Redmine 3.3.10 リリース

2019-11-19 23:55  •  分類: ,

2019年11月18日(中央ヨーロッパ時間)、Redmine 3.3.10 がリリースされました。3.3系のメンテナンスは既に2018年12月に終了していますが、セキュリティ脆弱性(SQLインジェクション)を修正するために特別にリリースされました。

Redmine 3.3.9以前のすべてのバージョンにはSQLインジェクションの脆弱性(CVE-2019-18890)が存在します。この脆弱性を悪用するとデータベース上の任意のデータを読み取ることが可能です。Redmine 3.3.9以前を使用している場合は速やかにアップデートを行ってください。

なお、Redmine 3.3.10はSQLインジェクションの脆弱性の修正のほか、これまで報告されRedmine 3.4以降で修正済みの脆弱性3件も含まれています。

変更・修正一覧

Redmine 3.4.10の変更・修正

Gems support

  • Patch #32294: Update ruby-openid to 2.9.2
    ruby-openidを2.9.2にアップデート。 CVE-2019-11027に対処。Redmine 3.4.12からバックポート

Issues filter

  • Feature #15773: Filtering out specific subprojects (using 'is not' operator)
    チケットのフィルタ「サブプロジェクト」で演算子「等しくない」を利用できるようにし、特定のサブプロジェクトを除外した絞り込みが可能に。Redmine 3.4.0からバックポート

Rails support

  • Feature #31027: Upgrade to Rails 4.2.11.1
    Ruby on Rails 4.2.11.1 にアップデート。Ruby on Railsの脆弱性に対処。Redmine 3.4.10からバックポート

Security

  • Defect #31520: Persistent XSS in textile formatting
    TextileフォーマッタのXSS脆弱性。Redmine 3.4.11からバックポート
  • Defect #32374: SQL injection vulnerability in Redmine < 3.4.0
    Redmine 3.4.0より前のバージョンのSQLインジェクション脆弱性の修正

関連情報

作成: 2019-11-19 23:55  •  分類: ,

複数拠点にまたがるプロジェクトのタスク管理・情報共有ができる
クラウドサービス「My Redmine」「My Subversion

My Redmine - いつでも、どこでもプロジェクト管理
SSL・ウイルス対策・バックアップ込み。何人で使っても月額税別8,000円から。
ぜひ1ヶ月無料でお試しください。

My Subversion - いつでも、どこでもソースコード共有
ソースコードをメールで送るのはやめて作業効率アップ。月額税別2,500円から。
ぜひ1ヶ月無料でお試しください。