大佬教程收集整理的这篇文章主要介绍了【漏洞修复】Docker 镜像 Jenkins版本升级,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
描述 根据其自报的版本号c;远程Web服务器上运行的jenkins版本为2.289.2之前的jenkins LTS或2.300之前的jenkins每周版本。因此c;它受到多个漏洞的影响:
jenkins 2.299 及更早版本、LTS 2.289.1 及更早版本允许用户取消队列项目并中止他们拥有项目/取消权限的作业的构建c;即使他们没有项目/读取权限。 jenkins 2.300, LTS 2.289.2 要求用户除了 Item/Cancel 权限外c;还具有适用类型的 Item/Read 权限。作为 jenkins 早期版本的解决方法c;不要向没有 Item/Read 权限的用户授予 Item/Cancel 权限。 (CVE-2021-21670)
jenkins 2.299 及更早版本、LTS 2.289.1 及更早版本不会在登录时使现有会话无效。这允许攻击者使用社会工程技术来获得对 jenkins 的管理员访问权限。此漏洞是在 jenkins 2.266 和 LTS 2.277.1 中引入的。 jenkins 2.300、LTS 2.289.2 在登录时使现有会话无效。注意 如果出现问题c;管理员可以通过将 Java 系统属性 hudson.security.SecurityRealm.sessionFixationProtectionMode 设置为 2 来选择不同的实现c;或者通过将该系统属性设置为 0 来完全禁用修复。 (CVE-2021-21671)
SELEnium HTML 报告插件 1.0 及更早版本未配置其 XML 解析器以防止 XML 外部实体 (XXE) 攻击。这允许攻击者能够控制使用此插件解析的报告文件c;让 jenkins 解析精心制作的报告文件c;该文件使用外部实体从 jenkins 控制器或服务器端请求伪造中提取秘密。 SELEnium HTML 报告插件 1.1 禁用了其 XML 解析器的外部实体解析。 (CVE-2021-21672)
CAS 插件 1.6.0 及更早版本错误地确定登录后的重定向 URL 合法地指向 jenkins。这允许攻击者通过让用户访问 jenkins URL 来执行网络钓鱼攻击c;该 URL 将在成功身份验证后将他们转发到不同的站点。 CAS 插件 1.6.1 仅重定向到相对 (jenkins) URL。 (CVE-2021-21673)
requests-plugin 插件 2.2.6 及更早版本不会在 http 端点中执行权限检查。这允许具有整体/读取权限的攻击者查看待处理请求列表。 requests-plugin 插件 2.2.7 需要整体/读取权限才能查看待处理请求列表。 (CVE-2021-21674)
将 jenkins weekly 升级到 2.300 或更高版本或 jenkins LTS 到 2.289.2 或更高版本
docker run -d -p 80:8080 --name jenkins --privileged=true -e jeNKINS_OPTS="–prefix=/jenkins" --env JAVA_OPTS="-Xms256m -Xmx512m -XX:MaxNewSize=256m -Duser.timezone=Asia/Shanghai" -v /etc/localtime:/etc/localtime -v /mnt/jenkins:/var/jenkins_home --restart=always jenkins
首次安装时考虑到可能会升级是把jenkins目录做了目录映射的c;使用相同的jenkins_home目录启动高版本的jenkins会报错c;考虑更新容器内jenkins.war文件。
docker exec -it -u root jenkins_new bash
cd /usr/share/jenkins
mv jenkins.war jenkins.war.bak
wget http://mirrors.jenkins.io/war/latest/jenkins.war
exit
docker restart jenkins
以上是大佬教程为你收集整理的【漏洞修复】Docker 镜像 Jenkins版本升级全部内容,希望文章能够帮你解决【漏洞修复】Docker 镜像 Jenkins版本升级所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。