Εντοπίστηκε ένα ζήτημα ασφαλείας (CVE-2021-41077) στην υπηρεσία συνεχούς ενοποίησης Travis CI, σχεδιασμένη για τη δοκιμή και τη δημιουργία έργων που αναπτύχθηκαν στο GitHub και το Bitbucket, το οποίο σας επιτρέπει να μάθετε τα περιεχόμενα των εμπιστευτικών μεταβλητών περιβάλλοντος των δημόσιων αποθετηρίων χρησιμοποιώντας το Travis CI. Μεταξύ άλλων, η ευπάθεια σάς επιτρέπει να μάθετε τα κλειδιά που χρησιμοποιούνται στο Travis CI για τη δημιουργία ψηφιακών υπογραφών, κλειδιών πρόσβασης και διακριτικών για πρόσβαση στο API.
Το τεύχος ήταν παρόν στο Travis CI από τις 3 έως τις 10 Σεπτεμβρίου. Αξίζει να σημειωθεί ότι οι πληροφορίες σχετικά με την ευπάθεια στάλθηκαν στους προγραμματιστές στις 7 Σεπτεμβρίου, αλλά ελήφθη μόνο μια απάντηση με σύσταση για χρήση της εναλλαγής κλειδιού. Χωρίς να λάβουν τα κατάλληλα σχόλια, οι ερευνητές επικοινώνησαν με το GitHub και προσφέρθηκαν να βάλουν στη μαύρη λίστα τον Travis. Το πρόβλημα επιλύθηκε μόλις στις 10 Σεπτεμβρίου μετά από μεγάλο αριθμό καταγγελιών που ελήφθησαν από διάφορα έργα. Μετά το περιστατικό, δημοσιεύτηκε μια παραπάνω από περίεργη αναφορά προβλήματος στον ιστότοπο Travis CI, η οποία, αντί να ενημερώνει για την επιδιόρθωση ευπάθειας, περιείχε μόνο μια σύσταση εκτός πλαισίου για κυκλική πρόσβαση στα κλειδιά.
Μετά την οργή για την απόκρυψη πληροφοριών από πολλά μεγάλα έργα, μια πιο λεπτομερής αναφορά δημοσιεύτηκε στο φόρουμ υποστήριξης Travis CI, προειδοποιώντας ότι ο κάτοχος πιρουνιού οποιουδήποτε δημόσιου αποθετηρίου, υποβάλλοντας ένα αίτημα έλξης, θα μπορούσε να ξεκινήσει τη διαδικασία κατασκευής και να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε εμπιστευτικές μεταβλητές περιβάλλοντος του αρχικού αποθετηρίου , που ορίζονται κατά το χρόνο δημιουργίας βάσει πεδίων από το αρχείο ".travis.yml" ή ορίζονται μέσω της διεπαφής ιστού Travis CI. Τέτοιες μεταβλητές αποθηκεύονται σε κρυπτογραφημένη μορφή και αποκρυπτογραφούνται μόνο κατά το χρόνο κατασκευής. Το πρόβλημα επηρέασε μόνο τα δημόσια αποθετήρια που διαθέτουν πιρούνια (τα ιδιωτικά αποθετήρια δεν δέχονται επίθεση).
Πηγή: opennet.ru