Redmine 4.2.1, 4.1.3, 4.0.9 リリース

2021-04-27 05:33 • 分類: 4.2, 4.1, 4.0, news • 前田剛

Ad: Redmineのクラウドサービス My Redmine で、いつでもどこでもプロジェクト管理

2021年4月27日（中央ヨーロッパ時間）、Redmine 4.2.1、4.1.3、4.0.9 がリリースされました。不具合修正が中心の maintenance release であり、Redmine 4.2.1の場合、4.2.0に対して17件の修正が行われています。

要約:

Redmine 4.2.1, 4.1.3, 4.0.9は不具合修正が中心のメンテナンスリリース
セキュリティ脆弱性の修正含む。そのうち1件は影響が重大。速やかにアップデートが必要
Redmine 4.0系のリリースは今回リリースの4.0.9が最後

今回のリリースには以下の4つのセキュリティ脆弱性の修正が含まれます。そのうち #35085 はOS上の任意のファイルが読み取れるという重大なものです。可能な限り早くアップデートすることが推奨されます。何らかの事情でアップデートできない場合は、Redmineサーバ上のGitのバージョンを2.22.0以上にアップデートすることで影響を回避できます。

Defect #34950: SysControllerとmailHandlerContollerに対してタイミング攻撃が可能な問題の修正 (CVE-2021-31866)
Defect #34367: 許可する拡張子/禁止する拡張子の設定を回避できる問題の修正 (CVE-2021-31865)
Defect #35045: メールによるチケット登録で「コメントの追加」権限がチェックされていない (CVE-2021-31864)
Defect #35085: Gitアダプタの脆弱性によりOS上の任意のファイルが読み取れる問題の修正 (CVE-2021-31863)

なお、今回リリースされた 4.0.9 は4.0系の最後のリリースです。今後は修正は行われませんのでRedmine 4.1 または 4.2 にアップデートしてください。また、次にリリースされるメジャーバージョンは5.0.0となる予定です。

Redmineとは:
Redmineはオープンソースのプロジェクト管理ソフトウェアです。オンプレミスのサーバなど自前の環境に自由にインストールできるほか、クラウドサービスも利用できます。Redmineについて詳しくは Redmine.JP （Redmine日本語情報サイト）をご覧ください。

変更・修正一覧

各リリースのCHANGELOG（修正・変更点の一覧）の日本語訳です。チケット番号はRedmineオフィシャルサイト上のチケットにリンクしています。

4.1.3, 4.0.9 共通の変更・修正内容 (4件 - 3月28日リリースのRedmine 4.2.0からバックポート)

Gems support

Patch #34969: Remove dependency on MimeMagic
MimeMagicに依存しないよう変更

Rails support

Patch #34966: Update Rails to 5.2.5
Rails 5.2.5へアップデート

Security

Defect #34950: SysController and MailHandlerController are vulnerable to timing attack
SysControllerとmailHandlerContollerに対してタイミング攻撃が可能な問題の修正

UI

Patch #34955: Update copyright year in the footer to 2021
フッタのCopyrightの年を2021に変更

4.2.1, 4.1.3, 4.0.9 共通の変更・修正内容 (3件)

Security

Defect #34367: Allowed filename extensions of attachments can be circumvented
許可する拡張子/禁止する拡張子の設定を回避できる問題の修正
Defect #35045: Mail handler bypasses addissuenotes permission
メールによるチケット登録で「コメントの追加」権限がチェックされていない
Defect #35085: Arbitrary file read in Git adapter
Gitアダプタの脆弱性によりOS上の任意のファイルが読み取れる問題の修正

4.2.1, 4.1.3 共通の変更・修正内容 (5件)

Activity view

Defect #34933: Atom feed of the activity page does not contain items after the second page
活動画面のAtomフィードに2ページ目以降の情報が含まれていない

Email receiving

Defect #35100: MailHandler raises NameError exception when generating error message
MailHandlerがエラーメッセージをログに出力しようとした際にNameError例外が発生

Issues

Defect #34921: Do not journalize attachments that are added during a "Copy Issue" operation
添付ファイルを含むチケットをコピーしたときにファイル追加の履歴が作成されないよう修正

Performance

Patch #35034: Improve loading speed of workflow page
ワークフロー画面のロード時間の改善

Text formatting

Defect #34894: User link using @ not working at the end of line
@ を使ったユーザーへのリンクが行末で動作しない

4.2.1 のみの変更・修正内容 (9件)

Accounts / authentication

Defect #35087: Users without two-factor authentication enabled cannot sign out when two-factor authentication is required
二要素認証が必須に設定されたとき二要素認証未設定のユーザーはログアウトができない
Defect #35135: FrozenError when new LDAP users try to login
新規のLDAPユーザーがログインしようとするとFrozenErrorが発生 (Ruby 2.7)

Attachments

Defect #34999: The result of Attachment.latestattach is unstable if attachments have the same timestamp
複数の添付ファイルのタイムスタンプが同一であるとき Attachment.latestattach の結果が不定

Custom fields

Defect #35115: Time entries are broken if grouped by project and issue custom fields

Importers

Defect #35131: Issue import - allow auto mapping for Unique ID and relation type fields
作業時間の一覧をプロジェクトまたはチケットの作業時間でグルーピングすると例外発生

Issues

Defect #34982: Cannot change the default version and default assignee under settings
プロジェクトのデフォルトバージョンとデフォルト担当者の設定が変更できない

REST API

Defect #35039: API create issue relation method returns undefined method `split' when issue id is sent as integer
APIでチケットの関連づけをしようとすると例外発生

Roadmap

Defect #34983: Roadmap tab is missing if there are only inherited from parent project versions
プロジェクトで参照できるバージョンが親プロジェクトからの共有バージョンだけのときロードマップタブが表示されない