'n Sekuriteitskwessie (CVE-2021-41077) is geïdentifiseer in die Travis CI deurlopende integrasiediens, wat ontwerp is om projekte wat op GitHub en Bitbucket ontwikkel is te toets en te bou, wat jou toelaat om die inhoud van vertroulike omgewingsveranderlikes van openbare bewaarplekke met Travis uit te vind CI. Die kwesbaarheid stel jou onder meer in staat om die sleutels uit te vind wat in Travis CI gebruik word vir die generering van digitale handtekeninge, toegangsleutels en tokens vir toegang tot die API.
Die uitgawe was van 3 tot 10 September in Travis CI aanwesig. Dit is opmerklik dat inligting oor die kwesbaarheid op 7 September aan die ontwikkelaars gestuur is, maar slegs 'n reaksie is ontvang met 'n aanbeveling om sleutelrotasie te gebruik. Omdat hulle nie behoorlike terugvoer ontvang het nie, het die navorsers GitHub gekontak en aangebied om Travis op die swartlys te plaas. Die probleem is eers op 10 September opgelos ná ’n groot aantal klagtes wat van verskeie projekte ontvang is. Ná die voorval is 'n meer as vreemde probleemverslag op die Travis CI-webwerf gepubliseer, wat, in plaas daarvan om oor die kwesbaarheidsoplossing in te lig, slegs 'n buitekonteks-aanbeveling bevat het om toegangsleutels te siklus.
Na verontwaardiging oor die weerhouding van inligting deur verskeie groot projekte, is 'n meer gedetailleerde verslag op die Travis CI-ondersteuningsforum geplaas, wat waarsku dat die vurkeienaar van enige openbare bewaarplek, deur 'n trekversoek in te dien, die bouproses kan inisieer en ongemagtigde toegang kan verkry na vertroulike omgewingsveranderlikes van die oorspronklike bewaarplek, gestel op boutyd gebaseer op velde van die ".travis.yml"-lêer of gedefinieer deur die Travis CI-webkoppelvlak. Sulke veranderlikes word in geënkripteerde vorm gestoor en word eers tydens boutyd gedekripteer. Die probleem het slegs publiek toeganklike bewaarplekke geraak wat vurke het (private bewaarplekke word nie aangeval nie).
Bron: opennet.ru