Travis CI davamlı inteqrasiya xidmətində GitHub və Bitbucket-də hazırlanmış layihələri sınaqdan keçirmək və qurmaq üçün nəzərdə tutulmuş təhlükəsizlik problemi (CVE-2021-41077) müəyyən edilmişdir ki, bu da Travisdən istifadə edərək ictimai depoların məxfi mühit dəyişənlərinin məzmununu öyrənməyə imkan verir. CI. Digər şeylər arasında, zəiflik sizə Travis CI-də rəqəmsal imza yaratmaq üçün istifadə olunan açarları, API-yə daxil olmaq üçün giriş açarlarını və tokenləri tapmağa imkan verir.
Məsələ sentyabrın 3-dən 10-dək Travis CI-də mövcud idi. Maraqlıdır ki, zəiflik haqqında məlumat tərtibatçılara sentyabrın 7-də göndərilib, lakin yalnız düymələrin fırlanmasından istifadə etmək tövsiyəsi ilə cavab alınıb. Müvafiq rəy almayan tədqiqatçılar GitHub ilə əlaqə saxladılar və Travisi qara siyahıya salmağı təklif etdilər. Problem yalnız sentyabrın 10-da müxtəlif layihələrdən daxil olan çoxsaylı şikayətlərdən sonra aradan qaldırılıb. Hadisədən sonra, Travis CI veb-saytında daha qəribə problem hesabatı dərc olundu, bu hesabat zəifliyin aradan qaldırılması barədə məlumat vermək əvəzinə, giriş açarlarını dövrəyə çevirmək üçün yalnız kontekstdən kənar tövsiyəni ehtiva edir.
Bir neçə böyük layihə tərəfindən məlumatın gizlədilməsi ilə bağlı qəzəbdən sonra, Travis CI dəstək forumunda daha ətraflı hesabat yerləşdirildi və xəbərdarlıq edildi ki, hər hansı bir ictimai deponun çəngəl sahibi çəkmə sorğusu təqdim etməklə, tikinti prosesini başlada və icazəsiz giriş əldə edə bilər. ".travis.yml" faylındakı sahələr əsasında qurulma vaxtı təyin edilmiş və ya Travis CI veb interfeysi vasitəsilə müəyyən edilmiş orijinal repozitoriyanın məxfi mühit dəyişənlərinə. Bu cür dəyişənlər şifrələnmiş formada saxlanılır və yalnız qurulma zamanı şifrəsi açılır. Problem yalnız çəngəlləri olan (şəxsi depolara hücum edilmir) hamı üçün əlçatan olan depolara təsir etdi.
Mənbə: opennet.ru