Sigurnosni problem (CVE-2021-41077) je identificiran u Travis CI servisu kontinuirane integracije za testiranje i izgradnju projekata razvijenih na GitHub i Bitbucket, koji vam omogućava da saznate sadržaj povjerljivih varijabli okruženja javnih spremišta koristeći Travis CI. Između ostalog, ranjivost vam omogućava da saznate ključeve koji se koriste u Travis CI za generiranje digitalnih potpisa, pristupnih ključeva i tokena za pristup API-ju.
Problem je bio prisutan u Travis CI od 3. do 10. septembra. Važno je napomenuti da su informacije o ranjivosti poslane programerima 7. septembra, ali je stigao samo odgovor sa preporukom da se koristi rotacija ključeva. Ne dobivši odgovarajuće povratne informacije, istraživači su kontaktirali GitHub i ponudili da Travisa stavi na crnu listu. Problem je otklonjen tek 10. septembra nakon velikog broja pritužbi raznih projekata. Nakon incidenta, na web stranici Travis CI objavljen je više nego čudan izvještaj o problemu, koji je, umjesto obavještavanja o popravci ranjivosti, sadržavao samo preporuku van konteksta da se pristupni ključevi cikliraju.
Nakon negodovanja zbog uskraćivanja informacija od strane nekoliko velikih projekata, na forumu podrške Travis CI postavljen je detaljniji izvještaj, u kojem se upozorava da bi vlasnik fork-a bilo kojeg javnog spremišta, podnošenjem zahtjeva za povlačenjem, mogao pokrenuti proces izgradnje i dobiti neovlašteni pristup povjerljivim varijablama okruženja originalnog spremišta, postavljenim u vrijeme izgradnje na osnovu polja iz datoteke ".travis.yml" ili definiranim putem Travis CI web sučelja. Takve varijable se pohranjuju u šifriranom obliku i dešifriraju se samo u vrijeme izgradnje. Problem je uticao samo na javno dostupna spremišta koja imaju viljuške (privatna spremišta nisu predmet napada).
izvor: opennet.ru