In befeiligingsprobleem (CVE-2021-41077) is identifisearre yn 'e Travis CI trochgeande yntegraasjetsjinst, ûntworpen om projekten te testen en te bouwen ûntwikkele op GitHub en Bitbucket, wêrtroch jo de ynhâld kinne fine fan fertroulike omjouwingsfariabelen fan iepenbiere repositories mei Travis CI. Under oare dingen, de kwetsberens kinne jo fine út de kaaien brûkt yn Travis CI foar it generearjen fan digitale hantekeningen, tagong kaaien en tokens foar tagong ta de API.
It probleem wie oanwêzich yn Travis CI fan septimber 3rd oant 10th. It is opmerklik dat ynformaasje oer de kwetsberens waard stjoerd nei de ûntwikkelders op septimber 7, mar allinich in antwurd waard ûntfongen mei in oanbefelling om kaairotaasje te brûken. Net ûntfange goede feedback, de ûndersikers kontakt GitHub en oanbean oan in blacklist Travis. It probleem waard pas op 10 septimber ferholpen nei in grut oantal klachten binnenkaam fan ferskate projekten. Nei it ynsidint waard in mear as frjemd probleemrapport publisearre op 'e Travis CI-webside, dy't, ynstee fan ynformearjen oer de kwetsberensfix, allinich in oanbefelling bûten kontekst befette om tagongstoetsen te fytsen.
Nei oanlieding fan it weromhâlden fan ynformaasje troch ferskate grutte projekten, waard in mear detaillearre rapport pleatst op it Travis CI-stipeforum, warskôge dat de foarke-eigner fan elke iepenbiere repository, troch it yntsjinjen fan in pull-fersyk, it bouproses te begjinnen en ûnautorisearre tagong te krijen ta fertroulike omjouwingsfariabelen fan 'e orizjinele repository, ynsteld op boutiid basearre op fjilden út it ".travis.yml"-bestân of definieare fia de Travis CI-webynterface. Sokke fariabelen wurde opslein yn fersifere foarm en wurde allinich ûntsifere op it bouwen tiid. It probleem hat allinich ynfloed op iepenbier tagonklike repositories dy't foarken hawwe (privee repositories wurde net oanfallen).
Boarne: opennet.ru