Проблемы обновления плагинов Jenkins

Question

Я был на Jenkins версии 2.176 с использованием автономной войны.

Затем я получил предупреждение об уязвимости безопасности для плагинов: https://jenkins.io/security/advisory/2020-03-09/

Затем я решил обновить Jenkins, поэтому я скачал и запустил Jenkins с последней версией: Jenkins ver. 2.224

Затем я обновил все плагины и перезапустил.

Однако под мониторами я вижу два уведомления.

Первое уведомление гласит:

"У вас есть данные, сохраненные в более старом формате и / или нечитаемые данные."

Второе уведомление гласит:

"Предупреждения были опубликованы для следующих установленных в настоящее время компонентов."

Построить подключаемый модуль конвейера 1.5.8 Сохранено XSS уязвимость Environment Injector Plugin 2.3.0 Использование уязвимых переменных сборки, хранящихся в EnvInject 1.90 и более ранних версиях

На вкладке обновления плагина я не надеваю Не найдены плагины для обновления !!

Подскажите, пожалуйста, как я могу преодолеть обе эти проблемы?

Answer 1

На сегодняшний день нет новых версий уязвимых плагинов.

Уязвимость XSS для подключаемого модуля сборки конвейера доступна только для версий Jenkins старше 2.146 или 2.138.2

Для уязвимости подключаемого модуля инжектора среды:

Чтобы предотвратить дальнейшее раскрытие чувствительных переменных сборки, мы рекомендуем предпринять следующие шаги, если на вас это повлияет:

• Отключите визуализацию переменных Injected Environment в глобальной конфигурации , После этого изменения данные будут доступны только тем, у кого есть доступ к файлам raw build. xml. Это обратимое действие, которое может быть применено немедленно и может быть отменено после очистки данных на диске (ниже).
• Удалите конфиденциальные данные с диска, вручную удалив соответствующие записи из файлов injectedEnvVars.txt или удалив файлы injectedEnvVars.txt в старых каталогах сборки.
• Поворот всех потенциально раскрытых секретов

из Рекомендации по безопасности 2018-02-26