Et sikkerhedsproblem (CVE-2021-41077) er blevet identificeret i Travis CI kontinuerlig integrationstjeneste, designet til at teste og bygge projekter udviklet på GitHub og Bitbucket, som giver dig mulighed for at finde ud af indholdet af fortrolige miljøvariabler i offentlige arkiver ved hjælp af Travis CI. Sårbarheden giver dig blandt andet mulighed for at finde ud af de nøgler, der bruges i Travis CI til at generere digitale signaturer, adgangsnøgler og tokens til adgang til API'et.
Problemet var til stede i Travis CI fra 3. til 10. september. Det er bemærkelsesværdigt, at information om sårbarheden blev sendt til udviklerne den 7. september, men der blev kun modtaget et svar med en anbefaling om at bruge nøglerotation. Da forskerne ikke modtog ordentlig feedback, kontaktede de GitHub og tilbød at blackliste Travis. Problemet blev først rettet den 10. september efter en lang række klager modtaget fra forskellige projekter. Efter hændelsen blev der offentliggjort en mere end mærkelig problemrapport på Travis CI-webstedet, som i stedet for at informere om sårbarhedsrettelsen kun indeholdt en anbefaling uden for kontekst om at skifte adgangsnøgler.
Efter forargelse over tilbageholdelsen af information fra flere store projekter, blev en mere detaljeret rapport udsendt på Travis CI supportforum, der advarede om, at gaffelejeren af ethvert offentligt lager, ved at indsende en pull-anmodning, kunne starte byggeprocessen og få uautoriseret adgang til fortrolige miljøvariabler i det originale lager, indstillet på byggetidspunktet baseret på felter fra ".travis.yml"-filen eller defineret via Travis CI-webgrænsefladen. Sådanne variabler gemmes i krypteret form og dekrypteres kun på byggetidspunktet. Problemet berørte kun offentligt tilgængelige arkiver, der har gafler (private arkiver angribes ikke).
Kilde: opennet.ru