Jenkins 7月31日的安全公告

最新推荐文章于 2023-03-09 18:05:19 发布
最新推荐文章于 2023-03-09 18:05:19 发布
阅读量463 收藏
点赞数 1
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/98040513
版权

https://jenkins.io/security/advisory/2019-07-31/
其中有几个高危的,有一个中危的存储型XSS。

高危

是两个Script Security Plugin的漏洞
在这里插入图片描述
但是想要利用这种漏洞,需要很高的权限(able to specify sandboxed scripts),一般人根本没有新建job的权限,所以只能结合其他漏洞才能被利用。

中危

另外有一个中危的存储型XSS,

Stored XSS vulnerability in Maven Release Plug-in Plugin
SECURITY-1184 / CVE-2019-10360
Maven Release Plug-in Plugin did not properly escape variables in multiple views, resulting in a stored cross-site scripting vulnerability.
Variables on affected views are now escaped

看官方的commit就是新加了一个属性
https://github.com/jenkinsci/m2release-plugin/commit/d32dcfe65302eeae550c022429d1e28e30c94757
在这里插入图片描述

至于为什么加了几个属性就可以防止XSS了,我就去这里学习了一下。
据说强烈建议在所有jelly文件里都加上这个修饰:

strongly recommended on all Jelly files

想要避免被转义的话,可以使用<j:out>
像这样:

<p>My name is <j:out value="${it.fullName}"/></p>

参考:
https://wiki.jenkins.io/display/JENKINS/Jelly+and+XSS+prevention
https://issues.jenkins-ci.org/browse/JENKINS-5135
https://www.cloudbees.com/blog/introducing-variability-jenkins-plugins

caiqiiqi
关注
专栏目录
Jenkins 基础篇 - 基础设置
编程札记
05-07 2183
站点设置 刚搭建好 Jenkins 环境,你还需要做一些简单设置,让我们的 Jenkins 看起来是这么一回事,特别是你要用于生产环境的时候。首先就是域名配置,如果你为 Jenkins 服务分配了一个域名,通过 Nginx 反向代理的方式来访问 Jenkins 服务的话,当你访问 Jenkins 的【系统管理】界面时就会看到如下警告,提示反向代理设置有误,当前安装的下列组件已有警告发布: 我们需要去到【系统配置】里面做下设置,将 Jenkins URL 由之前默认的 IP 修改成域名: 还是在
Stored Cross Site Scripting (XSS)
angry_program的博客
02-10 1337
前言 存储型XSS, 即Stored Cross Site Scripting (XSS), 也可以称为持久性的XSS, 顾名思义就是恶意代码存储在服务器或者数据库中, 恶意代码一般伴随着用户的评论发表、个人信息或者文章发表的地方, 如果没有过滤或者过滤不严格, 这些代码将会被存储在服务器中, 每当用户访问的时候, 恶意代码都会被触发, 造成大量cookie泄露, 甚至蠕虫。 下面对四种...
Java中的Jdk配置的那些坑
xv545262342的博客
07-30 448
由于工作中需要用到1.8以下的jdk版本,比如1.7什么的,就打算在电脑中安装两个以上的jdk,在这个过程中没想到会遇到这么多的坑,在这里分享出来,引以为戒! 安装 安装时按照教程来就好,网上有许多的版本的安装博客,小田的专栏 这篇博客写的挺好的,尤其需要注意是,jdk环境变量配置的时候路径的书写注意是斜杠还是反斜杠,正确的应该是如下图: 还有一点需要注意的就是:JAVA_HOME变量的配
jeecms v9.3 has a stroed xss vulnerability
libieme的博客
10-31 3682
jeecms v9.3 has a stroed xss vulnerability An issue was discovered in jeecms v9.3 There is a stored XSS attacks vulnerability which allows remote attackers to inject arbitrary web script or HTML. poc ...
jenkins插件--synopsys-coverity用作安全扫描自动化
03-01
jenkins插件--synopsys-coverity用作安全扫描自动化
jenkins老版本资源
11-09
7. Jenkins 配置和备份:为了防止意外数据丢失,定期备份 Jenkins 的配置和插件非常重要。这可以通过导出系统配置、备份工作空间以及保存插件目录来实现。在升级或恢复时,这些备份可以帮助快速恢复到已知状态。 8....
Jenkins安卓客户端
04-19
7. **插件支持**:虽然客户端本身的功能有限,但可以通过Jenkins服务器上的插件来扩展其功能,如支持更多类型的构建任务。 **二、安装与使用** 1. **下载安装**:从描述中可以看出,提供的文件名`Jenkins_v2.4.1_...
jenkins全套插件
最新发布
05-14
jenkins离线安装全套插件,包含war包和jenkins适配的常用插件。只需要下载解压,运行jenkins.war,然后将plugins复制到jenkins_home目录下,一般都是/root/.jenkins
Jenkins跨站脚本漏洞
VoiceRoom的博客
03-09 808
CVE-2023-27898
maven升级漏洞依赖jar包
翱翔于知识的天空
12-06 8707
如果只是想打印当前项目的依赖树,最简单的方法就在在该项目(包含pom)的目录下执行maven命令,要注意的点是:1.执行的目录下必须包含pom文件,且多模块的要在父pom所在目录下执行;2.需要在powershell下执行(idea里支持) 如果想打印出来并放到一个文件里,那么可以在项目目录下执行该命令 执行完上述命令后,就可以到对应目录下找到那个文件,里面就是你项目里的所有依赖。 这里简单提供一个解析上面txt的文件并转成xml的代码 2.判断依赖是否有漏洞 上maven仓库上搜索对应的artifac
XSS漏洞检测手段
Kevin's Blog
05-05 8611
文章目录一、手工注入检测1.1 Cheat Sheet二、自动化工具检测2.1 BurpSuite之XSS Validator2.1.1 运行原理2.1.2 插件安装2.1.3 phantomjs安装2.1.4 下载xss.js2.1.5 配置XSS Validator2.1.6 配置Intruder模块2.1.7 XSS漏洞检测2.1.8 工具优缺点2.2 神器之XSSer2.2.1 工具介绍 ...
jackson-databind升级2.7版本到2.10.0
热门推荐
m0_37558251的博客
05-20 1万+
1.直接修改jackson-databind的版本号为2.10.0 启动报错,找不到类。 2.升级版本号同时加上jackson-core依赖 <dependency> <groupId>com.fasterxml.jackson.core</groupId> <artifactId>jackson-databind</artifactId> <version>2.10.0</version> &lt
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值