Sicherheitsanfälligkeit in Travis CI, die zur Offenlegung von Schlüsseln in öffentlichen Repositories führt

Im Continuous Integration-Dienst Travis CI, der für das Testen und Erstellen von Projekten auf GitHub und Bitbucket ausgelegt ist, wurde ein Sicherheitsproblem (CVE-2021-41077) entdeckt. Dieses ermöglicht das Auslesen von sensiblen Umgebungsvariablen in öffentlichen Repositories, die Travis CI verwenden. Dazu gehört, dass die in Travis CI verwendeten Schlüssel für digitale Signaturen, Zugangsschlüssel und Tokens für API-Anfragen sichtbar gemacht werden.

Das Problem trat bei Travis CI vom 3. bis 10. September auf. Bemerkenswert ist, dass die Informationen zur Schwachstelle den Entwicklern am 7. September übermittelt wurden, jedoch lediglich eine Standardantwort mit der Empfehlung zur Schlüsselrotation einging. Da keine adäquate Rückmeldung erfolgte, setzten die Forscher sich mit GitHub in Verbindung und schlugen vor, Travis auf die Blacklist zu setzen. Das Problem wurde erst am 10. September behoben, nachdem zahlreiche Beschwerden von verschiedenen Projekten eingegangen waren. Nach dem Vorfall wurde auf der Website von Travis CI ein mehr als merkwürdiger Bericht über das Problem veröffentlicht, der anstelle einer Information über die Behebung der Schwachstelle lediglich eine aus dem Kontext gerissene Empfehlung enthielt, die Zugriffsschlüssel regelmäßig zu wechseln.

Nach Unruhen über die Verschleierung von Informationen, die von mehreren großen Projekten geäußert wurden, wurde im Support-Forum von Travis CI ein detaillierter Bericht veröffentlicht. Dieser warnte davor, dass der Eigentümer eines Forks eines öffentlichen Repositories durch das Einreichen eines Pull-Requests den Build-Prozess initiieren und unautorisierten Zugriff auf vertrauliche Umgebungsvariablen des ursprünglichen Repositories erhalten konnte, die während des Builds basierend auf Feldern aus der Datei „.travis.yml“ oder über die Web-Oberfläche von Travis CI festgelegt werden. Solche Variablen werden verschlüsselt gespeichert und nur während des Builds entschlüsselt. Das Problem betraf nur öffentlich zugängliche Repositories mit Forks (private Repositories sind nicht von diesem Angriff betroffen).

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster