Un prublema di sicurità (CVE-2021-41077) hè statu identificatu in u serviziu di integrazione cuntinuu Travis CI, cuncepitu per pruvà è custruisce prughjetti sviluppati nantu à GitHub è Bitbucket, chì vi permette di scopre u cuntenutu di variabili di l'ambiente cunfidenziale di i repositori publichi chì utilizanu Travis. CI. Frà l'altri cose, a vulnerabilità permette di scopre i chjavi utilizati in Travis CI per generà signature digitale, chjavi d'accessu è tokens per accede à l'API.
L'emissione era presente in Travis CI da u 3 à u 10 di settembre. Hè nutate chì l'infurmazioni nantu à a vulnerabilità hè stata mandata à i sviluppatori u 7 di settembre, ma solu una risposta hè stata ricevuta cù una ricunniscenza di utilizà a rotazione chjave. Ùn ricevenu micca un feedback propiu, i circadori anu cuntattatu GitHub è offrenu à a lista negra di Travis. U prublema hè stata risolta solu u 10 di settembre dopu un gran numaru di lagnanza ricivutu da parechji prughjetti. Dopu à l'incidentu, un rapportu di prublema più stranu hè statu publicatu nantu à u situ web di Travis CI, chì, invece di informà nantu à a correzione di vulnerabilità, cuntene solu una ricunniscenza fora di u cuntestu per ciclu e chjave d'accessu.
In seguitu à l'indignazione à a ritenzione di l'infurmazioni da parechji prughjetti maiò, un rapportu più detallatu hè statu publicatu nantu à u foru di supportu Travis CI, avvistendu chì u pruprietariu di u fork di qualsiasi repositoriu publicu, sottumettendu una dumanda di pull, puderia inizià u prucessu di creazione è acquistà un accessu micca autorizatu. à variabili di l'ambienti cunfidenziale di u repositoriu originale, stabilitu à u tempu di custruzzione basatu nantu à i campi da u schedariu ".travis.yml" o definitu attraversu l'interfaccia web Travis CI. Tali variàbili sò almacenati in forma criptata è sò decifrate solu à u tempu di creazione. U prublema hà affettatu solu i repositori accessibili publicamente chì anu forche (i repositori privati ùn sò micca attaccati).
Source: opennet.ru