Identificouse un problema de seguridade (CVE-2021-41077) no servizo de integración continua Travis CI, deseñado para probar e construír proxectos desenvolvidos en GitHub e Bitbucket, que permite coñecer o contido das variables de ambiente confidenciais dos repositorios públicos que utilizan Travis. CI. Entre outras cousas, a vulnerabilidade permite coñecer as claves utilizadas en Travis CI para xerar sinaturas dixitais, claves de acceso e tokens para acceder á API.
O tema estivo presente en Travis CI do 3 ao 10 de setembro. Cabe destacar que a información sobre a vulnerabilidade foi enviada aos desenvolvedores o 7 de setembro, pero só se recibiu unha resposta cunha recomendación para usar a rotación de chaves. Ao non recibir os comentarios adecuados, os investigadores contactaron con GitHub e ofrecéronse a incluír a Travis na lista negra. O problema foi solucionado só o 10 de setembro tras unha gran cantidade de queixas recibidas de diversos proxectos. Despois do incidente, publicouse un informe de problemas máis que estraño no sitio web de Travis CI, que, en lugar de informar sobre a corrección da vulnerabilidade, contiña só unha recomendación fóra de contexto para realizar un ciclo de teclas de acceso.
Tras a indignación pola retención de información por parte de varios proxectos importantes, publicouse un informe máis detallado no foro de soporte de Travis CI, que advertía de que o propietario do fork de calquera repositorio público, enviando unha solicitude de extracción, podería iniciar o proceso de compilación e obter acceso non autorizado. a variables de ambiente confidenciais do repositorio orixinal , configuradas no momento da compilación en función dos campos do ficheiro ".travis.yml" ou definidas a través da interface web de Travis CI. Tales variables almacénanse en forma cifrada e só se descifran no momento da compilación. O problema só afectou aos repositorios de acceso público que teñen forks (os repositorios privados non son atacados).
Fonte: opennet.ru