E Sécherheetsprobleem (CVE-2021-41077) gouf am Travis CI kontinuéierlechen Integratiounsservice identifizéiert, entworf fir Testen a Bauprojeten entwéckelt op GitHub a Bitbucket, wat erlaabt datt den Inhalt vu sensiblen Ëmfeldvariablen vun ëffentleche Repositories mat Travis CI opgedeckt gëtt. . Ënner anerem erlaabt d'Vulnerabilitéit Iech d'Schlësselen erauszefannen, déi am Travis CI benotzt ginn fir digital Ënnerschrëften, Zougangsschlësselen an Tokens fir Zougang zu der API ze generéieren.
De Problem war am Travis CI vum 3. September bis den 10. September präsent. Et ass bemierkenswäert datt d'Informatioun iwwer d'Schwachheet un d'Entwéckler de 7. September iwwerdroe gouf, awer als Äntwert kruten se nëmmen eng Äntwert mat enger Empfehlung fir Schlësselrotatioun ze benotzen. Nodeems se net adäquate Feedback kritt hunn, hunn d'Fuerscher GitHub kontaktéiert a proposéiert Travis op Blacklisting. De Problem gouf eréischt den 10. September geléist no enger grousser Zuel vu Reklamatiounen aus verschiddene Projeten. Nom Zwëschefall gouf e méi wéi komesche Bericht iwwer de Problem op der Travis CI Websäit publizéiert, déi, anstatt iwwer eng Fixéierung fir d'Schwachheet z'informéieren, nëmmen eng Aus-kontext Empfehlung enthält fir Zougangsschlësselen zyklesch z'änneren.
Nom Gejäiz iwwer d'Ofdeckung vu verschiddene grousse Projete gouf e méi detailléierte Bericht um Travis CI Support Forum publizéiert, warnt datt de Besëtzer vun enger Gabel vun all ëffentleche Repository, andeems en eng Pull-Ufro ofgitt, de Bauprozess ausléisen a gewannen onerlaabten Zougang zu sensiblen Ëmfeldvariablen vum urspréngleche Repository. , gesat wärend der Versammlung baséiert op Felder aus der ".travis.yml" Datei oder definéiert duerch d'Travis CI Web Interface. Esou Variablen ginn an verschlësselte Form gespäichert a ginn nëmme während der Montage entschlësselt. De Problem beaflosst nëmmen ëffentlech zougänglech Repositories déi Gabel hunn (privat Repositories sinn net ufälleg fir Attacken).
Source: opennet.ru