Saugumo problema (CVE-2021-41077) buvo nustatyta „Travis CI“ nuolatinio integravimo tarnyboje, skirtoje „GitHub“ ir „Bitbucket“ sukurtų projektų testavimui ir kūrimui, leidžianti atskleisti jautrių aplinkos kintamųjų turinį viešose saugyklose naudojant „Travis CI“ . Be kita ko, pažeidžiamumas leidžia sužinoti Travis CI naudojamus raktus skaitmeniniams parašams generuoti, prieigos raktus ir prieigos prie API prieigos raktus.
Problema buvo Travis CI nuo rugsėjo 3 iki rugsėjo 10 d. Pastebėtina, kad informacija apie pažeidžiamumą kūrėjams buvo perduota rugsėjo 7 d., tačiau atsakydami jie gavo tik atsakymą su rekomendacija naudoti raktų rotaciją. Negavę tinkamų atsiliepimų, mokslininkai susisiekė su GitHub ir pasiūlė įtraukti Travis į juodąjį sąrašą. Problema buvo išspręsta tik rugsėjo 10 dieną po daugybės gautų skundų iš įvairių projektų. Po incidento „Travis CI“ svetainėje buvo paskelbtas daugiau nei keistas pranešimas apie problemą, kuriame, užuot informavęs apie pažeidžiamumo pataisymą, buvo tik iš konteksto pašalinta rekomendacija cikliškai keisti prieigos raktus.
Kilus pasipiktinimui dėl kelių didelių projektų slėpimo, Travis CI paramos forume buvo paskelbta išsamesnė ataskaita, perspėjanti, kad bet kurios viešosios saugyklos šakutės savininkas, pateikęs užklausą, gali pradėti kūrimo procesą ir gauti naudos. neteisėta prieiga prie jautrių pradinės saugyklos aplinkos kintamųjų. , nustatyta surinkimo metu remiantis laukais iš „.travis.yml“ failo arba apibrėžta naudojant „Travis CI“ žiniatinklio sąsają. Tokie kintamieji saugomi šifruota forma ir iššifruojami tik surinkimo metu. Problema paveikė tik viešai prieinamas saugyklas, kuriose yra šakės (privačios saugyklos nėra jautrios atakai).
Šaltinis: opennet.ru