普通用戶
檢查你的 Jenkins 版本,界面上是否有 SECURITY-626 相關的安全漏洞提醒。如果有的話,建議準備升級。尤其是對於 Jenkins 運行在公有雲環境中的用戶。後文,您可以選擇性閱讀。
開發者(或將 Jenkins 作為 CI/CD 工具集成的廠商、用戶)
仔細閱讀下面的內容,並根據具體情況做響應的調整。
默認情況下,Jenkins 中的 CSRF Token 只對認證信息以及 IP 地址進行校驗。這就導致了一個潛在的安全漏洞,攻擊者可以利用另外一個用戶的 CSRF Token 進行攻擊,而且只要受害者的 IP 地址保持不變,就可以一直有效。
從 Jenkins 2.176.2 開始,CSRF Token 還會檢查 Web Session ID 以確保他們是來自於同一個會話。當會話失效後,對應的 Token 也會不可用。
因此,默認情況下,通過 /crumbIssuer/api 這個 API 獲取的 Token 將會無法使用。除非,這些 Token 能關聯到同一個會話上。
解決方案
案例與參考資料
KubeSphere 對於開源平臺 KubeSphere 的用戶來說,已經不用擔心這個問題,社區已經在 ks-jenkins 這個項目中修復了這個問題。
更多參考資料:
https://www.jenkins.io/doc/upgrade-guide/2.176/#SECURITY-626 https://github.com/kubesphere/kubesphere/issues/3209 https://github.com/kubesphere/ks-jenkins/
轉載請超鏈接註明:頭條資訊 » Jenkins 安全修復 SECURITY-626 的緊急通知
免責聲明
:非本網註明原創的信息,皆為程序自動獲取互聯網,目的在於傳遞更多信息,並不代表本網贊同其觀點和對其真實性負責;如此頁面有侵犯到您的權益,請給站長發送郵件,並提供相關證明(版權證明、身份證正反面、侵權鏈接),站長將在收到郵件24小時內刪除。