- 概要
- 解决办法
- Jenkins容器运行命令
- Jenkins版本升级
概要
描述 根据其自报的版本号,远程Web服务器上运行的Jenkins版本为2.289.2之前的Jenkins LTS或2.300之前的Jenkins每周版本。因此,它受到多个漏洞的影响:
-
Jenkins 2.299 及更早版本、LTS 2.289.1 及更早版本允许用户取消队列项目并中止他们拥有项目/取消权限的作业的构建,即使他们没有项目/读取权限。 Jenkins 2.300, LTS 2.289.2 要求用户除了 Item/Cancel 权限外,还具有适用类型的 Item/Read 权限。作为 Jenkins 早期版本的解决方法,不要向没有 Item/Read 权限的用户授予 Item/Cancel 权限。 (CVE-2021-21670)
-
Jenkins 2.299 及更早版本、LTS 2.289.1 及更早版本不会在登录时使现有会话无效。这允许攻击者使用社会工程技术来获得对 Jenkins 的管理员访问权限。此漏洞是在 Jenkins 2.266 和 LTS 2.277.1 中引入的。 Jenkins 2.300、LTS 2.289.2 在登录时使现有会话无效。注意 如果出现问题,管理员可以通过将 Java 系统属性 hudson.security.SecurityRealm.sessionFixationProtectionMode 设置为 2 来选择不同的实现,或者通过将该系统属性设置为 0 来完全禁用修复。 (CVE-2021-21671)
-
Selenium HTML 报告插件 1.0 及更早版本未配置其 XML 解析器以防止 XML 外部实体 (XXE) 攻击。这允许攻击者能够控制使用此插件解析的报告文件,让 Jenkins 解析精心制作的报告文件,该文件使用外部实体从 Jenkins 控制器或服务器端请求伪造中提取秘密。 Selenium HTML 报告插件 1.1 禁用了其 XML 解析器的外部实体解析。 (CVE-2021-21672)
-
CAS 插件 1.6.0 及更早版本错误地确定登录后的重定向 URL 合法地指向 Jenkins。这允许攻击者通过让用户访问 Jenkins URL 来执行网络钓鱼攻击,该 URL 将在成功身份验证后将他们转发到不同的站点。 CAS 插件 1.6.1 仅重定向到相对 (Jenkins) URL。 (CVE-2021-21673)
-
requests-plugin 插件 2.2.6 及更早版本不会在 HTTP 端点中执行权限检查。这允许具有整体/读取权限的攻击者查看待处理请求列表。 requests-plugin 插件 2.2.7 需要整体/读取权限才能查看待处理请求列表。 (CVE-2021-21674)
将 Jenkins weekly 升级到 2.300 或更高版本或 Jenkins LTS 到 2.289.2 或更高版本
Jenkins容器运行命令docker run -d -p 80:8080 --name jenkins --privileged=true -e JENKINS_OPTS="–prefix=/jenkins" --env JAVA_OPTS="-Xms256m -Xmx512m -XX:MaxNewSize=256m -Duser.timezone=Asia/Shanghai" -v /etc/localtime:/etc/localtime -v /mnt/jenkins:/var/jenkins_home --restart=always jenkins
Jenkins版本升级首次安装时考虑到可能会升级是把Jenkins目录做了目录映射的,使用相同的Jenkins_home目录启动高版本的Jenkins会报错,考虑更新容器内jenkins.war文件。
- 使用 root 权限访问 docker 容器
docker exec -it -u root jenkins_new bash
- 进入 /usr/share/jenkins/目录,备份jenkins.war文件
cd /usr/share/jenkins mv jenkins.war jenkins.war.bak
- 下载jenkins的最新war包
wget http://mirrors.jenkins.io/war/latest/jenkins.war
- 退出重启容器
exit docker restart jenkins
- 查看Jenkins版本
