Mae mater diogelwch (CVE-2021-41077) wedi'i nodi yng ngwasanaeth integreiddio parhaus Travis CI, a ddyluniwyd i brofi ac adeiladu prosiectau a ddatblygwyd ar GitHub a Bitbucket, sy'n eich galluogi i ddarganfod cynnwys newidynnau amgylchedd cyfrinachol ystorfeydd cyhoeddus gan ddefnyddio Travis CI. Ymhlith pethau eraill, mae'r bregusrwydd yn eich galluogi i ddarganfod yr allweddi a ddefnyddir yn Travis CI ar gyfer cynhyrchu llofnodion digidol, allweddi mynediad a thocynnau ar gyfer cyrchu'r API.
Roedd y mater yn bresennol yn Travis CI rhwng Medi 3 a 10. Mae'n werth nodi bod gwybodaeth am y bregusrwydd wedi'i anfon at y datblygwyr ar Fedi 7, ond dim ond ymateb a dderbyniwyd gydag argymhelliad i ddefnyddio cylchdro allweddol. Heb dderbyn adborth cywir, cysylltodd yr ymchwilwyr Γ’ GitHub a chynnig rhoi Travis ar restr ddu. Dim ond ar Fedi 10 y cafodd y broblem ei datrys ar Γ΄l i nifer fawr o gwynion a dderbyniwyd gan brosiectau amrywiol. Ar Γ΄l y digwyddiad, cyhoeddwyd adroddiad problem mwy na rhyfedd ar wefan Travis CI, a oedd, yn hytrach na hysbysu am y datrysiad bregusrwydd, yn cynnwys argymhelliad y tu allan i'r cyd-destun i allweddi mynediad beiciau yn unig.
Yn dilyn dicter ynghylch cadw gwybodaeth yn Γ΄l gan sawl prosiect mawr, postiwyd adroddiad manylach ar fforwm cymorth Travis CI, yn rhybuddio y gallai perchennog fforc unrhyw gadwrfa gyhoeddus, trwy gyflwyno cais tynnu, gychwyn y broses adeiladu a chael mynediad heb awdurdod. i newidynnau amgylchedd cyfrinachol yr ystorfa wreiddiol , wedi'u gosod ar amser adeiladu yn seiliedig ar feysydd o'r ffeil ".travis.yml" neu wedi'u diffinio trwy ryngwyneb gwe Travis CI. Mae newidynnau o'r fath yn cael eu storio ar ffurf wedi'i hamgryptio a dim ond adeg adeiladu y cΓ’nt eu dadgryptio. Roedd y broblem ond yn effeithio ar ystorfeydd sy'n hygyrch i'r cyhoedd sydd Γ’ ffyrc (nid ymosodir ar gadwrfeydd preifat).
Ffynhonnell: opennet.ru