Masalah keamanan (CVE-2021-41077) telah diidentifikasi dalam layanan integrasi berkelanjutan Travis CI, yang dirancang untuk menguji dan membangun proyek yang dikembangkan di GitHub dan Bitbucket, yang memungkinkan konten variabel lingkungan sensitif dari repositori publik menggunakan Travis CI terungkap . Kerentanan ini antara lain memungkinkan Anda mengetahui kunci yang digunakan di Travis CI untuk menghasilkan tanda tangan digital, kunci akses, dan token untuk mengakses API.
Masalahnya hadir di Travis CI dari 3 September hingga 10 September. Patut dicatat bahwa informasi tentang kerentanan dikirimkan ke pengembang pada tanggal 7 September, namun sebagai tanggapan mereka hanya menerima balasan dengan rekomendasi untuk menggunakan rotasi kunci. Karena tidak menerima masukan yang memadai, para peneliti menghubungi GitHub dan mengusulkan memasukkan Travis ke dalam daftar hitam. Masalahnya baru teratasi pada 10 September setelah banyaknya keluhan yang diterima dari berbagai proyek. Setelah kejadian tersebut, sebuah laporan yang lebih dari aneh tentang masalah tersebut dipublikasikan di situs web Travis CI, yang, alih-alih menginformasikan tentang perbaikan kerentanan, hanya berisi rekomendasi di luar konteks untuk mengubah kunci akses secara siklis.
Menyusul protes atas penutupan beberapa proyek besar, laporan yang lebih rinci dipublikasikan di forum dukungan Travis CI, memperingatkan bahwa pemilik fork dari repositori publik mana pun, dengan mengirimkan permintaan penarikan, dapat memicu proses pembangunan dan mendapatkan keuntungan. akses tidak sah ke variabel lingkungan sensitif dari repositori asli, diatur selama perakitan berdasarkan kolom dari file β.travis.ymlβ atau ditentukan melalui antarmuka web Travis CI. Variabel tersebut disimpan dalam bentuk terenkripsi dan didekripsi hanya selama perakitan. Masalahnya hanya mempengaruhi repositori yang dapat diakses publik yang memiliki fork (repositori pribadi tidak rentan terhadap serangan).
Sumber: opennet.ru