Travis CI:n jatkuvan integroinnin palvelussa on tunnistettu tietoturvaongelma (CVE-2021-41077), joka on suunniteltu testaamaan ja rakentamaan GitHubissa ja Bitbucketissa kehitettyjä projekteja. Sen avulla voit selvittää julkisten tietovarastojen luottamuksellisten ympäristömuuttujien sisällön Travisin avulla. CI. Haavoittuvuuden avulla voit muun muassa selvittää Travis CI:ssä digitaalisten allekirjoitusten luomiseen käytetyt avaimet, pääsyavaimet ja tunnukset API:n käyttöön.
Asia oli esillä Travis CI:ssä 3.–10. syyskuuta. On huomionarvoista, että tieto haavoittuvuudesta lähetettiin kehittäjille 7. syyskuuta, mutta vain vastaus, jossa kehotettiin käyttämään avainten kiertoa, saatiin. Koska tutkijat eivät saaneet asianmukaista palautetta, he ottivat yhteyttä GitHubiin ja tarjoutuivat jättämään Travisin mustalle listalle. Ongelma korjaantui vasta 10. syyskuuta eri hankkeista saatujen lukuisten valitusten jälkeen. Tapahtuman jälkeen Travis CI:n verkkosivuilla julkaistiin enemmän kuin outo ongelmaraportti, joka haavoittuvuuden korjauksesta kertomisen sijaan sisälsi vain kontekstin ulkopuolisen suosituksen käyttää avaimia.
Useiden suurten hankkeiden tietojen salaamisen aiheuttaman tyrmistyksen jälkeen Travis CI:n tukifoorumille julkaistiin tarkempi raportti, jossa varoitettiin, että minkä tahansa julkisen tietovaraston haarukan omistaja voi käynnistää rakennusprosessin lähettämällä vetopyynnön. luvaton pääsy alkuperäisen tietovaraston luottamuksellisiin ympäristömuuttujiin , jotka on asetettu rakennusaikana ".travis.yml"-tiedoston kenttien perusteella tai määritetty Travis CI -verkkoliittymän kautta. Tällaiset muuttujat tallennetaan salatussa muodossa ja niiden salaus puretaan vain rakennusvaiheessa. Ongelma koski vain julkisesti saatavilla olevia tietovarastoja, joissa on haarukat (yksityiset tietovarastot eivät ole hyökkäyksen kohteena).
Lähde: opennet.ru