本公告公布了以下Jenkins交付物中的漏洞:必威国际有限公司
必威国际有限公司Jenkins捆绑了Winstone Jetty(Jetty的包装器),在开始使用时充当HTTP和servlet服务器java-jar-j必威国际有限公司enkins.war. 这是Jenkins在使用必威国际有限公司任何安装程序或软件包时的运行方式,而不是在使用诸如Tomcat之类的servlet容器时的运行方式。
必威国际有限公司Jenkins 2.285及更早版本、LTS 2.277.2及更早版本捆绑Jetty 9.4.38或更早版本,具有多个安全漏洞,包括CVE-2021-28165. 如果Winstone Jetty配置为处理SSL/TLS连接,则此漏洞可能允许未经验证的攻击者造成拒绝服务。
必威国际有限公司Jenkins LTS 2.277.3将捆绑码头更新为9.4.39。Jetty之前已在2.286每周版本中更新为9.4.39。
这些版本包括对上述漏洞的修复。除非另有说明,否则所有以前的版本都被视为受到这些漏洞的影响。