È stato individuato un problema di sicurezza (CVE-2021-41077) nel servizio di integrazione continua di Travis CI, pensato per testare e costruire progetti sviluppati su GitHub e Bitbucket, che consente di rivelare il contenuto delle variabili d'ambiente sensibili dei repository pubblici che utilizzano Travis CI . La vulnerabilità consente, tra l'altro, di scoprire le chiavi utilizzate in Travis CI per generare firme digitali, chiavi di accesso e token per l'accesso alle API.
Il problema era presente in Travis CI dal 3 settembre al 10 settembre. È interessante notare che le informazioni sulla vulnerabilità sono state trasmesse agli sviluppatori il 7 settembre, ma in risposta hanno ricevuto solo una risposta con la raccomandazione di utilizzare la rotazione delle chiavi. Non avendo ricevuto feedback adeguato, i ricercatori hanno contattato GitHub e hanno proposto di inserire Travis nella lista nera. Il problema è stato risolto solo il 10 settembre dopo un gran numero di reclami ricevuti da vari progetti. Dopo l'incidente, sul sito web di Travis CI è stato pubblicato un rapporto più che strano sul problema, che invece di informare su una correzione della vulnerabilità, conteneva solo una raccomandazione fuori contesto di modificare ciclicamente le chiavi di accesso.
In seguito alle proteste per l'insabbiamento da parte di numerosi grandi progetti, è stato pubblicato un rapporto più dettagliato sul forum di supporto di Travis CI, avvertendo che il proprietario di un fork di qualsiasi repository pubblico potrebbe, inviando una richiesta pull, avviare il processo di compilazione e ottenere accesso non autorizzato alle variabili di ambiente sensibili del repository originale, impostate durante l'assemblaggio in base ai campi del file “.travis.yml” o definite tramite l'interfaccia web di Travis CI. Tali variabili vengono archiviate in forma crittografata e vengono decrittografate solo durante l'assemblaggio. Il problema riguardava solo i repository accessibili pubblicamente che hanno fork (i repository privati non sono suscettibili di attacco).
Fonte: opennet.ru