Masalah keamanan (CVE-2021-41077) wis diidentifikasi ing layanan integrasi terus-terusan Travis CI, dirancang kanggo nguji lan mbangun proyek sing dikembangake ing GitHub lan Bitbucket, sing ngidini isi variabel lingkungan sensitif saka repositori umum nggunakake Travis CI dicethakaké. . Antarane liyane, kerentanan ngidini sampeyan ngerteni kunci sing digunakake ing Travis CI kanggo ngasilake tandha digital, tombol akses lan token kanggo ngakses API.
Masalah kasebut ana ing Travis CI wiwit 3 September nganti 10 September. Wigati dimangerteni manawa informasi babagan kerentanan kasebut ditularake menyang pangembang tanggal 7 September, nanging kanggo nanggepi dheweke mung nampa balesan kanthi rekomendasi kanggo nggunakake rotasi tombol. Duwe ora nampa umpan balik sing nyukupi, peneliti ngubungi GitHub lan ngusulake dhaptar ireng Travis. Masalah kasebut diatasi mung ing 10 September sawise akeh keluhan sing ditampa saka macem-macem proyek. Sawise kedadeyan kasebut, laporan sing luwih aneh babagan masalah kasebut diterbitake ing situs web Travis CI, sing, tinimbang ngandhani babagan perbaikan kerentanan, mung ngemot rekomendasi sing ora ana konteks kanggo ngganti tombol akses kanthi siklus.
Sawise protes babagan tutupan dening sawetara proyek gedhe, laporan sing luwih rinci diterbitake ing forum dhukungan Travis CI, ngelingake manawa pemilik garpu saka gudang umum bisa, kanthi ngirim panjaluk narik, micu proses mbangun lan entuk keuntungan. akses ora sah kanggo variabel lingkungan sensitif saka gudang asli. , Nyetel sak Déwan adhedhasar kothak saka file ".travis.yml" utawa ditetepake liwat antarmuka web Travis CI. Variabel kasebut disimpen ing wangun sing dienkripsi lan didekripsi mung sajrone perakitan. Masalah kasebut mung kena pengaruh repositori sing bisa diakses umum sing duwe garpu (repositori pribadi ora gampang diserang).
Source: opennet.ru