Jenkins 升级 (CVE-2017-1000353 )
2017-06-02 by dongnan
问题描述
Jenkins CVE-2017-1000353 Java反序列化远程代码执行漏洞
Jenkins 官方发布安全公告,公告介绍Jenkins版本中存在Java反序列化高危漏洞,可以导致远程代码执行。
所有Jenkins主版本均受到影响(包括2.56版本) 所有Jenkins LTS 均受到影响( 包括2.46.1版本)
详细参见: Jenkins Security Advisory 2017-04-26
解决办法
Jenkins 已经在新版本中修复漏洞,升级到最新版本即可。
操作步骤
升级步骤非常简单,先备份下旧版本 jenkins 程序,将新版本 jenkins.war 包放到 tomcat ,最后重启 tomcat 即可。
停止 tomcat
shutdown.sh
# ...省略
Using CLASSPATH: /usr/local/tomcat/bin/bootstrap.jar:/usr/local/tomcat/bin/tomcat-juli.jar
备份数据
mv /usr/local/tomcat/webapps/jenkins* /tmp/jenkins-backup/
拷贝新版本
cp 2.46.2/jenkins.war /usr/local/tomcat/webapps/
启动 tomcat
startup.sh
# ...省略
Tomcat started.
后续,使用浏览器访问,jenkins 首页右下角有新的版本号,验证 jenkins 工作正常后,可以删除备份数据。