Беше идентифициран проблем със сигурността (CVE-2021-41077) в услугата за непрекъсната интеграция на Travis CI, предназначена за тестване и изграждане на проекти, разработени на GitHub и Bitbucket, която ви позволява да откриете съдържанието на поверителни променливи на средата на публични хранилища с помощта на Travis CI. Освен всичко друго, уязвимостта ви позволява да откриете ключовете, използвани в Travis CI за генериране на цифрови подписи, ключове за достъп и токени за достъп до API.
Въпросът беше представен в Travis CI от 3 до 10 септември. Трябва да се отбележи, че информацията за уязвимостта беше изпратена на разработчиците на 7 септември, но беше получен само отговор с препоръка за използване на ротация на ключове. Не получавайки правилна обратна връзка, изследователите се свързват с GitHub и предлагат Travis да бъде включен в черния списък. Проблемът беше отстранен едва на 10 септември след голям брой оплаквания, получени от различни проекти. След инцидента на уебсайта на Travis CI беше публикуван повече от странен доклад за проблем, който вместо да информира за отстраняването на уязвимостта, съдържаше само препоръка извън контекста за циклични ключове за достъп.
След възмущение от укриването на информация от няколко големи проекта, по-подробен доклад беше публикуван във форума за поддръжка на Travis CI, предупреждаващ, че собственикът на разклонение на всяко публично хранилище, като изпрати заявка за изтегляне, може да инициира процеса на изграждане и да спечели неоторизиран достъп до поверителни променливи на средата на оригиналното хранилище, зададени по време на изграждане въз основа на полета от файла ".travis.yml" или дефинирани чрез уеб интерфейса на Travis CI. Такива променливи се съхраняват в криптирана форма и се дешифрират само по време на изграждане. Проблемът засяга само публично достъпни хранилища, които имат разклонения (частните хранилища не са обект на атака).
Източник: opennet.ru