容器化相关问题-jenkins漏洞升级

已于 2022-04-23 11:25:41 修改
阅读量1.2k 收藏
点赞数
分类专栏: 漏洞处理 java 文章标签: java jenkins
于 2022-04-22 17:53:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangzhouisme/article/details/124351680
版权

原文地址

漏洞

  • 漏洞名
    Cloudbees Jenkins 跨站脚本漏洞(CVE-2021-21610)
  • 问题描述
    Cloudbees Jenkins(Hudson Labs)是美国CloudBees(Cloudbees)公司的一套基于Java开发的持续集成工具。该产品主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。
    Jenkins 2.274版本及之前存在跨站脚本漏洞,该漏洞源于程序没有对URL呈现作为查询参数传递的标记的格式化预览实现任何限制,攻击者可利用该漏洞获取敏感信息。以下设备或型号存在漏洞:Jenkins 2.274版本及之前、LTS 2.263.1版本及之前。
  • 修复建议
    厂商补丁:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
    https://www.jenkins.io/security/advisory/2021-01-13/#SECURITY-1452

解决方式

  • 由于镜像构建有一些特殊配置等,不像想新构建环境
  • 因此通过启动镜像,之后容器内部替换 jenkins.war(新版344地址:jenkins.war),重启,并且从容器内部把镜像导出,之后save镜像为tar文件。替换生产环境镜像。

解决过程

可以针对镜像,直接通过测试主机,或者虚拟机,只要具备docker环境即可。

  • 由于生产环境是在局域网,因此需要构建本地虚拟机环境,且需要测试,因此要具备 docker,harbor,gitlab,环境
    可参考:http://albagu.com/#/artme_go?articleId=304

  • 漏洞版本v2.7.4.5

registry.paas/dianzi/jenkins   v2.7.4.5    d6770122878f   5 years ago      515MB
  • 启动漏洞版本
docker run -d -p 8003:8080 -v /data_file/data_path/jkens_bbc/jenkins_rel_bak_20220418/jenkins:/data/jenkins -v  --name test_jenkins registry.paas/dianzi/jenkins:v2.7.4.5
  • 备份容器内jenkins.war,到主机目录,20fbab6babb2是容器id
docker cp 20fbab6babb2:/usr/share/jenkins.war  /data_file/data_path/jkens_bbc/warFileBak/jenkins.war
  • 上传新jenkins.war到 容器里面
docker cp /data_file/data_path/jkens_bbc/warFile/jenkins.war 20fbab6babb2:/usr/share
  • 重启容器
docker restart 20fbab6babb2
  • 从容器内部导出镜像
# 从容器保存为新镜像
sudo docker commit 20fbab6babb2 registry.paas/dianzi/jenkins:v2.344
  • 保存新镜像
docker save -o /data_file/data_path/jkens_bbc/jenkins_rel_bak_20220418/jenKinsImageNew_20220419/jenkins_v2.344.tar registry.paas/dianzi/jenkins:v2.344
  • 得到新镜像后,本地启动测试,根据界面提示,更新所有相关插件即可。

docker run -u root -d -p 8003:8080 -v /data_file/data_path/jkens_bbc/jenkins_rel_bak_20220418/jenkins:/data/jenkins -v /var/run/docker.sock:/var/run/docker.sock -v /data_file/data_path/jkens_bbc/jenkins_rel_bak_20220418/kube:/data/kube -v /data_file/data_path/jkens_bbc/jenkins_rel_bak_20220418/maven:/data/maven -v /data_file/data_path/jkens_bbc/jenkins_rel_bak_20220418/robot:/data/robot -v /data_file/data_path/jkens_bbc/jenkins_rel_bak_20220418/sonar:/data/sonar -v /data_file/data_path/jkens_bbc/jenkins_rel_bak_20220418/devops:/data/devops -v /data_file/data_path/jkens_bbc/jenkins_rel_bak_20220418/maven/conf:/usr/local/share/maven/conf --name test_jenkins344 registry.paas/dianzi/jenkins:v2.344
  • 把得到的镜像,上传到生产环境,把本地/data_file/data_path/jkens_bbc/jenkins_rel_bak_20220418/jenkins/*,所有文件打包部署到生产对应目录
# 压缩
tar zcvf jenkins.tar /data_file/data_path/jkens_bbc/jenkins_rel_bak_20220418/jenkins
#解压
cd /data
tar zcvf jenkins.tar
  • 启动新版镜像,即可。

遇到问题

中文问题,下载相关插件即可

参考:https://www.csdn.net/tags/MtTaIgwsOTkwNTgtYmxvZwO0O0OO0O0O.html#_Localization_Chinese_Simplified_10
https://blog.csdn.net/qq_58397358/article/details/124136307

docker.withRegistry报错 $ docker login -u admin -p ******** http://harbor.cn Cannot connect to the Docker daemon. Is the docker daemon running on this host?

  • 新版的 plugins/docker*,相关文件无法自身 docker login -u -p harbor.cn成功。需要特殊处理,让容器也有docker能力。不然登录不上,可以参考:https://blog.csdn.net/liumiaocn/article/details/93749435

  • 但是 jenkins.tar是更新后的(20220422日,最新版的),有问题,docker login不友好,不能用自身能力(旧版能力:Wrote authentication to /root/.dockercfg),此时做法是用 旧的 plugins/docker*替换新的 相关文件,这样就能继续使用。

Ernest ZZ
关注
专栏目录
CVE-2024-23897:Jenkins文件读取漏洞复现分析 [附POC]
薛定谔嘚喵博客
02-05 1181
Jenkins 有一个内置的命令行界面CLI,在处理 CLI 命令时Jenkins 使用args4j 库解析 Jenkins 控制器上的命令参数和选项。此命令解析器具有一个功能,可以将@参数中后跟文件路径的字符替换为文件内容 。
jenkins+docker集成harbor实现可持续集成
congge
04-14 1万+
jenkins+docker集成harbor实现可持续集成
artcam 9.0英文版本下载_Jenkins版本升级(修复漏洞)
weixin_39737492的博客
11-25 134
jenkins系统环境:CentOS 7.2漏洞影响:网上利用该漏洞的方式遍布,影响较大,可以获取服务器管理权限https://nosec.org/home/detail/1497.html漏洞原理:https://paper.seebug.org/295/修复漏洞升级Jenkins版本Jenkins中文文档:https://jenkins.io/zh/版本升级:需要登录Jenkins后台,到系...
Jenkins升级-- 无条件远程代码执行高危漏洞
skypig555的专栏
03-14 819
起因 早上收到阿里云的安全中心的电话,说检测到我们部分服务器使用了Jenkins,存在严重的安全漏洞。希望我们购买他们的安全防火墙,或者自己升级Jenkins。购买当然是不可能的拉。马上开始Jenkins升级。 硬货 停止之前的老版本 既然有漏洞,就先把老的版本服务停了。 安装新版本 这边我用的是docker-compose进行安装。docker和docker-compose的安装,自行百度。 v...
Jenkins未授权访问漏洞
最新发布
qq_68186313的博客
08-04 353
默认情况下 Jenkins面板中用户可以选择执行脚本界面来操作一些系统层命令,攻击者可通过未授权访问漏洞或者暴力破解用户密码等进入后台管理服务,通过脚本执行界面从而获取服务器权限。二:在打开的URL中.点击 Manage Jenkins–>Scritp Console 在执行以下命令。一、使用以下fofa语法进行产品搜索。Jenkins未授权访问漏洞
DevOps实战(8) Jenkins项目配置升级
dehuisun的专栏
08-21 378
1、 Rancher创建 PVC 工作负载 -> PVC maven缓存PVC:pvc-jenkins-maven 2、Jenkins配置Kubernetes Pod Template 名称:jenkins-slave 标签列表:jenkins-slave 用法:尽可能的使用这个节点 3、 配置Container Template 4、 配置挂载卷 5、Jenkins项目创建 创建流水线项目 pipeline脚本 #!groovy ...
基于Jenkins的DevOps流水线实践教程
DevOps持续集成的博客
04-01 3490
讲师介绍课程寄语我认为Jenkins是对我这些年运维经验的总结,起初我们运维同学都是编写脚本完成一些自动的操作。而有了Jenkins我们可以将我们的运维经验与Jenkins设计理念融...
漏洞复现-Jenkins
aming小老弟
10-03 568
渗透
jenkins.war包2.346.1版本
11-09
Jenkins 是一个开源的持续集成(CI)和持续部署(CD)工具,广泛应用于软件开发过程中,以自动构建、测试和部署任务。Jenkins.war 文件是 Jenkins 的可执行文件,它是一个Java Web 应用程序,可以在支持 Java 的...
Jenkins 2.401.3 LTS(war包)
08-14
7. **升级路径**:对于已经在使用旧版 Jenkins 的用户,2.401.3 LTS 提供了一条清晰的升级路径,可以平滑过渡到新版本,同时避免因升级导致的中断。 在实际使用中,下载的 "Jenkins 2.401.3 LTS" 压缩包将包含 ...
Jenkins-2.121.1
06-14
2. **Docker集成**:Jenkins 2.x系列强了与Docker的集成,使用户能更方便地在Docker容器中运行构建任务,实现更好的资源隔离。 3. **安全性增强**:2.121.1版本修复了一些安全漏洞,提升了系统安全性,并提供了更...
Jenkins跨站脚本漏洞
VoiceRoom的博客
03-09 809
CVE-2023-27898
Jenkins安装部署(WAR包)与更换国内源
weixin_44031870的博客
10-12 4157
Jenkins安装部署(WAR包)与更换国内源
jenkins安装(war包)
t18776050775的博客
11-29 7936
jenkins部署文档 前言: 官方:https://www.jenkins.io 下载地址:https://www.jenkins.io/download/ 官方中文文档: https://www.jenkins.io/zh/doc/ Jenkins 是什么? Jenkins是一款开源 CI&CD 软件,用于自动各种任务,包括构建、测试和部署软件。 Jenkins 支持各种运行方式,可通过系统包、Docker 或者通过一个独立的 Java 程序。 系统要求 最低推荐配置: 256MB可用内存
Jenkins环境搭建
u010225788的专栏
12-29 1235
jenkins安装
jenkins 漏洞集合 简介
热门推荐
whatday的专栏
06-04 1万+
目录 CVE-2015-8103 反序列远程代码执行 CVE-2016-0788 Jenkins CI和LTS 远程代码执行漏洞 CVE-2016-0792 低权限用户命令执行 CVE-2016-9299 代码执行 CVE-2017-1000353 Jenkins-CI 远程代码执行 CVE-2018-1000110 用户枚举 CVE-2018-1000861 远程命令执行 CVE-2018-1999002 任意文件读取 CVE-2018-1000600 Jenkins GitHub 信
Jenkins 出现严重漏洞,可导致代码执行攻击
smellycat000的专栏
03-09 1611
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士开源自动服务器 Jenkins 中存在两个严重漏洞(CVE-2023-27898和CVE-2023-27905),可导致攻击者在目标系统上执行代码。这两个漏洞影响 Jenkins 服务器和Update Center,它们被Aqua公司统称为 ‘CorePlague"。Jenkins 2.319.2之前的版本均受影响。Aqua公司在报告中指出,“...
CVE-2024-23897 JenKins任意文件读取漏洞复现
m0_70489261的博客
02-27 2057
Jenkins提供了一个命令行的接口,用户可以在下载一个命令行客户端jenkins-cli.jar到本地,并调用该客户端来执行一些Jenkins的功能。
Jenkins远程命令执行漏洞(CVE-2018-1000861)
玄道的网安博客
06-06 5582
1. 漏洞简介 Jenkins 是常见的CI/CD服务器, 最常见的就是爆破弱口令然后使用groovy执行命令 2. 影响组件 Jenkins 3. 漏洞指纹 Jenkins 4. Fofa Dork app="Jenkins" 5. 漏洞分析 这里我们是用docker快速搭建 git clone https://github.com/vulhub/vulhub.git cd /root/vulhub/jenkins/CVE-2018-1000861 docker-compose
ks-jenkins 升级
03-14
ks-jenkins是一个基于Jenkins的持续集成和持续交付平台,用于帮助开发团队实现自动构建、测试和部署。升级ks-jenkins可以提供更好的性能、功能和安全性。 升级ks-jenkins的步骤如下: 1.备份数据:在升级之前,务必备份ks-jenkins的数据,包括配置文件、插件和构建历史等重要数据。 2.查看更新日志:在升级之前,查看ks-jenkins的更新日志,了解新版本的改进和修复的bug。 3.下载新版本:从官方网站或者其他可信的渠道下载最新版本的ks-jenkins。 4.停止服务:停止当前运行的ks-jenkins服务。 5.替换文件:将下载的新版本文件替换掉旧版本的文件,包括配置文件、插件和其他相关文件。 6.启动服务:启动新版本的ks-jenkins服务,并确保服务正常运行。 7.测试功能:测试新版本的ks-jenkins是否正常工作,包括构建、测试和部署等功能。 8.恢复数据:如果一切正常,可以将备份的数据恢复到新版本的ks-jenkins中。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ernest ZZ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值