Pirsgirêkek ewlehiyê (CVE-2021-41077) di karûbarê yekbûna domdar a Travis CI de, ku ji bo ceribandin û avakirina projeyên li ser GitHub û Bitbucket hatine pêşve xistin, hatî sêwirandin, ku dihêle ku naveroka guhêrbarên hawîrdorê yên hesas ên depoyên giştî yên ku Travis CI bikar tînin werin eşkere kirin. . Di nav tiştên din de, qelsî dihêle hûn bişkojkên ku di Travis CI de ji bo hilberîna îmzeyên dîjîtal, bişkojkên gihîştinê û nîşanekan ji bo gihîştina API-yê têne bikar anîn fêr bibin.
Pirsgirêk di Travis CI de ji 3-ê Îlonê heya 10-ê Îlonê hebû. Hêjayî gotinê ye ku di 7ê îlonê de agahdariya di derbarê qelsbûnê de ji pêşdebiran re hate veguheztin, lê di bersivê de wan tenê bersivek bi pêşniyara karanîna zivirandina mifteyê wergirt. Piştî ku bersivek têr wernegirt, lêkolîner bi GitHub re têkilî danî û pêşniyar kirin ku Travis bike lîsteya reş. Pirsgirêk tenê di 10ê îlonê de piştî hejmareke mezin ji giliyên ku ji projeyên cûrbecûr hatine wergirtin hate çareser kirin. Piştî bûyerê, raporek bêtir ecêb di derbarê pirsgirêkê de li ser malpera Travis CI hate weşandin, ku, li şûna agahdarkirina li ser sererastkirinek ji bo qelsbûnê, tenê pêşniyarek derveyî-rêveberê heye da ku bişkojkên gihîştinê bi çerxî biguhezîne.
Piştî nerazîbûna li ser veşartina ji hêla gelek projeyên mezin ve, raporek berfirehtir li ser foruma piştevaniya Travis CI hate weşandin, hişyarî da ku xwediyê forkek her depoyek giştî dikare, bi şandina daxwazek kişandinê, pêvajoya avakirinê bide destpêkirin û qezenc bike. Gihîştina bêdestûr a guhêrbarên hawîrdorê yên hesas ên depoya orîjînal. , di dema berhevkirinê de li gorî qadên ji pelê ".travis.yml" hatî danîn an jî bi navgîniya tevna Travis CI ve hatî destnîşankirin. Guherbarên weha di forma şîfrekirî de têne hilanîn û tenê di dema kombûnê de têne deşîfre kirin. Pirsgirêk tenê bandor li depoyên gihîştî yên gelemperî kir ku xwedan forks in (depoyên taybet ji êrîşê re ne hesas in).
Source: opennet.ru