2022年12月2日にRedmine 5.0.4がリリースされ複数のセキュリティ脆弱性が修正されました。
My Redmineにおいては、Redmine 5.0.4がリリースされた12月2日よりも前の時点でそれらのセキュリティ脆弱性の修正を先行適用しております。お客様のご利用環境において影響はありませんのでご安心ください。
attachments#download_all
attachments#download_all
でのオープンリダイレクト脆弱性参考: Redmine Security Advisories
いいえ、Redmine 5.0.4に含まれるセキュリティ脆弱性の修正はRedmine 5.0.4リリース前にすべて適用済みです。ご安心ください。
12月13日現在、My Redmineの「管理」→「情報」画面ではバージョン情報として「based on Redmine 5.0.3」と表示されているため古いバージョンが稼働しているように見えますが、実際には脆弱性の修正はすべて含まれています。
My Redmineにおいてはファーエンドテクノロジー版Redmine「RedMica」を使用しており、Redmine 5.0.3ベースのRedMica 2.1.0に必要な修正を取り込んでいるためこのような表示になっています。
いいえ、そのタイミングでの修正適用ではありません。修正はすでに適用済みです。11月30日にご連絡した「RedMica 2.2 バージョンアップのお知らせ」は半年に1回定期的に行っているメジャーバージョンアップであり、今回のセキュリティ脆弱性とは無関係です。
My Redmineにおいては、セキュリティ脆弱性の修正の適用・一部のバグ修正の適用はお客様に通知を行うことなく随時行っています。なお、その際サービスの停止はありません。