Sigurnosni problem (CVE-2021-41077) identificiran je u usluzi kontinuirane integracije Travis CI, dizajniranoj za testiranje i izgradnju projekata razvijenih na GitHubu i Bitbucketu, koji omogućuje otkrivanje sadržaja osjetljivih varijabli okruženja javnih repozitorija koji koriste Travis CI . Između ostalog, ranjivost vam omogućuje da saznate ključeve koji se koriste u Travis CI za generiranje digitalnih potpisa, pristupnih ključeva i tokena za pristup API-ju.
Problem je bio prisutan u Travis CI od 3. rujna do 10. rujna. Važno je napomenuti da su informacije o ranjivosti prenesene programerima 7. rujna, ali kao odgovor dobili su samo odgovor s preporukom korištenja rotacije ključa. Budući da nisu dobili odgovarajuće povratne informacije, istraživači su kontaktirali GitHub i predložili da Travisa stave na crnu listu. Problem je otklonjen tek 10. rujna nakon velikog broja pristiglih pritužbi iz raznih projekata. Nakon incidenta, na web stranici Travis CI objavljeno je više nego čudno izvješće o problemu koje je, umjesto obavijesti o popravku ranjivosti, sadržavalo samo preporuku izvan konteksta da se ciklički mijenjaju ključevi za pristup.
Nakon negodovanja zbog zataškavanja nekoliko velikih projekata, detaljnije izvješće objavljeno je na forumu za podršku Travis CI, upozoravajući da bi vlasnik forka bilo kojeg javnog repozitorija mogao, podnošenjem zahtjeva za povlačenjem, pokrenuti proces izgradnje i dobiti neovlašteni pristup osjetljivim varijablama okruženja izvornog repozitorija. , postavljen tijekom sklapanja na temelju polja iz datoteke “.travis.yml” ili definiran putem Travis CI web sučelja. Takve varijable pohranjuju se u šifriranom obliku i dešifriraju se samo tijekom sklapanja. Problem je utjecao samo na javno dostupna spremišta koja imaju forkove (privatna spremišta nisu podložna napadima).
Izvor: opennet.ru