Sekurecproblemo (CVE-2021-41077) estis identigita en la daŭra integriga servo de Travis CI, desegnita por testi kaj konstrui projektojn evoluigitajn sur GitHub kaj Bitbucket, kiu ebligas al vi ekscii la enhavon de konfidencaj mediaj variabloj de publikaj deponejoj uzante Travis. CI. Interalie, la vundebleco permesas vin ekscii la ŝlosilojn uzatajn en Travis CI por generi ciferecajn subskribojn, alirŝlosilojn kaj ĵetonojn por aliri la API.
La afero ĉeestis en Travis CI de la 3-a ĝis la 10-a de septembro. Estas rimarkinde, ke informoj pri la vundebleco estis senditaj al la programistoj la 7-an de septembro, sed nur respondo estis ricevita kun rekomendo uzi ŝlosilan rotacion. Ne ricevante taŭgajn sugestojn, la esploristoj kontaktis GitHub kaj proponis al nigra listo Travis. La problemo estis solvita nur la 10-an de septembro post granda nombro da plendoj ricevitaj de diversaj projektoj. Post la okazaĵo, pli ol stranga problemo-raporto estis publikigita en la retejo de Travis CI, kiu, anstataŭ informi pri la vundebleco, enhavis nur eksterkuntekstan rekomendon por bicikli alirklavojn.
Sekvante indignon pro la reteno de informoj fare de pluraj gravaj projektoj, pli detala raporto estis afiŝita sur la Travis CI-subtena forumo, avertante ke la posedanto de forko de iu publika deponejo, prezentante tirpeton, povus iniciati la konstruprocezon kaj gajni. neaŭtorizita aliro al konfidencaj mediovariabloj de la originala deponejo, agordita je konstrua tempo surbaze de kampoj de la ".travis.yml" dosiero aŭ difinita per la TTT-interfaco de Travis CI. Tiaj variabloj estas stokitaj en ĉifrita formo kaj estas nur deĉifritaj je konstrua tempo. La problemo nur tuŝis publike alireblajn deponejojn, kiuj havas forkojn (privataj deponejoj ne estas atakeblaj).
fonto: opennet.ru