Un problème de sécurité (CVE-2021-41077) a été identifié dans le service d'intégration continue Travis CI, conçu pour tester et créer des projets développés sur GitHub et Bitbucket, qui permet de connaître le contenu des variables d'environnement confidentielles des référentiels publics utilisant Travis CI. Entre autres choses, la vulnérabilité vous permet de connaître les clés utilisées dans Travis CI pour générer des signatures numériques, des clés d'accès et des jetons pour accéder à l'API.
Le problème était présent dans Travis CI du 3 au 10 septembre. Il est à noter que des informations sur la vulnérabilité ont été envoyées aux développeurs le 7 septembre, mais seule une réponse a été reçue avec une recommandation d'utiliser la rotation des clés. N'ayant pas reçu de commentaires appropriés, les chercheurs ont contacté GitHub et ont proposé de mettre Travis sur liste noire. Le problème n'a été résolu que le 10 septembre après un grand nombre de plaintes reçues de divers projets. Après l'incident, un rapport de problème plus qu'étrange a été publié sur le site Web de Travis CI, qui, au lieu d'informer sur le correctif de vulnérabilité, ne contenait qu'une recommandation hors contexte de cycler les clés d'accès.
Suite à l'indignation suscitée par la rétention d'informations par plusieurs projets majeurs, un rapport plus détaillé a été publié sur le forum de support de Travis CI, avertissant que le propriétaire d'un fork de tout référentiel public, en soumettant une pull request, pourrait lancer le processus de construction et obtenir un accès non autorisé. aux variables d'environnement confidentielles du référentiel d'origine, définies au moment de la construction en fonction des champs du fichier ".travis.yml" ou définies via l'interface Web de Travis CI. Ces variables sont stockées sous forme cryptée et ne sont déchiffrées qu'au moment de la construction. Le problème n'affectait que les référentiels accessibles au public et dotés de forks (les référentiels privés ne sont pas attaqués).
Source: opennet.ru