Usa ka isyu sa seguridad (CVE-2021-41077) ang giila sa Travis CI padayon nga serbisyo sa panagsama, nga gidesinyo sa pagsulay ug pagtukod sa mga proyekto nga gihimo sa GitHub ug Bitbucket, nga nagtugot kanimo nga mahibal-an ang mga sulud sa kompidensyal nga mga variable sa palibot sa mga pampublikong repositoryo gamit ang Travis CI. Lakip sa ubang mga butang, ang pagkahuyang nagtugot kanimo nga mahibal-an ang mga yawe nga gigamit sa Travis CI alang sa pagmugna og mga digital nga pirma, mga yawe sa pag-access ug mga token alang sa pag-access sa API.
Ang isyu anaa sa Travis CI gikan sa Septiyembre 3 hangtod 10. Mamatikdan nga ang kasayuran bahin sa pagkahuyang gipadala sa mga nag-develop kaniadtong Setyembre 7, apan usa ra nga tubag ang nadawat nga adunay rekomendasyon nga gamiton ang yawe nga rotation. Wala makadawat sa husto nga feedback, gikontak sa mga tigdukiduki ang GitHub ug gitanyag nga i-blacklist si Travis. Nasulbad lang ang problema niadtong Septiyembre 10 human sa daghang reklamo nga nadawat gikan sa nagkalain-laing proyekto. Pagkahuman sa insidente, usa ka labaw pa sa katingad-an nga taho sa problema ang gipatik sa website sa Travis CI, nga, imbes nga ipahibalo ang bahin sa pag-ayo sa pagkahuyang, adunay sulud nga rekomendasyon nga wala sa konteksto sa pag-cycle sa mga yawe sa pag-access.
Pagkahuman sa kasuko sa pagpugong sa kasayuran sa daghang dagkong mga proyekto, usa ka mas detalyado nga taho ang gi-post sa forum sa suporta sa Travis CI, nga nagpasidaan nga ang tag-iya sa usa ka tinidor sa bisan unsang publiko nga repository, pinaagi sa pagsumite sa usa ka hangyo sa pagbitad, mahimoβg magsugod sa proseso sa pagtukod ug makakuha. dili awtorisado nga pag-access sa kompidensyal nga mga variable sa palibot sa orihinal nga repository, gitakda sa oras sa pagtukod base sa mga field gikan sa ".travis.yml" nga file o gihubit pinaagi sa Travis CI web interface. Ang ingon nga mga variable gitipigan sa naka-encrypt nga porma ug gi-decrypted lamang sa oras sa pagtukod. Ang problema nakaapekto lamang sa mga repositoryo nga ma-access sa publiko nga adunay mga tinidor (ang mga pribadong repositoryo dili ubos sa pag-atake).
Source: opennet.ru