5月6日,Jenkins正式宣布了一个安详通告,修复了9个插件裂痕,个中5个插件受到了影响。 个中,SCM Filter Jervis插件具有一个长途执行代码裂痕(CVE-2020-2189),被官方评为高风险。 由于SCM筛选器Jervis插件默认环境下不设置YAML理会器,因此用户可以利用筛选器设置项目,还可以操纵SCM存储已设置的项目内容。 根据绑定插件具有两个根据泄露裂痕(CVE-2020-2181,CVE-2020-2182)。 Copy Artifact插件具有不正确的权限验证裂痕(CVE-2020-2183)。 CVS插件存在跨站点请求伪造裂痕(CVE -2020-2184)和Amazon EC2插件中的4个裂痕(CVE-2020-2185,CVE-2020-2186,CVE-2020-2187,CVE-2020-2188) )。
Amazon EC2插件(含1.50.1及以下)
复制Artifact插件,最高至1.43.1(含)
凭证绑定插件,最高1.22(含)
包括2.15或更高版本的CVS插件
SCM筛选器Jervis插件,最高0.2.1(含)
Amazon EC2 Plugin (含1.50.1及以下)
Copy Artifact Plugin (含1.43.1及以下)
Credentials Binding Plugin (含1.22及以下)
CVS Plugin (含2.15及以下)
SCM Filter Jervis Plugin (含0.2.1及以下)
不受影响的版本Amazon EC2 Plugin 1.50.2
Copy Artifact Plugin 1.44
Credentials Binding Plugin 1.23
CVS Plugin 2.16
SCM Filter Jervis Plugin 0.3
为了确保Jenkins处事器的安详性,发起相关用户将受影响的Jenkins插件进级到不受影响的版本。
Linux公社的RSS地点:https://www.linuxidc.com/rssFeed.aspx