专栏首页JenkinsJenkins 安全修复 SECURITY-626 的紧急通知

Jenkins 安全修复 SECURITY-626 的紧急通知

? 普通用户

检查你的 Jenkins 版本,界面上是否有 SECURITY-626 相关的安全漏洞提醒。如果有的话,建议准备升级。尤其是对于 Jenkins 运行在公有云环境中的用户。后文,您可以选择性阅读。

? 开发者(或将 Jenkins 作为 CI/CD 工具集成的厂商、用户)

仔细阅读下面的内容,并根据具体情况做响应的调整。

默认情况下,Jenkins 中的 CSRF Token 只对认证信息以及 IP 地址进行校验。这就导致了一个潜在的安全漏洞,攻击者可以利用另外一个用户的 CSRF Token 进行攻击,而且只要受害者的 IP 地址保持不变,就可以一直有效。

从 Jenkins 2.176.2 开始,CSRF Token 还会检查 Web Session ID 以确保他们是来自于同一个会话。当会话失效后,对应的 Token 也会不可用。

因此,默认情况下,通过 /crumbIssuer/api 这个 API 获取的 Token 将会无法使用。除非,这些 Token 能关联到同一个会话上。

? 解决方案

  1. 安装插件 Strict Crumb Issuer Plugin 后,自定义 Crumb 校验规则
  2. 禁用新特性,设置系统属性 hudson.security.csrf.DefaultCrumbIssuer.EXCLUDE_SESSION_ID 为 true

? 案例与参考资料

KubeSphere 对于开源平台 KubeSphere 的用户来说,已经不用担心这个问题,社区已经在 ks-jenkins 这个项目中修复了这个问题。

更多参考资料:

https://www.jenkins.io/doc/upgrade-guide/2.176/#SECURITY-626 https://github.com/kubesphere/kubesphere/issues/3209 https://github.com/kubesphere/ks-jenkins/

本文分享自微信公众号 - Jenkins(Jenkins-Community),作者:LinuxSuRen

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-12-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 远程办公也可以很高效

    因为疫情,全中国人民都过了一个难忘的春节,而身在武汉的我,更是没有出家门半步,坚决做到不过国家添乱。从开始的2月14到后来的2月20日,再到现在的3月10日,官...

    oec2003
  • 使用Docker安装Jenkins

    晓晨
  • ​2019 DevOps 必备面试题——持续集成篇

    我会建议你以持续集成的最小定义作为开始来回答这个问题。这是一种研发实践,需要开发人员每天多次将代码集成到共享代码库中。然后通过自动构建来验证每次代码的修改,以便...

    CODING
  • 重启了下 Jenkins,踩到了一个深埋多年的坑

    业务方反馈,Jenkins 上某个 job 没有将 release 版本的组件发布到 maven 私服,以致依赖方无法引用依赖。

    donghui
  • CVE-2019-1003000-jenkins-RCE复现

    2019年1月8日,Jenkins官方发布了一则Script Security and Pipeline 插件远程代码执行漏洞的安全公告,漏洞CVE编号为:CV...

    墙角睡大觉
  • [玩转腾讯云]Docker——使用Git来实现Jenkins发布、测试项目

    4.1、修改docker服务配置:`vim /usr/lib/systemd/system/docker.service`进入,找到参数:`ExecStart=...

    eyqx
  • 安全研究 | Jenkins 任意文件读取漏洞分析

    云鼎实验室
  • 王录华:我是如何为公有云和XX联邦政府提供安全的Linux操作系统的解决方案的?

    我大约是在2012年左右时,在网络和私有云两大领域之外,又在操作系统领域得到一个非常有挑战的新机遇:为公司超过30万台的服务器提供安全的Linux操作系统解决方...

    Linux阅码场
  • 【原创干货】我是如何为公有云和XX联邦政府提供安全的Linux操作系统的解决方案的?

    我大约是在2012年左右时,在网络和私有云两大领域之外,又在操作系统领域得到一个非常有挑战的新机遇:为公司超过30万台的服务器提供安全的Linux操作系统解决方...

    王录华

扫码关注云+社区

领取腾讯云代金券