更新 Jenkins 插件的问题

Question

我在 Jenkins 版本 2.176 上使用独立战争。

然后我在这里收到了插件的安全漏洞警报：https://jenkins.io/security/advisory/2020-03-09/

然后我决定更新 Jenkins，所以我下载并使用最新版本启动 Jenkins：Jenkins ver。 2.224

然后我更新了所有插件并重新启动。

但是，在监视器下，我看到两个通知。

第一个通知说：

“您有以旧格式存储的数据和/或不可读的数据。”

第二个通知说：

“已针对以下当前安装的设备发布警告 组件。”

Build Pipeline Plugin 1.5.8 Stored XSS漏洞环境 Injector Plugin 2.3.0 暴露由存储的敏感构建变量 EnvInject 1.90 及更早版本

在插件更新选项卡下，我没有找到任何列出更新的插件！！

您能否建议我如何克服这两个问题？

Answer 1

截至今天，没有新版本的易受攻击的插件可用。

The XSS Vulnerability for the Build Pipeline Plugin is only exploitable on Jenkins releases older than 2.146 or 2.138.2

对于环境注入器插件漏洞：

为防止进一步暴露敏感的构建变量，我们 如果您受到以下影响，建议您采取以下步骤 这个：

• 在 全局配置。进行此更改后，将可以访问数据 仅限那些有权访问原始 build.xml 文件的人。这是一个 可以立即应用并且可以恢复的可逆动作 清除磁盘上的数据后（如下）。
• 删除敏感数据 通过手动从磁盘中删除相应的条目 注入EnvVars.txt 文件，或删除注入的EnvVars.txt 文件 在旧的构建目录中。
• 轮换所有可能具有 被曝光

来自Security Advisory 2018-02-26