2019年12月20日（中央ヨーロッパ時間）、Redmine 4.0.6 と 3.4.13 がリリースされました。Redmine 4.0.5の場合、4.0.4に対して16件の変更・修正が行われています。

なお、今回リリースされた Redmine 4.0.6 と 3.4.13 には以下のセキュリティ脆弱性の修正が含まれます。

• Textile書式における不適切なサニタイズの修正 (#25742)
• [Redmine 4.0.6 のみ] Rubyのライブラリ rack で発見された情報漏洩・セッションハイジャックのセキュリティ脆弱性 CVE-2019-16782 の修正 (#32526)

※上記 CVE-2019-16782 は Redmine 3.4 も影響を受けますが、Redmine 3.4 が使用している Ruby on Rails 4.2 はメンテナンスが終了しているためセキュリティフィックスは提供されません。

Redmine 4.1.0 も同日リリースされたことに伴い、Redmine 3.4系のメンテナンスは終了し今回の3.4.13が最後のリリースとなる見込みです。

変更・修正一覧

各リリースのCHANGELOG（修正・変更点の一覧）の日本語訳です。チケット番号はRedmineオフィシャルサイト上のチケットにリンクしています。

4.0.6, 3.4.13 共通の変更・修正内容 (3件)

Attachments

• Defect #20277: "Couldn't find template for digesting" error in the log when sending a thumbnail or an attachment
  サムネイル画像または添付ファイルをHTTPレスポンスとして送出する際にログにエラー "Couldn't find template for digesting" が出力される

Gems support

• Patch #32592: Require 'mocha/minitest' instead of deprecated 'mocha/setup'
  非推奨の 'mocha/setup' の代わりに 'mocha/minitest' を使用

Text formatting

• Patch #25742: Improper markup sanitization in user content for space separated attribute values and different quoting styles
  Textileのcodeタグでclass属性が指定されている場合の不適切なサニタイゼーションの修正

4.0.6 のみの変更・修正内容 (3件)

Rails support

• Feature #32526: Update Rails to 5.2.4.1
  Rails 5.2.4.1にアップデート (CVE-2019-16782 の修正)

Text formatting

• Defect #32422: Textile indentation does not work in the preview tab
  Textile書式でインデントを指定してもプレビュータブ内で反映されない

Time tracking

• Defect #32500: Spent time report csv shows translation missing text if custom fields are involved
  作業時間をCSVに出力する際に項目にカスタムフィールドが含まれている場合、CSVヘッダに "translation missing" と表示される

関連情報

• Redmine 4.0.5 and 3.4.12 released