<div dir="ltr">I took a look at the groovy script idea. I think it might work but would be a bit more involved than the example. It seems Jenkins.instance.pluginManager.plugins simply prints a list of all plugins without their details like version etc...<div><br></div><div>Regards,</div><div>Thanh</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 14 June 2016 at 20:11, Zaro <span dir="ltr"><<a href="mailto:zaro0508@gmail.com" target="_blank">zaro0508@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Thanks for the clarification Andrew.  I almost thought you guys knew<br>
something that upstream Jenkins didn't ; )  I am able to repro with<br>
ver 1.651.2.  I agree with Thanh, the correct fix is to add a new ACLs<br>
to jenkins security plugin to allow retrieving plugin info.  I've<br>
reviewed Thanh's workaround and it seems ok to me.  The other possible<br>
workaround you might consider is to create a user with 'Read' and<br>
'RunScripts' access which would allow running a groovy script [1] to<br>
get the plugin info.<br>
<br>
[1] <a href="https://python-jenkins.readthedocs.io/en/latest/api.html#jenkins.Jenkins.run_script" rel="noreferrer" target="_blank">https://python-jenkins.readthedocs.io/en/latest/api.html#jenkins.Jenkins.run_script</a><br>
<div class="HOEnZb"><div class="h5"><br>
<br>
On Tue, Jun 14, 2016 at 12:44 PM, Andrew Grimberg<br>
<<a href="mailto:agrimberg@linuxfoundation.org">agrimberg@linuxfoundation.org</a>> wrote:<br>
> On 06/14/2016 12:18 PM, Zaro wrote:<br>
>> ahh, <a href="http://jenkins.io" rel="noreferrer" target="_blank">jenkins.io</a> page confused me since it says latest LTS is 1.651.3<br>
>><br>
>><br>
>> On Tue, Jun 14, 2016 at 12:13 PM, Darragh Bailey<br>
>> <<a href="mailto:daragh.bailey@gmail.com">daragh.bailey@gmail.com</a>> wrote:<br>
>>> The 1.652.x series is an lts  release, so fixes were backported to it  that<br>
>>> are not in subsequent dev releases.<br>
>>><br>
>>> Darragh Bailey<br>
>>> "Nothing is foolproof to a sufficiently talented fool" - unknown<br>
>>><br>
>>> On 14 Jun 2016 20:02, "Zaro" <<a href="mailto:zaro0508@gmail.com">zaro0508@gmail.com</a>> wrote:<br>
>>>><br>
>>>> ----- [ snippet ] ------------<br>
>>>>><br>
>>>>> The behavior changed between 1.651.1 and 1.652.2.<br>
>>>>><br>
>>>>> Specifically this was a security fix that came in with 1.652.2. See the<br>
>>>>> security fixes [0] that came with the release notes. Search for<br>
>>>>> SECURITY-250 or CVE-2016-3723.<br>
>>>>><br>
>>>>> -Andy-<br>
>>>>><br>
>>>>> [0]<br>
>>>>><br>
>>>>> <a href="https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2016-05-11" rel="noreferrer" target="_blank">https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2016-05-11</a><br>
>>>><br>
>>>> Hmm.  I just tested with Jenkins ver 1.653 and was still able to<br>
>>>> access plugin info using REST api as an anonymous user.<br>
>>>> I enabled security with following settings:<br>
>>>>  * jenkins own db<br>
>>>>  * logged-in user can do anything<br>
>>>>  * prevent cross site request<br>
>>>><br>
>>>> While not logged in I can get plugin info using<br>
>>>> '<jenkins-baseurl>/pluginManager/api/json?depth=1'<br>
>>>><br>
>>>> Maybe this there's some setting you have enabled that's causing your<br>
>>>> jenkins to require admin to access plugin info?<br>
><br>
> LTS is 1.651.x. My missive about the change being between 1.651.1 and<br>
> 1.652.2 is incorrect. It's 1.651.1 and 1.651.2 that the security lock<br>
> down occurred.<br>
><br>
> As for what we have enabled in the security system. We use the matrix<br>
> security setup.<br>
><br>
> Our JJB user is granted rights inside the job category. To be specific:<br>
><br>
> Job: Configure, Create, Delete, Discover, Read, Workspace<br>
> Overall: Read<br>
><br>
> There is no configuration option for listing the plugins. You only get<br>
> access to it if you have Overall: Administer with the changes that came<br>
> in with 1.651.2 unless there's a permission knob under the covers we<br>
> haven't managed to figure out yet.<br>
><br>
> -Andy-<br>
><br>
> --<br>
> Andrew J Grimberg<br>
> Systems Administrator<br>
> Release Engineering Team Lead<br>
> The Linux Foundation<br>
><br>
</div></div></blockquote></div><br></div>