የደኅንነት ጉዳይ (CVE-2021-41077) በ Travis CI ቀጣይነት ያለው ውህደት አገልግሎት ውስጥ ተለይቷል፣ በ GitHub እና Bitbucket ላይ የተገነቡ ፕሮጀክቶችን ለመሞከር እና ለመገንባት ታስቦ ይህም ትራቪስን በመጠቀም የህዝብ ማከማቻዎች ሚስጥራዊ የአካባቢ ተለዋዋጮች ይዘቶችን ለማወቅ ያስችላል። ሲ.አይ. ከሌሎች ነገሮች በተጨማሪ ተጋላጭነቱ በ Travis CI ውስጥ ዲጂታል ፊርማዎችን ፣ የመዳረሻ ቁልፎችን እና ኤፒአይን ለመድረስ ቶከኖችን ለማምረት የሚያገለግሉ ቁልፎችን እንዲያገኙ ያስችልዎታል።
ጉዳዩ ከሴፕቴምበር 3 እስከ 10 ባለው ጊዜ ውስጥ በ Travis CI ውስጥ ነበር. ስለ ተጋላጭነቱ መረጃ በሴፕቴምበር 7 ለገንቢዎች መላኩ ትኩረት የሚስብ ነው ፣ ግን ምላሽ ብቻ የተገኘ ቁልፍ ማሽከርከርን ለመጠቀም ከውሳኔ ሀሳብ ጋር ነው። ትክክለኛ ግብረ መልስ ባለማግኘታቸው ተመራማሪዎቹ GitHubን አነጋግረው ትራቪስን በጥቁር መዝገብ መዝገብ ውስጥ እንዲያስገባ አቅርበዋል። ከተለያዩ ፕሮጀክቶች በርካታ ቅሬታዎች ከቀረቡ በኋላ ችግሩ የተቀረፈው መስከረም 10 ቀን ብቻ ነው። ከክስተቱ በኋላ፣ በTravis CI ድህረ ገጽ ላይ እንግዳ የሆነ የችግር ሪፖርት ታትሟል፣ እሱም ስለ ተጋላጭነት መጠገኛ ከማሳወቅ ይልቅ፣ ለዑደት መዳረሻ ቁልፎች ከአውድ ወጣ ያለ ምክር ብቻ ይዟል።
በበርካታ ዋና ዋና ፕሮጀክቶች መረጃ መከልከል የተነሳውን ቁጣ ተከትሎ በትራቪስ ሲአይ የድጋፍ መድረክ ላይ የበለጠ ዝርዝር ዘገባ ተለጠፈ ፣የማንኛውም የህዝብ ማከማቻ ሹካ ባለቤት ፣የጎትት ጥያቄ በማቅረብ ፣የግንባታ ሂደቱን ሊጀምር እና ሊያገኝ እንደሚችል አስጠንቅቋል። የዋናው ማከማቻ ሚስጥራዊ የአካባቢ ተለዋዋጮች ያልተፈቀደ መዳረሻ ከ ".travis.yml" ፋይል መስኮች ላይ በመመስረት ወይም በ Travis CI ድር በይነገጽ በኩል የተገለጹ በግንባታ ጊዜ የተዘጋጀ። እንደነዚህ ያሉት ተለዋዋጮች በተመሰጠረ መልክ የተከማቹ እና የሚፈቱት በግንባታ ጊዜ ብቻ ነው። ችግሩ የነካው ሹካ ያላቸው ለህዝብ ተደራሽ የሆኑ ማከማቻዎች ብቻ ነው (የግል ማከማቻዎች ለጥቃት አይጋለጡም)።
ምንጭ: opennet.ru