Travis CI pideva integratsiooni teenuses on tuvastatud turvaprobleem (CVE-2021-41077), mis on loodud GitHubis ja Bitbucketis arendatud projektide testimiseks ja koostamiseks, mis võimaldab teil Travise abil teada saada avalike hoidlate konfidentsiaalsete keskkonnamuutujate sisu. CI. Muuhulgas võimaldab haavatavus välja selgitada Travis CI-s kasutatavad võtmed digiallkirjade genereerimiseks, pääsuvõtmed ja žetoonid API-le juurdepääsuks.
See probleem oli Travis CI-s üleval 3.–10. septembrini. Tähelepanuväärne on see, et info haavatavuse kohta saadeti arendajatele 7. septembril, kuid saadeti vaid vastus soovitusega kasutada võtmete rotatsiooni. Õiget tagasisidet saamata võtsid teadlased GitHubiga ühendust ja pakkusid end Travise musta nimekirja lisamiseks. Probleem lahendati alles 10. septembril pärast suurt hulka erinevatest projektidest laekunud kaebusi. Pärast intsidenti avaldati Travis CI veebisaidil enam kui kummaline probleemiaruanne, mis haavatavuse parandamisest teavitamise asemel sisaldas vaid kontekstivälist soovitust juurdepääsuvõtmete ümberlülitamiseks.
Pärast nördimist teabe varjamise üle mitmete suurprojektide poolt postitati Travis CI tugifoorumisse üksikasjalikum aruanne, milles hoiatati, et mis tahes avaliku hoidla hargi omanik võib tõmbetaotluse esitamisega algatada ehitusprotsessi ja sellest saada kasu. volitamata juurdepääs algse hoidla konfidentsiaalsetele keskkonnamuutujatele , mis on seatud ehitamise ajal faili ".travis.yml" väljade põhjal või määratletud Travis CI veebiliidese kaudu. Sellised muutujad salvestatakse krüpteeritud kujul ja dekrüpteeritakse alles koostamise ajal. Probleem puudutas ainult avalikult juurdepääsetavaid hoidlaid, millel on kahvlid (privaathoidlaid ei rünnata).
Allikas: opennet.ru