Isu keselamatan (CVE-2021-41077) telah dikenal pasti dalam perkhidmatan penyepaduan berterusan Travis CI, direka untuk menguji dan membina projek yang dibangunkan pada GitHub dan Bitbucket, yang membolehkan kandungan pembolehubah persekitaran sensitif repositori awam menggunakan Travis CI didedahkan . Antara lain, kerentanan membolehkan anda mengetahui kunci yang digunakan dalam Travis CI untuk menjana tandatangan digital, kunci akses dan token untuk mengakses API.
Masalah itu hadir di Travis CI dari 3 September hingga 10 September. Perlu diperhatikan bahawa maklumat tentang kerentanan telah dihantar kepada pembangun pada 7 September, tetapi sebagai tindak balas mereka hanya menerima balasan dengan pengesyoran untuk menggunakan putaran kunci. Setelah tidak menerima maklum balas yang mencukupi, para penyelidik menghubungi GitHub dan mencadangkan Travis untuk menyenarai hitam. Masalah itu diselesaikan hanya pada 10 September selepas sejumlah besar aduan diterima daripada pelbagai projek. Selepas kejadian itu, laporan yang lebih pelik tentang masalah itu telah diterbitkan di laman web Travis CI, yang, bukannya memaklumkan tentang pembetulan untuk kelemahan, hanya mengandungi cadangan di luar konteks untuk menukar kunci akses secara kitaran.
Berikutan bantahan mengenai penyembunyian oleh beberapa projek besar, laporan yang lebih terperinci telah diterbitkan di forum sokongan Travis CI, memberi amaran bahawa pemilik garpu mana-mana repositori awam boleh, dengan mengemukakan permintaan tarik, mencetuskan proses binaan dan mendapat keuntungan. akses tanpa kebenaran kepada pembolehubah persekitaran sensitif repositori asal. , ditetapkan semasa pemasangan berdasarkan medan daripada fail β.travis.ymlβ atau ditakrifkan melalui antara muka web Travis CI. Pembolehubah sedemikian disimpan dalam bentuk yang disulitkan dan dinyahsulit hanya semasa pemasangan. Masalahnya hanya menjejaskan repositori yang boleh diakses secara umum yang mempunyai garpu (repositori peribadi tidak terdedah kepada serangan).
Sumber: opennet.ru