Redmine 6.1.3, 6.0.10, 5.1.13 リリース

 •  分類: , , ,  •  黒谷明大

Ad: Redmineの最新機能を最適な環境で。メンテナンスフリーなMy Redmineで運用コストを大幅削減

2026年6月15日(中央ヨーロッパ時間)、Redmine 6.1.3、6.0.10、5.1.13がリリースされました。複数のセキュリティに関する修正が含まれています。

Redmineとは:
Redmineはオープンソースのプロジェクト管理ソフトウェアです。オンプレミスのサーバなど自前の環境に自由にインストールできるほか、クラウドサービスも利用できます。

これら3つのバージョンに共通するセキュリティの修正箇所は以下の通りです。

  • Defect #43951: Bulk attachment download bypasses View files permission for project/version attachments
    添付ファイルの一括ダウンロードにおいて、プロジェクト/バージョンの添付ファイルに対する「ファイルの表示」権限がバイパスされる問題
  • Defect #44109: PreAuth leak name of private Projects
    PreAuthにおいて非公開プロジェクトの名前が漏洩する問題
  • Defect #44118: Any project member with add_issue_notes permission can add notes to private issues they cannot view, via the MailHandler reply dispatch
    「コメントの追加」権限を持つプロジェクトメンバーが、閲覧権限のない非公開チケットに対して、メールハンドラの返信機能を通じて注記を追加できてしまう問題
  • Defect #44138: Stored XSS in Textile formatter due to restore_redmine_links
    restore_redmine_links に起因する Textile フォーマッタの蓄積型 XSS の脆弱性
  • Defect #44145: PostScript execution in Redmine::Thumbnail.generate via %% DSC-comment prefix
    %% DSC-comment 接頭辞を介した Redmine::Thumbnail.generate における PostScript 実行の脆弱性
  • Defect #44146: Time-entry API hidden custom-field leak
    作業時間API における非表示設定のカスタムフィールド情報の漏洩

Redmine 6.1.3 および 6.0.10には以下の修正も含まれます。

  • Patch #43986: Improve the config.filter_parameters setting
    config.filter_parameters 設定の改善

Redmine 6.1.3には以下の修正も含まれます。

  • Defect #44174: OAuth scope enforcement bypass in user account
    ユーザーアカウントにおける OAuth スコープ制限のバイパスの脆弱性

変更・修正一覧

各リリースのCHANGELOG(修正・変更点の一覧)の日本語訳です。チケット番号はRedmineオフィシャルサイト上のチケットにリンクしています。

6.1.3, 6.0.10, 5.1.13 共通の変更・修正内容 (7件)

Documentation (ドキュメント)

  • Patch #43930: Add blockquote formatting in CommonMark wiki help pages
    CommonMarkのWikiヘルプページに引用の書式を追加

Security (セキュリティ)

  • Defect #43951: Bulk attachment download bypasses View files permission for project/version attachments
    添付ファイルの一括ダウンロードにおいて、プロジェクト/バージョンの添付ファイルに対する「ファイルの表示」権限がバイパスされる問題
  • Defect #44109: PreAuth leak name of private Projects
    PreAuthにおいて非公開プロジェクトの名前が漏洩する問題
  • Defect #44118: Any project member with add_issue_notes permission can add notes to private issues they cannot view, via the MailHandler reply dispatch
    「コメントの追加」権限を持つプロジェクトメンバーが、閲覧権限のない非公開チケットに対して、メールハンドラの返信機能を通じて注記を追加できてしまう問題
  • Defect #44138: Stored XSS in Textile formatter due to restore_redmine_links
    restore_redmine_linksに起因するTextileフォーマッタの蓄積型XSSの修正
  • Defect #44145: PostScript execution in Redmine::Thumbnail.generate via %% DSC-comment prefix
    %% DSC-comment 接頭辞を介した Redmine::Thumbnail.generate におけるPostScript実行の脆弱性の修正
  • Defect #44146: Time-entry API hidden custom-field leak
    作業時間API における非表示設定のカスタムフィールド情報の漏洩

6.1.3, 6.0.10 共通の変更・修正内容 (10件)

Code cleanup/refactoring (コードクリーンナップ / リファクタリング)

  • Defect #43985: Flaky IssuesSystemTest caused by !page.has_css?
    !page.has_css? に起因する不安定な IssuesSystemTest の修正
  • Defect #44010: Too much INFO log of asset paths when starting Rails
    Rails起動時のアセットパスに関する過剰なINFOログの削減

Documentation (ドキュメント)

  • Defect #43906: Wiki help does not display localized content for locales with a region subtag
    地域サブタグを持つロケールでWikiヘルプがローカライズされたコンテンツを表示しない問題の修正
  • Patch #43896: Remove obsolete db:migrate:upgrade_plugin_migrations step from doc/UPGRADING
    doc/UPGRADINGから古くなった db:migrate:upgrade_plugin_migrations ステップの削除

Projects (プロジェクト)

  • Defect #43910: Projects with the identifiers "autocomplete" or "bulk_destroy" cannot perform some operations
    "autocomplete" や "bulk_destroy" という識別子を持つプロジェクトで一部の操作ができない問題の修正

Rails support (Railsサポート)

  • Patch #43909: Update Rails to 7.2.3.1
    Railsを7.2.3.1に更新

SCM (ソースコード管理)

  • Patch #43966: Tighten SVN repository URL validation
    SVNリポジトリURLのバリデーションの強化

Security (セキュリティ)

  • Patch #43986: Improve the config.filter_parameters setting
    config.filter_parameters 設定の改善

Translations (翻訳)

  • Patch #44005: Fix French translation of label_auto_watch_on_issue_created
    label_auto_watch_on_issue_created のフランス語翻訳の修正

UI (ユーザーインターフェイス)

  • Defect #44170: Toggling between board and list in projects query do not work properly
    プロジェクトクエリにおいてボード形式と一覧形式の切り替えが正しく動作しない問題の修正

6.1.3のみの変更・修正内容 (15件)

Code cleanup/refactoring (コードクリーンナップ / リファクタリング)

  • Defect #44072: OauthProviderSystemTest#test_application_creation_and_authorization fails randomly
    不安定な OauthProviderSystemTest#test_application_creation_and_authorization の修正
  • Patch #44073: TimeEntryTest#test_should_not_accept_closed_issue fails randomly depending on locale
    ロケールによって TimeEntryTest#test_should_not_accept_closed_issue がランダムに失敗する問題の修正

Documentation (ドキュメント)

  • Defect #43920: German and Tamil CommonMark wiki help pages lack the Alerts section
    ドイツ語とタミル語のCommonMark Wikiヘルプページにアラートボックスが不足していた問題の修正
  • Patch #43447: Update INSTALL document to mention additional_environment.rb
    INSTALLドキュメントに additional_environment.rb に関する記述を追加
  • Patch #43897: Use bin/rails instead of rake in documentation
    ドキュメント内の記述を rake から bin/rails に変更
  • Patch #43929: German translation for Alerts section on CommonMark wiki help page
    CommonMark Wikiヘルプページのアラートボックスのドイツ語翻訳の追加

Issues (チケット)

  • Defect #44042: Watchers section in the sidebar is incorrectly updated when watching a subtasks or related issue via context menu
    コンテキストメニューを介して子チケットや関連チケットをウォッチした際、サイドバーのウォッチリストが正しく更新されない問題の修正

REST API

  • Defect #43698: ArgumentError occurs on /oauth/authorize when REST API is disabled
    REST APIが無効な場合に /oauth/authorize で ArgumentError が発生する問題の修正

SCM (ソースコード管理)

  • Defect #43964: IconsHelper#scm_change_icon ignores passed options
    IconsHelper#scm_change_icon が渡されたオプションを無視する問題の修正

Security (セキュリティ)

  • Defect #44174: OAuth scope enforcement bypass in user account
    ユーザーアカウントにおけるOAuthスコープ制限のバイパスの脆弱性の修正

Translations (翻訳)

  • Defect #43921: Tamil CommonMark help page incorrectly translates CSS property names
    タミル語のCommonMarkヘルプページにおいてCSSプロパティ名が誤って翻訳されていた問題の修正
  • Patch #43922: Japanese translation update for recent_pages macro help on project and include_subprojects options
    recent_pages マクロのヘルプにおける project および include_subprojects オプションの日本語翻訳の更新

UI (ユーザーインターフェイス)

  • Defect #43984: Current page background in pagination overflows its border
    ページネーションにおいて現在のページの背景が枠線からはみ出してしまう問題の修正
  • Defect #44069: Remove redundant underline from abbr elements
    abbr要素から冗長な下線を削除
  • Defect #44127: Replace legacy group avatar icon with SVG
    レガシーなグループアバターアイコンをSVGに置き換え

Redmine新バージョンのリリースをメールでお知らせします。
ぜひ下記ページよりメールサービス「Redmine News」にご登録ください。

最新情報お知らせメール「Redmine News」 (Redmine.JP)


Ad: Redmineのバージョンアップやサーバー管理の手間をゼロに。「My Redmine」でお手軽運用
作成: 2026-06-16 17:00  •  分類: , , ,