ಟ್ರಾವಿಸ್ CI ನಿರಂತರ ಏಕೀಕರಣ ಸೇವೆಯಲ್ಲಿ ಭದ್ರತಾ ಸಮಸ್ಯೆಯನ್ನು (CVE-2021-41077) ಗುರುತಿಸಲಾಗಿದೆ, ಇದನ್ನು GitHub ಮತ್ತು Bitbucket ನಲ್ಲಿ ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ ಯೋಜನೆಗಳನ್ನು ಪರೀಕ್ಷಿಸಲು ಮತ್ತು ನಿರ್ಮಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ, ಇದು ಟ್ರಾವಿಸ್ CI ಅನ್ನು ಬಳಸುವ ಸಾರ್ವಜನಿಕ ರೆಪೊಸಿಟರಿಗಳ ಸೂಕ್ಷ್ಮ ಪರಿಸರ ವೇರಿಯಬಲ್ಗಳ ವಿಷಯಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. . ಇತರ ವಿಷಯಗಳ ಜೊತೆಗೆ, ಟ್ರಾವಿಸ್ CI ನಲ್ಲಿ ಡಿಜಿಟಲ್ ಸಹಿಗಳು, ಪ್ರವೇಶ ಕೀಗಳು ಮತ್ತು API ಅನ್ನು ಪ್ರವೇಶಿಸಲು ಟೋಕನ್ಗಳನ್ನು ಉತ್ಪಾದಿಸಲು ಬಳಸುವ ಕೀಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲು ದುರ್ಬಲತೆ ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
ಟ್ರಾವಿಸ್ ಸಿಐನಲ್ಲಿ ಸೆಪ್ಟೆಂಬರ್ 3 ರಿಂದ ಸೆಪ್ಟೆಂಬರ್ 10 ರವರೆಗೆ ಸಮಸ್ಯೆ ಇತ್ತು. ದುರ್ಬಲತೆಯ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಸೆಪ್ಟೆಂಬರ್ 7 ರಂದು ಡೆವಲಪರ್ಗಳಿಗೆ ರವಾನಿಸಲಾಗಿದೆ ಎಂಬುದು ಗಮನಾರ್ಹವಾಗಿದೆ, ಆದರೆ ಪ್ರತಿಕ್ರಿಯೆಯಾಗಿ ಅವರು ಕೀ ತಿರುಗುವಿಕೆಯನ್ನು ಬಳಸುವ ಶಿಫಾರಸಿನೊಂದಿಗೆ ಉತ್ತರವನ್ನು ಮಾತ್ರ ಪಡೆದರು. ಸಾಕಷ್ಟು ಪ್ರತಿಕ್ರಿಯೆಯನ್ನು ಸ್ವೀಕರಿಸದ ನಂತರ, ಸಂಶೋಧಕರು GitHub ಅನ್ನು ಸಂಪರ್ಕಿಸಿದರು ಮತ್ತು ಟ್ರಾವಿಸ್ ಅನ್ನು ಕಪ್ಪುಪಟ್ಟಿಗೆ ಸೇರಿಸಲು ಪ್ರಸ್ತಾಪಿಸಿದರು. ವಿವಿಧ ಯೋಜನೆಗಳಿಂದ ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ದೂರುಗಳು ಬಂದ ನಂತರ ಸೆಪ್ಟೆಂಬರ್ 10 ರಂದು ಮಾತ್ರ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ. ಘಟನೆಯ ನಂತರ, ಟ್ರಾವಿಸ್ CI ವೆಬ್ಸೈಟ್ನಲ್ಲಿ ಸಮಸ್ಯೆಯ ಕುರಿತು ವಿಚಿತ್ರವಾದ ವರದಿಯನ್ನು ಪ್ರಕಟಿಸಲಾಯಿತು, ಇದು ದುರ್ಬಲತೆಯ ಪರಿಹಾರದ ಬಗ್ಗೆ ತಿಳಿಸುವ ಬದಲು, ಪ್ರವೇಶ ಕೀಗಳನ್ನು ಆವರ್ತಕವಾಗಿ ಬದಲಾಯಿಸುವ ಸಂದರ್ಭದ ಹೊರಗಿನ ಶಿಫಾರಸುಗಳನ್ನು ಮಾತ್ರ ಒಳಗೊಂಡಿದೆ.
ಹಲವಾರು ದೊಡ್ಡ ಯೋಜನೆಗಳಿಂದ ಮುಚ್ಚಿಹೋಗಿರುವ ಪ್ರತಿಭಟನೆಯ ನಂತರ, ಟ್ರಾವಿಸ್ CI ಬೆಂಬಲ ವೇದಿಕೆಯಲ್ಲಿ ಹೆಚ್ಚು ವಿವರವಾದ ವರದಿಯನ್ನು ಪ್ರಕಟಿಸಲಾಯಿತು, ಯಾವುದೇ ಸಾರ್ವಜನಿಕ ರೆಪೊಸಿಟರಿಯ ಫೋರ್ಕ್ನ ಮಾಲೀಕರು ಪುಲ್ ವಿನಂತಿಯನ್ನು ಸಲ್ಲಿಸುವ ಮೂಲಕ ನಿರ್ಮಾಣ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಪ್ರಚೋದಿಸಬಹುದು ಮತ್ತು ಲಾಭ ಪಡೆಯಬಹುದು ಎಂದು ಎಚ್ಚರಿಸಿದರು. ಮೂಲ ರೆಪೊಸಿಟರಿಯ ಸೂಕ್ಷ್ಮ ಪರಿಸರ ವೇರಿಯಬಲ್ಗಳಿಗೆ ಅನಧಿಕೃತ ಪ್ರವೇಶ. , ".travis.yml" ಫೈಲ್ನಿಂದ ಕ್ಷೇತ್ರಗಳ ಆಧಾರದ ಮೇಲೆ ಅಸೆಂಬ್ಲಿ ಸಮಯದಲ್ಲಿ ಹೊಂದಿಸಲಾಗಿದೆ ಅಥವಾ ಟ್ರಾವಿಸ್ CI ವೆಬ್ ಇಂಟರ್ಫೇಸ್ ಮೂಲಕ ವ್ಯಾಖ್ಯಾನಿಸಲಾಗಿದೆ. ಅಂತಹ ಅಸ್ಥಿರಗಳನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ರೂಪದಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಅಸೆಂಬ್ಲಿ ಸಮಯದಲ್ಲಿ ಮಾತ್ರ ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗುತ್ತದೆ. ಸಮಸ್ಯೆಯು ಫೋರ್ಕ್ಗಳನ್ನು ಹೊಂದಿರುವ ಸಾರ್ವಜನಿಕವಾಗಿ ಪ್ರವೇಶಿಸಬಹುದಾದ ರೆಪೊಸಿಟರಿಗಳ ಮೇಲೆ ಮಾತ್ರ ಪರಿಣಾಮ ಬೀರಿತು (ಖಾಸಗಿ ರೆಪೊಸಿಟರಿಗಳು ದಾಳಿಗೆ ಒಳಗಾಗುವುದಿಲ್ಲ).
ಮೂಲ: opennet.ru