Redmine 3.3.10 リリース

2019/11/19

2019年11月18日(中央ヨーロッパ時間)、Redmine 3.3.10 がリリースされました。3.3系のメンテナンスは既に2018年12月に終了していますが、セキュリティ脆弱性(SQLインジェクション)を修正するために特別にリリースされました。

Redmine 3.3.9以前のすべてのバージョンにはSQLインジェクションの脆弱性(CVE-2019-18890)が存在します。この脆弱性を悪用するとデータベース上の任意のデータを読み取ることが可能です。Redmine 3.3.9以前を使用している場合は速やかにアップデートを行ってください。

なお、Redmine 3.3.10はSQLインジェクションの脆弱性の修正のほか、これまで報告されRedmine 3.4以降で修正済みの脆弱性3件も含まれています。

変更・修正一覧

Redmine 3.4.10の変更・修正

Gems support

  • Patch #32294: Update ruby-openid to 2.9.2
    ruby-openidを2.9.2にアップデート。 CVE-2019-11027に対処。Redmine 3.4.12からバックポート

Issues filter

  • Feature #15773: Filtering out specific subprojects (using 'is not' operator)
    チケットのフィルタ「サブプロジェクト」で演算子「等しくない」を利用できるようにし、特定のサブプロジェクトを除外した絞り込みが可能に。Redmine 3.4.0からバックポート

Rails support

  • Feature #31027: Upgrade to Rails 4.2.11.1
    Ruby on Rails 4.2.11.1 にアップデート。Ruby on Railsの脆弱性に対処。Redmine 3.4.10からバックポート

Security

  • Defect #31520: Persistent XSS in textile formatting
    TextileフォーマッタのXSS脆弱性。Redmine 3.4.11からバックポート
  • Defect #32374: SQL injection vulnerability in Redmine < 3.4.0
    Redmine 3.4.0より前のバージョンのSQLインジェクション脆弱性の修正

関連情報

Redmineのクラウドサービス「My Redmine」です。
オンプレミスからの移行もOK!無料の1ヶ月お試し受付中です!

無料で試してみる