ICode9

精准搜索请尝试: 精确搜索
首页 > 其他分享> 文章详细

【漏洞修复】Docker 镜像 Jenkins版本升级

2021-10-30 19:36:48  阅读:135  来源: 互联网

标签:LTS 插件 版本升级 版本 jenkins Jenkins Docker 权限


文章目录


概要

描述 根据其自报的版本号,远程Web服务器上运行的Jenkins版本为2.289.2之前的Jenkins LTS或2.300之前的Jenkins每周版本。因此,它受到多个漏洞的影响:

  • Jenkins 2.299 及更早版本、LTS 2.289.1 及更早版本允许用户取消队列项目并中止他们拥有项目/取消权限的作业的构建,即使他们没有项目/读取权限。 Jenkins 2.300, LTS 2.289.2 要求用户除了 Item/Cancel 权限外,还具有适用类型的 Item/Read 权限。作为 Jenkins 早期版本的解决方法,不要向没有 Item/Read 权限的用户授予 Item/Cancel 权限。 (CVE-2021-21670)

  • Jenkins 2.299 及更早版本、LTS 2.289.1 及更早版本不会在登录时使现有会话无效。这允许攻击者使用社会工程技术来获得对 Jenkins 的管理员访问权限。此漏洞是在 Jenkins 2.266 和 LTS 2.277.1 中引入的。 Jenkins 2.300、LTS 2.289.2 在登录时使现有会话无效。注意 如果出现问题,管理员可以通过将 Java 系统属性 hudson.security.SecurityRealm.sessionFixationProtectionMode 设置为 2 来选择不同的实现,或者通过将该系统属性设置为 0 来完全禁用修复。 (CVE-2021-21671)

  • Selenium HTML 报告插件 1.0 及更早版本未配置其 XML 解析器以防止 XML 外部实体 (XXE) 攻击。这允许攻击者能够控制使用此插件解析的报告文件,让 Jenkins 解析精心制作的报告文件,该文件使用外部实体从 Jenkins 控制器或服务器端请求伪造中提取秘密。 Selenium HTML 报告插件 1.1 禁用了其 XML 解析器的外部实体解析。 (CVE-2021-21672)

  • CAS 插件 1.6.0 及更早版本错误地确定登录后的重定向 URL 合法地指向 Jenkins。这允许攻击者通过让用户访问 Jenkins URL 来执行网络钓鱼攻击,该 URL 将在成功身份验证后将他们转发到不同的站点。 CAS 插件 1.6.1 仅重定向到相对 (Jenkins) URL。 (CVE-2021-21673)

  • requests-plugin 插件 2.2.6 及更早版本不会在 HTTP 端点中执行权限检查。这允许具有整体/读取权限的攻击者查看待处理请求列表。 requests-plugin 插件 2.2.7 需要整体/读取权限才能查看待处理请求列表。 (CVE-2021-21674)

解决办法

将 Jenkins weekly 升级到 2.300 或更高版本或 Jenkins LTS 到 2.289.2 或更高版本

Jenkins容器运行命令

docker run -d -p 80:8080 --name jenkins --privileged=true -e JENKINS_OPTS="–prefix=/jenkins" --env JAVA_OPTS="-Xms256m -Xmx512m -XX:MaxNewSize=256m -Duser.timezone=Asia/Shanghai" -v /etc/localtime:/etc/localtime -v /mnt/jenkins:/var/jenkins_home --restart=always jenkins

Jenkins版本升级

首次安装时考虑到可能会升级是把Jenkins目录做了目录映射的,使用相同的Jenkins_home目录启动高版本的Jenkins会报错,考虑更新容器内jenkins.war文件。

  • 使用 root 权限访问 docker 容器
docker exec -it -u root jenkins_new bash 
  • 进入 /usr/share/jenkins/目录,备份jenkins.war文件
cd  /usr/share/jenkins
mv jenkins.war jenkins.war.bak
  • 下载jenkins的最新war包
wget http://mirrors.jenkins.io/war/latest/jenkins.war
  • 退出重启容器
exit
docker restart jenkins
  • 查看Jenkins版本
    在这里插入图片描述

标签:LTS,插件,版本升级,版本,jenkins,Jenkins,Docker,权限
来源: https://blog.csdn.net/qq_23934063/article/details/121054920

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有