Travis CI үзгүлтүксүз интеграция кызматында коопсуздук маселеси (CVE-2021-41077) аныкталды, ал GitHub жана Bitbucketте иштелип чыккан долбоорлорду сыноо жана куруу үчүн иштелип чыккан, бул Travis CI колдонгон коомдук репозиторийлердин сезгич чөйрө өзгөрмөлөрүнүн мазмунун ачууга мүмкүндүк берет . Башка нерселер менен катар, алсыздык Travis CIде санариптик кол тамгаларды түзүү үчүн колдонулган ачкычтарды, API кирүү үчүн кирүү ачкычтарын жана энбелгилерин табууга мүмкүндүк берет.
Маселе Travis CIде 3-сентябрдан 10-сентябрга чейин болгон. Белгилей кетчү нерсе, алсыздык жөнүндө маалымат иштеп чыгуучуларга 7-сентябрда берилген, бирок жооп катары алар ачкычты айлантууну колдонуу сунушу менен гана жооп алышкан. Адекваттуу пикир ала албаган изилдөөчүлөр GitHub менен байланышып, Трависти кара тизмеге киргизүүнү сунушташты. Маселе 10-сентябрда ар кандай долбоорлордон көп сандаган кайрылуулардан кийин гана оңдолду. Окуядан кийин, Travis CI веб-сайтында көйгөй жөнүндө кызыктай эмес баяндама жарыяланды, анда алсыздыкты оңдоонун ордуна, кирүү ачкычтарын циклдик өзгөртүү боюнча контексттен тышкаркы сунуш камтылган.
Бир нече ири долбоорлорду жаап-жашыруу боюнча нааразычылыктардан кийин, Travis CI колдоо форумунда кеңири баяндама жарыяланып, ар кандай коомдук репозиторийдин айрысынын ээси тартуу өтүнүчүн берүү менен куруу процессин жана пайданы ишке ашыра аларын эскерткен. баштапкы репозиторийдин сезгич чөйрө өзгөрмөлөрүнө уруксатсыз кирүү. , “.travis.yml” файлынын талааларынын негизинде чогулуш учурунда орнотулган же Travis CI веб-интерфейси аркылуу аныкталган. Мындай өзгөрмөлөр шифрленген түрдө сакталат жана монтаж учурунда гана шифри чечилет. Көйгөй айрылары бар жалпыга жеткиликтүү репозиторийлерге гана таасирин тийгизди (жеке репозиторийлер чабуулга кабылбайт).
Source: opennet.ru