ruby:2.6 security, bug fix, and enhancement update

以下項目について対処しました。

[Security Fix]
- Ruby には File.fnmatch 関数内でのパスチェックを誤って処理してしまう脆弱性があります。
(CVE-2019-15845)

- Ruby の WEBrick::HTTPAuth::DigestAuth クラスには、DigestAuth を使用している
WEBrick サーバーがインターネットもしくは信頼できないネットワークに公開されている場合、
ループやバックトラッキングが原因で正規表現によるサービス拒否状態に陥る脆弱性があります。
(CVE-2019-16201)

- Ruby には、WEBrick を使用するプログラムが信頼できない入力を HTTP レスポンスヘッダーに
挿入した場合に、攻撃者が悪用して改行文字を挿入してヘッダーを分割し、悪意のあるコンテンツを
差し込んでクライアントを欺く脆弱性があります。(CVE-2019-16254)

- Ruby の Shell#[] 、または lib/shell.rb 内の Shell#test の第一引数が信頼できないデータの場合、
コードインジェクションが発生する問題があり、Ruby の任意のメソッドを呼び出せる脆弱性が
あります。(CVE-2019-16255)

- Bundler は ユーザーのホームディレクトリ下の場所が利用できないときに、gems の保管場所として
安全でないパーミッションで推測可能なパスを /tmp に作成する問題があり、ユーザーが
ホームディレクトリを書き込むことができない状況で Bundler が使用されると、攻撃者によって
悪意のあるコードがこのディレクトリに置かれてしまい、それらが読み込まれて実行される
脆弱性があります。(CVE-2019-3881)

- Ruby の JSON gem の parse メソッドには、アプリケーション次第で悪影響を及ぼす
悪意のあるオブジェクトが生成される脆弱性があります。(CVE-2020-10663)

- Ruby の BasicSocket#recv_nonblock と BasicSocket#read_nonblock メソッドは要求されたサイズに
合わせてバッファーのサイズを変更しますが、データをコピーしないため、バッファーの文字列には
ヒープの以前の値が入る問題があるため、インタープリターから機密データが漏洩する脆弱性があります。
(CVE-2020-10933)

- Ruby にバンドルされているシンプルな HTTP サーバー WEBrick には、transfer-encoding ヘッダー値を
厳密にチェックしない問題があるため、攻撃者はこの問題を悪用し、同じくヘッダー値のチェックが
不十分なリバースプロキシーを回避し、HTTP リクエストスマグリング攻撃が発生する脆弱性があります。
(CVE-2020-25613)

- Ruby の REXML gem には XML ラウンドトリップ問題に対して適切に対処していない問題があるため、
解析やシリアライズの後に間違った ドキュメントが生成される脆弱性があります。(CVE-2021-28965)

Modularity name: ruby
Stream name: 2.6