
<div dir="ltr">I took a look at the groovy script idea. I think it might work but would be a bit more involved than the example. It seems Jenkins.instance.pluginManager.plugins simply prints a list of all plugins without their details like version etc...<div><br></div><div>Regards,</div><div>Thanh</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 14 June 2016 at 20:11, Zaro <span dir="ltr"><<a href="mailto:zaro0508@gmail.com" target="_blank">zaro0508@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Thanks for the clarification Andrew.  I almost thought you guys knew<br>

something that upstream Jenkins didn't ; )  I am able to repro with<br>

ver 1.651.2.  I agree with Thanh, the correct fix is to add a new ACLs<br>

to jenkins security plugin to allow retrieving plugin info.  I've<br>

reviewed Thanh's workaround and it seems ok to me.  The other possible<br>

workaround you might consider is to create a user with 'Read' and<br>

'RunScripts' access which would allow running a groovy script [1] to<br>

get the plugin info.<br>

<br>

[1] <a href="https://python-jenkins.readthedocs.io/en/latest/api.html#jenkins.Jenkins.run_script" rel="noreferrer" target="_blank">https://python-jenkins.readthedocs.io/en/latest/api.html#jenkins.Jenkins.run_script</a><br>

<div class="HOEnZb"><div class="h5"><br>

<br>

On Tue, Jun 14, 2016 at 12:44 PM, Andrew Grimberg<br>

<<a href="mailto:agrimberg@linuxfoundation.org">agrimberg@linuxfoundation.org</a>> wrote:<br>

> On 06/14/2016 12:18 PM, Zaro wrote:<br>

>> ahh, <a href="http://jenkins.io" rel="noreferrer" target="_blank">jenkins.io</a> page confused me since it says latest LTS is 1.651.3<br>

>><br>

>><br>

>> On Tue, Jun 14, 2016 at 12:13 PM, Darragh Bailey<br>

>> <<a href="mailto:daragh.bailey@gmail.com">daragh.bailey@gmail.com</a>> wrote:<br>

>>> The 1.652.x series is an lts  release, so fixes were backported to it  that<br>

>>> are not in subsequent dev releases.<br>

>>><br>

>>> Darragh Bailey<br>

>>> "Nothing is foolproof to a sufficiently talented fool" - unknown<br>

>>><br>

>>> On 14 Jun 2016 20:02, "Zaro" <<a href="mailto:zaro0508@gmail.com">zaro0508@gmail.com</a>> wrote:<br>

>>>><br>

>>>> ----- [ snippet ] ------------<br>

>>>>><br>

>>>>> The behavior changed between 1.651.1 and 1.652.2.<br>

>>>>><br>

>>>>> Specifically this was a security fix that came in with 1.652.2. See the<br>

>>>>> security fixes [0] that came with the release notes. Search for<br>

>>>>> SECURITY-250 or CVE-2016-3723.<br>

>>>>><br>

>>>>> -Andy-<br>

>>>>><br>

>>>>> [0]<br>

>>>>><br>

>>>>> <a href="https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2016-05-11" rel="noreferrer" target="_blank">https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2016-05-11</a><br>

>>>><br>

>>>> Hmm.  I just tested with Jenkins ver 1.653 and was still able to<br>

>>>> access plugin info using REST api as an anonymous user.<br>

>>>> I enabled security with following settings:<br>

>>>>  * jenkins own db<br>

>>>>  * logged-in user can do anything<br>

>>>>  * prevent cross site request<br>

>>>><br>

>>>> While not logged in I can get plugin info using<br>

>>>> '<jenkins-baseurl>/pluginManager/api/json?depth=1'<br>

>>>><br>

>>>> Maybe this there's some setting you have enabled that's causing your<br>

>>>> jenkins to require admin to access plugin info?<br>

><br>

> LTS is 1.651.x. My missive about the change being between 1.651.1 and<br>

> 1.652.2 is incorrect. It's 1.651.1 and 1.651.2 that the security lock<br>

> down occurred.<br>

><br>

> As for what we have enabled in the security system. We use the matrix<br>

> security setup.<br>

><br>

> Our JJB user is granted rights inside the job category. To be specific:<br>

><br>

> Job: Configure, Create, Delete, Discover, Read, Workspace<br>

> Overall: Read<br>

><br>

> There is no configuration option for listing the plugins. You only get<br>

> access to it if you have Overall: Administer with the changes that came<br>

> in with 1.651.2 unless there's a permission knob under the covers we<br>

> haven't managed to figure out yet.<br>

><br>

> -Andy-<br>

><br>

> --<br>

> Andrew J Grimberg<br>

> Systems Administrator<br>

> Release Engineering Team Lead<br>

> The Linux Foundation<br>

><br>

</div></div></blockquote></div><br></div>