Travis CI үздіксіз интеграциялық қызметінде қауіпсіздік мәселесі (CVE-2021-41077) анықталды, ол GitHub және Bitbucket жүйелерінде әзірленген жобаларды сынауға және құруға арналған, ол Travis CI пайдаланатын қоғамдық репозиторийлердің сезімтал орта айнымалы мәндерінің мазмұнын ашуға мүмкіндік береді. . Басқа нәрселермен қатар, осалдық Travis CI жүйесінде цифрлық қолтаңбаларды, кіру кілттерін және API кіруге арналған таңбалауыштарды генерациялау үшін пайдаланылатын кілттерді табуға мүмкіндік береді.
Мәселе Travis CI-де 3 қыркүйектен 10 қыркүйекке дейін болды. Бір қызығы, осалдық туралы ақпарат әзірлеушілерге 7 қыркүйекте жіберілді, бірақ жауап ретінде олар тек кілттерді айналдыруды пайдалану туралы ұсыныспен жауап алды. Тиісті кері байланыс алмаған зерттеушілер GitHub-пен байланысып, Трависті қара тізімге енгізуді ұсынды. Қыркүйектің 10-ы күні түрлі жобалардан көп шағым түскен соң ғана мәселе жөнделді. Оқиғадан кейін Travis CI веб-сайтында мәселе туралы таңқаларлық есеп жарияланды, ол осалдықты түзету туралы хабарлаудың орнына кіру кілттерін циклдік өзгертуге қатысты контекстен тыс ұсынысты ғана қамтиды.
Бірнеше ірі жобаларды жасыруға қатысты наразылықтан кейін Travis CI қолдау форумында егжей-тегжейлі есеп жарияланды, ол кез келген жалпыға ортақ репозиторийдің шанышқысының иесі тарту сұрауын жіберу арқылы құрастыру процесін іске қосуы және пайда алуы мүмкін екенін ескертті. бастапқы репозиторийдің сезімтал орта айнымалы мәндеріне рұқсатсыз кіру. , құрастыру кезінде “.travis.yml” файлындағы өрістерге негізделген немесе Travis CI веб-интерфейсі арқылы анықталған. Мұндай айнымалылар шифрланған түрде сақталады және тек құрастыру кезінде шифры ашылады. Мәселе тек шанышқылары бар жалпыға қолжетімді репозиторийлерге әсер етті (жеке репозиторийлер шабуылға бейім емес).
Ақпарат көзі: opennet.ru