تم تحديد مشكلة أمنية (CVE-2021-41077) في خدمة التكامل المستمر Travis CI ، المصممة لاختبار وبناء المشاريع المطورة على GitHub و Bitbucket ، والتي تتيح لك معرفة محتويات متغيرات البيئة السرية للمستودعات العامة باستخدام Travis CI. من بين أشياء أخرى ، تتيح لك الثغرة اكتشاف المفاتيح المستخدمة في Travis CI لإنشاء التوقيعات الرقمية ومفاتيح الوصول والرموز المميزة للوصول إلى واجهة برمجة التطبيقات.
كانت القضية موجودة في Travis CI من 3 إلى 10 سبتمبر. من الجدير بالذكر أنه تم إرسال معلومات حول الثغرة الأمنية إلى المطورين في 7 سبتمبر ، ولكن تم تلقي استجابة فقط مع توصية باستخدام تناوب المفتاح. لم يتلق الباحثون ردود فعل مناسبة ، اتصل الباحثون بـ GitHub وعرضوا على Travis القائمة السوداء. تم حل المشكلة فقط في 10 سبتمبر بعد تلقي عدد كبير من الشكاوى من مختلف المشاريع. بعد الحادث ، تم نشر تقرير مشكلة أكثر من غريب على موقع Travis CI ، والذي ، بدلاً من الإبلاغ عن إصلاح الثغرة الأمنية ، احتوى فقط على توصية خارج السياق لدورة مفاتيح الوصول.
بعد الغضب من حجب المعلومات من قبل العديد من المشاريع الكبرى ، تم نشر تقرير أكثر تفصيلاً على منتدى دعم Travis CI ، يحذر من أن مالك الشوكة في أي مستودع عام ، من خلال تقديم طلب سحب ، يمكنه بدء عملية البناء والحصول على وصول غير مصرح به إلى متغيرات البيئة السرية للمستودع الأصلي ، والتي يتم تعيينها في وقت الإنشاء بناءً على الحقول من ملف ".travis.yml" أو المحددة من خلال واجهة الويب Travis CI. يتم تخزين هذه المتغيرات في شكل مشفر ولا يتم فك تشفيرها إلا في وقت الإنشاء. أثرت المشكلة فقط على المستودعات التي يمكن الوصول إليها بشكل عام والتي تحتوي على مفترقات (لا يتم مهاجمة المستودعات الخاصة).
المصدر: opennet.ru