Ve službě průběžné integrace Travis CI, která byla navržena k testování a vytváření projektů vyvinutých na GitHubu a Bitbucketu, byl identifikován bezpečnostní problém (CVE-2021-41077), který vám umožňuje zjistit obsah důvěrných proměnných prostředí veřejných úložišť pomocí Travisu. CI. Zranitelnost mimo jiné umožňuje zjistit klíče používané v Travis CI pro generování digitálních podpisů, přístupových klíčů a tokenů pro přístup k API.
Emise byla přítomna v Travis CI od 3. do 10. září. Pozoruhodné je, že informace o zranitelnosti byly vývojářům zaslány 7. září, ale přišla pouze odpověď s doporučením použít střídání klíčů. Protože výzkumníci neobdrželi správnou zpětnou vazbu, kontaktovali GitHub a nabídli Travisovi, že zařadí na černou listinu. Problém byl vyřešen až 10. září po velkém počtu stížností z různých projektů. Po incidentu byla na webu Travis CI zveřejněna více než podivná zpráva o problému, která místo informování o opravě zranitelnosti obsahovala pouze mimo kontext doporučení pro cyklování přístupových klíčů.
Po rozhořčení nad zadržováním informací ze strany několika velkých projektů byla na fóru podpory Travis CI zveřejněna podrobnější zpráva, která varovala, že vlastník forku jakéhokoli veřejného úložiště odesláním požadavku na stažení může zahájit proces sestavení a získat neoprávněný přístup k důvěrným proměnným prostředí původního úložiště, nastaveným v době sestavení na základě polí ze souboru „.travis.yml“ nebo definovaným prostřednictvím webového rozhraní Travis CI. Takové proměnné jsou uloženy v zašifrované podobě a dešifrují se pouze v době sestavování. Problém se týkal pouze veřejně přístupných repozitářů, které mají forky (soukromá úložiště nepodléhají útoku).
Zdroj: opennet.ru