昼過ぎにいきなりリリースされてびっくりしたけど、なんとか Ruby 2.2-2.5 用のパッチを作った。
とりあえず gem update --system
すれば RubyGems 2.7 にアップグレードされるので、それでいい人はそれでもいいんですが、production の環境などでそんなことやらないよという人は上記の僕が作ったパッチが適用された Ruby のリリースを待つか rbenv を使っているならパッチをダウンロードしてから
$ cat rubygems-276-ruby23.patch | rbenv install --patch 2.3.6
などとすると、rubygems のバージョンはそのままで脆弱性だけを修正した Ruby 2.3.6 がインストールされます。こんな感じで頑張りましょう。