今日はXSSの修正、それを含んだ4.0.4、3.4.11のリリースがありました。 XSSの脆弱性対応が入っているので早めに上げたほうがいいです。

(追記) 攻撃者がtextile使っている箇所に書き込める権限があると脆弱性突かれる可能性があります。textile使っていなければ恐らく影響はないはず。

リビジョン 18239 - Fix "Undefined local variable sender_email" error in MailHandler#receive_mess... - Redmine

ロックされたtopicにメールで返信した場合、例外が発生してrescueした中で存在しないメソッドを呼び出してエラーになっていたのをエラーにならないように修正しています。

リビジョン 18240 - Backport the fix r18239 to 4.0-stable (#31503). - Redmine

さきほどのメール受信処理の修正のバックポート

リビジョン 18241 - Backport the fix r18239 to 3.4-stable (#31503). - Redmine

さきほどのメール受信処理の修正のバックポート

リビジョン 18242 - Merged r17962, r18206, r18207 and r18211 to 4.0-stable (#30850). - Redmine

diffのリンクが壊れていたバグの修正のバックポート

リビジョン 18243 - Import issues: File content preview block is scrolling (#31330). - Redmine

CSVのインポートのマッピング画面でファイルの内容のプレビューが横にあふれる場合、横スクロールできるのですが、なんか背景からはみ出していたのを修正しています。

autoscrollクラスつけてるdivがfieldsetの外側にあったのでfieldsetごと横スクロール効く感じになってたんですね。なるほど。

リビジョン 18244 - Merged r18243 to 4.0-stable (#31330). - Redmine

さきほどのスクロールのバックポート

リビジョン 18245 - Issue subject may be broken if the subject field is split into multiple lines... - Redmine

メール経由でチケットを作る際にメールのタイトルが壊れてしまう場合があったので、壊れないようにメールgemにモンキーパッチを当てて直しています。

リビジョン 18246 - Merged r18245 to 4.0-stable (#31365). - Redmine

さきほどのメール経由のチケット作成のバックポート

リビジョン 18247 - Fix html encoding (#31520). - Redmine

textileを利用している場合に発生するXSSの脆弱性の修正です。 これ詳細について言及するのは避けますが、すぐRedmineのバージョン上げたほうがよさそうです。

リビジョン 18248 - Merged r18247 to 4.0-stable (#31520). - Redmine

XSSの修正のバックポート、4.0.4にあげましょう。

リビジョン 18249 - Merged r18247 to 3.4-stable (#31520). - Redmine

XSSの修正のバックポート、3.4.11にあげましょう。

リビジョン 18250 - Updates for 4.0.4 release. - Redmine

4.0.4のリリースのためバージョン番号とCHANGELOGを更新しています。

リビジョン 18251 - Merged r18250 to 4.0-stable. - Redmine

リリースの流れがよくわかってないけどtrunkでバージョンあげてから4.0にバックポートする感じ?

リビジョン 18252 - Updates for 3.4.11 release. - Redmine

3.4.11のリリースのためバージョン番号とCHANGELOGを更新しています。

リビジョン 18253 - tagged version 3.4.11 - Redmine

3.4.11にタグを打っています。(SVNのタグの仕組みよく知らないのであとでべんきょしよ

リビジョン 18254 - tagged version 4.0.4 - Redmine

4.0.4にタグを打っています。