Redmine 6.1.2, 6.0.9, 5.1.12 リリース
•
分類: 6.1, 6.0, 5.1, news
•
2026年3月16日(中央ヨーロッパ時間)、Redmine 6.1.2、 6.0.9、 5.1.12 がリリースされました。複数のセキュリティに関する修正が含まれています。
Redmineとは:
Redmineはオープンソースのプロジェクト管理ソフトウェアです。オンプレミスのサーバなど自前の環境に自由にインストールできるほか、クラウドサービスも利用できます。
これら3つのバージョンに共通するセキュリティの修正箇所は以下の通りです。
- Defect #43661: Unsafe eval usage in AttachmentsHelper
AttachmentsHelperにおける不適切なevalの使用の修正 - Defect #43690: Directory Traversal via Backslash-Separated Paths in Filesystem SCM
Filesystem SCMにおけるバックスラッシュを含むパスによるディレクトリトラバーサルの修正 - Defect #43691: DOM (Stored) XSS in @mention autocomplete via unescaped user name
@メンションの補完におけるエスケープ不足によるDOM XSS(蓄積型XSS)の修正 - Defect #43692: LDAP Injection (Unescaped Input in LDAP Search Filter)
LDAP検索フィルタにおけるエスケープ不足によるLDAPインジェクションの修正 - Defect #43694: DOM XSS: HTML Injection via Custom Field Name in Query Filter Generation
クエリフィルタ生成時におけるカスタムフィールド名によるDOM XSS(HTMLインジェクション)の修正 - Defect #43830: User who is allowed to view only their own time entries can retrieve other users’ time entry details by directly specifying the TimeEntry ID via the REST API
自分の工数のみ閲覧可能なユーザーが、REST APIでTimeEntry IDを直接指定することで他人の工数詳細を取得できてしまう問題の修正
また、ライブラリ Nokogiri の更新も含まれています(6.1.2/6.0.9は1.19.1へ、5.1.12は1.18.9へ更新)。
Redmine 6.1.2では、セキュリティ修正以外にもRTL(右から左へ書く言語)表示の改善や、チケット編集時に変更がない場合に updated_on が更新される問題の修正など、複数のバグ修正と機能改善が行われています。
変更・修正一覧
各リリースのCHANGELOG(修正・変更点の一覧)の日本語訳です。チケット番号はRedmineオフィシャルサイト上のチケットにリンクしています。
6.1.2, 6.0.9, 5.1.12 共通の変更・修正内容 (6件)
Security (セキュリティ)
- Defect #43661: Unsafe eval usage in AttachmentsHelper
AttachmentsHelperにおける不適切なevalの使用の修正 - Defect #43690: Directory Traversal via Backslash-Separated Paths in Filesystem SCM
Filesystem SCMにおけるバックスラッシュを含むパスによるディレクトリトラバーサルの修正 - Defect #43691: DOM (Stored) XSS in @mention autocomplete via unescaped user name
@メンションの補完におけるエスケープ不足によるDOM XSSの修正 - Defect #43692: LDAP Injection (Unescaped Input in LDAP Search Filter)
LDAP検索フィルタにおけるエスケープ不足によるLDAPインジェクションの修正 - Defect #43694: DOM XSS: HTML Injection via Custom Field Name in Query Filter Generation
クエリフィルタ生成時におけるカスタムフィールド名によるDOM XSS(HTMLインジェクション)の修正 - Defect #43830: User who is allowed to view only their own time entries can retrieve other users’ time entry details by directly specifying the TimeEntry ID via the REST API
REST APIを介した工数詳細への不正アクセスの修正
6.1.2, 6.0.9 共通の変更・修正内容 (10件)
Code cleanup/refactoring (コードクリーンナップ / リファクタリング)
- Patch #43872: Update GitHub Actions workflow dependencies
GitHub Actions ワークフローの依存関係の更新
Database (データベース)
- Patch #43668: Serialize address limit checks during email_addresses#create
メールアドレス作成時の上限チェックのシリアライズ化
Issues (チケット)
- Feature #43837: Add a hint to the issue relation add form that clarifies multiple comma-separated issue IDs are accepted
チケットの関連作成フォームに、複数のチケットIDをカンマ区切りで入力できる旨のヒントを追加
Issues filter (チケットフィルタ)
- Patch #43736: author.group filter test fix
「作成者のグループ」フィルタのテストの修正
Issues list (チケット一覧)
- Defect #31972: An empty group_count badge is displayed when grouped with created_on
作成日でグループ化した際に、空のグループカウントバッジが表示される問題の修正
Permissions and roles (権限とロール)
- Feature #43659: Set minimum width for Permission column in permission report
権限レポートの権限列に最小幅を設定
Security (セキュリティ)
- Defect #43840: Update Nokogiri to 1.19.1
Nokogiriを1.19.1に更新
Text formatting (テキスト書式)
- Defect #40918: Wiki "Edit this section" does not extract SeText headings correctly in CommonMark Markdown
CommonMark Markdownにおいて、Wikiの「このセクションを編集」がSeText形式の見出しを正しく抽出できない問題の修正
UI (ユーザーインターフェイス)
- Defect #43804: Custom field preview does not work on bulk issue edit
チケットの一括編集においてカスタムフィールドのプレビューが動作しない問題の修正 - Defect #43869: Default assignee selected by category is not shown in UI
チケットカテゴリによって選択されたデフォルトの担当者がUI上に表示されない問題の修正
6.1.2のみの変更・修正内容 (18件)
Calendar (カレンダー)
- Defect #43718: Issue beginning/ending arrows should be flipped in RTL calendars
RTL(右から左へ書く言語)のカレンダーにおいてチケットの開始・終了の矢印を反転
Code cleanup/refactoring (コードクリーンナップ / リファクタリング)
- Patch #43649: Remove MySQL 5.7-related comments from database.yml.example
database.yml.example から MySQL 5.7 関連のコメントを削除 - Patch #43713: Add missing entries "apps" and "shield-check" to icon_source.yml
icon_source.yml に不足していた "apps" と "shield-check" のエントリを追加
Issues (チケット)
- Defect #33610: Submitting the issue edit form without changes unexpectedly updates updated_on
チケット編集フォームを変更なしで送信した際に、不必要にupdated_onが更新されてしまう問題の修正
Performance (パフォーマンス)
- Defect #43651: Searching issues with searchable custom fields causes a performance regression on MySQL
MySQLにおいて、検索可能なカスタムフィールドを含むチケット検索を行うとパフォーマンスが低下する問題の修正
Text formatting (テキスト書式)
- Defect #43662: Cursor may move to incorrect position when pasting inline images from clipboard
クリップボードからインライン画像を貼り付けた際に、カーソルが誤った位置に移動することがある問題の修正
Themes (テーマ)
- Feature #43087: Allow to change icons sprites from theme
テーマからアイコンスプライトを変更することを可能に
UI (ユーザーインターフェイス)
- Defect #43664: Project menu tab left/right buttons are broken in RTL layout
RTLレイアウトにおけるプロジェクトメニュータブの左右ボタンの不具合の修正 - Defect #43672: Indent icons for subtasks and subprojects in list tables are misplaced in RTL layout
RTLレイアウトにおいて、リストテーブルの子チケット・子プロジェクトのインデントアイコンが誤った位置に表示される問題の修正 - Defect #43674: Unintended global `ol` styling in changeset CSS
changeset CSS における意図しないグローバルなolスタイリングの修正 - Defect #43675: "Add filter" dropdown in query form appears on the wrong side in RTL layout
RTLレイアウトにおいて、クエリフォームの「フィルタ追加」ドロップダウンが誤った側に表示される問題の修正 - Defect #43714: Arrow buttons for Available/Selected columns are misleading in the issues query form on RTL layouts
RTLレイアウトのチケットクエリフォームにおいて、「利用可能な項目」「選択された項目」列の矢印ボタンが分かりにくい問題の修正 - Defect #43715: Project selector does not indent subprojects in RTL layout
RTLレイアウトにおいて、プロジェクトセレクタで子プロジェクトがインデントされない問題の修正
Wiki (ウィキ)
- Feature #43631: Add "include_subprojects" parameter to recent_pages macro to include pages from subprojects
recent_pagesマクロに、子プロジェクトのページも含めるためのinclude_subprojectsパラメータを追加
5.1.12のみの変更・修正内容 (1件)
Security (セキュリティ)
- Defect #43864: Update Nokogiri to 1.18.9
Nokogiriを1.18.9に更新
Redmine新バージョンのリリースをメールでお知らせします。
ぜひ下記ページよりメールサービス「Redmine News」にご登録ください。
最新情報お知らせメール「Redmine News」 (Redmine.JP)
