یک مشکل امنیتی (CVE-2021-41077) در سرویس یکپارچه سازی پیوسته Travis CI شناسایی شده است که برای آزمایش و ساخت پروژه های توسعه یافته در GitHub و Bitbucket طراحی شده است که به شما امکان می دهد با استفاده از Travis محتویات متغیرهای محیطی محرمانه مخازن عمومی را بیابید. CI. از جمله موارد دیگر، این آسیبپذیری به شما امکان میدهد کلیدهای مورد استفاده در Travis CI برای تولید امضای دیجیتال، کلیدهای دسترسی و توکنهای دسترسی به API را پیدا کنید.
این شماره از 3 تا 10 سپتامبر در Travis CI وجود داشت. قابل ذکر است که اطلاعات مربوط به این آسیب پذیری در تاریخ 7 سپتامبر برای توسعه دهندگان ارسال شد، اما تنها پاسخی با توصیه به استفاده از چرخش کلید دریافت شد. محققان با دریافت بازخورد مناسب، با GitHub تماس گرفتند و پیشنهاد دادند که تراویس را در لیست سیاه قرار دهند. این مشکل تنها در 10 سپتامبر پس از تعداد زیادی شکایات دریافت شده از پروژه های مختلف برطرف شد. پس از این حادثه، گزارش مشکل بیش از حد عجیبی در وب سایت Travis CI منتشر شد که به جای اطلاع رسانی در مورد رفع آسیب پذیری، تنها حاوی یک توصیه خارج از زمینه برای کلیدهای دسترسی چرخه بود.
به دنبال خشم در مورد پنهان نگه داشتن اطلاعات توسط چندین پروژه بزرگ، گزارش مفصل تری در انجمن پشتیبانی Travis CI منتشر شد که هشدار می داد صاحب فورک هر مخزن عمومی، با ارسال یک درخواست کشش، می تواند فرآیند ساخت را آغاز کند و دسترسی غیرمجاز به دست آورد. به متغیرهای محیطی محرمانه مخزن اصلی، تنظیم شده در زمان ساخت بر اساس فیلدهای فایل ".travis.yml" یا از طریق رابط وب Travis CI تعریف شده است. چنین متغیرهایی به صورت رمزگذاری شده ذخیره می شوند و فقط در زمان ساخت رمزگشایی می شوند. این مشکل فقط مخازن در دسترس عموم را تحت تأثیر قرار می دهد که دارای فورک هستند (مخزن های خصوصی مورد حمله قرار نمی گیرند).
منبع: opennet.ru