Biztonsági problémát (CVE-2021-41077) azonosítottak a Travis CI folyamatos integrációs szolgáltatásában, amelyet a GitHubon és Bitbucketen fejlesztett projektek tesztelésére és építésére terveztek, és amely lehetővé teszi a Travis CI-t használó nyilvános adattárak érzékeny környezeti változóinak tartalmának feltárását. . A sérülékenység többek között lehetővé teszi, hogy kiderítsék a Travis CI-ben a digitális aláírások generálásához használt kulcsokat, hozzáférési kulcsokat és tokeneket az API eléréséhez.
A probléma szeptember 3-tól szeptember 10-ig volt jelen a Travis CI-ben. Figyelemre méltó, hogy a sérülékenységgel kapcsolatos információkat szeptember 7-én juttatták el a fejlesztőkhöz, de válaszul csak a kulcsrotáció alkalmazására vonatkozó javaslatot kaptak. Mivel nem kaptak megfelelő visszajelzést, a kutatók felvették a kapcsolatot a GitHubbal, és javasolták Travis feketelistára helyezését. A problémát csak szeptember 10-én sikerült megoldani, miután számos projektből számos panasz érkezett. Az incidens után a Travis CI honlapján egy több mint furcsa jelentés jelent meg a problémáról, amely ahelyett, hogy a sérülékenység javításáról tájékoztatott volna, csupán a hozzáférési kulcsok ciklikus megváltoztatására vonatkozó szövegkörnyezeten kívüli ajánlást tartalmazott.
A több nagy projekt eltitkolása miatti felháborodást követően a Travis CI támogatási fórumán egy részletesebb jelentést tettek közzé, amelyben arra figyelmeztetnek, hogy bármely nyilvános adattár elágazójának tulajdonosa lehívási kérelem benyújtásával elindíthatja az építési folyamatot, és profitálhat belőle. jogosulatlan hozzáférés az eredeti tárhely érzékeny környezeti változóihoz. , amelyeket az összeállítás során a „.travis.yml” fájl mezői alapján állítanak be, vagy a Travis CI webes felületén definiálják. Az ilyen változókat titkosított formában tároljuk, és csak az összeállítás során fejtik vissza. A probléma csak azokat a nyilvánosan elérhető adattárakat érintette, amelyeknek elágazásuk van (a privát adattárak nem érzékenyek a támadásokra).
Forrás: opennet.ru