Travis CI nepārtrauktās integrācijas pakalpojumā, kas paredzēts GitHub un Bitbucket izstrādāto projektu testēšanai un veidošanai, ir konstatēta drošības problēma (CVE-2021-41077), kas ļauj atklāt sensitīvo vides mainīgo saturu publiskajās krātuvēs, izmantojot Travis CI. . Cita starpā ievainojamība ļauj noskaidrot atslēgas, kas tiek izmantotas Travis CI digitālo parakstu ģenerēšanai, piekļuves atslēgas un marķieri piekļuvei API.
Travis CI problēma pastāvēja no 3. septembra līdz 10. septembrim. Zīmīgi, ka informācija par ievainojamību izstrādātājiem tika nosūtīta 7. septembrī, bet atbildē viņi saņēma tikai atbildi ar ieteikumu izmantot atslēgu rotāciju. Tā kā pētnieki nesaņēma adekvātu atgriezenisko saiti, viņi sazinājās ar GitHub un ierosināja iekļaut Trevisu melnajā sarakstā. Problēma tika novērsta tikai 10.septembrī pēc liela skaita sūdzību, kas saņemtas no dažādiem projektiem. Pēc incidenta Travis CI vietnē tika publicēts vairāk nekā dīvains ziņojums par problēmu, kas tā vietā, lai informētu par ievainojamības labošanu, saturēja tikai ārpus konteksta ieteikumu cikliski mainīt piekļuves atslēgas.
Pēc sašutuma par vairāku lielu projektu slēpšanu Travis CI atbalsta forumā tika publicēts detalizētāks ziņojums, brīdinot, ka jebkuras publiskas repozitorija dakšas īpašnieks, iesniedzot izvilkšanas pieprasījumu, var izraisīt izveides procesu un gūt labumu. nesankcionēta piekļuve sākotnējā repozitorija sensitīviem vides mainīgajiem. , kas iestatīti montāžas laikā, pamatojoties uz laukiem no faila “.travis.yml” vai definēti, izmantojot Travis CI tīmekļa saskarni. Šādi mainīgie tiek glabāti šifrētā veidā un tiek atšifrēti tikai montāžas laikā. Problēma skāra tikai publiski pieejamus repozitorijus, kuriem ir dakšas (privātie repozitoriji nav pakļauti uzbrukumiem).
Avots: opennet.ru