GitHub болон Bitbucket дээр боловсруулсан төслүүдийг турших, бүтээхэд зориулагдсан Travis CI тасралтгүй интеграцийн үйлчилгээнд аюулгүй байдлын асуудал (CVE-2021-41077) тогтоогдсон бөгөөд энэ нь Travis CI-г ашигладаг нийтийн хадгалах сангийн мэдрэмтгий орчны хувьсагчийн агуулгыг илчлэх боломжийг олгодог. . Бусад зүйлсийн дунд эмзэг байдал нь Travis CI-д тоон гарын үсэг үүсгэх түлхүүрүүд, хандалтын түлхүүрүүд болон API-д нэвтрэх жетонуудыг олж мэдэх боломжийг олгодог.
Асуудал 3-р сарын 10-аас 7-р сарын 10 хүртэл Travis CI-д байсан. Эмзэг байдлын талаарх мэдээллийг XNUMX-р сарын XNUMX-нд хөгжүүлэгчдэд дамжуулсан нь анхаарал татаж байгаа боловч хариуд нь тэд зөвхөн түлхүүрийн эргэлтийг ашиглах зөвлөмж бүхий хариуг хүлээн авсан. Хангалттай санал хүсэлт хүлээн аваагүй тул судлаачид GitHub-тэй холбогдож, Трависыг хар жагсаалтад оруулахыг санал болгов. Янз бүрийн төслүүдээс олон тооны гомдол ирсний дараа л энэ асуудлыг есдүгээр сарын XNUMX-нд зассан. Энэ үйл явдлын дараа Travis CI вэб сайт дээр уг асуудлын тухай хачирхалтай мэдээ нийтлэгдсэн бөгөөд энэ нь эмзэг байдлыг засах талаар мэдээлэхийн оронд хандалтын түлхүүрүүдийг үе үе өөрчлөх тухай контекстээс гадуурх зөвлөмжийг агуулсан байв.
Хэд хэдэн томоохон төслүүдийг нуун дарагдуулсны дараа Travis CI-ийн дэмжлэгийн форум дээр илүү нарийвчилсан тайлан нийтлэгдсэн бөгөөд аливаа нийтийн агуулахын сэрээ эзэмшигч нь татах хүсэлт гаргаснаар бүтээн байгуулалтын процессыг эхлүүлж, ашиг олох боломжтойг анхааруулсан. Анхны агуулахын мэдрэмтгий орчны хувьсагчдад зөвшөөрөлгүй хандах. , ".travis.yml" файлын талбарууд дээр тулгуурлан угсрах явцад тохируулсан эсвэл Travis CI вэб интерфэйсээр дамжуулан тодорхойлсон. Ийм хувьсагчдыг шифрлэгдсэн хэлбэрээр хадгалдаг бөгөөд зөвхөн угсрах явцад шифрлэгддэг. Асуудал нь зөвхөн сэрээтэй нийтийн хүртээмжтэй хадгалах сангуудад нөлөөлсөн (хувийн репозиторууд халдлагад өртөмтгий биш).
Эх сурвалж: opennet.ru