S'ha identificat un problema de seguretat (CVE-2021-41077) al servei d'integració contínua de Travis CI, dissenyat per provar i construir projectes desenvolupats a GitHub i Bitbucket, que permet conèixer el contingut de les variables d'entorn confidencials dels repositoris públics utilitzant Travis. CI. Entre altres coses, la vulnerabilitat permet conèixer les claus utilitzades a Travis CI per generar signatures digitals, claus d'accés i testimonis per accedir a l'API.
El tema va estar present a Travis CI del 3 al 10 de setembre. Cal destacar que la informació sobre la vulnerabilitat es va enviar als desenvolupadors el 7 de setembre, però només es va rebre una resposta amb una recomanació d'utilitzar la rotació de claus. No rebent els comentaris adequats, els investigadors van contactar amb GitHub i es van oferir a la llista negra de Travis. El problema es va solucionar només el 10 de setembre després d'un gran nombre de queixes rebudes de diversos projectes. Després de l'incident, es va publicar un informe de problemes més que estrany al lloc web de Travis CI, que, en comptes d'informar sobre la correcció de la vulnerabilitat, només contenia una recomanació fora de context per ciclar les claus d'accés.
Després de la indignació per la retenció d'informació per part de diversos projectes importants, es va publicar un informe més detallat al fòrum de suport de Travis CI, advertint que el propietari d'una bifurcació de qualsevol dipòsit públic, enviant una sol·licitud d'extracció, podria iniciar el procés de creació i guanyar accés no autoritzat a variables d'entorn confidencials del dipòsit original , establertes en el moment de la creació en funció dels camps del fitxer ".travis.yml" o definits a través de la interfície web de Travis CI. Aquestes variables s'emmagatzemen en forma xifrada i només es desxifren en el moment de la creació. El problema només va afectar els dipòsits d'accés públic que tenen bifurcacions (els dipòsits privats no estan subjectes a atac).
Font: opennet.ru