Redmine 5.0.4で修正された脆弱性（JVN#60211811ほか）への対応状況

2022年12月2日にRedmine 5.0.4がリリースされ複数のセキュリティ脆弱性が修正されました。

My Redmineにおいては、Redmine 5.0.4がリリースされた12月2日よりも前の時点でそれらのセキュリティ脆弱性の修正を先行適用しております。お客様のご利用環境において影響はありませんのでご安心ください。

修正済みの脆弱性

• Defect #37751: Persistent XSS in textile formatting due to blockquote citation
  Textileの.bqのcite属性によるXSS脆弱性 (CVE-2022-44031)
• Defect #37767: Redmine contains a cross-site scripting vulnerability
  Textileのpre要素によるXSS脆弱性 (CVE-2022-44637 / JVN#60211811)
• Defect #37880: Open Redirect in attachments#download_all
attachments#download_allでのオープンリダイレクト脆弱性
• Defect #37772: Access Control Issue in attachments#download_all
  権限のないユーザーが任意の添付ファイルをダウンロードできる問題の修正 (CVE-2022-44030)

参考: Redmine Security Advisories

よくあるご質問

「管理」→「情報」画面にはバージョンが 5.0.3 と表示されるので、修正は未適用なのではないか?

いいえ、Redmine 5.0.4に含まれるセキュリティ脆弱性の修正はRedmine 5.0.4リリース前にすべて適用済みです。ご安心ください。

12月13日現在、My Redmineの「管理」→「情報」画面ではバージョン情報として「based on Redmine 5.0.3」と表示されているため古いバージョンが稼働しているように見えますが、実際には脆弱性の修正はすべて含まれています。

My Redmineにおいてはファーエンドテクノロジー版Redmine「RedMica」を使用しており、Redmine 5.0.3ベースのRedMica 2.1.0に必要な修正を取り込んでいるためこのような表示になっています。

RedMica 2.2へのバージョンアップを12月から来年1月にかけて行うとの連絡を受けているが、その際に修正されるのか?

いいえ、そのタイミングでの修正適用ではありません。修正はすでに適用済みです。11月30日にご連絡した「RedMica 2.2 バージョンアップのお知らせ」は半年に1回定期的に行っているメジャーバージョンアップであり、今回のセキュリティ脆弱性とは無関係です。

My Redmineにおいては、セキュリティ脆弱性の修正の適用・一部のバグ修正の適用はお客様に通知を行うことなく随時行っています。なお、その際サービスの停止はありません。