Se ha identificado un problema de seguridad (CVE-2021-41077) en el servicio de integración continua Travis CI, diseñado para probar y construir proyectos desarrollados en GitHub y Bitbucket, que permite conocer el contenido de variables de entorno confidenciales de repositorios públicos utilizando Travis CI. Entre otras cosas, la vulnerabilidad permite conocer las claves utilizadas en Travis CI para generar firmas digitales, claves de acceso y tokens para acceder a la API.
El tema estuvo presente en Travis CI del 3 al 10 de septiembre. Es de destacar que la información sobre la vulnerabilidad se envió a los desarrolladores el 7 de septiembre, pero solo se recibió una respuesta con una recomendación para usar la rotación de claves. Al no recibir los comentarios adecuados, los investigadores contactaron a GitHub y se ofrecieron a incluir a Travis en la lista negra. El problema se solucionó solo el 10 de septiembre después de una gran cantidad de quejas recibidas de varios proyectos. Después del incidente, se publicó un informe de problema más que extraño en el sitio web de Travis CI, que, en lugar de informar sobre la corrección de la vulnerabilidad, contenía solo una recomendación fuera de contexto para ciclo de claves de acceso.
Tras la indignación por la retención de información por parte de varios proyectos importantes, se publicó un informe más detallado en el foro de soporte de Travis CI, advirtiendo que el propietario de una bifurcación de cualquier repositorio público, al enviar una solicitud de extracción, podría iniciar el proceso de compilación y obtener acceso no autorizado a variables de entorno confidenciales del repositorio original, establecidas en el momento de la compilación en función de los campos del archivo ".travis.yml" o definidas a través de la interfaz web de Travis CI. Dichas variables se almacenan en forma cifrada y solo se descifran en el momento de la compilación. El problema solo afectó a los repositorios de acceso público que tienen bifurcaciones (los repositorios privados no están sujetos a ataques).
Fuente: opennet.ru