Misy olana momba ny fiarovana (CVE-2021-41077) hita ao amin'ny serivisy fampidirana mitohy Travis CI, natao hitsapana sy hananganana tetikasa novolavolaina tao amin'ny GitHub sy Bitbucket, izay ahafahanao mahita ny votoatin'ny fari-piainan'ny tontolo iainana tsiambaratelo amin'ny fitahirizam-bahoaka mampiasa Travis CI. Ankoatra ny zavatra hafa, ny vulnerability dia ahafahanao mahita ireo fanalahidy ampiasaina ao amin'ny Travis CI amin'ny famokarana sonia nomerika, fanalahidy fidirana ary mari-pamantarana hidirana amin'ny API.
Ny 3 ka hatramin'ny 10 septambra no nisy io olana io tao amin'ny Travis CI. Marihina fa ny 7 septambra no nandefasana vaovao momba ny vulnerability tany aminβireo mpamorona, saingy valiny ihany no voaray miaraka aminβny tolo-kevitra hampiasa ny fihodinana fanalahidy. Tsy nahazo valiny araka ny tokony ho izy, nifandray tamin'ny GitHub ireo mpikaroka ary nanolotra ny lisitra mainty an'i Travis. Ny 10 septambra vao voavaha ny olana rehefa betsaka ny fitarainana voaray avy aminβny tetikasa samihafa. Taorian'ny zava-nitranga, nisy tatitra momba ny olana hafahafa kokoa navoaka tao amin'ny tranokalan'ny Travis CI, izay, raha tokony hampahafantarina momba ny famahana ny vulnerability, dia tsy misy afa-tsy tolo-kevitra ivelan'ny toe-javatra momba ny fanalahidin'ny fidirana.
Taorian'ny hatezerana tamin'ny fihazonana vaovao nataon'ireo tetikasa lehibe maromaro, nisy tatitra amin'ny antsipiriany kokoa navoaka tao amin'ny forum fanohanana Travis CI, nampitandrina fa ny tompon'ny garderie amin'ny tahiry ho an'ny daholobe, amin'ny alΓ lan'ny fandefasana fangatahana fisintonana, dia afaka manomboka ny dingana fananganana ary mahazo tombony. fidirana tsy nahazoana alalana amin'ny fari-piainan'ny tontolo iainana tsiambaratelo ao amin'ny trano fitehirizam-bokatra voalohany , napetraka amin'ny fotoana fananganana mifototra amin'ny saha avy amin'ny rakitra ".travis.yml" na voafaritra amin'ny alΓ lan'ny interface Internet Travis CI. Tehirizina amin'ny endrika encryption ireo fari-pahalalana ireo ary tsy voavaha amin'ny fotoana fananganana ihany. Ny olana dia niantraika tamin'ny tahiry azo idirana ho an'ny besinimaro izay manana forks (tsy misy fanafihana manokana ny repository manokana).
Source: opennet.ru