KubeSphere
ks-jenkins版本过低有漏洞
#6085
Replies: 1 comment 1 reply
-
|
需要早些时间更新版本 |
Beta Was this translation helpful? Give feedback.
1 reply
-
|
Jenkins 2.249.1 版本存在任意读取文件漏洞,相关漏洞 CVE-2024-23897 ,通过 jenkins-cli 工具,带特殊符号访问服务端时,可以读取 jenkins 中任意文件。官方给出的解决方案为 2 种:
对于 KubeSphere 内置的 Jenkins,推荐采用方案 2 ,可自主进行操作来禁用 jenkins-cli,对 DevOps 模块以及 KS 无任何影响。 |
Beta Was this translation helpful? Give feedback.
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Uh oh!
There was an error while loading. Please reload this page.
-
2024年1月29日,Jenkins 官方披露了一个标注为任意文件读取的Jenkins CLI 任意文件读取漏洞(CVE-2024-23897),Jenkins是基于Java开发的一种持续集成工具。Jenkins 官方评级严重,请各位用户尽快安装漏洞补丁。
漏洞风险:Jenkins 受影响版本中使用 args4j 库解析CLI命令参数,攻击者可利用相关特性读取 Jenkins 控制器文件系统上的任意文件(如加密密钥的二进制文件),并结合其他功能等可能导致任意代码执行。
风险等级:高风险。
影响范围:
Jenkins weekly <= 2.441
Jenkins LTS <= 2.426.2
修复建议:升级至安全版本及其以上
Jenkins weekly 2.442
Jenkins LTS 2.426.3
进行安全更新方法:
https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314
需要早些时间更新版本。
Beta Was this translation helpful? Give feedback.
All reactions