作为对零日漏洞我们在11月修复,我写了以下内容:

接下来,Jenkins安全团队将在未来几必威国际有限公司周内重新审视Jenkins CLI的设计,以防止未来出现这类漏洞。如果你有兴趣参与讨论,请加入jenkinsci-dev@邮件列表。必威国际有限公司

二月初,有几个项目贡献者在FOSDEM之后会面,参加了一天的黑客马拉松.我研究了纯粹基于ssh的CLI的可行性。虽然我认为这个实验要想获得成功,它还远远没有准备好在生产环境中使用。

几周后,长期贡献者和Jenkins安全团队成员必威国际有限公司杰西•格里克接管,发布了一个新的、简单的CLI协议的详细建议

在仅仅一个月的时间里,他就实现了他的提议,我很高兴地宣布,Jenkins CLI的新实现现在已经进入了2.54版!必威国际有限公司

现有的必威国际有限公司jenkins-cli.jar客户端应继续像以前一样工作,除非管理员禁用远程连接模式配置全球安全.也就是说,我们建议你下载新的必威国际有限公司jenkins-cli.jar在詹金必威国际有限公司斯,并使用它的新http模式。CLI命令的工作方式与以前一样,很少有例外(现在已弃用)。这将允许您在Jenkins控制器上禁用CLI的远程模式,以防止将来出现类似的漏洞。必威国际有限公司

基于ssh的CLI使用不应受此更改的影响。注意,新的Jenkins实例必威国际有限公司现在在启动时禁用了SSH服务器端口,并将其配置选项移到了原来的位置配置全球安全

您可以了解有关CLI及其新行为的所有信息詹金斯手必威国际有限公司册

关于作者
丹尼尔·贝克

丹尼尔是詹金斯的核心维护必威国际有限公司人员,作为安全官员,领导必威国际有限公司詹金斯安全团队.他有时为开发人员文档和项目基础架构做出贡献。