2019年11月18日(中央ヨーロッパ時間)、Redmine 3.3.10 がリリースされました。3.3系のメンテナンスは既に2018年12月に終了していますが、セキュリティ脆弱性（SQLインジェクション）を修正するために特別にリリースされました。

Redmine 3.3.9以前のすべてのバージョンにはSQLインジェクションの脆弱性（CVE-2019-18890）が存在します。この脆弱性を悪用するとデータベース上の任意のデータを読み取ることが可能です。Redmine 3.3.9以前を使用している場合は速やかにアップデートを行ってください。

なお、Redmine 3.3.10はSQLインジェクションの脆弱性の修正のほか、これまで報告されRedmine 3.4以降で修正済みの脆弱性3件も含まれています。

変更・修正一覧

Redmine 3.4.10の変更・修正

Gems support

• Patch #32294: Update ruby-openid to 2.9.2
  ruby-openidを2.9.2にアップデート。 CVE-2019-11027に対処。Redmine 3.4.12からバックポート

Issues filter

• Feature #15773: Filtering out specific subprojects (using 'is not' operator)
  チケットのフィルタ「サブプロジェクト」で演算子「等しくない」を利用できるようにし、特定のサブプロジェクトを除外した絞り込みが可能に。Redmine 3.4.0からバックポート

Rails support

• Feature #31027: Upgrade to Rails 4.2.11.1
  Ruby on Rails 4.2.11.1 にアップデート。Ruby on Railsの脆弱性に対処。Redmine 3.4.10からバックポート

Security

• Defect #31520: Persistent XSS in textile formatting
  TextileフォーマッタのXSS脆弱性。Redmine 3.4.11からバックポート
• Defect #32374: SQL injection vulnerability in Redmine < 3.4.0
  Redmine 3.4.0より前のバージョンのSQLインジェクション脆弱性の修正

関連情報

• Redmine 3.3.10 release (incl. security fix)