Redmine 3.3.10 リリース
2019年11月18日(中央ヨーロッパ時間)、Redmine 3.3.10 がリリースされました。3.3系のメンテナンスは既に2018年12月に終了していますが、セキュリティ脆弱性(SQLインジェクション)を修正するために特別にリリースされました。
Redmine 3.3.9以前のすべてのバージョンにはSQLインジェクションの脆弱性(CVE-2019-18890)が存在します。この脆弱性を悪用するとデータベース上の任意のデータを読み取ることが可能です。Redmine 3.3.9以前を使用している場合は速やかにアップデートを行ってください。
なお、Redmine 3.3.10はSQLインジェクションの脆弱性の修正のほか、これまで報告されRedmine 3.4以降で修正済みの脆弱性3件も含まれています。
変更・修正一覧
Redmine 3.4.10の変更・修正
Gems support
- Patch #32294: Update ruby-openid to 2.9.2
ruby-openidを2.9.2にアップデート。 CVE-2019-11027に対処。Redmine 3.4.12からバックポート
Issues filter
- Feature #15773: Filtering out specific subprojects (using 'is not' operator)
チケットのフィルタ「サブプロジェクト」で演算子「等しくない」を利用できるようにし、特定のサブプロジェクトを除外した絞り込みが可能に。Redmine 3.4.0からバックポート
Rails support
- Feature #31027: Upgrade to Rails 4.2.11.1
Ruby on Rails 4.2.11.1 にアップデート。Ruby on Railsの脆弱性に対処。Redmine 3.4.10からバックポート
Security
- Defect #31520: Persistent XSS in textile formatting
TextileフォーマッタのXSS脆弱性。Redmine 3.4.11からバックポート - Defect #32374: SQL injection vulnerability in Redmine < 3.4.0
Redmine 3.4.0より前のバージョンのSQLインジェクション脆弱性の修正