我一直rpm -q --changelog package_name在检查我的系统上是否已修补某个 cve 漏洞。然而,当我为詹金斯做同样的事情时,我得到的只是
- 2014 年 4 月 19 日星期六[电子邮件受保护]
删除了 jenkins.repo 安装。每https://issues.jenkins-ci.org/browse/JENKINS-22690
2011 年 9 月 28 日星期三[电子邮件受保护]
- 看 [http://jenkins.io/changelog]欲了解完整详情
我去网站上没有看到cve相关的信息。我运行rpm -q jenkins和yum info jenkins,都返回版本 2.73.2,这似乎表明我使用的是最新版本?这足以确保我的 Jenkins 安全吗?
谢谢。
答案1
确定软件包是否包含给定补丁取决于您获取该软件包的位置。无论变更日志内容如何,软件包(除非恢复修复错误)都将包含其声明的版本的所有修复;因此,如果您的 Jenkins RPM 显示版本为 2.73.2,则它包含 Jenkins 2.73.2 中的所有内容。除此之外,包还可以包含其他安全修复程序,这些修复程序通常会在包的更改日志中提到 - 但这通常仅适用于发行版提供的包(IE在您的情况下,软件包直接来自 CentOS,或者可能是遵循分发实践的存储库(例如 EPEL)。
然而,就您而言,我怀疑您的 Jenkins 版本相当过时(2.73.2 于 2017 年 10 月发布,您的更改日志看起来不像发行包的更改日志,因此我不希望有任何额外的安全修复)。目前的LTS Jenkins 版本是 2.150.1(比您的版本新一年多),可从Jenkins RPM 存储库。
如果您有 OpenShift,则 Red Hat 存储库中当前支持的版本为 2.138.4.1544416383。