Description
Подсистема безопасности "Агент-контроллер" ограничивает, к каким файлам на контроллере Jenkins могут получить доступ процессы агента.Многочисленные уязвимости в реализации фильтрации путей к файлам в Jenkins 2.318 и более ранних версиях, LTS 2.303.2 и более ранних версиях позволяют процессам-агентам считывать и записывать произвольные файлы в файловой системе контроллера Jenkins и получать некоторую информацию о файловых системах контроллера Jenkins.SECURITY-2444 / CVE-2021-21686: Фильтры путей к файлам не канонизируют пути, позволяя операциям переходить по символическим ссылкам во внешние разрешенные каталоги.Мы ожидаем, что большинство из этих уязвимостей присутствовали с тех пор, как [ПРОБЛЕМА БЕЗОПАСНОСТИ-144 была рассмотрена в рекомендации по безопасности 2014-10-30](https://www.jenkins.io/security/advisory/2014-10-30 /).Jenkins 2.319, LTS 2.303.3 устраняют эти уязвимости в системе безопасности.БЕЗОПАСНОСТЬ-2444 / CVE-2021-21686: Фильтры путей к файлам канонизируют пути, предотвращая переход операций по символическим ссылкам во внешние разрешенные каталоги.Поскольку некоторые распространенные операции теперь вновь подпадают под контроль доступа, ожидается, что плагины, отправляющие команды от агентов контроллеру, могут начать сбоить. Кроме того, недавно введенная канонизация пути означает, что экземпляры, использующие пользовательский каталог сборок ([Системное свойство Java jenkins.model.Jenkins.buildsDir](https://www.jenkins.io/doc/book/managing/system-properties/#jenkins-model-jenkins-buildsdir) ) или разбиение на разделы `JENKINS_HOME` с использованием символических ссылок может привести к сбою проверки контроля доступа. Смотрите [на documentation](https://www.jenkins.io/doc/book/security/controller-isolation/agent-to-controller/#file-access-rules ) о том, как настроить конфигурацию в случае возникновения проблем.Если вы не можете немедленно перейти на Jenkins 2.319, LTS 2.303.3, вы можете установить [Плагин для удаленного обхода безопасности](https://www.jenkins.io/redirect/remoting-security-workaround /). Это предотвратит весь доступ агента к файлам контроллера с использованием API `FilePath`. Поскольку он более ограничительный, чем Jenkins 2.319, LTS 2.303.3, с ним несовместимо больше плагинов. Обязательно ознакомьтесь с документацией к плагину перед его установкой.