---

概要

描述 根据其自报的版本号࿰c;远程Web服务器上运行的jenkins版本为2.289.2之前的jenkins LTS或2.300之前的jenkins每周版本。因此࿰c;它受到多个漏洞的影响：

• jenkins 2.299 及更早版本、LTS 2.289.1 及更早版本允许用户取消队列项目并中止他们拥有项目/取消权限的作业的构建࿰c;即使他们没有项目/读取权限。 jenkins 2.300, LTS 2.289.2 要求用户除了 Item/Cancel 权限外࿰c;还具有适用类型的 Item/Read 权限。作为 jenkins 早期版本的解决方法࿰c;不要向没有 Item/Read 权限的用户授予 Item/Cancel 权限。 (CVE-2021-21670)

• jenkins 2.299 及更早版本、LTS 2.289.1 及更早版本不会在登录时使现有会话无效。这允许攻击者使用社会工程技术来获得对 jenkins 的管理员访问权限。此漏洞是在 jenkins 2.266 和 LTS 2.277.1 中引入的。 jenkins 2.300、LTS 2.289.2 在登录时使现有会话无效。注意 如果出现问题࿰c;管理员可以通过将 Java 系统属性 hudson.security.SecurityRealm.sessionFixationProtectionMode 设置为 2 来选择不同的实现࿰c;或者通过将该系统属性设置为 0 来完全禁用修复。 (CVE-2021-21671)

• SELEnium HTML 报告插件 1.0 及更早版本未配置其 XML 解析器以防止 XML 外部实体 (XXE) 攻击。这允许攻击者能够控制使用此插件解析的报告文件࿰c;让 jenkins 解析精心制作的报告文件࿰c;该文件使用外部实体从 jenkins 控制器或服务器端请求伪造中提取秘密。 SELEnium HTML 报告插件 1.1 禁用了其 XML 解析器的外部实体解析。 (CVE-2021-21672)

• CAS 插件 1.6.0 及更早版本错误地确定登录后的重定向 URL 合法地指向 jenkins。这允许攻击者通过让用户访问 jenkins URL 来执行网络钓鱼攻击࿰c;该 URL 将在成功身份验证后将他们转发到不同的站点。 CAS 插件 1.6.1 仅重定向到相对 (jenkins) URL。 (CVE-2021-21673)

• requests-plugin 插件 2.2.6 及更早版本不会在 http 端点中执行权限检查。这允许具有整体/读取权限的攻击者查看待处理请求列表。 requests-plugin 插件 2.2.7 需要整体/读取权限才能查看待处理请求列表。 (CVE-2021-21674)

解决办法

将 jenkins weekly 升级到 2.300 或更高版本或 jenkins LTS 到 2.289.2 或更高版本

jenkins容器运行命令

docker run -d -p 80:8080 --name jenkins --privileged=true -e jeNKINS_OPTS="–prefix=/jenkins" --env JAVA_OPTS="-Xms256m -Xmx512m -XX:MaxNewSize=256m -Duser.timezone=Asia/Shanghai" -v /etc/localtime:/etc/localtime -v /mnt/jenkins:/var/jenkins_home --restart=always jenkins

jenkins版本升级

首次安装时考虑到可能会升级是把jenkins目录做了目录映射的࿰c;使用相同的jenkins_home目录启动高版本的jenkins会报错࿰c;考虑更新容器内jenkins.war文件。

• 使用 root 权限访问 docker 容器

docker exec -it -u root jenkins_new bash 

• 进入 /usr/share/jenkins/目录࿰c;备份jenkins.war文件

cd  /usr/share/jenkins
mv jenkins.war jenkins.war.bak

• 下载jenkins的最新war包

wget http://mirrors.jenkins.io/war/latest/jenkins.war

• 退出重启容器

exit
docker restart jenkins

• 查看jenkins版本