Segurtasun-arazo bat (CVE-2021-41077) identifikatu da Travis CI etengabeko integrazio zerbitzuan, GitHub-en eta Bitbucket-en garatutako proiektuak probatzeko eta eraikitzeko diseinatua, Travis erabiliz biltegi publikoetako ingurune-aldagai isilpekoen edukia ezagutzeko aukera ematen duena. CI. Besteak beste, ahultasunak Travis CIn sinadura digitalak sortzeko erabiltzen diren gakoak, sarbide-gakoak eta APIra sartzeko tokenak ezagutzeko aukera ematen du.
Gaia Travis CIn egon zen irailaren 3tik 10era. Aipagarria da irailaren 7an garatzaileei ahultasunari buruzko informazioa bidali zitzaiela, baina erantzun bat bakarrik jaso zen gakoen txanda erabiltzeko gomendioarekin. Iritzi egokia jaso ez zutenez, ikertzaileek GitHub-ekin jarri ziren harremanetan eta Travis zerrenda beltzean jartzea eskaini zioten. Irailaren 10ean bakarrik konpondu zen arazoa, hainbat proiektutatik jasotako kexa ugariren ostean. Gertaeraren ostean, Travis CIren webgunean arazoen txosten arraro bat argitaratu zen, ahultasunaren konponketari buruz informatu beharrean, testuingurutik kanpoko gomendio bat baino ez zuen sartzen sarbide-gakoak bizikletaz egiteko.
Hainbat proiektu handik informazioa gorde izanaren haserrearen ostean, txosten zehatzagoa argitaratu zen Travis CI laguntza-foroan, edozein biltegi publikoren fork-jabeak, tira eskaera bat bidaliz, eraikitze-prozesua abiarazi eta baimenik gabeko sarbidea lor zezakeela ohartaraziz. jatorrizko biltegiaren ingurune-aldagai isilpekoetara, eraikitze-unean ezarrita ".travis.yml" fitxategiko eremuetan oinarrituta edo Travis CI web-interfazearen bidez definituta. Aldagai horiek zifratuta gordetzen dira eta eraikitze-unean soilik deszifratzen dira. Arazoak forkak dituzten publikoki irisgarri diren biltegiei bakarrik eragin die (biltegi pribatuei ez zaie erasotzen).
Iturria: opennet.ru