Redmine 6.1.3, 6.0.10, 5.1.13 リリース
2026年6月15日(中央ヨーロッパ時間)、Redmine 6.1.3、6.0.10、5.1.13がリリースされました。複数のセキュリティに関する修正が含まれています。
これら3つのバージョンに共通するセキュリティの修正箇所は以下の通りです。
- Defect #43951: Bulk attachment download bypasses View files permission for project/version attachments
添付ファイルの一括ダウンロードにおいて、プロジェクト/バージョンの添付ファイルに対する「ファイルの表示」権限がバイパスされる問題 - Defect #44109: PreAuth leak name of private Projects
PreAuthにおいて非公開プロジェクトの名前が漏洩する問題 - Defect #44118: Any project member with
add_issue_notespermission can add notes to private issues they cannot view, via the MailHandler reply dispatch
「コメントの追加」権限を持つプロジェクトメンバーが、閲覧権限のない非公開チケットに対して、メールハンドラの返信機能を通じて注記を追加できてしまう問題 - Defect #44138: Stored XSS in Textile formatter due to
restore_redmine_links
restore_redmine_linksに起因する Textile フォーマッタの蓄積型 XSS の脆弱性 - Defect #44145: PostScript execution in
Redmine::Thumbnail.generatevia%% DSC-commentprefix
%% DSC-comment接頭辞を介したRedmine::Thumbnail.generateにおける PostScript 実行の脆弱性 - Defect #44146: Time-entry API hidden custom-field leak
作業時間API における非表示設定のカスタムフィールド情報の漏洩
Redmine 6.1.3 および 6.0.10には以下の修正も含まれます。
- Patch #43986: Improve the
config.filter_parameterssetting
config.filter_parameters設定の改善
Redmine 6.1.3には以下の修正も含まれます。
- Defect #44174: OAuth scope enforcement bypass in user account
ユーザーアカウントにおける OAuth スコープ制限のバイパスの脆弱性
変更・修正一覧
各リリースのCHANGELOG(修正・変更点の一覧)の日本語訳です。チケット番号はRedmineオフィシャルサイト上のチケットにリンクしています。
6.1.3, 6.0.10, 5.1.13 共通の変更・修正内容 (7件)
Documentation (ドキュメント)
- Patch #43930: Add blockquote formatting in CommonMark wiki help pages
CommonMarkのWikiヘルプページに引用の書式を追加
Security (セキュリティ)
- Defect #43951: Bulk attachment download bypasses View files permission for project/version attachments
添付ファイルの一括ダウンロードにおいて、プロジェクト/バージョンの添付ファイルに対する「ファイルの表示」権限がバイパスされる問題 - Defect #44109: PreAuth leak name of private Projects
PreAuthにおいて非公開プロジェクトの名前が漏洩する問題 - Defect #44118: Any project member with
add_issue_notespermission can add notes to private issues they cannot view, via the MailHandler reply dispatch
「コメントの追加」権限を持つプロジェクトメンバーが、閲覧権限のない非公開チケットに対して、メールハンドラの返信機能を通じて注記を追加できてしまう問題 - Defect #44138: Stored XSS in Textile formatter due to
restore_redmine_links
restore_redmine_linksに起因するTextileフォーマッタの蓄積型XSSの修正 - Defect #44145: PostScript execution in
Redmine::Thumbnail.generatevia%% DSC-commentprefix
%% DSC-comment接頭辞を介したRedmine::Thumbnail.generateにおけるPostScript実行の脆弱性の修正 - Defect #44146: Time-entry API hidden custom-field leak
作業時間API における非表示設定のカスタムフィールド情報の漏洩
6.1.3, 6.0.10 共通の変更・修正内容 (10件)
Code cleanup/refactoring (コードクリーンナップ / リファクタリング)
- Defect #43985: Flaky IssuesSystemTest caused by
!page.has_css?
!page.has_css?に起因する不安定な IssuesSystemTest の修正 - Defect #44010: Too much INFO log of asset paths when starting Rails
Rails起動時のアセットパスに関する過剰なINFOログの削減
Documentation (ドキュメント)
- Defect #43906: Wiki help does not display localized content for locales with a region subtag
地域サブタグを持つロケールでWikiヘルプがローカライズされたコンテンツを表示しない問題の修正 - Patch #43896: Remove obsolete db:migrate:upgrade_plugin_migrations step from doc/UPGRADING
doc/UPGRADINGから古くなった db:migrate:upgrade_plugin_migrations ステップの削除
Projects (プロジェクト)
- Defect #43910: Projects with the identifiers "autocomplete" or "bulk_destroy" cannot perform some operations
"autocomplete" や "bulk_destroy" という識別子を持つプロジェクトで一部の操作ができない問題の修正
Rails support (Railsサポート)
- Patch #43909: Update Rails to 7.2.3.1
Railsを7.2.3.1に更新
SCM (ソースコード管理)
- Patch #43966: Tighten SVN repository URL validation
SVNリポジトリURLのバリデーションの強化
Security (セキュリティ)
- Patch #43986: Improve the
config.filter_parameterssetting
config.filter_parameters設定の改善
Translations (翻訳)
- Patch #44005: Fix French translation of label_auto_watch_on_issue_created
label_auto_watch_on_issue_created のフランス語翻訳の修正
UI (ユーザーインターフェイス)
- Defect #44170: Toggling between board and list in projects query do not work properly
プロジェクトクエリにおいてボード形式と一覧形式の切り替えが正しく動作しない問題の修正
6.1.3のみの変更・修正内容 (15件)
Code cleanup/refactoring (コードクリーンナップ / リファクタリング)
- Defect #44072: OauthProviderSystemTest#test_application_creation_and_authorization fails randomly
不安定な OauthProviderSystemTest#test_application_creation_and_authorization の修正 - Patch #44073: TimeEntryTest#test_should_not_accept_closed_issue fails randomly depending on locale
ロケールによって TimeEntryTest#test_should_not_accept_closed_issue がランダムに失敗する問題の修正
Documentation (ドキュメント)
- Defect #43920: German and Tamil CommonMark wiki help pages lack the Alerts section
ドイツ語とタミル語のCommonMark Wikiヘルプページにアラートボックスが不足していた問題の修正 - Patch #43447: Update INSTALL document to mention additional_environment.rb
INSTALLドキュメントに additional_environment.rb に関する記述を追加 - Patch #43897: Use
bin/railsinstead ofrakein documentation
ドキュメント内の記述をrakeからbin/railsに変更 - Patch #43929: German translation for Alerts section on CommonMark wiki help page
CommonMark Wikiヘルプページのアラートボックスのドイツ語翻訳の追加
Issues (チケット)
- Defect #44042: Watchers section in the sidebar is incorrectly updated when watching a subtasks or related issue via context menu
コンテキストメニューを介して子チケットや関連チケットをウォッチした際、サイドバーのウォッチリストが正しく更新されない問題の修正
REST API
- Defect #43698: ArgumentError occurs on /oauth/authorize when REST API is disabled
REST APIが無効な場合に /oauth/authorize で ArgumentError が発生する問題の修正
SCM (ソースコード管理)
- Defect #43964:
IconsHelper#scm_change_iconignores passed options
IconsHelper#scm_change_iconが渡されたオプションを無視する問題の修正
Security (セキュリティ)
- Defect #44174: OAuth scope enforcement bypass in user account
ユーザーアカウントにおけるOAuthスコープ制限のバイパスの脆弱性の修正
Translations (翻訳)
- Defect #43921: Tamil CommonMark help page incorrectly translates CSS property names
タミル語のCommonMarkヘルプページにおいてCSSプロパティ名が誤って翻訳されていた問題の修正 - Patch #43922: Japanese translation update for
recent_pagesmacro help onprojectandinclude_subprojectsoptions
recent_pagesマクロのヘルプにおけるprojectおよびinclude_subprojectsオプションの日本語翻訳の更新
UI (ユーザーインターフェイス)
- Defect #43984: Current page background in pagination overflows its border
ページネーションにおいて現在のページの背景が枠線からはみ出してしまう問題の修正 - Defect #44069: Remove redundant underline from abbr elements
abbr要素から冗長な下線を削除 - Defect #44127: Replace legacy group avatar icon with SVG
レガシーなグループアバターアイコンをSVGに置き換え
Redmine新バージョンのリリースをメールでお知らせします。
ぜひ下記ページよりメールサービス「Redmine News」にご登録ください。
最新情報お知らせメール「Redmine News」 (Redmine.JP)