更新Jenkins插件的问题
我在Jenkins 2.176版上使用独立的war 然后我在这里得到了插件的安全漏洞警报: 然后我决定更新Jenkins,所以我下载并启动了Jenkins的最新版本:Jenkins ver。2.224 然后我更新了所有插件并重新启动 但是,在监视器下,我看到两个通知 第一份通知说: “您有以旧格式存储的数据和/或无法读取的数据。” 第二份通知说: “已发布以下当前安装的系统的警告 组成部分。” 构建管道插件1.5.8存储XSS漏洞环境 Injector Plugin 2.3.0暴露存储的敏感构建变量 Environject 1.90及更早版本 在“插件更新”选项卡下,我找不到任何要更新的插件更新Jenkins插件的问题,jenkins,plugins,notifications,warnings,updates,Jenkins,Plugins,Notifications,Warnings,Updates,我在Jenkins 2.176版上使用独立的war 然后我在这里得到了插件的安全漏洞警报: 然后我决定更新Jenkins,所以我下载并启动了Jenkins的最新版本:Jenkins ver。2.224 然后我更新了所有插件并重新启动 但是,在监视器下,我看到两个通知 第一份通知说: “您有以旧格式存储的数据和/或无法读取的数据。” 第二份通知说: “已发布以下当前安装的系统的警告 组成部分。” 构建管道插件1.5.8存储XSS漏洞环境 Injector Plugin 2.3.0暴露存储的敏感构
您能建议我如何克服这两个问题吗?到目前为止,没有新版本的易受攻击插件可用 对于环境注入器插件漏洞: 为了防止敏感构建变量的进一步暴露,我们 如果您受到以下因素的影响,建议您采取以下步骤: 这:
- 在中禁用注入环境变量的可视化 全局配置。此更改后,数据将可访问 仅适用于那些有权访问原始build.xml文件的用户。这是一个 可立即应用且可恢复的可逆动作 清除磁盘上的数据后(如下)
- 删除敏感数据 通过手动从磁盘中删除相应的条目 injectedEnvVars.txt文件,或删除injectedEnvVars.txt文件 在旧的构建目录中
- 轮换所有可能有潜在危险的秘密 暴露
从@Julian Veerkamp可以看出,在解决这个问题时,我们应该采取什么样的建议和方法?你能推荐一些经过测试的步骤吗?遗憾的是没有。我将首先尝试清除旧数据。在Manage Jenkins下,您应该找到一个“管理旧数据”对话框。你可以忽略不可读的数据,因为詹金斯只会忽略这些。如果没有旧数据,我会检查你安装的插件版本是否与最新的插件版本相同。看起来不安全的插件没有安全的版本。