Redmine 4.2.1, 4.1.3, 4.0.9 リリース

2021-04-27 05:33  •  分類: , , ,  •  前田剛

2021年4月27日(中央ヨーロッパ時間)、Redmine 4.2.1、4.1.3、4.0.9 がリリースされました。不具合修正が中心の maintenance release であり、Redmine 4.2.1の場合、4.2.0に対して17件の修正が行われています。


要約:

  • Redmine 4.2.1, 4.1.3, 4.0.9は不具合修正が中心のメンテナンスリリース
  • セキュリティ脆弱性の修正含む。そのうち1件は影響が重大。速やかにアップデートが必要
  • Redmine 4.0系のリリースは今回リリースの4.0.9が最後

今回のリリースには以下の4つのセキュリティ脆弱性の修正が含まれます。そのうち #35085 はOS上の任意のファイルが読み取れるという重大なものです。可能な限り早くアップデートすることが推奨されます。何らかの事情でアップデートできない場合は、Redmineサーバ上のGitのバージョンを2.22.0以上にアップデートすることで影響を回避できます。

  • Defect #34950: SysControllerとmailHandlerContollerに対してタイミング攻撃が可能な問題の修正 (CVE-2021-31866)
  • Defect #34367: 許可する拡張子/禁止する拡張子の設定を回避できる問題の修正 (CVE-2021-31865)
  • Defect #35045: メールによるチケット登録で「コメントの追加」権限がチェックされていない (CVE-2021-31864)
  • Defect #35085: Gitアダプタの脆弱性によりOS上の任意のファイルが読み取れる問題の修正 (CVE-2021-31863)

なお、今回リリースされた 4.0.9 は4.0系の最後のリリースです。今後は修正は行われませんのでRedmine 4.1 または 4.2 にアップデートしてください。また、次にリリースされるメジャーバージョンは5.0.0となる予定です。

変更・修正一覧

各リリースのCHANGELOG(修正・変更点の一覧)の日本語訳です。チケット番号はRedmineオフィシャルサイト上のチケットにリンクしています。

4.1.3, 4.0.9 共通の変更・修正内容 (4件 - 3月28日リリースのRedmine 4.2.0からバックポート)

Gems support

  • Patch #34969: Remove dependency on MimeMagic
    MimeMagicに依存しないよう変更

Rails support

  • Patch #34966: Update Rails to 5.2.5
    Rails 5.2.5へアップデート

Security

  • Defect #34950: SysController and MailHandlerController are vulnerable to timing attack
    SysControllerとmailHandlerContollerに対してタイミング攻撃が可能な問題の修正

UI

  • Patch #34955: Update copyright year in the footer to 2021
    フッタのCopyrightの年を2021に変更

4.2.1, 4.1.3, 4.0.9 共通の変更・修正内容 (3件)

Security

  • Defect #34367: Allowed filename extensions of attachments can be circumvented
    許可する拡張子/禁止する拡張子の設定を回避できる問題の修正
  • Defect #35045: Mail handler bypasses addissuenotes permission
    メールによるチケット登録で「コメントの追加」権限がチェックされていない
  • Defect #35085: Arbitrary file read in Git adapter
    Gitアダプタの脆弱性によりOS上の任意のファイルが読み取れる問題の修正

4.2.1, 4.1.3 共通の変更・修正内容 (5件)

Activity view

  • Defect #34933: Atom feed of the activity page does not contain items after the second page
    活動画面のAtomフィードに2ページ目以降の情報が含まれていない

Email receiving

  • Defect #35100: MailHandler raises NameError exception when generating error message
    MailHandlerがエラーメッセージをログに出力しようとした際にNameError例外が発生

Issues

  • Defect #34921: Do not journalize attachments that are added during a "Copy Issue" operation
    添付ファイルを含むチケットをコピーしたときにファイル追加の履歴が作成されないよう修正

Performance

  • Patch #35034: Improve loading speed of workflow page
    ワークフロー画面のロード時間の改善

Text formatting

  • Defect #34894: User link using @ not working at the end of line
    @ を使ったユーザーへのリンクが行末で動作しない

4.2.1 のみの変更・修正内容 (9件)

Accounts / authentication

  • Defect #35087: Users without two-factor authentication enabled cannot sign out when two-factor authentication is required
    二要素認証が必須に設定されたとき二要素認証未設定のユーザーはログアウトができない
  • Defect #35135: FrozenError when new LDAP users try to login
    新規のLDAPユーザーがログインしようとするとFrozenErrorが発生 (Ruby 2.7)

Attachments

  • Defect #34999: The result of Attachment.latestattach is unstable if attachments have the same timestamp
    複数の添付ファイルのタイムスタンプが同一であるとき Attachment.latest
    attach の結果が不定

Custom fields

  • Defect #35115: Time entries are broken if grouped by project and issue custom fields

Importers

  • Defect #35131: Issue import - allow auto mapping for Unique ID and relation type fields
    作業時間の一覧をプロジェクトまたはチケットの作業時間でグルーピングすると例外発生

Issues

  • Defect #34982: Cannot change the default version and default assignee under settings
    プロジェクトのデフォルトバージョンとデフォルト担当者の設定が変更できない

REST API

  • Defect #35039: API create issue relation method returns undefined method `split' when issue id is sent as integer
    APIでチケットの関連づけをしようとすると例外発生

Roadmap

  • Defect #34983: Roadmap tab is missing if there are only inherited from parent project versions
    プロジェクトで参照できるバージョンが親プロジェクトからの共有バージョンだけのときロードマップタブが表示されない

UI

  • Defect #34998: Cannot open journal dropdown menu after editing note
    チケットのコメントを編集後、コメントのドロップダウンメニューが表示されない

関連情報

Redmine新バージョンのリリースをメールでお知らせします。
ぜひ下記ページよりメールサービス「Redmine News」」にご登録ください。

最新情報お知らせメール「Redmine News」 (Redmine.JP)


作成: 2021-04-27 05:33  •  分類: , , ,