Jenkins 安全修復 SECURITY-626 的緊急通知

🚀 普通用戶

檢查你的 Jenkins 版本，界面上是否有 SECURITY-626 相關的安全漏洞提醒。如果有的話，建議準備升級。尤其是對於 Jenkins 運行在公有云環境中的用戶。後文，您可以選擇性閱讀。

📝 開發者（或將 Jenkins 作爲 CI/CD 工具集成的廠商、用戶）

仔細閱讀下面的內容，並根據具體情況做響應的調整。

默認情況下，Jenkins 中的 CSRF Token 只對認證信息以及 IP 地址進行校驗。這就導致了一個潛在的安全漏洞，攻擊者可以利用另外一個用戶的 CSRF Token 進行攻擊，而且只要受害者的 IP 地址保持不變，就可以一直有效。

從 Jenkins 2.176.2 開始，CSRF Token 還會檢查 Web Session ID 以確保他們是來自於同一個會話。當會話失效後，對應的 Token 也會不可用。

因此，默認情況下，通過 /crumbIssuer/api 這個 API 獲取的 Token 將會無法使用。除非，這些 Token 能關聯到同一個會話上。

👻 解決方案

1. 安裝插件 Strict Crumb Issuer Plugin 後，自定義 Crumb 校驗規則
2. 禁用新特性，設置系統屬性 hudson.security.csrf.DefaultCrumbIssuer.EXCLUDE_SESSION_ID 爲 true

🐛 案例與參考資料

KubeSphere 對於開源平臺 KubeSphere 的用戶來說，已經不用擔心這個問題，社區已經在 ks-jenkins 這個項目中修復了這個問題。

更多參考資料：

https://www.jenkins.io/doc/upgrade-guide/2.176/#SECURITY-626 https://github.com/kubesphere/kubesphere/issues/3209 https://github.com/kubesphere/ks-jenkins/

更多精彩文章/視頻，掃描下方二維碼關注Jenkins 中文社區獲取。

- END -

Jenkins 完全系列視頻教程製作組招募

Jenkins系列視頻～Kubernetes中運行Jenkins

Jenkins系列視頻～命令行直接啓動 Jenkins

Jenkins系列視頻～Docker容器中運行Jenkins

在 Jenkins 中運行 Selenium 自動化測試

Jenkins系列視頻～節點標籤的使用

本文分享自微信公衆號 - Jenkins（Jenkins-Community）。
如有侵權，請聯繫 [email protected] 刪除。
本文參與“OSC源創計劃”，歡迎正在閱讀的你也加入，一起分享。