Անվտանգության խնդիր (CVE-2021-41077) հայտնաբերվել է Travis CI շարունակական ինտեգրման ծառայությունում, որը նախատեսված է GitHub-ում և Bitbucket-ում մշակված նախագծերի փորձարկման և կառուցման համար, որը թույլ է տալիս պարզել հանրային պահեստների գաղտնի միջավայրի փոփոխականների բովանդակությունը՝ օգտագործելով Travis-ը: CI. Ի թիվս այլ բաների, խոցելիությունը թույլ է տալիս պարզել Travis CI-ում օգտագործվող ստեղները՝ թվային ստորագրություններ ստեղծելու համար, մուտքի բանալիներ և API մուտք գործելու նշաններ:
Թողարկումը ներկա է եղել Travis CI-ում սեպտեմբերի 3-ից 10-ը: Հատկանշական է, որ խոցելիության մասին տեղեկատվությունը մշակողներին ուղարկվել է սեպտեմբերի 7-ին, սակայն ստացվել է միայն պատասխան՝ բանալիների ռոտացիա օգտագործելու առաջարկությամբ։ Չստանալով պատշաճ արձագանք՝ հետազոտողները կապ հաստատեցին GitHub-ի հետ և առաջարկեցին Թրեվիսին սև ցուցակում ներառել: Խնդիրը շտկվել է միայն սեպտեմբերի 10-ին տարբեր նախագծերից ստացված մեծ թվով բողոքներից հետո։ Միջադեպից հետո Travis CI կայքում հրապարակվեց ավելի քան տարօրինակ խնդրի մասին զեկույց, որը խոցելիության շտկման մասին տեղեկացնելու փոխարեն պարունակում էր միայն ցիկլային մուտքի ստեղների վերաբերյալ կոնտեքստից դուրս առաջարկություն։
Մի քանի խոշոր նախագծերի կողմից տեղեկատվության թաքցման վրդովմունքից հետո, ավելի մանրամասն զեկույց տեղադրվեց Travis CI-ի աջակցության ֆորումում, նախազգուշացնելով, որ ցանկացած հանրային պահեստի պատառաքաղի սեփականատերը, ներկայացնելով ձգման հարցում, կարող է նախաձեռնել կառուցման գործընթացը և շահել: չթույլատրված մուտք դեպի բնօրինակ պահոցի գաղտնի միջավայրի փոփոխականներ, որոնք սահմանված են ստեղծման ժամանակ՝ հիմնված «.travis.yml» ֆայլի դաշտերի վրա կամ սահմանված են Travis CI վեբ ինտերֆեյսի միջոցով: Նման փոփոխականները պահվում են կոդավորված ձևով և վերծանվում են միայն կառուցման ժամանակ: Խնդիրն ազդել է միայն հանրությանը հասանելի պահոցների վրա, որոնք ունեն պատառաքաղներ (մասնավոր պահեստները հարձակման ենթակա չեն):
Source: opennet.ru