Идентификуван е безбедносен проблем (CVE-2021-41077) во услугата за континуирана интеграција на Travis CI, дизајнирана за тестирање и градење проекти развиени на GitHub и Bitbucket, што овозможува откривање на содржината на променливите чувствителни на животната средина на јавните складишта што користат Travis CI . Меѓу другото, ранливоста ви овозможува да ги дознаете клучевите што се користат во Travis CI за генерирање дигитални потписи, клучеви за пристап и токени за пристап до API.
Проблемот беше присутен во Тревис ЦИ од 3 до 10 септември. Вреди да се одбележи дека информациите за ранливоста беа пренесени до програмерите на 7 септември, но како одговор тие добија само одговор со препорака за користење на ротација на копчињата. Откако не добија соодветни повратни информации, истражувачите стапија во контакт со GitHub и предложија да се стави Тревис на црната листа. Проблемот беше саниран дури на 10 септември по голем број примени поплаки од различни проекти. По инцидентот, на веб-страницата Travis CI беше објавен повеќе од чуден извештај за проблемот, кој наместо да информира за поправка на ранливоста, само содржеше надвор од контекст препорака за циклично менување на клучевите за пристап.
По негодувањето поради прикривањето на неколку големи проекти, подетален извештај беше објавен на форумот за поддршка на Travis CI, предупредувајќи дека сопственикот на вилушка од кое било јавно складиште може, со поднесување барање за повлекување, да го активира процесот на градење и да добие неовластен пристап до чувствителни променливи на околината на оригиналното складиште. Ваквите променливи се чуваат во шифрирана форма и се дешифрираат само за време на склопувањето. Проблемот влијаеше само на јавно достапните складишта кои имаат вилушки (приватните складишта не се подложни на напад).
Извор: opennet.ru