[英]Issues updating Jenkins Plugins
我在 Jenkins 版本 2.176 上使用獨立戰爭。
然后我在這里收到了插件的安全漏洞警報: https : //jenkins.io/security/advisory/2020-03-09/
然后我決定更新 Jenkins,所以我下載並使用最新版本啟動 Jenkins:Jenkins 版本。 2.224
然后我更新了所有插件並重新啟動。
但是,在監視器下,我看到兩個通知。
第一條通知說:
“您的數據以舊格式和/或無法讀取的數據存儲。”
第二個通知說:
“已針對以下當前安裝的組件發布警告。”
Build Pipeline Plugin 1.5.8 存儲的 XSS 漏洞 Environment Injector Plugin 2.3.0 EnvInject 1.90 及更早版本存儲的敏感構建變量的暴露
在插件更新選項卡下,我沒有找到任何列出更新的插件!!
你能建議我如何克服這兩個問題嗎?
截至今天,沒有可用的易受攻擊插件的新版本。
Build Pipeline Plugin 的 XSS 漏洞只能在早於 2.146 或 2.138.2 的 Jenkins 版本上利用
對於環境注入器插件漏洞:
為防止敏感構建變量進一步暴露,如果您受到此影響,我們建議您采取以下步驟:
- 在全局配置中禁用注入環境變量的可視化。 在此更改之后,只有有權訪問原始 build.xml 文件的人才能訪問數據。 這是一個可以立即應用的可逆操作,並且可以在您清除磁盤上的數據后恢復(如下)。
- 通過從injectedEnvVars.txt 文件中手動刪除相應條目,或刪除舊構建目錄中的injectedEnvVars.txt 文件,從磁盤中刪除敏感數據。
- 輪換所有可能暴露的秘密
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.