2023年9月30日（中央ヨーロッパ時間）、Redmine 5.0.6 と 4.2.11 がリリースされました。不具合修正が中心の maintenance release であり、Redmine 5.0.6の場合、5.0.5に対して21件の修正が行われています。

以下のセキュリティ脆弱性の修正が含まれています。それぞれの脆弱性の詳細は Redmine Security Advisories で確認できます。

• Defect #38807: XSS in Textile formatter
  TextileフォーマッターのXSS脆弱性の修正
• Defect #38806: XSS in Markdown formatter
  MarkdownフォーマッターのXSS脆弱性の修正
• Defect #38417: XSS Vulnerability in Thumbnails
  Thumbnailの処理におけるXSS脆弱性の修正

---

Redmineとは:
Redmineはオープンソースのプロジェクト管理ソフトウェアです。オンプレミスのサーバなど自前の環境に自由にインストールできるほか、クラウドサービスも利用できます。

• Redmine日本語情報サイト Redmine.JP
• Redmineのクラウドサービス一覧

  ---

変更・修正一覧

各リリースのCHANGELOG（修正・変更点の一覧）の日本語訳です。チケット番号はRedmineオフィシャルサイト上のチケットにリンクしています。

5.0.6, 4.2.11 共通の変更・修正内容 (14件)

Code cleanup/refactoring

• Defect #38797: Fix incorrect argument format for assert_select
TimelogReportTest#test_report_should_show_locked_users 内で assert_select に渡す引数が誤っている

Custom fields

• Defect #38464: Rendering a custom field with a URL pattern set and containing " :" in the value raises Addressable::URI::InvalidURIError
  カスタムフィールドの「値に設定するリンクURL」で %value% を使用しているとき、カスタムフィールドに " :" を含む値をセットすると Addressable::URI::InvalidURIError 例外が発生

Gantt

• Defect #38728: Correctly escape issue text in Gantt PNG export for ImageMagick convert
  ガントチャートをPNG形式にエクスポートする際のImageMagick convertコマンド向けのエスケープ処理の誤りによりエクスポートが失敗することがある不具合を修正

Gems support

• Patch #39070: Allow using the latest version of mocha even when using Ruby < 2.7
  Ruby 2.7未満が使われているときでも旧バージョンではなく最新のmochaを使用するよう修正

Ruby support

• Defect #38617: Redmine 4.2 on Ruby 2.4 is not compatible with loofah 2.21 or higher
  Redmine 4.2をRuby 2.4で使用しているとき loofah gem のインストールに失敗する

Security

• Defect #38539: Update Nokogiri to 1.15.2 in 5.0-stable and 4.2-stable
  Nokogiri gemの要求バージョンを1.15.2以上に変更
• Defect #38807: XSS in Textile formatter
  TextileフォーマッターのXSS脆弱性の修正
• Defect #38806: XSS in Markdown formatter
  MarkdownフォーマッターのXSS脆弱性の修正
• Defect #38417: XSS Vulnerability in Thumbnails
  Thumbnailの処理におけるXSS脆弱性の修正

Text formatting

• Defect #38697: Exception during thumbnail macro to image tag conversion in emails
  メール通知対象のコンテンツに {{thumbnail}} マクロが含まれているときメール内にエラーメッセージが表示される

Time tracking

• Defect #39079: NoMethodError when trying to remove the date of an existing time entry
  時間管理の設定「未来日付の作業時間の入力を許可」がOFFのとき登録済みの作業時間を削除しようとするとNoMethodError例外が発生する

Translations

• Defect #38507: Fix typo in French translation of setting_bulk_download_max_size
setting_bulk_download_max_sizeのフランス語訳の修正
• Defect #38448: The margin below the Submit button on the issue edit page is too narrow
  

UI

• Defect #33502: Issue field labels for fields with descriptions are missing styling on issues show view
  チケット表示画面で説明付きのフィールドに対するCSSが適用されていない

5.0.5 のみの変更・修正内容 (7件)

Groups

• Defect #38443: Cannot add a user to a group if the group is a member without roles in a certain project
  グループがあるプロジェクトでロール無しのメンバーになっているとそのグループにユーザーが追加できない

PDF export

• Defect #37694: CommonMark Markdown task list item markers are not exported to PDF
  CommonMark Markdownのタスクリストのチェックボックスの状態がPDFにエクスポートされない

Project settings

• Defect #37166: Roles of a project member should not be made empty
  プロジェクトにメンバーを追加するときロール未選択でも追加できてしまう

Projects

• Defect #38286: "Cannot delete enumeration" error may occur when attempting to delete a project with time entries
  作業時間のデータが含まれるプロジェクトを削除しようとすると "Cannot delete enumeration" 例外が発生して失敗することがある

Rails support

• Patch #38374: Update Rails to 6.1.7.6
  Ruby on Railsを6.1.7.6にアップデート

Translations

• Patch #38533: Improve the clarity of German translation of label_user_mail_notify_about_high_priority_issues_html
label_user_mail_notify_about_high_priority_issues_html のドイツ語訳の改善

UI

• Patch #38359: Render numeric axes in charts as Integers
  チケット編集画面の「送信」ボタンの下部マージンを調整

関連情報

• Redmine 4.2.11 and 5.0.6 released