У сэрвісе бесперапыннай інтэграцыі Travis CI, прызначаным для тэставання і зборкі праектаў, якія распрацоўваюцца на GitHub і Bitbucket, выяўлена праблема з бяспекай (CVE-2021-41077), якая дазваляе пазнаць змесціва канфідэнцыйных зменных асяроддзі публічных рэпазітароў, выкарыстоўвалых Travis CI. У тым ліку ўразлівасць дазваляе пазнаць выкарыстоўваныя ў Travis CI ключы для фармавання лічбавых подпісаў, ключы доступу і токены для звароту да API.
Праблема прысутнічала ў Travis CI з 3 па 10 верасня. Характэрна, што інфармацыя аб уразлівасці была перададзена распрацоўнікам 7 верасня, але ў адказ была толькі атрымана адпіска з рэкамендацыяй выкарыстоўваць ратацыю ключоў. Не атрымаўшы належнай зваротнай сувязі даследнікі звязаліся з GitHub і прапанавалі занесці Travis у чорны спіс. Праблема была ўхіленая толькі 10 верасня пасля вялікай колькасці скаргаў, якія паступілі ад розных праектаў. Пасля інцыдэнту на сайце кампаніі Travis CI была апублікаваная больш за дзіўная справаздача аб праблеме, у якім замест інфармавання аб выпраўленні ўразлівасці, утрымоўвалася толькі паказаная па-за кантэкстам рэкамендацыя цыклічна змяняць ключы доступу.
Пасля абурэння ўтойваннем звестак, выказаным некалькімі буйнымі праектамі, у форуме падтрымкі Travis CI была апублікаваная больш падрабязная справаздача, у якім папярэджвалася, што ўладальнік форка любога публічнага рэпазітара праз адпраўку pull-запыту мог ініцыяваць працэс зборкі і атрымаць неаўтарызаваны доступ да канфідэнцыйных. , якія выстаўляюцца падчас зборкі на аснове палёў з файла «.travis.yml» або вызначаным праз web-інтэрфейс Travis CI. Падобныя зменныя захоўваюцца ў зашыфраваным выглядзе і расшыфроўваюцца толькі падчас зборкі. Праблема тычылася толькі публічна даступных рэпазітараў у якіх ёсць форкі (прыватныя рэпазітары не схільныя нападу).
Крыніца: opennet.ru