FROM jenkins/jenkins:2.263.4-lts
USER root
RUN apt-get update && \
apt-get install -y --no-install-recommends subversion
USER jenkins
RUN jenkins-plugin-cli --plugins subversion:2.14.0每个部分涵盖了从之前的 LTS 版本升级,2.263.1 的部分涵盖了自 2.249.3 以来的升级。
Jenkins 2.263.4 Docker 镜像标签为 jenkins/jenkins:2.263.4-lts 和 jenkins/jenkins:2.263.4,同时 jenkins/jenkins:lts 使用 AdoptOpenJDK 8u282 版本替代了之前镜像中使用的 OpenJDK 8u242 版本。
这些镜像也使用 Debian 10 ("Buster") 版本替代了之前镜像中使用的 Debian 9 ("Stretch") 。
关于变更更详尽的说明请查阅 博客文章。
从 Debian 9 到 Debian 10 的更改从基础 Docker 镜像中删除了几个软件包。
subversion、mercurial、bzr 和 python 包已经从基础镜像以及其他软件包中移除。
依赖于特定操作系统软件包的 Jenkins 安装的 Dockerfile 定义可能需要更新以使用 Jenkins 2.263.4 及更高版本
下面提供了示例 Dockerfile 定义:
以下 Docker 镜像定义将 Jenkins 2.263.4 与 subversion 插件和操作系统 subversion 软件包一起使用:
FROM jenkins/jenkins:2.263.4-lts
USER root
RUN apt-get update && \
apt-get install -y --no-install-recommends subversion
USER jenkins
RUN jenkins-plugin-cli --plugins subversion:2.14.0以下 Docker 镜像定义将 Jenkins 2.263.4 与 mercurial 插件和操作系统 mercurial 软件包一起使用:
FROM jenkins/jenkins:2.263.4
USER root
RUN apt-get update && \
apt-get install -y --no-install-recommends mercurial
USER jenkins
RUN jenkins-plugin-cli --plugins mercurial:2.12以下 Docker 镜像定义将 Jenkins 2.263.4 与 bazaar 插件和操作系统 bzr 软件包一起使用:
FROM jenkins/jenkins:2.263.4-lts
USER root
RUN apt-get update && \
apt-get install -y --no-install-recommends bzr
USER jenkins
RUN jenkins-plugin-cli --plugins bazaar:1.22以下 Docker 镜像定义将 Jenkins 2.263.4 与操作系统 python3 安装包(自 2020 年 1 月 Python 2 支持终止)一起使用:
FROM jenkins/jenkins:2.263.4
USER root
RUN apt-get update && \
apt-get install -y --no-install-recommends python3
USER jenkins如果您的 Jenkins 安装需要其他操作系统软件包(例如 bzip2 或某些库),则可以使用 apt-get install 命令从 Dockerfile 安装这些软件包。
经典 Jenkins UI 上的目录浏览器不再支持符号链接。 尽管它们可能仍存在于磁盘上,并且将通过(发布)构建步骤进行归档,但它们将不再出现在 Web UI 上。
如果依赖以前的行为,则可以通过设置 Java 系统属性 hudson.model.DirectoryBrowserSupport.allowSymlinkEscape 为 true 来禁用此安全修复。
强烈建议不要这样做。
旧数据监控器将不再报告用户提交的配置数据(例如来自 POST config.xml 的请求)。
请注意,与无效的配置数据提交有关的错误消息已经记录在记录器 hudson.util.RobustReflectionConverter 中的 ` FINE` 级别,并且您不需要“旧数据监视器”来解决配置提交问题。
请 查看日志。
如果依赖以前的行为,可以使用下述的 Java 系统属性 来禁用部分或全部此项修复:
hudson.util.RobustReflectionConverter.recordFailuresForAllAuthentications 将完全禁用附加保护。
这样做不安全,强烈建议不要这样做。
hudson.util.RobustReflectionConverter.recordFailuresForAdmins 将记录具有“全局/管理”权限的用户提交的无效数据。
Jenkins 2.275 和 LTS 2.263.2 中的安全修复纠正了一项检查,该检查确定用户是否应在_没有_“全局/读取”权限的情况下访问 Jenkins 中的 URL。
虽然我们不希望这会引起问题,Java 系统属性 jenkins.model.Jenkins.additionalReadablePaths 可用于添加应始终可访问的其他 URL。
例如, 如果 /loginFoo/ 和 /loginBar/ URL 存在于你的 Jenkins 实例中,并且在此项修复之前是可以访问的,现在也需要可以被访问,设置 jenkins.model.Jenkins.additionalReadablePaths 为 loginFoo,loginBar。
引入此类 URL 并期望没有“全局/读取”权限的用户可以访问的所有插件都应进行更改,例如来实现 UnprotectedRootAction 而不是 RootAction。
|
Jenkins 2.275 和 LTS 2.263.2 中的安全修复限制了如何访问标记格式化预览 URL,并限制了如何呈现其输出。
如果您在使用标记格式化预览时遇到问题,请确保没有发送 GET 请求,并且不要独立呈现这些页面。
可以通过设置 Java 系统属性 来禁用附加的防护措施:
hudson.markup.MarkupFormatter.previewsAllowGET 设置为 true,这样标记格式化预览 URL 可以通过 GET 访问,而不仅限于 POST。
hudson.markup.MarkupFormatter.previewsSetCSP 设置为 false 在标记格式化预览 URL 的响应上不设置限制性的 Content-Security-Policy 标头。
强烈建议不要这样做,尤其是如果您使用允许输出包含不安全的内容标记格式化程序(例如 JavaScript)。
Jenkins 2.275 和 LTS 2.263.2 中的安全修复限制了 Jenkins 绘制的各种图形的最大尺寸。 现在默认允许大小为 1000 万像素(例如 4000 x 2500),如果请求更大的尺寸,它将呈现默认尺寸。
通过设置 Java 系统属性 hudson.util.Graph.maxArea 为所需大小来改变这个限制。
除了上面列出的安全修复之外,Jenkins 的多项功能还获得了安全改进,这些改进不被视为修复程序。
现在,使用标准 Jenkins API 实现的表单验证会在响应上设置限制性的 Content-Security-Policy 标头。
这将防止表单验证响应中的跨站点脚本漏洞被利用为反射型 XSS。
| 这并_不_意味着这些漏洞不再是问题,利用将变得更加困难,例如,它们可能需要额外的权限才能设置。 |
如果有问题,可以通过设置 Java 系统属性 hudson.util.FormValidation.applyContentSecurityPolicyHeaders 为 `false`来禁用此项增强。
Jenkins 从 Apache Commons 项目提供了对 Digester 的稍微修改的实现,称为 hudson.util.Digester2。
它在许多插件中用作解析简单 XML 文件的简便方法。
从 Jenkins 2.275 和 LTS 2.263.2 开始,Digester2 将默认禁用 XML 外部实体(XXE)处理。
插件维护者可以通过使用新的构造函数重载来选择退出该保护。
如果有问题,管理员可以通过设置 Java 系统属性 hudson.util.Digester2.UNSAFE 为 true 来禁用此项增强。
由于这是一个全局选项,因此不能由插件设置,并且需要注意的是仅在适当的时候进行设置。
Jenkins 允许使用标签来连接任务及其可以在其上运行的代理。 除非保存其配置,否则仅在内存中创建标签。
从 Jenkins 2.275 和 LTS 2.263.2 开始,无法保存带有不安全名称的标签的配置。 给定标签在磁盘上的存储方式,某些标签名称将允许覆盖不相关的配置文件。
需要“全局/管理”权限去保存标签配置,并且具有该权限的用户可以使用脚本控制台并始终访问 Jenkins 控制器文件系统,这不被视为安全漏洞。
如果有问题,管理员可以通过设置 Java 系统属性 hudson.model.LabelAtom.allowFolderTraversal 为 true 来禁用此项增强。
Jenkins SSHD 模块 已在此版本中升级。 默认情况下,升级会禁用不推荐使用的密钥交换算法和不推荐使用的 MAC 算法。
如果管理员需要一种或多种不推荐使用的算法,则可以使用系统属性启用。 请注意,通常认为这些系统属性不受支持,并且可以随时删除。
org.jenkinsci.main.modules.sshd.SSHD.excludedKeyExchanges 是用逗号分隔的要禁用的密钥交换算法字符串。
默认情况下,这将禁用基于SHA-1的算法,因为它们不再被认为是安全的。
使用空字符串禁用任何算法。
可以使用日志在 FINE 级别上初始化期间的 org.jenkinsci.main.modules.sshd.SSHD 来查看受支持、已启用和已禁用算法的名称。
org.jenkinsci.main.modules.sshd.SSHD.excludedMacs 是用逗号分隔的要禁用的 HMAC 算法字符串。
默认情况下,这将禁用 MD5 和基于 SHA-1 的截断算法,因为它们不再被认为是安全的。
使用空字符串禁用任何算法。
可以使用日志在 FINE 级别上初始化期间的 org.jenkinsci.main.modules.sshd.SSHD 查看受支持、已启用和已禁用算法的名称。