Quaestio securitatis (CVE-2021-41077) notata est in servitio Travis CI continua integratione, destinata ad probationes aedificandasque in GitHub et Bitbucket evolutas, quae permittit contenta variabilium rerum sensibilium publicarum repositoriorum utendo Travis CI revelari. . Inter alia, vulnerabilitas permittit tibi claves in Travis CI adhibitas invenire ad signaturas digitales generandas, claves accessum et signa ad API accessionem.
Problema interfuit in Travis CI a die 3 septembris ad diem 10 Septembris. Notabile est informationes de vulnerabilitate ad tincidunt die VII mensis Septembris transmissas esse, sed in responsione tantum responsum acceperunt cum commendatione ad rotationem clavis utendam. Inquisitores GitHub non acceptis sufficientibus feedback contingerunt et proposuerunt signationem Travis. Quaestio tantum die X mensis Septembris fixa est post multas querelas ex variis inceptis acceptis. Post incidentes, fama magis quam nova de quaestione in Travis CI loco evulgata est, quae, loco de fix pro vulnerabilitate informans, solum obliqua commendationem continebat ad accessum mutationis claves cyclice.
Post clamorem in velamento pluribus magnis inceptis, accuratior relatio in forum subsidii Travis CI divulgata est, monens possessorem furcam alicuius repositi publici posse, trahere petitionem subdendo, felis processum et lucrum aedificandi. unauthorised access to sensitive environment variables of the original repository., pone in conventu fundato in agris ex fasciculo ".travis.yml" vel per interfacem Travis CI definito. Tales variabiles in forma encrypta reponuntur et solum in coetu decryptae sunt. Quaestio tantum afficitur publice promptuarium repositoria quae furcas habent (repositoria privata impugnandi non sunt).
Source: opennet.ru