Redmine 5.0.4, 4.2.9 リリース

作成日

2022年12月1日(中央ヨーロッパ時間)、Redmine 5.0.4 と 4.2.9 がリリースされました。不具合修正が中心の maintenance release であり、Redmine 5.0.4の場合、5.0.3に対して15件の修正が行われています。

以下のセキュリティ脆弱性の修正が含まれています。それぞれの脆弱性の詳細は Redmine Security Advisories で確認できます。

  • Defect #37751: Persistent XSS in textile formatting due to blockquote citation
    Textileの.bqのcite属性によるXSS脆弱性
  • Defect #37767: Redmine contains a cross-site scripting vulnerability
    Textileのpre要素によるXSS脆弱性
  • Defect #37880: Open Redirect in attachments#download_all
    attachments#download_allでのオープンリダイレクト脆弱性
  • Defect #37772: Access Control Issue in attachments#download_all
    権限のないユーザーが任意の添付ファイルをダウンロードできる問題の修正


Redmineとは:
Redmineはオープンソースのプロジェクト管理ソフトウェアです。オンプレミスのサーバなど自前の環境に自由にインストールできるほか、 クラウドサービス も利用できます。Redmineについて詳しくは Redmine.JP (Redmine日本語情報サイト)をご覧ください。

変更・修正一覧

各リリースのCHANGELOG(修正・変更点の一覧)の日本語訳です。チケット番号はRedmineオフィシャルサイト上のチケットにリンクしています。

5.0.4, 4.2.9 共通の変更・修正内容 (件)

Activity view

  • Defect #37875: Unnecessary closing li element when there is no "Next" button on Activity page
    活動画面に「次」ボタンが表示されているとき不要なli要素がある

Documentation

  • Defect #37983: Duplicate vertical-align property in wiki_syntax.css
    wiki_syntax.css内でvertical-alignプロパティが重複している

Gems support

  • Defect #37884: All system tests fail on 4.2-stable branch with "ArgumentError: unknown keyword: :desired_capabilities"
    4.2-stableブランチですべてのシステムテストが失敗する
  • Patch #37867: Limit puma < 6.0.0 to avoid system test error
    システムテストでのエラーを回避するためにPumaのバージョンを6.0.0未満に制限
  • Patch #37883: Limit mocha version to < 2.0.0 when Ruby version is < 2.7 to avoid test error
    システムテストでのエラーを回避するためにRuby 2.6以下で実行しているときMochaのバージョンを2.0.0未満に制限

Issues workflow

  • Defect #37685: Read-only field permission for the project field is ignored if the current project has subprojects
    サブプロジェクトが存在するとき「プロジェクト」フィールドの読み取り専用の設定が無視される

Projects

  • Defect #37925: Do not allow unkown display_type for query
    Query#display_type= で許可されていない display_type をセットできる

Rails support

  • Defect #37814: Plugins that serialize Date or Time objects cause Psych::DisallowedClass exception
    DateまたはTimeオブジェクトをシリアライズするプラグインがインストールされているとPsych::DisallowedClass例外が発生する

Security

  • Defect #37751: Persistent XSS in textile formatting due to blockquote citation
    Textileの.bqのcite属性によるXSS脆弱性
  • Defect #37767: Redmine contains a cross-site scripting vulnerability
    Textileのpre要素によるXSS脆弱性
  • Defect #37880: Open Redirect in attachments#download_all
    attachments#download_allでのオープンリダイレクト脆弱性

5.0.4 のみの変更・修正内容 (件)

Code cleanup/refactoring

  • Patch #37938: Unused permission "Mention user"
    使用されていない権限"Mention user"を削除

Issues

  • Defect #37958: Groups added to watchers are not shown as links
    グループをウォッチャーとして追加したときグループにリンクが設定されていない

Security

  • Defect #37772: Access Control Issue in attachments#download_all
    権限のないユーザーが任意の添付ファイルをダウンロードできる問題の修正

Translations

  • Defect #37812: "Yes" and "No" are swapped in Polish translation
    ポーランド語訳の"Yes"と"No"が入れ替わっている

関連情報

Redmine新バージョンのリリースをメールでお知らせします。
ぜひ下記ページよりメールサービス「Redmine News」にご登録ください。

最新情報お知らせメール「Redmine News」 (Redmine.JP)