跳转至

Jenkins 升级 (CVE-2017-1000353 )


2017-06-02 by dongnan

问题描述

Jenkins CVE-2017-1000353 Java反序列化远程代码执行漏洞

Jenkins 官方发布安全公告,公告介绍Jenkins版本中存在Java反序列化高危漏洞,可以导致远程代码执行

所有Jenkins主版本均受到影响(包括2.56版本) 所有Jenkins LTS 均受到影响( 包括2.46.1版本)

详细参见: Jenkins Security Advisory 2017-04-26

解决办法

Jenkins 已经在新版本中修复漏洞,升级到最新版本即可。

操作步骤

升级步骤非常简单,先备份下旧版本 jenkins 程序,将新版本 jenkins.war 包放到 tomcat ,最后重启 tomcat 即可。

停止 tomcat

shutdown.sh
# ...省略
Using CLASSPATH:       /usr/local/tomcat/bin/bootstrap.jar:/usr/local/tomcat/bin/tomcat-juli.jar

备份数据

mv /usr/local/tomcat/webapps/jenkins* /tmp/jenkins-backup/

拷贝新版本

cp 2.46.2/jenkins.war /usr/local/tomcat/webapps/

启动 tomcat

startup.sh
# ...省略
Tomcat started.

后续,使用浏览器访问,jenkins 首页右下角有新的版本号,验证 jenkins 工作正常后,可以删除备份数据。

参考

如何部署使用jenkins ?

回到页面顶部