Redmine 4.2.1, 4.1.3, 4.0.9 リリース

2021年4月27日（中央ヨーロッパ時間）、Redmine 4.2.1、4.1.3、4.0.9 がリリースされました。不具合修正が中心の maintenance release であり、Redmine 4.2.1の場合、4.2.0に対して17件の修正が行われています。

要約:

• Redmine 4.2.1, 4.1.3, 4.0.9は不具合修正が中心のメンテナンスリリース
• セキュリティ脆弱性の修正含む。そのうち1件は影響が重大。速やかにアップデートが必要
• Redmine 4.0系のリリースは今回リリースの4.0.9が最後

今回のリリースには以下の4つのセキュリティ脆弱性の修正が含まれます。そのうち #35085 はOS上の任意のファイルが読み取れるという重大なものです。可能な限り早くアップデートすることが推奨されます。何らかの事情でアップデートできない場合は、Redmineサーバ上のGitのバージョンを2.22.0以上にアップデートすることで影響を回避できます。

• Defect #34950: SysControllerとmailHandlerContollerに対してタイミング攻撃が可能な問題の修正 (CVE-2021-31866)
• Defect #34367: 許可する拡張子/禁止する拡張子の設定を回避できる問題の修正 (CVE-2021-31865)
• Defect #35045: メールによるチケット登録で「コメントの追加」権限がチェックされていない (CVE-2021-31864)
• Defect #35085: Gitアダプタの脆弱性によりOS上の任意のファイルが読み取れる問題の修正 (CVE-2021-31863)

なお、今回リリースされた 4.0.9 は4.0系の最後のリリースです。今後は修正は行われませんのでRedmine 4.1 または 4.2 にアップデートしてください。また、次にリリースされるメジャーバージョンは5.0.0となる予定です。

変更・修正一覧

各リリースのCHANGELOG（修正・変更点の一覧）の日本語訳です。チケット番号はRedmineオフィシャルサイト上のチケットにリンクしています。

4.1.3, 4.0.9 共通の変更・修正内容 (4件 - 3月28日リリースのRedmine 4.2.0からバックポート)

Gems support

• Patch #34969: Remove dependency on MimeMagic
  MimeMagicに依存しないよう変更

Rails support

• Patch #34966: Update Rails to 5.2.5
  Rails 5.2.5へアップデート

Security

• Defect #34950: SysController and MailHandlerController are vulnerable to timing attack
  SysControllerとmailHandlerContollerに対してタイミング攻撃が可能な問題の修正

UI

• Patch #34955: Update copyright year in the footer to 2021
  フッタのCopyrightの年を2021に変更

4.2.1, 4.1.3, 4.0.9 共通の変更・修正内容 (3件)

Security

• Defect #34367: Allowed filename extensions of attachments can be circumvented
  許可する拡張子/禁止する拡張子の設定を回避できる問題の修正
• Defect #35045: Mail handler bypasses addissuenotes permission
  メールによるチケット登録で「コメントの追加」権限がチェックされていない
• Defect #35085: Arbitrary file read in Git adapter
  Gitアダプタの脆弱性によりOS上の任意のファイルが読み取れる問題の修正

4.2.1, 4.1.3 共通の変更・修正内容 (5件)

Activity view

• Defect #34933: Atom feed of the activity page does not contain items after the second page
  活動画面のAtomフィードに2ページ目以降の情報が含まれていない

Email receiving

• Defect #35100: MailHandler raises NameError exception when generating error message
  MailHandlerがエラーメッセージをログに出力しようとした際にNameError例外が発生

Issues

• Defect #34921: Do not journalize attachments that are added during a "Copy Issue" operation
  添付ファイルを含むチケットをコピーしたときにファイル追加の履歴が作成されないよう修正

Performance

• Patch #35034: Improve loading speed of workflow page
  ワークフロー画面のロード時間の改善

Text formatting

• Defect #34894: User link using @ not working at the end of line
  @ を使ったユーザーへのリンクが行末で動作しない

4.2.1 のみの変更・修正内容 (9件)

Accounts / authentication

• Defect #35087: Users without two-factor authentication enabled cannot sign out when two-factor authentication is required
  二要素認証が必須に設定されたとき二要素認証未設定のユーザーはログアウトができない
• Defect #35135: FrozenError when new LDAP users try to login
  新規のLDAPユーザーがログインしようとするとFrozenErrorが発生 (Ruby 2.7)

Attachments

• Defect #34999: The result of Attachment.latestattach is unstable if attachments have the same timestamp
  複数の添付ファイルのタイムスタンプが同一であるとき Attachment.latestattach の結果が不定

Custom fields

• Defect #35115: Time entries are broken if grouped by project and issue custom fields
  

Importers

• Defect #35131: Issue import - allow auto mapping for Unique ID and relation type fields
  作業時間の一覧をプロジェクトまたはチケットの作業時間でグルーピングすると例外発生

Issues

• Defect #34982: Cannot change the default version and default assignee under settings
  プロジェクトのデフォルトバージョンとデフォルト担当者の設定が変更できない

REST API

• Defect #35039: API create issue relation method returns undefined method `split' when issue id is sent as integer
  APIでチケットの関連づけをしようとすると例外発生

Roadmap

• Defect #34983: Roadmap tab is missing if there are only inherited from parent project versions
  プロジェクトで参照できるバージョンが親プロジェクトからの共有バージョンだけのときロードマップタブが表示されない

UI

• Defect #34998: Cannot open journal dropdown menu after editing note
  チケットのコメントを編集後、コメントのドロップダウンメニューが表示されない

関連情報

• Redmine 4.2.1, 4.1.3 and 4.0.9 released (security fixes)