Aithníodh saincheist slándála (CVE-2021-41077) i seirbhís lánpháirtithe leanúnach Travis CI, atá deartha chun tionscadail a fhorbraíodh ar GitHub agus Bitbucket a thástáil agus a thógáil, a ligeann duit inneachar na n-athróg timpeallachta rúnda de stórtha poiblí a fháil amach ag baint úsáide as Travis CI. I measc rudaí eile, ligeann an leochaileacht duit na heochracha a úsáidtear i Travis CI a fháil amach chun sínithe digiteacha, eochracha rochtana agus comharthaí a fháil chun rochtain a fháil ar an API.
Bhí an cheist i láthair in Travis CI ón 3 Meán Fómhair go dtí an 10 Meán Fómhair. Is fiú a thabhairt faoi deara gur cuireadh faisnéis faoin leochaileacht chuig na forbróirí ar 7 Meán Fómhair, ach ní bhfuarthas ach freagra le moladh chun eochair-uainíocht a úsáid. Gan aiseolas cuí a fháil, chuaigh na taighdeoirí i dteagmháil le GitHub agus thairg siad Travis a chur ar an liosta dubh. Socraíodh an fhadhb go dtí an 10 Meán Fómhair tar éis líon mór gearán a fháil ó thionscadail éagsúla. Tar éis na heachtra, foilsíodh tuarascáil ar fhadhb níos mó ná aisteach ar shuíomh Gréasáin Travis CI, nach raibh ann ach moladh as comhthéacs maidir le heochracha rochtana rothair in ionad faisnéis a thabhairt faoin leochaileacht a shocrú.
Tar éis feirge maidir le faisnéis a choinneáil siar ag roinnt mórthionscadail, postáladh tuarascáil níos mionsonraithe ar fhóram tacaíochta Travis CI, ag tabhairt foláireamh go bhféadfadh úinéir forc aon stór poiblí, trí iarratas tarraingte a chur isteach, an próiseas tógála a thionscnamh agus rochtain neamhúdaraithe a fháil. le hathróga timpeallachta rúnda an stór bunaidh , socraithe ag am tógála bunaithe ar réimsí ón gcomhad ".travis.yml" nó sainithe trí chomhéadan gréasáin Travis CI. Stóráiltear na hathróga sin i bhfoirm chriptithe agus ní dhéantar iad a dhíchriptiú ach ag am tógála. Ní raibh tionchar ag an bhfadhb ach ar stórtha atá inrochtana go poiblí agus a bhfuil forcanna acu (ní dhéantar ionsaí ar stórtha príobháideacha).
Foinse: oscailtenet.ru