Jenkins升级-- 无条件远程代码执行高危漏洞

最新推荐文章于 2024-08-03 21:04:33 发布
最新推荐文章于 2024-08-03 21:04:33 发布
阅读量812 收藏
点赞数 1
分类专栏: 日常记录 文章标签: jenkins 升级 漏洞 远程代码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/skypig555/article/details/88545337
版权

起因

早上收到阿里云的安全中心的电话,说检测到我们部分服务器使用了Jenkins,存在严重的安全漏洞。希望我们购买他们的安全防火墙,或者自己升级Jenkins。购买当然是不可能的拉。马上开始Jenkins升级。

硬货

停止之前的老版本

既然有漏洞,就先把老的版本服务停了。

安装新版本

这边我用的是docker-compose进行安装。docker和docker-compose的安装,自行百度。

version: '2'
services:
  jenkins:
      image: jenkins/jenkins
      container_name: lon-jenkins
      restart: always
      volumes:
        - ./home:/var/jenkins_home
        - /bin/docker:/usr/bin/docker
        - /var/run/docker.sock:/var/run/docker.sock
      ports:
        - "9000:8080"
      environment:
        - TZ=Asia/Shanghai

启动后关闭服务

拷贝老版本的数据到新版本

到老版本的%old_jenkins_home%(一般是“/var/jenkins_home”),拷贝所有文件到新版本的%jenkins_home%。

我这边再docker-compose文件中,对%jenkins_home%进行了挂载。所以只需要把文件拷贝到%workspace%/home。

cd %workspace%
cp -r %old_jenkins_home%/* %workspace%/home/

然后重启服务即可

%workspace%是指工作空间,个人根据自己实际情况配置。

部分插件不可用,更新插件版本

升级后,可能会出现部分插件不可用的情况。去插件控制中心,升级插件就可以了。

十正
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 673
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
jenkins-update-center:詹金斯镜像更新中心生成器
02-21
詹金斯更新中心 詹金斯镜更新中心生成器 更新时间 每天凌晨1点UTC更新 镜像站点 腾讯 华为 清华 ustc 位 文件update-center.json ...wget https://cdn.jsdelivr.net/gh/lework/jenkins-update-center/rootC
知识总结---漏洞原理及防护篇
糖小喵
05-06 1714
XSS XSS原理 反射型 用户提交的数据中可以构造代码执行,从而实现窃取用户信息等攻击。需要诱使用户“点击”一个恶意链接,才能攻击成功 储存型 存储型XSS会把用户输入的数据“存储”在服务器端。这种XSS具有很强的稳定性。 DOM型 通过修改页面的DOM节点形成的XSS,称之为DOM Based XSS。 DOM型和反射型的区别 反射型XSS:通过诱导用户点击,我们构造好的恶...
网络安全最新漏洞分析|死磕Jenkins漏洞回显与利用效果_jenkins 漏洞(1),2024年最新2024年哔哩哔哩网络安全高级面试题及答案
2401_84264610的博客
05-10 780
中给出了jetty的两种回显方式。这时我们就可以通过反射获取这个channel中的http属性,并通过传入http消息头中的某些字段进行读取传入的命令内容将其执行,并将执行结果在写入到响应包中,这样就完成了整个回显过程。上面我们已经绕过了CC链的黑名单限制,这时,我们就需要思考如何进行漏洞的利用效果,市面上的主流工具如vulhub给出的利用方式是通过jar包生成执行系统命令的序列化对象,但利用过程比较繁琐,无法便捷有效的展示漏洞利用效果。方法的利用链,从而绕过CC链的黑名单的限制,进行反序列化攻击。
第60天-服务攻防-中间件安全&CVE 复现&Weblogic&&Jboss&Jenkins&GlassFish
weixin_52529261的博客
02-15 1422
主要学习了解Weblogic、JBoos、Jenkins和GlassFish四个中间件的常见CVE、未授权和弱口令等漏洞
2023HVV日记(第1-15天)
Nolen_Alice的博客
08-11 4653
记录一下HVV的一些个人收获
应用软件漏洞利用分布
securitypaper的博客
10-27 713
Adobe 公司在 2005 年收购 Flash,并大力推广应用使其一度是漏洞挖掘人员的研究焦点,根据图 3.4 的历史数据可以看到,2015 和 2016 年爆出的漏洞总数占据整体数量的 55.09%。在 Hacking Team 泄 露 CVE-2015-5122 和 CVE-2015-5199 这两个 0day 漏洞之后,更是给漏洞利用带来了通用的模板 1,但 之后随着 Adobe 引入了隔离堆、Vector 长度检测、CFG保护等安全机制,Flash 漏洞利用的门槛被加 大了很多。 图 3.4 FL
红队中的一些重点系统漏洞整理(通用的一些漏洞
weixin_50464560的博客
03-27 1156
本文转载自:https://github.com/r0eXpeR/redteam_vul以下时间为更新时间,不代表漏洞发现时间.带 ⚒️图标的为工具URL.配合EHole(棱洞)-红队重点攻击系统指纹探测工具使用效果更佳:https://github.com/EdgeSecurityTeam/EHole此项目同步至:https://forum.ywhack.com/bountytips.php?Vulnerability一、OA系统泛微(Weaver-Ecology-OA)[2021.01.07]
Notes Ninth Day-渗透攻击-红队-打入内网
qq_34801745的博客
09-25 8114
** Notes Ninth Day-渗透攻击-红队-打入内网(dayu) ** 作者:大余 时间:2020-09-25 请注意:对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 我必须再重申一遍:务必不要做未授权测试!不要未经授权在真实网络环境中复现任何本书中描述的攻击。即使是出于好奇而不是恶意,你仍然会因未授权测试行为而陷入很多麻烦。为了个人能更好的继
Notes Sixth day-渗透攻击-红队-打入内网
qq_34801745的博客
09-22 3656
** Notes Sixth day-渗透攻击-红队-信息收集(dayu) ** 作者:大余 时间:2020-09-22 请注意:对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 我必须再重申一遍:务必不要做未授权测试!不要未经授权在真实网络环境中复现任何本书中描述的攻击。即使是出于好奇而不是恶意,你仍然会因未授权测试行为而陷入很多麻烦。为了个人能更好的继
Notes Fifteenth Day-渗透攻击-红队-内部信息搜集
热门推荐
qq_34801745的博客
10-01 1万+
** Notes Fifteenth Day-渗透攻击-红队-打入内网(dayu) ** 作者:大余 时间:2020-10-1 请注意:对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 我必须再重申一遍:务必不要做未授权测试!不要未经授权在真实网络环境中复现任何本书中描述的攻击。即使是出于好奇而不是恶意,你仍然会因未授权测试行为而陷入很多麻烦。为了个人能更
代码描述流水线-JenkinsPipeline详解
01-27
自从Jenkins2.0版本升级之后,支持了通过代码(Groovy DSL)来描述一个构建流水线,灵活方便地实现持续交付,大大提升JenkinsJob维护的效率,实现从 CI到CD到转变。而在2016JenkinsWorld大会上,Jenkins发布了1.0...
jenkins-plugin-lan-svn
07-25
本文将详细介绍"jenkins-plugin-lan-svn"这一插件,及其与Subversion(简称SVN)的结合使用,以帮助开发者更高效地管理代码版本。 标题"jenkins-plugin-lan-svn"指向的是Jenkins的一个插件,主要目的是实现本地...
code-coverage-api-plugin:Jenkins代码覆盖率API插件
05-02
特征管道支持现代化的覆盖率表覆盖趋势源代码导航管道支持中的并行执行报告合并REST API 故障条件和灵活的阈值设置其他小功能支持的覆盖率格式嵌入式的其他插件,作为Code Coverage API插件的扩展 ( ) ( ) ( )...
tomcat 400 自定义页面
skypig555的专栏
03-08 1766
操作步骤 修改%Tomcat_HOME%/conf/server.xml 在Host标签内新增如下内容: <Valve className="org.apache.catalina.valves.ErrorReportValve" showReport="false" showServerInfo="false" errorCode.400="webapps/error.html">...
根据excel批量修改文件夹及其文件名称
skypig555的专栏
09-26 595
表哥公司电脑上有一大批文件夹,用于存放一些pdf。他希望对这些文件进行整理。文件夹批量重命名为好记一些的名字,文件夹下的pdf改成的名字格式为:文件夹名+序号。例如:文件夹从“1234”,改成“案件001”,并且pdf批量改成“案件001_1.pdf”,“案件001_2.pdf”。基于上述的需求,我设计了两个程序代码。一个可以根据excel批量修改某个目录下的目录名。另一个可以查找某目录下的pdf,将其重命名为上级目录的名称+序号。
搭建jenkins一键部署java项目
最新发布
qx020814的博客
08-03 159
这里我把jenkins的主目录挂载出来了,以防jenkins宕机,重启docker以前的jenkins配置就全没了(不要问我怎么知道的,下载jenkins插件的时候,老容易宕机了,重启了好几次容器)git用于拉取仓库的代码,maven用来构建项目(后续搭建一个本地maven仓库,自己公司写的jar包只能放在公司的服务器上)最上面后续改变一下配置文件的地址,使用自己的配置文件,绑定私有的maven仓库,这样就能使用自己写的jar包了。设置pom文件地址,这是相对于项目的,不需要全局。
谷粒商城实战笔记-122~124-全文检索-ElasticSearch-分词
epitomizelu的专栏
08-03 526
为了对比效果,先使用标准的standard分词器,这个分词器是针对英文的。对于中文,standard分词器的效果非常不理想,其把中文拆分为单个汉字。安装插件后,需要重启 Elasticsearch 服务以使插件生效。当然,这个分词器也有改进的空间,这就需要配合专门的词库来进行优化了。首先,需要下载与你的 Elasticsearch 版本相匹配的。结果如下,处理中文时,IK分词器比standard要强大的多。Elasticsearch 使用的中文分词器。)是一个非常流行的中文分词器插件。使用中文ik分词器。
ks-jenkins 升级
03-14
升级ks-jenkins可以提供更好的性能、功能和安全性。 升级ks-jenkins的步骤如下: 1.备份数据:在升级之前,务必备份ks-jenkins的数据,包括配置文件、插件和构建历史等重要数据。 2.查看更新日志:在升级之前,查看...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值