Merge version 2.3.3-1+deb9u8+rpi1 and 2.3.3-1+deb9u9 to produce 2.3.3-1+deb9u9+rpi1

Merge ruby2.3 (2.3.3-1+deb9u9) import into refs/heads/workingbranch

[PATCH] Make it more strict to interpret some headers

Some regexps were too tolerant.

Gbp-Pq: Name CVE-2020-25613.patch

[PATCH] merge revision(s) 36e9ed7fef6eb2d14becf6c52452e4ab16e4bf01: [Backport #16698]

        backport 80b5a0ff2a7709367178f29d4ebe1c54122b1c27 partially as a
         securify fix for CVE-2020-10663. The patch was provided by Jeremy Evans.

        git-svn-id: svn+ssh://ci.ruby-lang.org/ruby/branches/ruby_2_6@67856 b2dd03c8-39d4-4d8f-98ff-823fe69b080e

git-svn-id: svn+ssh://ci.ruby-lang.org/ruby/branches/ruby_2_5@67869 b2dd03c8-39d4-4d8f-98ff-823fe69b080e
Author: Utkarsh Gupta <utkarsh@debian.org>

Gbp-Pq: Name CVE-2020-10663.patch

lib/shell/command-processor.rb (Shell#[]): prevent unknown command

Origin: https://github.com/ruby/ruby/commit/3af01ae1101e0b8815ae5a106be64b0e82a58640
Bug-Debian-Security: https://security-tracker.debian.org/tracker/CVE-2019-16255

`FileTest.send(command, ...)` allows to call not only FileTest-related
methods but also any method that belongs to Kernel, Object, etc.
patched by <mame@ruby-lang.org>

git-svn-id: svn+ssh://ci.ruby-lang.org/ruby/branches/ruby_2_5@67814 b2dd03c8-39d4-4d8f-98ff-823fe69b080e
[Salvatore Bonaccorso: Backport to 2.3.3:
 - Context changes in test/shell/test_command_processor.rb
]

Gbp-Pq: Name lib-shell-command-processor.rb-Shell-prevent-unknown.patch

WEBrick: prevent response splitting and header injection

Origin: https://github.com/ruby/ruby/commit/3ce238b5f9795581eb84114dcfbdf4aa086bfecc
Bug-Debian-Security: https://security-tracker.debian.org/tracker/CVE-2019-16254

This is a follow up to d9d4a28f1cdd05a0e8dabb36d747d40bbcc30f16.
The commit prevented CRLR, but did not address an isolated CR or an
isolated LF.

Co-Authored-By: NARUSE, Yui <naruse@airemix.jp>
[Salvatore Bonaccorso: Backport to 2.3.3:
 - Context changes in test/webrick/test_httpresponse.rb
]

Gbp-Pq: Name WEBrick-prevent-response-splitting-and-header-inject.patch

Loop with String#scan without creating substrings

Origin: https://github.com/ruby/ruby/commit/36e057e26ef2104bc2349799d6c52d22bb1c7d03
Bug-Debian-Security: https://security-tracker.debian.org/tracker/CVE-2019-16201

Create the substrings necessary parts only, instead of cutting the
rest of the buffer.  Also removed a useless, probable typo, regexp.

Gbp-Pq: Name Loop-with-String-scan-without-creating-substrings.patch

Fix for wrong fnmatch patttern

Origin: https://github.com/ruby/ruby/commit/a0a2640b398cffd351f87d3f6243103add66575b
Bug-Debian-Security: https://security-tracker.debian.org/tracker/CVE-2019-15845

* dir.c (file_s_fnmatch): ensure that pattern does not contain a
  NUL character.  https://hackerone.com/reports/449617

Gbp-Pq: Name Fix-for-wrong-fnmatch-patttern.patch

CVE-2019-8320-25

Backport of https://github.com/rubygems/rubygems/commit/56c0bbb69e4506bda7ef7f447dfec5db820df20b

Backport of https://github.com/rubygems/rubygems/commit/56c0bbb69e4506bda7ef7f447dfec5db820df20b
addressing, thanks to Leonidas S. Barbosa

CVE-2019-8320
CVE-2019-8321
CVE-2019-8322
CVE-2019-8323
CVE-2019-8324
CVE-2019-8325

Gbp-Pq: Name CVE-2019-8320-25.patch

debian-changes

This patch file represents the entire difference between the package as shipped
by Debian and the official upstream sources. The goal is to maintain this file
as small as possible, avoiding non-upstreamed patches at all costs.

The Debian packaging is maintained in the following Git repository:

  http://anonscm.debian.org/gitweb/?p=collab-maint/ruby.git

To obtain a view of the individual commits that affect non-Debian-specific
files, you can clone that repository, and from the master branch, run:

  $ ./debian/upstream-changes

Gbp-Pq: Name debian-changes

ruby2.3 (2.3.3-1+deb9u9) stretch-security; urgency=high

  * Non-maintainer upload by the LTS team.
  * Add patch to fix a potential HTTP request smuggling
    vulnerability in WEBrick. (Fixes: CVE-2020-25613)

[dgit import unpatched ruby2.3 2.3.3-1+deb9u9]

Import ruby2.3_2.3.3-1+deb9u9.debian.tar.xz

[dgit import tarball ruby2.3 2.3.3-1+deb9u9 ruby2.3_2.3.3-1+deb9u9.debian.tar.xz]

Merge version 2.3.3-1+deb9u7+rpi1 and 2.3.3-1+deb9u8 to produce 2.3.3-1+deb9u8+rpi1

Merge ruby2.3 (2.3.3-1+deb9u8) import into refs/heads/workingbranch

[PATCH] merge revision(s) 36e9ed7fef6eb2d14becf6c52452e4ab16e4bf01: [Backport #16698]

        backport 80b5a0ff2a7709367178f29d4ebe1c54122b1c27 partially as a
         securify fix for CVE-2020-10663. The patch was provided by Jeremy Evans.

        git-svn-id: svn+ssh://ci.ruby-lang.org/ruby/branches/ruby_2_6@67856 b2dd03c8-39d4-4d8f-98ff-823fe69b080e

git-svn-id: svn+ssh://ci.ruby-lang.org/ruby/branches/ruby_2_5@67869 b2dd03c8-39d4-4d8f-98ff-823fe69b080e
Author: Utkarsh Gupta <utkarsh@debian.org>

Gbp-Pq: Name CVE-2020-10663.patch

lib/shell/command-processor.rb (Shell#[]): prevent unknown command

Origin: https://github.com/ruby/ruby/commit/3af01ae1101e0b8815ae5a106be64b0e82a58640
Bug-Debian-Security: https://security-tracker.debian.org/tracker/CVE-2019-16255

`FileTest.send(command, ...)` allows to call not only FileTest-related
methods but also any method that belongs to Kernel, Object, etc.
patched by <mame@ruby-lang.org>

git-svn-id: svn+ssh://ci.ruby-lang.org/ruby/branches/ruby_2_5@67814 b2dd03c8-39d4-4d8f-98ff-823fe69b080e
[Salvatore Bonaccorso: Backport to 2.3.3:
 - Context changes in test/shell/test_command_processor.rb
]

Gbp-Pq: Name lib-shell-command-processor.rb-Shell-prevent-unknown.patch

WEBrick: prevent response splitting and header injection

Origin: https://github.com/ruby/ruby/commit/3ce238b5f9795581eb84114dcfbdf4aa086bfecc
Bug-Debian-Security: https://security-tracker.debian.org/tracker/CVE-2019-16254

This is a follow up to d9d4a28f1cdd05a0e8dabb36d747d40bbcc30f16.
The commit prevented CRLR, but did not address an isolated CR or an
isolated LF.

Co-Authored-By: NARUSE, Yui <naruse@airemix.jp>
[Salvatore Bonaccorso: Backport to 2.3.3:
 - Context changes in test/webrick/test_httpresponse.rb
]

Gbp-Pq: Name WEBrick-prevent-response-splitting-and-header-inject.patch

Loop with String#scan without creating substrings

Origin: https://github.com/ruby/ruby/commit/36e057e26ef2104bc2349799d6c52d22bb1c7d03
Bug-Debian-Security: https://security-tracker.debian.org/tracker/CVE-2019-16201

Create the substrings necessary parts only, instead of cutting the
rest of the buffer.  Also removed a useless, probable typo, regexp.

Gbp-Pq: Name Loop-with-String-scan-without-creating-substrings.patch

Fix for wrong fnmatch patttern

Origin: https://github.com/ruby/ruby/commit/a0a2640b398cffd351f87d3f6243103add66575b
Bug-Debian-Security: https://security-tracker.debian.org/tracker/CVE-2019-15845

* dir.c (file_s_fnmatch): ensure that pattern does not contain a
  NUL character.  https://hackerone.com/reports/449617

Gbp-Pq: Name Fix-for-wrong-fnmatch-patttern.patch

CVE-2019-8320-25

Backport of https://github.com/rubygems/rubygems/commit/56c0bbb69e4506bda7ef7f447dfec5db820df20b

Backport of https://github.com/rubygems/rubygems/commit/56c0bbb69e4506bda7ef7f447dfec5db820df20b
addressing, thanks to Leonidas S. Barbosa

CVE-2019-8320
CVE-2019-8321
CVE-2019-8322
CVE-2019-8323
CVE-2019-8324
CVE-2019-8325

Gbp-Pq: Name CVE-2019-8320-25.patch

debian-changes

This patch file represents the entire difference between the package as shipped
by Debian and the official upstream sources. The goal is to maintain this file
as small as possible, avoiding non-upstreamed patches at all costs.

The Debian packaging is maintained in the following Git repository:

  http://anonscm.debian.org/gitweb/?p=collab-maint/ruby.git

To obtain a view of the individual commits that affect non-Debian-specific
files, you can clone that repository, and from the master branch, run:

  $ ./debian/upstream-changes

Gbp-Pq: Name debian-changes

ruby2.3 (2.3.3-1+deb9u8) stretch; urgency=high

  * Non-maintainer upload.
  * Add patch to fix unsafe object creation vulnerability.
    (Fixes: CVE-2020-10663)

[dgit import unpatched ruby2.3 2.3.3-1+deb9u8]

Import ruby2.3_2.3.3-1+deb9u8.debian.tar.xz

[dgit import tarball ruby2.3 2.3.3-1+deb9u8 ruby2.3_2.3.3-1+deb9u8.debian.tar.xz]

Merge version 2.3.3-1+deb9u6+rpi1 and 2.3.3-1+deb9u7 to produce 2.3.3-1+deb9u7+rpi1

Merge ruby2.3 (2.3.3-1+deb9u7) import into refs/heads/workingbranch

lib/shell/command-processor.rb (Shell#[]): prevent unknown command

`FileTest.send(command, ...)` allows to call not only FileTest-related
methods but also any method that belongs to Kernel, Object, etc.
patched by <mame@ruby-lang.org>

git-svn-id: svn+ssh://ci.ruby-lang.org/ruby/branches/ruby_2_5@67814 b2dd03c8-39d4-4d8f-98ff-823fe69b080e
[Salvatore Bonaccorso: Backport to 2.3.3:
 - Context changes in test/shell/test_command_processor.rb
]

Gbp-Pq: Name lib-shell-command-processor.rb-Shell-prevent-unknown.patch

WEBrick: prevent response splitting and header injection

This is a follow up to d9d4a28f1cdd05a0e8dabb36d747d40bbcc30f16.
The commit prevented CRLR, but did not address an isolated CR or an
isolated LF.

Co-Authored-By: NARUSE, Yui <naruse@airemix.jp>
[Salvatore Bonaccorso: Backport to 2.3.3:
 - Context changes in test/webrick/test_httpresponse.rb
]

Gbp-Pq: Name WEBrick-prevent-response-splitting-and-header-inject.patch

Loop with String#scan without creating substrings

Create the substrings necessary parts only, instead of cutting the
rest of the buffer.  Also removed a useless, probable typo, regexp.

Gbp-Pq: Name Loop-with-String-scan-without-creating-substrings.patch

Fix for wrong fnmatch patttern

* dir.c (file_s_fnmatch): ensure that pattern does not contain a
  NUL character.  https://hackerone.com/reports/449617

Gbp-Pq: Name Fix-for-wrong-fnmatch-patttern.patch

CVE-2019-8320-25

Backport of https://github.com/rubygems/rubygems/commit/56c0bbb69e4506bda7ef7f447dfec5db820df20b
addressing, thanks to Leonidas S. Barbosa

CVE-2019-8320
CVE-2019-8321
CVE-2019-8322
CVE-2019-8323
CVE-2019-8324
CVE-2019-8325

Gbp-Pq: Name CVE-2019-8320-25.patch

debian-changes

This patch file represents the entire difference between the package as shipped
by Debian and the official upstream sources. The goal is to maintain this file
as small as possible, avoiding non-upstreamed patches at all costs.

The Debian packaging is maintained in the following Git repository:

  http://anonscm.debian.org/gitweb/?p=collab-maint/ruby.git

To obtain a view of the individual commits that affect non-Debian-specific
files, you can clone that repository, and from the master branch, run:

  $ ./debian/upstream-changes

Gbp-Pq: Name debian-changes

ruby2.3 (2.3.3-1+deb9u7) stretch-security; urgency=high

  * Non-maintainer upload by the Security Team.
  * Fix for wrong fnmatch patttern (CVE-2019-15845)
  * Loop with String#scan without creating substring (CVE-2019-16201)
  * WEBrick: prevent response splitting and header injection (CVE-2019-16254)
  * lib/shell/command-processor.rb (Shell#[]): prevent unknown command
    (CVE-2019-16255)

[dgit import unpatched ruby2.3 2.3.3-1+deb9u7]

Import ruby2.3_2.3.3-1+deb9u7.debian.tar.xz

[dgit import tarball ruby2.3 2.3.3-1+deb9u7 ruby2.3_2.3.3-1+deb9u7.debian.tar.xz]

Merge version 2.3.3-1+deb9u3+rpi1 and 2.3.3-1+deb9u6 to produce 2.3.3-1+deb9u6+rpi1

Merge ruby2.3 (2.3.3-1+deb9u6) import into refs/heads/workingbranch

CVE-2019-8320-25

Backport of https://github.com/rubygems/rubygems/commit/56c0bbb69e4506bda7ef7f447dfec5db820df20b
addressing, thanks to Leonidas S. Barbosa

CVE-2019-8320
CVE-2019-8321
CVE-2019-8322
CVE-2019-8323
CVE-2019-8324
CVE-2019-8325

Gbp-Pq: Name CVE-2019-8320-25.patch

debian-changes

This patch file represents the entire difference between the package as shipped
by Debian and the official upstream sources. The goal is to maintain this file
as small as possible, avoiding non-upstreamed patches at all costs.

The Debian packaging is maintained in the following Git repository:

  http://anonscm.debian.org/gitweb/?p=collab-maint/ruby.git

To obtain a view of the individual commits that affect non-Debian-specific
files, you can clone that repository, and from the master branch, run:

  $ ./debian/upstream-changes

Gbp-Pq: Name debian-changes

ruby2.3 (2.3.3-1+deb9u6) stretch-security; urgency=medium

  * CVE-2019-8320, CVE-2019-8321, CVE-2019-8322, CVE-2019-8323, CVE-2019-8324
  * CVE-2019-8325

[dgit import unpatched ruby2.3 2.3.3-1+deb9u6]

Import ruby2.3_2.3.3-1+deb9u6.debian.tar.xz

[dgit import tarball ruby2.3 2.3.3-1+deb9u6 ruby2.3_2.3.3-1+deb9u6.debian.tar.xz]

Merge ruby2.3 (2.3.3-1+deb9u4) import into refs/heads/workingbranch

debian-changes

This patch file represents the entire difference between the package as shipped
by Debian and the official upstream sources. The goal is to maintain this file
as small as possible, avoiding non-upstreamed patches at all costs.

The Debian packaging is maintained in the following Git repository:

  http://anonscm.debian.org/gitweb/?p=collab-maint/ruby.git

To obtain a view of the individual commits that affect non-Debian-specific
files, you can clone that repository, and from the master branch, run:

  $ ./debian/upstream-changes

Gbp-Pq: Name debian-changes

ruby2.3 (2.3.3-1+deb9u4) stretch-security; urgency=high

  * Non-maintainer upload by the Security Team.
  * OpenSSL::X509::Name equality check does not work correctly
    (CVE-2018-16395)
  * pack.c: avoid returning uninitialized String
  * Tainted flags are not propagated in Array#pack and String#unpack with some
    directives (CVE-2018-16396)

[dgit import unpatched ruby2.3 2.3.3-1+deb9u4]

Import ruby2.3_2.3.3-1+deb9u4.debian.tar.xz

[dgit import tarball ruby2.3 2.3.3-1+deb9u4 ruby2.3_2.3.3-1+deb9u4.debian.tar.xz]

Merge version 2.3.3-1+deb9u1+rpi1 and 2.3.3-1+deb9u3 to produce 2.3.3-1+deb9u3+rpi1

Merge ruby2.3 (2.3.3-1+deb9u3) import into refs/heads/workingbranch

debian-changes

This patch file represents the entire difference between the package as shipped
by Debian and the official upstream sources. The goal is to maintain this file
as small as possible, avoiding non-upstreamed patches at all costs.

The Debian packaging is maintained in the following Git repository:

  http://anonscm.debian.org/gitweb/?p=collab-maint/ruby.git

To obtain a view of the individual commits that affect non-Debian-specific
files, you can clone that repository, and from the master branch, run:

  $ ./debian/upstream-changes

Gbp-Pq: Name debian-changes

ruby2.3 (2.3.3-1+deb9u3) stretch-security; urgency=medium

  [ Santiago R.R. ]
  * Fix Command injection vulnerability in Net::FTP.
    [CVE-2017-17405]
  * webrick: use IO.copy_stream for multipart response. Required changes in
    WEBrick to fix CVE-2017-17742 and CVE-2018-8777
  * Fix HTTP response splitting in WEBrick.
    [CVE-2017-17742]
  * Fix Command Injection in Hosts::new() by use of Kernel#open.
    [CVE-2017-17790]
  * Fix Unintentional directory traversal by poisoned NUL byte in Dir
    [CVE-2018-8780]
  * Fix multiple vulnerabilities in RubyGems.
    CVE-2018-1000073: Prevent Path Traversal issue during gem installation.
    CVE-2018-1000074: Fix possible Unsafe Object Deserialization
    Vulnerability in gem owner.
    CVE-2018-1000075: Strictly interpret octal fields in tar headers.
    CVE-2018-1000076: Raise a security error when there are duplicate files
    in a package.
    CVE-2018-1000077: Enforce URL validation on spec homepage attribute.
    CVE-2018-1000078: Mitigate XSS vulnerability in homepage attribute when
    displayed via gem server.
    CVE-2018-1000079: Prevent path traversal when writing to a symlinked
    basedir outside of the root.
  * Fix directory traversal vulnerability in the Dir.mktmpdir method in the
    tmpdir library
    [CVE-2018-6914]
  * Fix Unintentional socket creation by poisoned NUL byte in UNIXServer and
    UNIXSocket
    [CVE-2018-8779]
  * Fix Buffer under-read in String#unpack
    [CVE-2018-8778]
  * Fix tests to cope with updates in tzdata (Closes: #889117)
  * Exclude Rinda TestRingFinger and TestRingServer test units requiring
    network access (Closes: #898694)

  [ Antonio Terceiro ]
  * debian/tests/excludes/any/TestTimeTZ.rb: ignore tests failing due to
    assumptions that don't hold on newer tzdata update. Upstream bug:
    https://bugs.ruby-lang.org/issues/14655

[dgit import unpatched ruby2.3 2.3.3-1+deb9u3]

Import ruby2.3_2.3.3-1+deb9u3.debian.tar.xz

[dgit import tarball ruby2.3 2.3.3-1+deb9u3 ruby2.3_2.3.3-1+deb9u3.debian.tar.xz]

Merge ruby2.3 (2.3.3-1+deb9u1+rpi1) import into refs/heads/workingbranch

debian-changes

This patch file represents the entire difference between the package as shipped
by Debian and the official upstream sources. The goal is to maintain this file
as small as possible, avoiding non-upstreamed patches at all costs.

The Debian packaging is maintained in the following Git repository:

  http://anonscm.debian.org/gitweb/?p=collab-maint/ruby.git

To obtain a view of the individual commits that affect non-Debian-specific
files, you can clone that repository, and from the master branch, run:

  $ ./debian/upstream-changes

Gbp-Pq: Name debian-changes

ruby2.3 (2.3.3-1+deb9u1+rpi1) stretch-staging; urgency=medium

  * Disable testsuite.

[dgit import unpatched ruby2.3 2.3.3-1+deb9u1+rpi1]

Import ruby2.3_2.3.3-1+deb9u1+rpi1.debian.tar.xz

[dgit import tarball ruby2.3 2.3.3-1+deb9u1+rpi1 ruby2.3_2.3.3-1+deb9u1+rpi1.debian.tar.xz]

debian-changes

This patch file represents the entire difference between the package as shipped
by Debian and the official upstream sources. The goal is to maintain this file
as small as possible, avoiding non-upstreamed patches at all costs.

The Debian packaging is maintained in the following Git repository:

  http://anonscm.debian.org/gitweb/?p=collab-maint/ruby.git

To obtain a view of the individual commits that affect non-Debian-specific
files, you can clone that repository, and from the master branch, run:

  $ ./debian/upstream-changes

Gbp-Pq: Name debian-changes

ruby2.3 (2.3.3-1+deb9u1) stretch-security; urgency=high

  * Fix arbitrary heap exposure problem in the JSON library (Closes: #873906)
    [CVE-2017-14064]
    - Backported for Ruby 2.3 by Hiroshi SHIBATA <hsbt@ruby-lang.org>
      https://bugs.ruby-lang.org/issues/13853
  * Fix multiple security vulnerabilities in Rubygems (Closes: #873802)
    - Fix a DNS request hijacking vulnerability. Discovered by Jonathan
      Claudius, fix by Samuel Giddins.
      [CVE-2017-0902]
    - Fix an ANSI escape sequence vulnerability. Discovered by Yusuke Endoh,
      fix by Evan Phoenix.
      [CVE-2017-0899]
    - Fix a DOS vulernerability in the query command. Discovered by Yusuke
      Endoh, fix by Samuel Giddins.
      [CVE-2017-0900]
    - Fix a vulnerability in the gem installer that allowed a malicious gem to
      overwrite arbitrary files. Discovered by Yusuke Endoh, fix by Samuel
      Giddins.
      [CVE-2017-0901]
  * Fix SMTP comment injection (Closes: #864860)
    Patch by Shugo Maeda <shugo@ruby-lang.org>
    [CVE-2015-9096]
  * Fix IV Reuse in GCM Mode (Closes: #842432)
    Patch by Kazuki Yamaguchi <k@rhe.jp>
    [CVE-2016-7798]

[dgit import unpatched ruby2.3 2.3.3-1+deb9u1]

Import ruby2.3_2.3.3-1+deb9u1.debian.tar.xz

[dgit import tarball ruby2.3 2.3.3-1+deb9u1 ruby2.3_2.3.3-1+deb9u1.debian.tar.xz]

Import ruby2.3_2.3.3.orig.tar.xz

[dgit import orig ruby2.3_2.3.3.orig.tar.xz]