Öryggisvandamál (CVE-2021-41077) hefur verið greint í Travis CI samþættingarþjónustunni, sem er hönnuð til að prófa og byggja verkefni þróuð á GitHub og Bitbucket, sem gerir kleift að birta innihald viðkvæmra umhverfisbreytna opinberra geymsla sem nota Travis CI . Meðal annars gerir varnarleysið þér kleift að finna út lyklana sem notaðir eru í Travis CI til að búa til stafrænar undirskriftir, aðgangslykla og tákn fyrir aðgang að API.
Vandamálið var til staðar í Travis CI frá 3. september til 10. september. Það er athyglisvert að upplýsingar um varnarleysið voru sendar til þróunaraðila þann 7. september, en sem svar fengu þeir aðeins svar með tilmælum um að nota lykilsnúning. Eftir að hafa ekki fengið fullnægjandi viðbrögð höfðu vísindamennirnir samband við GitHub og lögðu til að Travis yrði settur á svartan lista. Vandamálið var lagað fyrst 10. september eftir mikinn fjölda kvartana sem bárust frá ýmsum verkefnum. Eftir atvikið var meira en undarleg skýrsla um vandamálið birt á Travis CI vefsíðunni, sem, í stað þess að upplýsa um lagfæringu á varnarleysinu, innihélt aðeins tilmæli utan samhengis um að breyta aðgangslyklum í hringrás.
Í kjölfar hrópa yfir hylmingum nokkurra stórra verkefna, var ítarlegri skýrsla birt á Travis CI stuðningsvettvangi, þar sem varað var við því að eigandi gaffals hvers opinberrar geymslu gæti, með því að leggja fram beiðni um aðdráttarafl, hrundið af stað byggingarferlinu og fengið óviðkomandi aðgangur að viðkvæmum umhverfisbreytum upprunalegu geymslunnar. , stilltur við samsetningu byggt á reitum úr „.travis.yml“ skránni eða skilgreind í gegnum Travis CI vefviðmótið. Slíkar breytur eru geymdar á dulkóðuðu formi og eru aðeins afkóðaðar við samsetningu. Vandamálið hafði aðeins áhrif á opinberar aðgengilegar geymslur sem hafa gaffla (einkageymslur eru ekki næmar fyrir árás).
Heimild: opennet.ru