GitHub および Bitbucket で開発されたプロジェクトのテストと構築用に設計された Travis CI 継続的統合サービスでセキュリティ問題 (CVE-2021-41077) が特定されました。これにより、Travis CI を使用するパブリック リポジトリの機密環境変数の内容が公開される可能性があります。 。特に、この脆弱性により、Travis CI でデジタル署名、アクセス キー、API にアクセスするためのトークンを生成するために使用されるキーを見つけることができます。
この問題は、3 月 10 日から 7 月 10 日まで Travis CI で発生していました。注目に値するのは、この脆弱性に関する情報は XNUMX 月 XNUMX 日に開発者に送信されましたが、開発者はキー ローテーションの使用を推奨する返答しか受け取らなかったことです。適切なフィードバックが得られなかったため、研究者らは GitHub に連絡し、Travis をブラックリストに登録することを提案しました。この問題は、さまざまなプロジェクトから多数の苦情が寄せられたため、XNUMX 月 XNUMX 日にのみ修正されました。インシデントの後、この問題に関する奇妙な以上のレポートが Travis CI Web サイトに公開されました。そのレポートには、脆弱性の修正について通知される代わりに、アクセス キーを周期的に変更するという文脈から外れた推奨事項のみが含まれていました。
いくつかの大規模プロジェクトによる隠蔽に対する抗議を受けて、より詳細なレポートが Travis CI サポート フォーラムで公開され、パブリック リポジトリのフォークの所有者がプル リクエストを送信することでビルド プロセスをトリガーし、利益を得る可能性があると警告しました。元のリポジトリの機密環境変数への不正アクセス。「.travis.yml」ファイルのフィールドに基づいてアセンブリ中に設定されるか、Travis CI Web インターフェイスを通じて定義されます。このような変数は暗号化された形式で保存され、アセンブリ中にのみ復号化されます。この問題は、フォークを持つパブリックにアクセス可能なリポジトリにのみ影響を及ぼしました (プライベート リポジトリは攻撃の影響を受けません)。
出所: オープンネット.ru