Yo te idantifye yon pwoblèm sekirite (CVE-2021-41077) nan sèvis entegrasyon kontinyèl Travis CI, ki fèt pou tès ak konstriksyon pwojè devlope sou GitHub ak Bitbucket, ki pèmèt sa ki nan anviwònman sansib varyab nan depo piblik lè l sèvi avèk Travis CI yo dwe revele. . Pami lòt bagay, vilnerabilite a pèmèt ou chèche konnen kle yo itilize nan Travis CI pou jenere siyati dijital, kle aksè ak marqueur pou jwenn aksè nan API a.
Pwoblèm lan te prezan nan Travis CI soti 3 septanm rive 10 septanm. Li enpòtan pou remake ke enfòmasyon sou vilnerabilite a te transmèt bay devlopè yo sou 7 septanm, men an repons yo sèlman te resevwa yon repons ak yon rekòmandasyon yo sèvi ak wotasyon kle. Lè yo pa te resevwa bon jan fidbak, chèchè yo te kontakte GitHub epi yo te pwopoze lis nwa Travis. Pwoblèm nan te fikse sèlman sou 10 septanm apre yon gwo kantite plent te resevwa nan men divès pwojè. Apre ensidan an, yo te pibliye yon rapò plis pase etranj sou pwoblèm nan sou sit entènèt Travis CI, ki, olye pou yo enfòme sou yon ranje pou vilnerabilite a, sèlman genyen yon rekòmandasyon andeyò kontèks chanje kle aksè siklik.
Apre rèl sou kouvèti a pa plizyè gwo pwojè, yo te pibliye yon rapò pi detaye sou fowòm sipò Travis CI, ki te avèti ke pwopriyetè yon fouchèt nenpòt depo piblik ta ka, lè li soumèt yon demann rale, deklanche pwosesis konstriksyon an ak jwenn aksè san otorizasyon nan varyab anviwònman sansib nan depo orijinal la. , mete pandan asanble a ki baze sou jaden ki soti nan ".travis.yml" dosye a oswa defini atravè koòdone entènèt Travis CI. Varyab sa yo estoke nan fòm chifre epi yo dechifre sèlman pandan asanble. Pwoblèm nan sèlman afekte repozitwa aksesib piblik ki gen fouchèt (repozitwa prive yo pa fasil pou atake).
Sous: opennet.ru