4月27日(日本時間)、脆弱性の修正を含むRedmine 4.2.1、4.1.3、4.0.9 がリリースされました。本リリースにより、リモートの攻撃者がGitアダプタの脆弱性を悪用してサーバ上の任意のファイルを読み取ることができる脆弱性が修正されました。
My Redmineのサービスで使用しているRedmine互換の「RedMica」(ファーエンドテクノロジー版Redmine)については、すでに修正が適用済みであることをご報告いたします。
なおMy Redmineの環境ではシステム構成上、修正適用前の状態でもこの脆弱性を悪用してサーバ上のファイルを取得することは不可能でした。
Arbitrary file read in Git adapter (#35085)
2021年4月27日、My Redmineのすべてのお客様の環境に対して本脆弱性の修正を適用しました。
※現時点では「管理」→「情報」画面の「RedMica version」に「1.2.1.stable (based on Redmine 4.1.2.devel.20401)」と表示されますが、実際にはRedmine 4.1.3に含まれるすべての脆弱性修正が適用済みです(まもなくリリースされるRedMica 1.2.2相当)。
