shell.rb 内の Shell#test の第一引数が信頼でき
ないデータの場合、コードインジェクションが発生する問題があり、Ruby の任意のメ
ソッドを呼び出せる脆弱性があります。(CVE-2019-16255)

- Ruby の JSON gem の parse メソッドには、アプリケーション次第で悪影響を及ぼす
悪意のあるオブジェクトが生成される脆弱性があります。(CVE-2020-10663)

- Ruby の BasicSocket#recv_nonblock と BasicSocket#read_nonblock メソッドは要
求されたサイズに合わせてバッファーのサイズを変更するが、データをコピーしないた
め、バッファーの文字列にはヒープの以前の値が入る問題があるため、インタープリター
から機密データが漏洩する脆弱性があります。(CVE-2020-10933)

- Ruby にバンドルされているシンプルな HTTP サーバー WEBrick には、
transfer-encoding ヘッダー値を厳密にチェックしない問題があるため、攻撃者はこの
問題を悪用し、同じくヘッダー値のチェックが不十分なリバースプロキシーを回避し、
HTTP リクエストスマグリング攻撃が発生する脆弱性があります。(CVE-2020-25613)

- Ruby の REXML gem には XML ラウンドトリップ問題に対して適切に対処していない
問題があるため、解析やシリアライズの後に間違ったドキュメントが生成される脆弱性
があります。(CVE-2021-28965)

Modularity name: ruby
Stream name: 2.5