jenkins - 更新 Jenkins 插件的问题
问题描述
我在使用独立战争的 Jenkins 版本 2.176。
然后我在这里收到了插件的安全漏洞警报:https ://jenkins.io/security/advisory/2020-03-09/
然后我决定更新 Jenkins,所以我下载并使用最新版本启动 Jenkins:Jenkins ver。2.224
然后我更新了所有插件并重新启动。
但是,在监视器下,我看到两个通知。
第一个通知说:
“您有以旧格式存储的数据和/或不可读的数据。”
第二个通知说:
“已针对以下当前安装的组件发布警告。”
Build Pipeline Plugin 1.5.8 存储的 XSS 漏洞 Environment Injector Plugin 2.3.0 EnvInject 1.90 及更早版本存储的敏感构建变量的暴露
在插件更新选项卡下,我没有找到任何列出的更新插件!
你能建议我如何克服这两个问题吗?
解决方案
截至今天,没有可用的易受攻击插件的新版本。
Build Pipeline Plugin 的 XSS 漏洞只能在早于 2.146 或 2.138.2 的 Jenkins 版本上利用
对于环境注入器插件漏洞:
为防止敏感的构建变量进一步暴露,如果您受到此影响,我们建议您采取以下步骤:
- 在全局配置中禁用注入环境变量的可视化。在此更改之后,只有有权访问原始 build.xml 文件的人才能访问数据。这是一个可以立即应用的可逆操作,并且可以在您清除磁盘上的数据后恢复(如下)。
- 通过手动从注入的EnvVars.txt 文件中删除相应的条目,或删除旧构建目录中的注入的EnvVars.txt 文件,从磁盘中删除敏感数据。
- 轮换所有可能暴露的秘密
推荐阅读
- javascript - 尝试在 Javascript 中使用 gremlin 连接到 Cosmos DB 时出现服务器超时
- regex - 扫描文本文件以查找具有特定字符的单词
- android - 我们应该如何处理由于离线 p2p 安装而导致的 Android App Bundle Resources$NotFoundException 崩溃?
- excel - VLOOKUP 到表中最近的值
- javascript - javascript 对象中不可访问的原型
- azure-cognitive-search - 如何在 Azure 搜索中查询 url
- c# - 部分视图内的对象循环列表在帖子中返回空值
- python - Pandas、groupby 和其他列中的计数数据
- javascript - 如何包含事件:自定义 highchart 数据的 {} 属性到 highcharts-vue
- c - 这是什么语法?(C中变量类型的括号)